| Observera | ||
|---|---|---|
| ||
Från och med rapporteras Ineras IdP:er LoA 2 för reservkort istället för LoA 3. Detta kan kräva anpassning av SP. |
...
För åtkomst till IdP:s SAML-metadata, se Adresser och portar nedan.
Förmedlingen av metadata kan ske på flera olika sätt. Som del av den förstudie som skickas in när e-tjänsten ska registreras väljs vilket sätt som ska användas. De tre möjligheterna som erbjuds idag är som följer:
Skicka in metadata på fil för engångs-inläsning
Väljs detta alternativ skickas en .xml-fil innehållandes metadatat in som senare också ska bli inläst i IdP:n. Detta görs enklast genom att skicka in filen i samband med att förstudien skickas in för granskning. Metadatat kommer då att granskas i samma veva som förstudien granskas.
Skicka in metadata via en URL för engångs-inläsning
Vid detta alternativ anges en URL varifrån metadatat kan hämtas som ska bli inläst till IdP:n. Säkerställ gärna en extra gång att URL:en funkar och att metadatat som fås via URL:en är rätt metadata för anslutningen. Under förstudiegranskningen kommer samma metadata som hämtas från URL:en användas för granskning.
Skicka in en URL där metadata hämtas löpande
Precis som alternativet ovan skickas en URL in varifrån metadatat ska hämtas. Metadatat som vi återfås vid granskningstillfället avgör om det är godkänt för inläsning.
När anslutningen är godkänd registreras URL:en som angetts i IdP:n. Sedan kommer IdP:n hämta metadatat från den angivna URL:en vid inloggningsförsöken som görs och under en viss tid lagra metadatat för att minska på nätverkstrafiken och svarstiden för IdP:n. När cachen gått ut hämtar vi metadatat från URL:en på nytt. Fördelen med detta val är att den anslutande e-tjänsten kan ändra sitt metadata utan att behöva registrera en ny förstudie.
OBS!: När denna metod används behöver vi även få ett certifikat inskickat till oss som i sin tur gör att IdP:n litar på URL:en ni skickat in. En viktig sak att komma ihåg är att skulle den anslutande tjänsten missa att skicka in ett nytt certifikat efter att ett gammalt certifikat gått ut eller byta utfärdare för certifikatet så kommer IdP:n inte kunna hämta metadatat från URL:en längre. Detta leder i sin tur till att inloggningarna misslyckas. Ansvaret för att hålla koll på giltighetstiden och förutse framtida behov av att skicka in ett nytt certifikat ligger helt och hållet på de ansvariga för den anslutande e-tjänsten.
OIDC
Registrering av OIDC-klienter i Inera IdP sköts manuellt. Se OIDC-Profil och Attributstyrning OIDC för detaljer kring hur Inera IdP implementerar OIDC-protokollet.
...
*) Kompatibilitet för e-tjänster med s k uthoppslösningar kan behöva verifiera att inställningar för IE "Trusted Zones" på den tekniska stödsidan IdP med Edge och IE 11 och Trusted sites.
**) I och med att Microsoft har avslutat sitt stöd för och uppdateringar av IE11 samt legacy Edge är det svårare att få dessa webbläsare att fungera att fungera fullt ut, i alla tjänster, i alla användningsfall och konfigurationer på ett robust sätt. Uppdateras Microsoft OS och IE11/Edge med en ny och oprövad systemuppdatering garanteras det inte att det kommer att fungera initialt med alla kombinationer.
***) I och med att Microsoft har avslutat sitt stöd för och uppdateringar av äldre Windowsversioner ges begränsad support för dessa.
...