SAML
SAML i ID-porten
ID-porten begynte som en ren SAML-tjeneste i 2010. OIDC-grensesnittet ble innført i 2017, og ble raskt svært populært. ID-porten støtter kun OIDC, men vi tilbyr et forenklet SAML-grensesnitt for kunder som ikke kan benytte OIDC-grensesnittet.
SAML-arkitektur
ID-portens SAML-støtte er basert på en SAML-proxy som oversetter kundens SAML-meldinger til OIDC mot ID-porten, og vice versa.
For innlogging mapper OIDC-protokollen sin authorization code-flyt svært bra mot SAML Web Browser SSO med Artifact Resolution-profil.
Miljøer for SAML-proxy
SAML-proxy er tilgjengelig produksjonsmiljøet og testmiljøet. Oversikt over IP-adresser
Miljø | IDP | Domene |
---|---|---|
PROD | https://saml2.idporten.no/idp6 | saml2.idporten.no |
TEST | https://saml2.test.idporten.no/idp5 | saml2.test.idporten.no |
ID-porten sine metadata
Metadata
Miljø | IDP | Metadata |
---|---|---|
PROD | https://saml2.idporten.no/idp6 | https://saml2.idporten.no/idp6 Signert: [[https://saml2.idporten.no/idp6?sign=true] (https://saml2.idporten.no/idp6?sign=true) |
TEST | https://saml2.test.idporten.no/idp5 | https://saml2.test.idporten.no/idp5 Signert: [[https://saml2.test.idporten.no/idp5?sign=true] (https://saml2.test.idporten.no/idp5) |
Oversikt metadata: https://saml2.idporten.no
Kundens metadata (SP)
Oppdatering av kundes metadata er en manuel prosess hos Digdir. Metadata må sendes til servicdesk@digdir.no for endring. Vi trenger metadata med følgende innhold:
- entityid
- assertionconsumerURL
- logout-url
- public-nøkkel av virksomhetssertifikatet (samme sertifikat til både signering og kryptering)
Begrensninger i SAML-proxy
SAML-proxy er ikke et fullverdig IAM-produkt, men enkel proxy foran OIDC-løsningen. SAML-proxyen har blant annet følgende begrensninger:
- Støtter bare ArtifactResolution (ikke HTTP-POST binding)
- Kontaktinfo fra Kontakt- og reservasjonsregisteret kan ikke utleveres i Assertion