Loading…
Tilbage

OIOSAML Profil version 2.0.9


Denne version 2.0.9 af OIOSAML profilen har følgende ændringer ift. 2.0.8:

  • Fjernet afsnit som beskriver anvendelse af authentication context erklæringer i authentication requests (ønsket assurance level og ønsket certifikat type) da den anvendte konstruktion ikke er valid i forhold til SAML standarden og ikke anvendes.
  • Tilføjet krav om at nameid format skal angives i metadata for Service Providers (man skal vælge enten OCES attribute profile eller persistent pseudonym profile)
  • Opdateret kontaktinformation (DIGST erstatter ITST).
Om OIOSAML Profilen

SAML 2.0 er en teknisk standard, der beskriver hvordan IT systemer kan udveksle oplysninger om en bruger. Standarden gør det muligt at koble IT systemer fra forskellige organisationer sammen på nye måder, hvilket skaber sammenhæng og mulighed for nye, digitale services. Endvidere opnås en forbedret brugeroplevelse, idet brugerne ikke konstant vil skulle logge sig på systemerne.

OIO Web SSO Profile (OIOSAML) 2.0 er en dansk specialisering (profil) af SAML, som beskriver hvorledes standarden skal anvendes i dansk sammenhæng - herunder hvordan f.eks. CVR og CPR numre kan anvendes til at identificere virksomheder, borgere og medarbejdere.

OIOSAML 2.0 har status af ”anbefalet” i OIO kataloget.

De konkrete rettelser er angivet i Document History i starten af dokumentet (på engelsk ligesom det øvrige dokument). OIOSAML 2.0.9 erstatter den hidtidigt gældende version 2.0.8.

Filer og referencer

Titel Type
OIOSAML Basic Privilege Profile 1_0_1.pdf pdf
OIO Web SSO Profile V2 09.pdf pdf
Profilbillede

Linkene virker ikke

Lars Peter Larsen

Linkene til filerne virker ikke. Jeg har fundet et andet link til en af filerne: http://docplayer.net/1316224-Revised-edition-oio-web-sso-profile-v2-0-9-also-known-as-oiosaml-2-0-9-includes-errata-and-minor-clarifications.html

 

 

ændret af Lars Peter Larsen (14.06.2016)
Profilbillede

Døde links til filer

Mac Wendelboe

Links til filerne OIOSAML Basic Privilege Profile og OIOWebSSO Profile giver 404. Er filerne blevet flyttet i forb. m. den layoutmæssige ændring på digitaliser.dk? 

Profilbillede

Mindre afvigelse i NemLog-in vedr. CVR scopes i privilegier

Thomas Gundel

NemLog-in løsningen afviger et enkelt sted fra OIO Basic Privilege Profile.

Dette forekommer i stavemåden af scopes, der indeholder CVR numre.

Her benytter NemLog-in prefixet "urn:dk:gov:saml:CvrNumberIdentifier" mens profilen specificerer prefixet "urn:dk:gov:saml:cvrNumberIdentifier" (altså lille "c" som begyndelsesbogstav).

Af hensyn til ikke at skabe fejl i eksisterende løsninger, der forventer den afvigende stavemåde, er det besluttet i første omgang ikke at rette fejlen.

Profilbillede

OIOSAML JAVA with SHA256 as signing algorithm for authentication request

suraj lal

Hi Team,

I have the Configured my SAML specification as following:

Q: OIOSAML.java, SP keystore (private key with SHA256withRSA)

when i see authentication request ice shows signalg as sha1

like: SigAlg = http% 3A% 2F% 2Fwww.w3.org% 2F2000% 2F09% 2Fxmldsig% 23rsa-sha1

Even the oiosaml.java code is hardcoded with sha1

OIOSAMLConstants.class --- SHA_HASH_ALGORHTM = "SHA-1"; duck

SHA1_WITH_RSA = "SHA1withRSA";

Please let me know what is the mechanism used here two genrate the signature algorithm

a> om its picking the hard-coded values ??from OIOSAMLConstants.class

b> can we make the OIOSAML two take the signature algorithm from SP keystore's certificate (signature algorithm)

please share your comments.

Hi

OIOSAML.Java has currently only support for RSA-SHA1 regarding signatures communicated between the SP and IdP.

OIOSAML.Java uses version 2.5.1 of the OpenSAML2 component to generate and validate signatures when making authentication requests and recieving responses. OpenSAML2 uses RSA-SHA1 as default but should have support for RSA-SHA256. However, it has never been tested with OIOSAML.Java.

OIOSAML.Java uses RSA-SHA1 (hard coded value in OIOSAML.Constants) in combination with the Java API when generating and validating signatures in regard to logout requests.

So currently it is not consistent which implementation is used for authentication and logout requests. So you have to make changes two places if you want to change the OIOSAML.Java component to support RSA-SHA256.

The signature algorithm of the certificate and the signature algorithm used when communicating with the IdP is two different things, and should not be bound to each other.

It could be made as a configuration setting what signature algorithm the SP uses and then OIOSAML.Java must be changed to accept both RSA-SHA1 and RSA-SHA256 signatures from the IdP.

Please let us know if you change OIOSAML.Java to support RSA-SHA256. Then we will be happy to incorporate your changes into a future version of OIOSAML.Java.

Best regards

Kasper Møller