SWAMID Identity Provider MDUI requirements

Konfigurationerna p? denna sida g?rs inte i indentitetsutgivaren (IdP) utan endast i federationens metadata om indentitetsutgivaren.

Inom SWAMID rekommenderas det starkt att ?tminstone ut?kningarna <mdui:DisplayName> och <mdui:Description> anv?nds av alla indentitetsutgivare. I kommande SWAMID AL1 inf?rs krav p? anv?ndning av vissa MDUI-element.

F?r att m?jligg?ra en mer anv?ndarv?nlig anvisningtj?nst (Discovery Service) har OASIS tagit fram SAML V2.0 Metadata Extensions for Login and Discovery User Interface Version 1.0 (MDUI). Denna ut?kning av metadata g?r det m?jligt att ge en b?ttre anv?ndarupplevelese i anvisningstj?nsten, m?jlighet f?r en tj?nsteleverant?r (Service Provider) att ge information om anv?nd indentitetsutgivare (Identity Provider) och m?jlighet f?r en indentitetsutgivare att ge information om tj?nsteleverant?ren p? inloggningssidan. Denna sida ?r inriktad p? informationen om en indentitetsutgivare som kan anv?ndas i anvisningstj?nsten och hos tj?nsteleverant?ren.

F?r att l?gga MDUI-information om din identitetsutgivare ska du skapa XML-data enligt nedanst?ende information och skicka den till SWAMID Operations.

Motsvarande information om ut?kning av metadata f?r tj?nstelerant?rer finns p? sidan SP Metadata Extensions for Login and Discovery User Interface (MDUI). Shibboleth Idp 2.3 och senare kan via s?rskilda taggar inkludera MDUI-informationen fr?n tj?nsteleverant?rer p? inloggningssidan.

Information f?r visning i webbgr?nssnitt (User Interface Information)

Ut?kningarna f?r webbgr?nssnitt ?r inriktade mot att ge mer och b?ttre information om indentitetsutgivaren. Ut?kningarna best?r bland annat av namn p? identitetsutgivaren, kommentar om identitetsutgivaren, webbadress till ytterligare information om indentitetsutgivaren samt webbadress till indentitetsutgivarens integritetspolicy.

MDUI SAML tag

Basic

SWAMID AL1

mdui:DisplayName

SHOULD

MUST

mdui:Description

SHOULD

MUST

mdui:InformationURL

MAY

SHOULD

mdui:PrivacyStatementURL

MAY

MUST

mdui:Logo

MAY

SHOULD

Visningsnamn (<mdui:DisplayName>)

Det namn p? indentitetsutgivaren som ska visas anvisningstj?nsten. L?mpligt att anv?nda l?ros?tets namn. Med <mdui:DisplayName xml:lang="sv"> och <mdui:DisplayName xml:lang="en"> g?r det att definiera olika namn p? svenska och engelska.

Beskrivning (<mdui:Description>)

En kortare beskrivning om maximalt 140 tecken om identitetsutgivaren. Det ?r l?mpligt att ha beskrivningar p? b?de svenska och engelska.

Webbadress f?r ytterligare information (<mdui:InformationURL>)

Webbadress f?r ytterligare information om identitetsutgivaren. Det ?r m?jligt att olika adresser f?r olika spr?k.

Webbadress f?r integritetspolicy (<mdui:PrivacyStatementURL>)

Webbadress till identitetsutgivarens integritetspolicy f?r de indentiteter som tillhandah?lls genom identitetsutgivaren. Det ?r m?jligt att olika adresser f?r olika spr?k.

Webbadress f?r logotyp (<mdui:Logo>)

Webbadress till logotyp f?r identitetsutgivaren.

F?ljande g?ller f?r logotypen:

  • Webbadressen SKA vara av typen HTTPS, d.v.s. krypterad.
  • Logotypen SKA vara publicerad via en oskyddad l?nk, d.v.s. den ska inte beh?va inloggning f?r att f? visas.
  • Logotypen SKA vara publicerad p? en v?rddator i en dom?n som ?gs av identitetsutgivaren.
  • Logotypen SKA vara i formaten PNG (b?st) eller GIF.
  • Storlek i pixlar p? logotypen SKA anges i XML-tagen, se exemplet.
  • Logotypen B?R vara i liggande format, inte st?ende, d.v.s. bredd ?r st?rre eller lika med h?jd.
  • Bakgrunden B?R vara genomskinlig och fungera lika bra p? vit som gr? bakgrund.
  • Det ?r m?jligt att ha flera logotyper i olika storlekar f?r anpassning till olika anvisningstj?nster.
    • Tillhandah?ll en logotyp i l?ros?tets standardformat f?r webben helst inom storleksomr?det 64px till 350px bred och 64px till 146px h?g.
    • Tillhandah?ll eventuellt en s?rskild logotyp p? 16x16 punkter f?r Shibboleth EDS, ing?r i Shibboleth SP 2.4 och senare.
  • Det ?r m?jligt att ha olika logotyper f?r olika spr?k p? samma s?tt som visningsnamnet.

