Sweden Connect är DIGGs SAML-federation för e-legitimation i Sverige. Där finns IdP:er för detta:
Sweden Connect har i princip identiska tekniska krav som SWAMID, och en SP kan ligga både i SWAMID och Sweden Connect med samma metadata.
Börja med att följa SAML SP Best Current Practice för att installera, konfigurera och lägga in SP:n i SWAMID.
Freja och BankID (finns redan i attribute-map.xml i SWAMID)
<!-- Finns redan i attribute-map.xml i SWAMID --> <Attribute name="urn:oid:1.2.752.29.4.13" id="personalIdentityNumber"/>
<!-- Swedish eID Framework --> <Attribute name="urn:oid:1.3.6.1.5.5.7.9.1" id="dateOfBirth"/>
<!-- eIDAS --> <Attribute name="urn:oid:2.5.4.6" id="c"/> <Attribute name="urn:oid:1.2.752.201.3.4" id="prid"/> <Attribute name="urn:oid:1.2.752.201.3.5" id="pridPersistence"/> <Attribute name="urn:oid:1.2.752.201.3.7" id="eidasPersonIdentifier"/>
Signera alltid AuthnRequests. Detta är ett krav i Sweden Connect.
<ApplicationDefaults entityID="..." ... signing="true">
Lägg till en till MetadataProvider (låt SWAMID ligga kvar) enligt
| Feed | URL | Signeringscertifikat |
|---|---|---|
| Sweden Connect sandbox | http://eid.svelegtest.se/metadata/mdx/role/idp.xml | https://eid.svelegtest.se/mdreg/pub/metadata-cert.crt |
| Sweden Connect QA | https://qa.md.swedenconnect.se/role/idp.xml | https://ladok3.its.umu.se/md/sweden-connect-qa.crt |
| Sweden Connect Prod | https://md.swedenconnect.se/role/idp.xml | https://ladok3.its.umu.se/md/sweden-connect-prod.crt |
Alltid
http://id.elegnamnden.se/ec/1.0/eidas-naturalpersonhttp://id.elegnamnden.se/ec/1.0/loa3-pnrhttp://id.elegnamnden.se/st/1.0/public-sector-sp
BankID (via Sunet)
http://id.swedenconnect.se/contract/Sunet/BankID-idp
Freja eID och eIDAS (via valfrihetssystem 2017)
http://id.swedenconnect.se/contract/sc/eid-choice-2017
Signera alltid AuthnRequests. Detta är ett krav i Sweden Connect.
<md:SPSSODescriptor AuthnRequestsSigned="true">
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
Plocka bort xmlns:req-attr="urn:oasis:names:tc:SAML:protcol:ext:req-attr" ur <md:EntityDescriptor (eller döp om till xmlns:reqattr utan - om namespacet används i xml-filen).
Ibland har EncryptionMethod hamnat under KeyDescriptor med use="signing", plocka bort det i så fall. Det ska dock vara kvar för KeyDescriptor use="encryption" eller KeyDescriptor utan use.
Kontrollera alltid att authnContextClassRef finns i Meta-Assurance-Certification och att den hamnar i Shib-AuthnContext efter inloggning, se 4.4 Implementera krav på tillitsnivå samt ev. multifaktor vid inloggning,
| IdP | Miljö | authnContextClassRef | entityID |
|---|---|---|---|
| Freja (LoA3) | Prod | http://id.elegnamnden.se/loa/1.0/loa3 | https://idp-sweden-connect-valfr-2017.prod.frejaeid.com |
| BankID (LoA3, via Sunet) | QA | http://id.swedenconnect.se/loa/1.0/uncertified-loa3 | https://bankidp.qa.swamid.se/bankid/idp |
| BankID (LoA3, via Sunet) | Prod | http://id.swedenconnect.se/loa/1.0/uncertified-loa3 | https://bankid-idp.sunet.se/bankid/idp |
| eIDAS (Substantial) | Sandbox | http://id.elegnamnden.se/loa/1.0/eidas-sub | https://dev.connector.swedenconnect.se/eidas |
| eIDAS (Substantial) | Prod | http://id.elegnamnden.se/loa/1.0/eidas-sub | https://connector.eidas.swedenconnect.se/eidas |