SAML
SAML i ID-porten
ID-porten begynte som en ren SAML-tjeneste i 2010. OIDC-grensesnittet ble innført i 2017, og ble raskt svært populært. ID-porten støtter kun OIDC, men vi tilbyr et forenklet SAML-grensesnitt for kunder som av en eller grunn ikke har kunnet gå over fra SAML til OIDC.
SAML-arkitektur
ID-portens SAML-støtte er basert på en SAML-proxy som oversetter kundens SAML-meldinger til OIDC mot ID-porten, og vice versa.
For innlogging mapper OIDC-protokollen sin authorization code-flyt svært bra mot SAML Web Browser SSO med Artifact Resolution-profil.
Miljøer for SAML-proxy
SAML-proxy er tilgjengelig produksjonsmiljøet og testmiljøet. Oversikt over IP-adresser
| Miljø | IDP | Domene |
|---|---|---|
| PROD | https://saml2.idporten.no/idp6 | saml2.idporten.no |
| TEST | https://saml2.test.idporten.no/idp5~ | saml2.test.idporten.no |
ID-porten sine metadata
I en overgangsperiode kan “gammel” metadata for produksjon (v5) og VER (v4) benyttes
Metadata
| Miljø | IDP | Metadata |
|---|---|---|
| PROD | https://saml2.idporten.no/idp6 | https://saml2.idporten.no/idp6 |
| TEST | https://saml2.test.idporten.no/idp5 | https://saml2.test.idporten.no/idp5 |
Kundens metadata (SP)
Oppdatering av kundes metadata er en manuel prosess hos Digdir. Metadata må sendes til servicdesk@digdir.no for endring. Vi trenger metadata med følgende innhold:
- entityid
- assertionconsumerURL
- logout-url
- public-nøkkel av virksomhetssertifikatet (samme sertifikat til både signering og kryptering)
Begrensninger i SAML-proxy
SAML-proxy er ikke et fullverdig IAM-produkt, men enkel proxy foran OIDC-løsningen. SAML-proxyen har blant annet følgende begrensninger:
- Støtter bare ArtifactResolution (ikke HTTP-POST binding)
- Kontaktinfo fra Kontakt- og reservasjonsregisteret kan ikke utleveres i Assertion