Integrationstestmiljø

Oprettelse af en tjeneste (it-system)

• Trin 1: Opret tjeneste

  For at oprette en ny tjeneste skal Administrator for it-systemudbyder, en direktør eller lignende, initiere processen. 

  Administratoren skal logge på Administrationen og gøre følgende:

  1. Klik "Opret nyt IT-system"
  2. Vælg hvilke NemLog-in services, systemet skal gøre brug af fx log-in. Vær opmærksom på at såfremt tjenesten skal videreformidle autentifikationer, skal I oprette en broker-tjeneste, hvilket kræver en NSIS-anmeldelse.
  3. Tilføje et MitID alias for tjenesten, det vil sige navnet for tjenesten, som vil fremgå ved log-in med NemID eller MitID
  4. Udpege én eller flere tekniske administratorer

  Den tekniske administrator skal herefter: 

  1. Indlæse metadata
  2. Provisionere tjenesten og anmode om at systemet overføres til integrationstestsmiljøet
  3. Godkende overførslen af systemet under "Ventende opgaver"
• Trin 2: Test jeres integration

  Den tekniske administrator skal nu teste integrationen af tjenesten til NemLog-in, hvilket gøres på følgende måde:

  1. Download kladde for testrapport
  2. Udføre de obligatoriske tests for tjenesten
  3. Indlæse resultatet af de obligatoriske tests i en testrapport
  4. Godkende den ventende opgave, hvorefter testrapporten sendes til godkendelse ved NemLog-in forvaltningen

  Udføres og bestås alle obligatoriske test ikke, og såfremt der ikke foreligger en grundig beskrivelse for, hvorfor testen ikke er gennemført, vil testrapporten ikke blive godkendt.

  I kan med fordel læse yderligere om Integrationstest ved tilslutning til
  NemLog-in her.

• Trin 3: Afvent godkendelse

  Afvent godkendelse af overførsel til produktionsmiljøet fra NemLog-in supporten.

  Vær opmærksom på, at rapporten for en broker-tjeneste, først kan godkendes, når tjenesten er NSIS-anmeldt og er kommet på positiv-listen.

  Når MitID og NemLog-in3 går i luften, vil NSIS blive taget i fuld anvendelse. Dette medfører, at tjenesteudbydere skal fastlægge, hvilket sikringsniveau, de vil modtage. Tjenesteudbydere skal ikke NSIS-anmeldes.

  I kan læse mere om ibrugtagning af NSIS-standarden her: Læs mere om ibrugtagning af NSIS-standard

• Trin 4: Overførsel af tjeneste til produktionsmiljø

  NemLog-in supporten har nu godkendt rapporten, og tjenesten overføres til produktionsmiljøet.

Vejledninger og værktøjer

Opsætningen af jeres tjeneste sker via NemLog-in Administrationen. 

• Obligatoriske integrationstests

  Inden en tjenesteudbyder kan idriftsætte sin tjeneste, skal der gennemføres en række obligatoriske tests i integrationstestmiljøet.

  De obligatoriske tests udføres af tjenesteudbyderens tekniske administrator.

  Når de obligatoriske tests er gennemført, skal der udfyldes en testrapport, som herefter indlæses i Administrationen, hvorefter NemLog-in supporten står for at godkende overførsel til produktionsmiljøet.

  Se testcases og testrapporter her.

  Udføres og bestås alle obligatoriske test ikke, og såfremt der ikke foreligger en grundig beskrivelse for, hvorfor testen ikke er gennemført, vil testrapporten ikke blive godkendt.

• Metadata

  Tilslutning af din tjeneste til integrationstestmiljøet kræver, at dit system er konfigureret med teknisk information om integrationstestmiljøet. Denne information er samlet i en SAML metadata-fil. Filen distribueres med OIOSAML referenceimplementeringerne, men kan også hentes her.