Exempel p? ut?kat metadata f?r Exempelorganisationen

<mdui:UIInfo xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui">
  <mdui:DisplayName xml:lang="sv">Exempelorganisationen</mdui:DisplayName>
  <mdui:DisplayName xml:lang="en">Example organization</mdui:DisplayName>
  <mdui:Description xml:lang="sv">Identity Provider f?r Exempelorganisationen.</mdui:Description>
  <mdui:Description xml:lang="en">Identity Provider for Example organization.</mdui:Description>
  <mdui:InformationURL xml:lang="sv">https://idp.exempel.se/info/om.html</mdui:InformationURL>
  <mdui:InformationURL xml:lang="en">https://idp.exempel.se/info/about.html</mdui:InformationURL>
  <mdui:PrivacyStatementURL xml:lang="sv">https://idp.exempel.se/info/integritet.html</mdui:PrivacyStatementURL>
  <mdui:PrivacyStatementURL xml:lang="en">https://idp.exempel.se/info/privacy.html</mdui:PrivacyStatementURL>
  <mdui:Logo height="100" width="100">https://idp.exempel.se/images/logo.png</mdui:Logo>
</mdui:UIInfo>

Information f?r automatiskt f?rslag p? identitetsutgivare (Discovery Hinting Information)

Det ?r ur ett anv?ndarperspektiv bra om anvisningstj?nsten automatiskt kan f?resl?, men inte automatiskt v?lja, l?mplig identitetsutgivare n?r en anv?ndare ska logga in. Med ut?kningen Discovery Hinting Information ?r det m?jligt f?r en identitetsutgivare att f?r en anvisningstj?nst tala om att inom dessa begr?nsningar ?r "jag" troligaste identitetsutgivaren. I ut?kningen finns det tre olika s?tt att beskriva detta; via dom?nnamn, via IP-adresser och via geolokalisering. Observera att denna typ av lokaliseringstj?nst ?r att endast ses som f?rslag och f?r d?rf?r inte anv?ndas till automatiskt val av identitetsutgivare.

MDUI SAML tag

Basic

SWAMID AL1

mdui:IPHint

MAY

MAY

mdui:DomainHint

MAY

MAY

mdui:GeolocationHint

MAY

MAY

IP-adresser (<mdui:IPHint>)

IP4- eller IPv6-adressomr?de som identitetsutgivaren ?ger eller agerar inom skrivet som CIDR-block (RFC4632). CIDR-block har formen IP-n?t/signifikanta-bitar, t.ex. 192.168.1.0/24 inneb?r alla IP-adresser inom omr?det 192.168.1.0 till 192.168.1.255. Det ?r m?jligt att noll eller flera <mdui:IPHint>.

Dom?nnamn (<mdui:DomainHint>)

Dom?nnamn som identitetsutgivaren ?ger eller agerar inom. Det ?r m?jligt att noll eller flera <mdui:DomainHint>.

Geolokalisering (<mdui:GeolocationHint>)

Latitude och longtitud f?r platsen d?r identitetsutgivarens anv?ndare troligtvis befinner sig. Koordinaterna skrivs p? URN-form enligt geo URI-schemat (RFC5870). Den enklaste formen ?r geo:decimal latitude,decimal longitude, t.ex. geo:59.3267,18.07175 f?r Stockholms slott. Det ?r m?jligt att noll eller flera <mdui:GeolocationHint>.

Exempel p? ut?kat metadata f?r Exempelorganisationen

<mdui:DiscoHints xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui">
  <mdui:IPHint>192.1068.1.0/24</mdui:IPHint>
  <mdui:DomainHint>exempel.se</mdui:DomainHint>
  <mdui:GeolocationHint>geo:59.3267,18.07175</mdui:GeolocationHint>
</mdui:DiscoHints>