Tilslutte lokal AD til DMP IdP

tilbage til forsiden

Jeres it-afdeling kan følge en af de to vejledninger

• Azure AD vejledning (Connecting with Azure AD · danmarksmiljoeportal/brugerstyring Wiki · GitHub)
• ADFS vejledningen (se nedenfor)

 

Indhold

• 1. Scope
• 2. Proces for tilslutning
• 3. Miljøer
• 3.1 DMP IdP Metadata
• 3.2 Testapplikation
• 4. Claimskontrakt
• 5. AD FS3.0 Claim Rule konfigurationer
• 5.1 Statisk regel (eksempel på CVR-nummer)
• 5.2 OIO UniqueAccountKey
• 5.3 NameID

Denne guide beskriver processen for at føderere en lokal IdP med DMP IdP.

 

1. Scope

Guiden omfatter kun lokal IdP i en kommune, region eller anden offentlig organisation.

Guiden omfatter ikke organisationer, der forbinder gennem Statens IT eller NemLog-In.

Guiden omfatter kun føderation med DMP IdP. Den omfatter ikke ibrugtagning af DMP Brugerstyring.

Guiden forudsætter, at organisationens brugere findes i et lokalt Active Directory og at organisationen benytter AD FS 3.0 (eller nyere) til føderation med DMP IdP. Guiden omfatter ikke Azure AD.

 

2. Proces for tilslutning

Før tilslutning starter, skal organisationen have indgået en brugerstyringsaftale med DMP. Den efterfølgende proces forudsætter, at aftalen er indgået.

Processen for føderation af lokal IdP med DMP IdP er:

1. Send SAML2.0 metadata (fil eller URL) til DMP for jeres lokale IdP. DMP opsætter en forbindelse i DMP IdP testmiljø.
2. Konfigurer en SAML2.0 forbindelse til DMP IdP (testmiljø) i jeres lokale IdP. Se DMP IdP Metadata for link til metadata.
3. Konfigurer jeres lokale IdP til at udstede claims jf. afsnittet Claimskontrakt
4. Login til Demo Application (TEST) for at verificere, at alle claims bliver sendt til DMP IdP. Se Demo Application for link til Demo Application (TEST).
5. Kontroller, at logout til Demo Application (TEST) fungerer.
6. Send screenshot af claims i Demo Application (TEST) til DMP.
7. DMP bekræfter, at alle claims sendes.
8. Gentag trin 1-5 for jeres lokale IdP med DMP IdP produktionsmiljø.

Efter at have gennemført ovenstående tilslutningsproces succesfuldt, kan DMP hjælpe med at registrere lokale administratorer til DMP brugerstyring. 

 

3. Miljøer

3.1 DMP IdP Metadata

Miljø	Metadata URL
TEST	https://log-in.test.miljoeportal.dk/runtime/saml2auth/metadata.idp
PROD	https://log-in.miljoeportal.dk/runtime/saml2auth/metadata.idp

 

3.2 Testapplikation

Miljø	URL
TEST	https://administration.test.miljoeportal.dk/identifyclaimapp/default.aspx
PROD	https://administration.miljoeportal.dk/identifyclaimapp/default.aspx

4. Claimskontrakt

Beskrivelse	Claim type	AD attribut 1)	Eksempel på værdi
First Name (Fornavn)	http://www.miljoeportal.dk/givenName	givenName	Anders
Common Name (Fulde Navn)	urn:oid:2.5.4.3	displayName	Anders Andersen
Surname (Efternavn)	urn:oid:2.5.4.4	sn	Andersen
Organization Name (Organisationsnavn)	urn:oid:2.5.4.10	company	Testvirksomheden
User Id (brugerId)	urn:oid:0.9.2342.19200300.100.1.1	sAMAccountName	aandersen
Organization CVR (CVR)	dk:gov:saml:attribute:CvrNumberIdentifier	CVR-nummer	12345678
E-mail	urn:oid:0.9.2342.19200300.100.1.3	mail	anders.andersen@miljoeportal.dk
UPN	http://www.miljoeportal.dk/userPrincipalName	userPrincipalName	aandersen@miljoeportal.dk
User unique ID (bruger's object GUID)	http://www.miljoeportal.dk/objectGUID	objectGUID 3)	TDetxQSQxk+7yq/W/DRydw==
User account creation timestamp (bruger's oprettelsestidspunkt)	http://www.miljoeportal.dk/whenCreated	whenCreated	20160701093123.0Z
Unique Account Key (Unik bruger ID)	dk:gov:saml:attribute:UniqueAccountKey	2)	Xri://@DK-XRI*65307316/20160701093123.0Z/TDetxQSQxk+7yq/W/DRydw==
NameID	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier	4)	Xri://@DK-XRI*65307316/20160701093123.0Z/TDetxQSQxk+7yq/W/DRydw==

1) AD property mapping er den måde attributter typisk anvendes i Active Directory. Den faktiske mapping afhænger af, hvordan organisationen konkret gemmer attributter i Active Directory.

2) Værdien af Unique account key udstedes som "Xri://@DK-XRI*" + <cvr> + "/" + <whenCreated> + "/" + <objectGUID>) hvor <cvr>, <whenCreated> og <objectGUID> er værdierne af claims jf. ovenstående tabel.

3) Værdien af objectGUID i Active Directory skal Base64 encodes med ADFS' indbyggede claim rule funktion.

4) Værdien af NameID sættes til værdien af unique account key.

5. AD FS 3.0 Claim Rule konfigurationer

5.1 Statisk regel (eksempel på CVR-nummer)

=> issue(Type = "dk:gov:saml:attribute:CvrNumberIdentifier", Value = "12345678");

 

5.2 OIO UniqueAccountKey

Følgende regel kan benyttes til at udstede OIO UniqueAccountKey claim.

c1:[Type == "dk:gov:saml:attribute:CvrNumberIdentifier"]

&& c2:[Type == "http://www.miljoeportal.dk/whenCreated"]

&& c3:[Type == "http://www.miljoeportal.dk/objectGUID"]

=> issue(Type = "dk:gov:saml:attribute:UniqueAccountKey", Value = "Xri://@DK-XRI*" + c1.Value +  "/" + c2.Value + "/" + c3.Value);

 

5.3 NameID

Følgende regel benyttes til at sætte NameID korrekt ud fra OIO UniqueAccountKey. Reglen skal placeres efter udstedelse af OIO UniqueAccountKey.

tilbage til forsiden