Pre-produktionsmiljø for brugerorganisationer (Devtest4)

Vejledningerne på denne side omhandler brug af NemLog-ins pre-produktionsmiljø og er primært henvendt til brugerorganisationer. Tjenesteudbydere kan også anvende funktionaliteten til at oprette testdata i form af brugerorganisationer i MitID Erhverv med tilhørende testbrugere.

Den funktionalitet, der kan testes, er generel funktionalitet til administration af brugere, udstedelse af certifikater samt login og signering med erhvervsbrugere. Man kan teste både gennem den grafiske brugergrænseflade, MitID Erhverv (Erhvervsadministrationen), og gennem de nye IdM- og certifikat API’er, hvis man har behov for at integrere til egne systemer.

Tjenesteudbydere og brokere anbefales som udgangspunkt at teste mod NemLog-in’s integrationstestmiljø som beskrevet på NemLog-in’s TU-site og broker-site med mindre de specifikt har brug for test med erhvervsbrugere. Tilslut et it-system til pre-produktionsmiljøet som tjenesteudbyder.

Guide til opsætning af testorganisationer

For at kunne teste login og signering med erhvervsbrugere samt udstedelse af de nye OCES3 certifikater, skal du have oprettet en brugerorganisation i en test-instans af MitID Erhverv. Via links nedenfor, finder du relevant info og vejledninger til at komme i gang

VIGTIG: Vi anbefaler, at du starter med at læse denne:

Guide til oprettelse af testorganisationer i pre-produktionsmiljøet. Opdateret november 2023.

Her kan du hente eksempel på JSON input fil omtalt i guiden.

Film med demoer af miljøet

Herunder kan du se film, som illustrerer udvalgte aspekter af pre-produktionsmiljøet (åbner i et nyt vindue):

Episode 1: Oprettelse af testdata i MitID Erhverv

Episode 2: Opsætning og test af Lokal IdP

Til episode 2 er der et eksempel på en metadatafil for en lokal test IdP.

• Hent metadatafil for en lokal test IdP (xml)

Episode 3: MitID Erhverv testdata via CVR simulator (forældet, ny på vej)

Episode 4: Udstedelse af OCES3 certifikater

• Password-beskyttelse af testorganisationer

  Password-beskyttelse af testorganisationer

  Siden den 22. juni 2023 har testorganisationer i pre-produktionsmiljøet kunne beskyttes med password (API-adgangsnøgle).

  Når en organisation er passwordbeskyttet, skal password anvendes ved opdatering af organisationen, både via brugerflader og API.
  
  Det er frivilligt at angive et password, når en ny testorganisation oprettes, men vi anbefaler det som værn mod, at uvedkommende kan overtage jeres testorganisation.
  
  Testorganisationer oprettet før den 22. juni 2023 kan få deres systemgenererede password fremsendt ved at sende en mail med følgende info til: mitiderhverv@digst.dk:     

  • Emnefelt: Gensend password til testorganisation
  • Angiv i mailen hvilket CVR-nummer det drejer sig om
• Test med OCES3 certifikater

  Test med OCES3 certifikater

   

  NemLog-in indeholder et nyt CA, der kan udstede certifikater efter OCES3 politikker og profiler.

  OCES3 certifikaterne adskiller sig fra OCES2 certifikaterne fra NemID ved, at der bl.a. er et nyt CA-hierarki, nye felter, kryptoalgoritmer (RSAPSS) og nøglelængde (3072 bit RSA).

  Du kan læse mere om de nye certifikater på MitID Erhverv siden.

  Hvis du vil teste de nye OCES3 certifikater, kan du oprette en test brugerorganisation som beskrevet i guiden i toppen af siden. Herefter kan du som administrator for brugerorganisation udstede certifikater - både systemcertifikater, organisationscertifikater og certifikater til medarbejdere. Under film ovenfor kan du også finde en gennemgang af certifikatudstedelse i Episode 4.

  Du kan hente et eksempel her: OCES3 systemcertifikat

  Certifikat-filen er i PKCS#12 format og adgangskoden er: c5,PnmF8;m4I

  Tip:

  Nøglefilerne, som genereres via MitID Erhverv, er i PKCS#12 format og krypteret med AES-algoritmen. Det kan give ældre software problemer med at læse dem, og i givet fald kan man ompakke filerne til en anden krypteringsalgoritme ved brug af et værktøj som XCA, OpenSSL eller tilsvarende.

  Rod- og udstedende certifikat til test:

  Rodcertifikatet og udstedende certifikat til test kan hentes fra testcertifikatets .12-fil ved hjælp af relevant software til formålet.

  Bemærk:

  Spærrelister og OCSP services i OCES3 infrastrukturen udstilles ikke fra faste IP-adresser grundet DDOS-beskyttelsen af disse services. Det betyder, at evt. firewall regler for udgående trafik i jeres organisation skal defineres på host-navnet og ikke på IP-adresser.

