Logging in with eduID at a level of assurance requested by an SP

Denna metod är under avveckling!

Att begära tillitsnivå via authnContextClassRef i inloggningsbegäran kommer att avvecklas för att samma metod kommer att användas för begäran av multifaktorinloggning. För att se med vilken tillitsnivå en användare har loggat in ska man istället titta på attributet eduPersonAssurance efter att användaren loggat in. För mer information se 3.3 Configure Shibboleth SP - Check for Identity Assurance or REFEDS SIRTFI i SWAMIDs wikiutrymme.



Här går vi igenom hur man sätter upp en shibboleth SP så att den begär inloggning med en viss förtroendenivå. Detta åstadkommer man med en sk SessionInitiator i filen shibboleth2.xml. Dessa element skall alltid finnas inne i Session-elementet. För detaljerad information om SessionInitiator-element se https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPSessionInitiator

Principen illustreras bäst med ett exempel:

SessionInitiator
<SessionInitiator type="Chaining" Location="/Login/MyAL1"
                   entityID="http://idp.example.org" 
                   relayState="cookie">
   <SessionInitiator type="SAML2" 
                     defaultACSIndex="1" 
                     acsByIndex="false"
                     authnContextClassRef="http://my.loa.level#1"
                     template="bindingTemplate.html"/>
</SessionInitiator>

Om denna SessionInitiator är aktiv så medför detta att om användaren skickas till "/Shibboleth.sso/Login/MyAL1" så kommer en inloggning med förtroendenivå http://my.loa.level#1 att genereras. Exakt vilken URL som ska anges beror på vilken AL-nivå som önskas. För SWAMID finns alla förtroendenivåer dokumenterade här: http://www.swamid.se/policy/fortroendenivaer.html .

Exempel med eduID som IdP:

eduID som IdP med AL2
<SessionInitiator type="Chaining" Location="/Login/eduID-AL2"
                   entityID="https://login.idp.eduid.se/idp.xml"
                   relayState="cookie">
  <SessionInitiator type="SAML2" 
                    defaultACSIndex="1" 
                    acsByIndex="false"
                    authnContextClassRef="http://www.swamid.se/policy/assurance/al2"
                    template="bindingTemplate.html"/>
</SessionInitiator>

 

Om en SP begär inloggning med en viss tillitsnivå och användaren inte uppnår den nivån, kommer eduID att signalera att inloggningen misslyckades. I annat fall kommer attributrelease att ske enligt SWAMIDs rekommendationer.

Se även