Pre-produktionsmiljø for brugerorganisationer (Devtest4)

Vejledningerne på denne side omhandler brug af NemLog-ins pre-produktionsmiljø og er primært henvendt til brugerorganisationer. Tjenesteudbydere kan også anvende funktionaliteten til at oprette testdata i form af brugerorganisationer i MitID Erhverv med tilhørende testbrugere.

Den funktionalitet, der kan testes, er generel funktionalitet til administration af brugere, udstedelse af certifikater samt login og signering med erhvervsbrugere. Man kan teste både gennem den grafiske brugergrænseflade, MitID Erhverv (Erhvervsadministrationen), og gennem de nye IdM- og certifikat API’er, hvis man har behov for at integrere til egne systemer.

Tjenesteudbydere og brokere anbefales som udgangspunkt at teste mod NemLog-in’s integrationstestmiljø som beskrevet på NemLog-in’s TU-site og broker-site med mindre de specifikt har brug for test med erhvervsbrugere. Tilslut et it-system til pre-produktionsmiljøet som tjenesteudbyder.

Guide til opsætning af testorganisationer

For at kunne teste login og signering med erhvervsbrugere samt udstedelse af de nye OCES3 certifikater, skal du have oprettet en brugerorganisation i en test-instans af MitID Erhverv. Via links nedenfor, finder du relevant info og vejledninger til at komme i gang. 

VIGTIG: Vi anbefaler, at du starter med at læse denne:

Guide til oprettelse af testorganisationer i pre-produktionsmiljøet. Opdateret september 2023.

Her kan du hente eksempel på JSON input fil omtalt i guiden.

Film med demoer af miljøet

Herunder kan du se film, som illustrerer udvalgte aspekter af pre-produktionsmiljøet (åbner i et nyt vindue):

Episode 1: Oprettelse af testdata i MitID Erhverv
Episode 2: Opsætning og test af Lokal IdP
Episode 3: MitID Erhverv testdata via CVR simulator (forældet, ny på vej)
Episode 4: Udstedelse af OCES3 certifikater

• Password-beskyttelse af testorganisationer

  Password-beskyttelse af testorganisationer

  Siden den 22. juni 2023 har testorganisationer i pre-produktionsmiljøet kunne beskyttes med password (API-adgangsnøgle).
  
  Når en organisation er passwordbeskyttet, skal password anvendes ved opdatering af organisationen, både via brugerflader og API.
  
  Det er frivilligt at angive et password, når en ny testorganisation oprettes, men vi anbefaler det som værn mod, at uvedkommende kan overtage jeres testorganisation.
  
  Testorganisationer oprettet før den 22. juni 2023 kan få deres systemgenererede password fremsendt ved at sende en mail med følgende info til: mitiderhverv@digst.dk:     

  • Emnefelt: Gensend password til testorganisation
  • Angiv i mailen hvilket CVR-nummer det drejer sig om
• Test med OCES3 certifikater
  NemLog-in indeholder et nyt CA, der kan udstede certifikater efter OCES3 politikker og profiler. 
  OCES3 certifikaterne adskiller sig fra OCES2 certifikaterne fra NemID ved, at der bl.a. er et nyt CA-hierarki, nye felter, kryptoalgoritmer (RSAPSS) og nøglelængde (3072 bit RSA).
  
  Det er derfor meget vigtigt, at du får testet dine integrationer med de nye certifikater, inden NemID lukker (oktober 2023), og de tilhørende certifikater spærres.
  
  Du kan læse mere om de nye certifikater på MitID Erhverv siden.
  
  Hvis du vil teste de nye OCES3 certifikater, kan du oprette en test brugerorganisation som beskrevet i guiden i toppen af siden. Herefter kan du som administrator for brugerorganisation udstede certifikater - både systemcertifikater, organisationscertifikater og certifikater til medarbejdere. Under film ovenfor kan du også finde en gennemgang af certifikatudstedelse i Episode 4.
  
  Du kan hente et eksempel her: OCES3 systemcertifikat
  
  Certifikat-filen er i PKCS#12 format og adgangskoden er: c5,PnmF8;m4I
  
  
  Tip:
  Nøglefilerne, som genereres via MitID Erhverv, er i PKCS#12 format og krypteret med AES-algoritmen. Det kan give ældre software problemer med at læse dem, og i givet fald kan man ompakke filerne til en anden krypteringsalgoritme ved brug af et værktøj som XCA, OpenSSL eller tilsvarende.
  