  Metadata er defineret særskilt for de to forskellige OIOSAML-profiler i integrationstestmiljøet. Hvis din tjeneste skal anvende OIOSAML3 skal du anvende OIOSAML 3-metadata.
  Åbn: IdP metadata - OIOSAML3 (opdateret 13.03.23)
  
  

  Hvis din tjeneste derimod skal anvende OIOSAML2, skal du anvende OIOSAML 2-metadata.
  Åbn: IdP-metadata - OIOSAML2 (opdateret 13.03.23)
  
  Bemærk, at navnet for SE-enheds-attributten her er ændret for at overholde OIOSAML 2 specifikationen. Attributten har navnet dk:gov:saml:attribute:SENumberIdentifier, ikke (som tidligere) dk:gov:saml:attribute:seNumberIdentifier.

• Metadata eksempel - testtjeneste

  Du kan hente et eksempel på en OIOSAML 3 metadata-fil på en test-tjenesteudbyder. 
  
  Bemærk at:

  • Private tjenesteudbydere skal udlade 'PrivilegesIntermediate' og 'cprNumber'.

  • Vi anbefaler, at I anvender jeres eget certifikat. 

  • I skal opdatere URL'er og EntityID anvendt, så det stemmer overens med den tjeneste, I gerne vil teste.

  Hent metadata eksempel (xml)

• Testtjenester

  Integrationstestmiljøet udstiller et antal testtjenester, som kan anvendes i forskellige testscenarier.

  Test-tjeneste	OIOSAML-version	NameIDFormat	Privat/offentlig
  TU0	2.0.9*	X509Subject	Offentlig
  TU1	2.1.0	X509Subject	Offentlig
  TU2	2.1.0	Persistent Pseudonym	Offentlig
  TU3	3.0.2	Persistent	Offentlig
  TU4	3.0.2	Transient	Offentlig
  TU5	3.0.2	Persistent	Privat
  TU6	3.0.2	Transient	Privat

  *OIOSAML 2.0.9 er ikke understøttet i integrationstestmiljøet, men denne testtjeneste forespørger en eller flere af de udfasede attributter i metadata.

• Test med MitID Simulator

  Opret en MitID-testidentitet i MitID Simulatoren

  NemLog-in indeholder en MitID Simulator, der kan oprette MitID privatbrugere, som kan logge ind via 'Test Login' fanen i NemLog-in med brugernavn og password.
  
  Link til MitID Simulatoren: https://mitidsimulator.test-nemlog-in.dk/

  Angiv Brugernavn, password, fornavn, efternavn, fiktivt CPR-nummer og e-mailadresse. 

  I kan angive jeres egen e-mailadresse som administrator e-mailadresse, hvis der senere skal ændres på testidentitetens data.

  Husk: Sæt flueben i private MitID, hvis brugeren skal bruges til MitID privat login, men undlad at sætte flueben her, hvis brugeren skal bruges til test af erhvervslogin. 

  Klik 'Create identity'.
  
  
  Du kan også oprette testbrugere via MitID's test tool, som kan logge ind via MitID fanen i NemLog-in (se menupunkt under) via brug af simuleret to-faktor login.

• Test med MitID test tool (optionelt)

  Ved hjælp af MitID test-tool kan I oprette og vedligeholde MitID test-identiteter, som kan logge ind via 'MitID' fanen i NemLog-in via simuleret to-faktor login. Dette er et alternativ til brug af MitID Simulatoren i NemLog-in.

  • Åben MitID test-tool

  Når du tester med privat MitID er det også nødvendigt, at test-identiteten er oprettet i miljøets test-CPR-register. For at forberede en test med MitID skal du:

  • Opret test-MitID i MitID test-tool.
  • Opret testidentitet med samme navn og CPR-nummer som test-MitID identiteten i MitID Simulator https://mitidsimulator.test-nemlog-in.dk/ Husk at sætte flueben i ”Private MitID”-boksen.

  
  

  NemLog-in stiller ydermere nedenstående testbrugere til rådighed til MitID Test Tool, hvis man ikke ønsker at oprette egne testbrugere.

  Brugernavne: Ellie999, Sabastian555 og Stig777

  Password (for alle): Test1234

  Åbn vejledning til anvendelse af testbrugere

• Test med MitID Erhverv testbrugere
  Integrationstestmiljøet har nogle begrænsninger i forhold til test med MitID Erhvervsbrugere og det anbefales derfor, at test med disse udføres i NemLog-in's pre-produktionsmiljø.
  
