IDENTITY PROVIDER Klar til produktion
IDENTITY PROVIDERKlar til produktion
Baggrund
• De 98 kommuner i Danmark har nu etableret en lokal Identity
Provider, og aftestet installation mod Støttesystemernes test-
miljø.
• I forbindelse med at BBR går live, skal alle kommunerne
tilslutte deres Identity Provider til Støttesystemernes
produktionsmiljø.
• KOMBIT migrerer tilslutningerne fra testmiljøet, så opgaven
med at tilslutte sig produktionsmiljøet blot er en lokal
konfigurationsopgave i de enkelte kommuners Identity
Providere
OBS!!
• Hvis en kommune har valgt at tilslutte en test-Identity
Provider til Støttesystemernes test-miljø, og de ikke ønsker at
genbruge denne tilslutning i Produktion, så skal dette meldes
til KOMBIT.
• Kommunen melder dette i en mail til [email protected] inden
d. 16. januar
• For de kommuner der ønsker at tilslutte en ny Identity
Provider til produktion, skal de gennemføre den samme
tilslutning i produktion som blev gennemført i test-miljøet
MIGRERINGS-SCNEARIET
LOKALE TILPASNINGER
KOMBIT flytter tilslutningen
KOMBIT bestiller en flytning af den eksisterende tilslutning hos
KMD, og klarmelder når tilslutningen er foretaget i produktion.
Herefter skal kommunen tilpasse opsætningen i deres lokale
Identity Provider.
Lokale tilpasninger
Da kommunen tilsluttede sig til test-miljøet, blev støttesystemerne
opsat som en Service Provider (også kaldet Relying Party).
Denne opsætning i kommunens Identity Provider skal gennemføres én
gang til, denne gang for støttesystemernes produktionsmiljø.
Metadata til produktionsmiljøet kan hentes her
https://adgangsstyring.stoettesystemerne.dk/runtime/saml2auth/metadata.idp
Typisk er registrering af metadata en del af oprettelses-processen når
man opretter en ny Service Provider i sit Identity Provider produkt,
nogle produkt-specifikke screenshots vises på næste slides.
Registrering af metadata i Identity Provider(Safewhere Identify)
Registrering af metadata i kommunal Identity Provider (Safewhere Identify)
Registrering af metadata i Identity Provider(AD FS 3.0)
Registrering af metadata i kommunal Identity Provider(AD FS 3.0)
Registrering af metadata i Identity Provider(OpenAM)
Registrering af metadata i Identity Provider(OpenAM)
NY TILSLUTNING
KOMMUNER DER IKKE ØNSKER AT GENBRUGE
TILSLUTNINGEN FRA TEST-MILJØET
Registring af ny Identity Provider i produktion
For kommuner der ikke ønsker at genbruge deres eksisterende
tilslutning fra test-miljøet, skal der bestilles en ny tilslutning.
Dette kræver at metadata udtrækkes fra den nye Identity
Provider, og sendes til KMD, der behandler bestillingen.
Til formålet skal den samme word-blanket anvendes, som blev
udfyldt ved bestillingen i test-miljøet.
Den samme lokale konfiguration som er nævnt tidligere, skal
også udføres ved ny-tilslutning.
Udtræk metadata fra Identity Provider
Metadata fra kommunens egen IdP kan downloades fra den
server hvor IdP’en er installeret
Safewhere Identify
https://<server>/runtime/saml2/metadata.idp
AD FS
https://<server>/FederationMetadata/2007-06/FederationMetadata.xml
OpenAM
https://<server>/openam/saml2/jsp/exportmetadata.jsp?entityid=<??>
Udtræk metadata fra Identity Provider
Word blanketten udfyldes
Sådan er proceduren….
1. Download blanketI skal udfylde en anmodning om føderationsaftale til det eksterne testmiljø
– hent den på http://www.kombit.dk/sts-implementering
2. Udfyld blanket
3. Send blanketten til KOMBIT- Send den til [email protected]
4. Tilslutningen gennemføres- KOMBIT orienterer jer om at aftalen er oprettet
AFPRØVNING I PRODUKTION
Test mod demo-system
I produktionsmiljøet stiller KOMBIT et demo system til rådighed,
hvor man kan foretage et login.
Systemet har ingen anden funktionalitet end login.
Efter succesfuld login, vises et skærmbillede der viser det token
som demo systemet har modtaget.
Demo System
https://demo-brugervendtsystem.kombit.dk/prod
Test mod demo-system
Test mod demo-system