Tilslutte lokal AD til DMP IdP
Guiden omfatter kun lokal IdP i en kommune, region eller anden offentlig organisation.
Guiden omfatter ikke organisationer, der forbinder gennem Statens IT eller NemLog-In.
Guiden omfatter kun føderation med DMP IdP. Den omfatter ikke ibrugtagning af DMP Brugerstyring.
Guiden forudsætter, at organisationens brugere findes i et lokalt Active Directory og at organisationen benytter AD FS 3.0 (eller nyere) til føderation med DMP IdP. Guiden omfatter ikke Azure AD.
Før tilslutning starter, skal organisationen have indgået en brugerstyringsaftale med DMP. Den efterfølgende proces forudsætter, at aftalen er indgået.
Processen for føderation af lokal IdP med DMP IdP er:
Efter at have gennemført ovenstående tilslutningsproces succesfuldt, kan DMP hjælpe med at registrere lokale administratorer til DMP brugerstyring.
|
Miljø |
Metadata URL |
|
TEST |
https://log-in.test.miljoeportal.dk/runtime/saml2auth/metadata.idp |
|
PROD |
https://log-in.miljoeportal.dk/runtime/saml2auth/metadata.idp |
|
Miljø |
URL |
|
TEST |
https://administration.test.miljoeportal.dk/identifyclaimapp/default.aspx |
|
PROD |
https://administration.miljoeportal.dk/identifyclaimapp/default.aspx |
|
Beskrivelse |
Claim type |
AD attribut 1) |
Eksempel på værdi |
|
First Name (Fornavn) |
givenName |
Anders |
|
|
Common Name (Fulde Navn) |
urn:oid:2.5.4.3 |
displayName |
Anders Andersen |
|
Surname (Efternavn) |
urn:oid:2.5.4.4 |
sn |
Andersen |
|
Organization Name (Organisationsnavn) |
urn:oid:2.5.4.10 |
company |
Testvirksomheden |
|
User Id (brugerId) |
urn:oid:0.9.2342.19200300.100.1.1 |
sAMAccountName |
aandersen |
|
Organization CVR (CVR) |
dk:gov:saml:attribute:CvrNumberIdentifier |
CVR-nummer |
12345678 |
|
|
urn:oid:0.9.2342.19200300.100.1.3 |
|
anders.andersen@miljoeportal.dk |
|
UPN |
userPrincipalName |
aandersen@miljoeportal.dk |
|
|
User unique ID (bruger's object GUID) |
objectGUID 3) |
TDetxQSQxk+7yq/W/DRydw== |
|
|
User account creation timestamp (bruger's oprettelsestidspunkt) |
whenCreated |
20160701093123.0Z |
|
|
Unique Account Key (Unik bruger ID) |
dk:gov:saml:attribute:UniqueAccountKey |
2) |
Xri://@DK-XRI*65307316/20160701093123.0Z/TDetxQSQxk+7yq/W/DRydw== |
|
NameID |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
4) |
Xri://@DK-XRI*65307316/20160701093123.0Z/TDetxQSQxk+7yq/W/DRydw== |
1) AD property mapping er den måde attributter typisk anvendes i Active Directory. Den faktiske mapping afhænger af, hvordan organisationen konkret gemmer attributter i Active Directory.
2) Værdien af Unique account key udstedes som "Xri://@DK-XRI*" + <cvr> + "/" + <whenCreated> + "/" + <objectGUID>) hvor <cvr>, <whenCreated> og <objectGUID> er værdierne af claims jf. ovenstående tabel.
3) Værdien af objectGUID i Active Directory skal Base64 encodes med ADFS' indbyggede claim rule funktion.
4) Værdien af NameID sættes til værdien af unique account key.
=> issue(Type = "dk:gov:saml:attribute:CvrNumberIdentifier", Value = "12345678");
Følgende regel kan benyttes til at udstede OIO UniqueAccountKey claim.
c1:[Type == "dk:gov:saml:attribute:CvrNumberIdentifier"]
&& c2:[Type == "http://www.miljoeportal.dk/whenCreated"]
&& c3:[Type == "http://www.miljoeportal.dk/objectGUID"]
=> issue(Type = "dk:gov:saml:attribute:UniqueAccountKey", Value = "Xri://@DK-XRI*" + c1.Value + "/" + c2.Value + "/" + c3.Value);
Følgende regel benyttes til at sætte NameID korrekt ud fra OIO UniqueAccountKey. Reglen skal placeres efter udstedelse af OIO UniqueAccountKey.
Jeres it-afdeling kan følge en af de to vejledninger
ADFS-vejledningen
Danmarks Miljøportal er et fællesoffentligt partnerskab ejet af staten, kommunerne og regionerne, der har til formål at understøtte digital miljøforvaltning i Danmark.
