Loading…
Tilbage

Bagudkompatibilitet


03-07-2012 12:52:47

Der er med den nye NemLog-in løsning tilstræbt en høj grad af bagudkompatibilitet med de eksisterende NemLog-in og Virk SSO/BRS løsninger i forhold til systemgrænseflader, således at eksisterende myndighedsløsninger påvirkes så lidt som muligt.

Som en del af migreringsforløbet er der planlagt aktiviteter, hvor myndigheder og it-leverandører kan teste deres løsninger mod NemLog-in’s integrationstestmiljø for at kunne afdække evt. udfordringer med bagudkompatibilitet som følge af skift til den nye løsning.

Pilottest af eksisterende løsninger har vist, at der kun i meget sjældne tilfælde er udfordringer med bagudkompatibilitet for eksisterende myndighedsløsninger. For myndigheder, som anvender Digitaliseringsstyrelsens referenceimplementeringer (seneste version), vil der ikke være nogen udfordringer i forhold til bagudkompatibilitet, ligesom en række softwaresuiter fra store softwareleverandører er testet uden problemer.

Nedenfor findes en række ændringer af snitflader, som kan påvirke selvbetjeningsløsninger:

  • Det er ikke længere tilladt at anvende det samme certifikat på tværs af flere SAML metadatafiler. Det kan derfor være nødvendigt at udskifte certifikater og dermed SAML metadata inden migrering til den nye løsning. NemLog-in tillader fortsat brug af både OCES Funktions- og Virksomhedscertifikater.
  • Den nye løsning anvender nyere og stærkere krypteringsalgoritmer ved kryptering af SAML Assertions. Dette omfatter algoritmen  "http://www.w3.org/2001/04/xmlenc#aes256-cbc" til symmetrisk kryptering og algoritmen "http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p" til key-wrapping (kryptering af den symmetriske nøgle).
  • Der erklæres ingen eksplicit type (xs:type) på <AttributeValue> elementer i SAML Assertions.
  • Den nye løsning inkluderer et ekstra <KeyInfo> element i udstedte SAML Assertions, som indeholder IdP’ens certifikat anvendt til signering. Dette betyder samtidig, at udstedte SAML Assertions fylder lidt mere med den nye løsning.

For løsninger tilsluttet den eksisterende Virk BRS løsning skal flg. bemærkes:

  • Ovenstående liste med ændringer af SSO grænsefladen går igen.
  • Eksisterende (Virk-legacy) grænseflader for AttributeQuery og LegalUnit web service mm. reimplementeres i den nye løsning og tilstræbes at være bagudkompatible. Dette gælder også de særlige SAML attributter deklareret i Virk namespace, som ikke findes i OIOSAML, samt den måde privilegier repræsenteres på i den eksisterende Virk BRS løsning. Dog vil den nye NemLog-in løsning ikke understøtte SAML ArtifactBinding, som ikke er tilladt iflg. OIOSAML.
  • Data om brugere, rettigheder, koncernfuldmagter mv. migreres af Digitaliseringsstyrelsen fra den eksisterende løsning over i den nye løsning.
  • Den nye signeringstjeneste har fået justeret systemgrænsefladen, hvilket betyder, at eksisterende integrationer til Virk’s signeringstjeneste i myndighedsløsninger skal opdateres (op mod 10 løsninger). Det er dog tilstræbt, at den nye signeringstjeneste på grænsefladen afviger så lidt som muligt fra den eksisterende tjeneste, således at ændringerne bliver minimerede. Der henvises til dokumentationen for signeringstjenesten for detaljer.

Samlet set forventes det altså, at det kun er myndigheder, som anvender Virk’s signeringstjeneste, som vil få behov for at modificere programkoden i deres løsninger, mens alle øvrige løsninger kan nøjes med at importere metadata fra den nye NemLog-in løsning for at skifte (dvs. en ren konfigurations- og testøvelse).

Løsninger, som tilsluttes efter ibrugtagning af NemLog-in brugeradministrationskomponenten, kan ikke anvende Virk legacy grænseflader, men skal anvende OIOSAML profilerne.

Udover ændringer af systemgrænseflader, vil den nye løsning have nye brugergrænseflader. Dette gælder både i forbindelse med log-in, signering og brugeradministration i NemLog-in brugerrettighedskomponenten. I den forbindelse er det en god idé at myndighederne vurdere, hvordan brugerne af myndighedsløsningen informerer om disse ændringer samt om der er henvisninger i hjælpetekster eller brugervejledninger, som skal opdateres til at afspejle den nye brugergrænseflade.