• Test med MitID privat til Erhverv brugere

  Test med MitID privat til Erhverv brugere

  'MitID privat til Erhverv' løsningen er beregnet til personer, der i CVR registret er angivet med fuld tegningsret for en virksomhed. Dette gælder eksempelvis fuldt ansvarlige deltagere i enkeltmandsvirksomheder, foreningsrepræsentanter eller personer, der kan tegne alene for et selskab mv.

  Hvis du ønsker at teste log-in med en MitID privat til Erhverv bruger, kan du gøre flg.:

  • Opret MitID testbruger med CPR nummer via MitID Simulatoren
  • Opret testorganisation med CVR nummer (som beskrevet i toppen af siden)
  • Benyt Swagger API for testportalen til at tilknytte personen (CPR) som ledelsesrepræsentant i CVR stubben
• IdM- og certifikat API

  IdM- og certifikat API

  Organisationer, der ønsker at håndtere deres brugere i egne lokale systemer, kan foretage integration med IdM API'et i MitID Erhverv. Herved kan lokale brugere provisioneres til MitID Erhverv. Bemærk at en lokal bruger skal være oprettet i MitID Erhverv, før brugeren kan autentificere via Lokal IdP gennem NemLog-in's broker.

  Hent dokumentationspakke (V1.9) for IdM og Certifikat API (zip) - opdateret den 12. februar 2024

  Hent dokumentationspakke (V1.10) for IdM og Certifikat API (zip) - gælder først efter Release 10, der går i live medio august. Denne dokumentationspakke er opdateret i forhold til den kommende ændring medio august 2024, hvor e-mailvalidering vil blive indført ved certifikatudstedelse.

  Pakken består af:

  • Introduktion og beskrivelser af koncepter
  • Beskrivelser af flows, fx autentifikation
  • Datamodeller
  • REST OpenAPI specifikationer (.yaml)
  • SOAP WSDL

  Pakken indeholder også separat dokumentation til Certifikat API. Certifikat API’et gør det muligt at udstede og forny certifikater. Bemærk, at brugere som udgangspunkt ikke har tilknyttet certifikater i det nye NemLog-in, da certifikater ikke bruges til login.

  Bemærk:

  ved synkronisering af større antal brugere (tusinder) via API'et henstiller vi til,  at dette sker om natten eller som minimum udstrækkes over en længere periode (fx 60-120 min). Derudover bør man ikke foretage login for hver eneste bruger, der opdateres, men i stedet opdatere batches af brugere med samme login.

  Rate limiting:

  Der er en begrænsning på brugen af API'et baseret på antal kald indenfor en given tidsperiode. Dette er indført for at undgå urimelig belastning af systemet og sikre driftsstabiliteten. Det betyder, at brug af API'et, der overskrider denne grænse, vil resultere i returkoden http 429 (Too Many Requests).

  Hvis man fx synkroniserer et større antal brugere (tusinder) over en kort periode, kan man få denne fejlkode. Hvis det sker, anbefaler vi at man straks stopper synkroniseringen og evt. genoptager senere med indlagt forsinkelse mellem kaldene.

  Kommende ændring medio august 2024

  E-mailvalidering kræves, når jeres organisation udsteder certifikater, hvor der fremgår en e-mailadresse.

  Læs mere om kommende ændring medio august 2024

  Hvis jeres organisation har integration med IdM API, skal I være opmærksomme på, at der kan være behov for kodeændring hos jer for at få jeres API-integration til fortsat at virke efter ændringen træder i kraft.

  Læs mere i nyheden: Tjek jeres integration til IdM API august 2024, hvis I anvender IdM

• Integration af Lokal IdP

  Integration af Lokal IdP

  Hvis du vil integrere en Lokal IdP som herved kan stå for autentifikationen af lokale brugere, skal OIOSAML Local IdP Profile overholdes til integrationen med NemLog-in's broker. Herunder finder du vejledninger, specifikationer og metadata for pre-produktionsmiljøet for NemLog-in i rollen som SAML Service Provider, der skal importeres i din Lokale IdP.

  Hent integrationsvejledningen til lokal IdP (pdf) på engelsk - (opdateret den 14. december 2023)

  Hent OIOSAML Local IdP Profile

  Metadata som skal anvendes for pre-produktionsmiljøet:
  
  Hent metada for Lokal IdP integration for pre-produktionsmiljøet
  
  Vær opmærksom på, at det afhængigt af den Lokale IdP kan være nødvendigt at fjerne de NameIDFormat-elementer i metadata, man ikke ønsker at benytte.
  
  Tips:

  • Husk at sætte levetid i Assertion fra Lokal IdP til maksimalt 10 minutter, ellers afvises den af NemLog-in brokeren.
  • Hvis du har brug for at debugge et afvist request, kan du anvende log-vieweren på miljøet. 
    
    
    
• Komponenter i miljøet

  Komponenter i miljøet

  I denne guide finder du links og en tegning, som illustrerer Pre-produktionsmiljøet:
  Links og miljøoversigt 
  
  Opdateret 10.01.23