  Bemærk:
  Spærrelister og OCSP services i OCES3 infrastrukturen udstilles ikke fra faste IP-adresser grundet DDOS-beskyttelsen af disse services. Det betyder, at evt. firewall regler for udgående trafik i jeres organisation skal defineres på host-navnet og ikke på IP-adresser.
  
• Test med MitID privat til Erhverv brugere
  'MitID privat til Erhverv' løsningen er beregnet til personer, der i CVR registret er angivet med fuld tegningsret for en virksomhed. Dette gælder eksempelvis fuldt ansvarlige deltagere i enkeltmandsvirksomheder, foreningsrepræsentanter eller personer, der kan tegne alene for et selskab mv.
  
  Hvis du ønsker at teste log-in med en MitID privat til Erhverv bruger, kan du gøre flg.:
  

  • Opret MitID testbruger med CPR nummer via MitID Simulatoren
  • Opret testorganisation med CVR nummer (som beskrevet i toppen af siden)
  • Benyt Swagger API for testportalen til at tilknytte personen (CPR) som ledelsesrepræsentant i CVR stubben
• IdM- og certifikat API

  IdM- og certifikat API

  Organisationer, der ønsker at håndtere deres brugere i egne lokale systemer, kan foretage integration med IdM API'et i MitID Erhverv. Herved kan lokale brugere provisioneres til MitID Erhverv. Bemærk at en lokal bruger skal være oprettet i MitID Erhverv, før brugeren kan autentificere via Lokal IdP gennem NemLog-in's broker.
  
  Hent dokumentationspakke (V1.7) for IdM og Certifikat API. Denne svarer til version deployet i NemLog-in's pre-produktionsmiljø samt produktionsmiljø (per 17/1-2023).
  
  Nyt: V1.7 af pakken indeholder nu et C# projekt, som demonstrerer anvendelse af API'et samt eksempel på bestilling af fysiske identifikationsmidler.
  
  Hent dokumentationspakke (V1.4) for IdM og Certifikat API.  Denne svarer til den tidligere version deployet i NemLog-in's produktionsmiljø.

  Pakken består af:

  • Introduktion og beskrivelser af koncepter
  • Beskrivelser af flows, fx autentifikation
  • Datamodeller
  • REST OpenAPI specifikationer (.yaml)
  • SOAP WSDL

  Pakken indeholder også separat dokumentation til Certifikat API. Certifikat API’et gør det muligt at udstede og forny certifikater. Bemærk, at brugere som udgangspunkt ikke har tilknyttet certifikater i det nye NemLog-in, da certifikater ikke bruges til login.
  
  
  Bemærk: ved synkronisering af større antal brugere (tusinder) via API'et henstiller vi til,  at dette sker om natten eller som minimum udstrækkes over en længere periode (fx 60-120 min). Derudover bør man ikke foretage login for hver eneste bruger, der opdateres, men i stedet opdatere batches af brugere med samme login.

• Integration af Lokal IdP

  Integration af Lokal IdP

  Hvis du vil integrere en Lokal IdP som herved kan stå for autentifikationen af lokale brugere, skal OIOSAML Local IdP Profile overholdes til integrationen med NemLog-in's broker. Herunder finder du vejledninger, specifikationer og metadata for pre-produktionsmiljøet for NemLog-in i rollen som SAML Service Provider, der skal importeres i din Lokale IdP.
  
  Nyt: Hent integrationsvejledningen til lokal IdP (opdateret 26/05-2023)
  
  Hent OIOSAML Local IdP Profile.
  
  
  Metadata som skal anvendes for pre-produktionsmiljøet fra 22. juni 2023:
  
  INT (anbefalet): Link til SP metadata (OCES3 certifikat)
  
  PROD:  Link til SP metadata (OCES3 certifikat)
  
  
  Vær opmærksom på, at det afhængigt af den Lokale IdP kan være nødvendigt at fjerne de NameIDFormat-elementer i metadata, man ikke ønsker at benytte.
  
  Tips:

  • Husk at sætte levetid i Assertion fra Lokal IdP til maksimalt 10 minutter, ellers afvises den af NemLog-in brokeren.
  • Hvis du har brug for at debugge et afvist request, kan du anvende log-vieweren på miljøet. 
    
    
    
• Komponenter i miljøet

  Komponenter i miljøet

  I denne guide finder du links og en tegning, som illustrerer Pre-produktionsmiljøet:
  Links og miljøoversigt 
  
  Opdateret 10.01.23