  I integrationstestmiljøet kan du dog oprette en simuleret MitID Erhverv testbruger og teste erhvervslogin til din tjeneste. Dette er beskrevet i brugermanualen til Administrationen i afsnit 7.15 samt herunder:
  

  1. Opret en testbruger i MitID Simulatoren (marker ikke denne som privat)
  2. Åbn Administrationsportalen og rediger tekniske metadata for dit it-system.
  3. Klik på 'Tilføj Medarbejder-testbruger'
  4. Sæt logintype til MitID
  5. Angiv brugernavn på bruger fra MitID simulator oprettet i trin 1
  6. Angiv det sikringsniveau (IAL) som brugeren skal logge ind som.
  7. Angiv CVR-nummer, RID-nummer og andre oplysninger.
  8. Tilføj evt. privilegier for din tjeneste til brugeren.
  9. Klik opret testbruger.

  
  Bemærk: Medarbejdertestbrugeren vil kun være tilknyttet dit it-system, og du kan ikke signere med brugeren. Der er også begrænsninger på, hvilke attributter der kan udstedes til denne type brugere.
• Brug af test-CPR-register

  I produktionsmiljøet integrerer NemLog-in til det danske CPR-register. Data herfra anvendes blandt andet for at kunne oplyse for- og efternavne samt den nye CPRUUID attribut i SAML assertions. Integrationstestmiljøet integrerer ikke til det danske CPR-register, men anvender i stedet et test-CPR-register. Indholdet i test-CPR-registreret oprettes, når der oprettes private test-identiteter i MitID Simulator med CPR-numre.

  Når en privat testidentitet oprettes i MitID Simulator, registreres følgende oplysninger for identiteten i test-CPR-registeret:

  • CPR-nummer
  • Fornavn
  • Efternavn
  • CPRUUID

  For CPRUUID anvendes samme UUID, som tildeles til MitID Simulator identiteten. Når du anvender MitID Simulator-brugergrænsefladen genererer MitID Simulator dette UUID. Hvis du ønsker selv at bestemme hvilket UUID, der anvendes, og dermed hvilket CPRUUID, der registreres i test-CPR-registeret, kan du anvende MitID Simulator API'et.

  Åben MitID simulator

  Åben MitID simulator API

• Test med NemID Privat

  Hvis du ønsker at foretage test med NemID privat, skal du være opmærksom på, at før du kan logge ind i testmiljøet med et privat test-NemID, skal test-data (CPR-nummer og navn for testidentiteten) være oprettet i testmiljøets test-CPR-register. Dette sker automatisk, når testidentiteten oprettes i MitID Simulator, som beskrevet ovenfor.

  For at forberede en test med privat NemID skal du gøre følgende:

  • Opret test-NemID på https://appletk.danid.dk/developers/. Adgang kræver NemID aftale og whitelisting af IP-adresse hos NemID.
  • Opret testidentitet med samme navn og CPR-nummer som test-NemID identiteten i MitID Simulator https://mitidsimulator.test-nemlog-in.dk/ Husk at sætte flueben i ”Private MitID”-boksen. 

  Herefter er du klar til at teste med privat NemID.

  Hvis dit test-NemID er oprettet før den 20/6-2021, er identiteten allerede registreret i MitID Simulator og test-CPR-registeret.

• Test med NemID medarbejdersignaturer

  NemLog-in stiller NemID medarbejdersignaturer til rådighed til test:

  NemID medarbejdersignatur testbrugere:
  
  Password for alle disse er: Test1234

   

• Test med de nye VOCES3 certifikater
  NemLog-in indeholder et nyt CA, der kan udstede VOCES certifikater efter OCES3 politikker og profiler. Certifikaterne bestilles nemmest gennem brugerfladen i MitID Erhverv applikationen (eller alternativt de tilhørende API'er).
  
  Da MitID Erhverv applikationen ikke er udstillet i integrationstestmiljøet, må VOCES3 testcertifikater i stedet bestilles i NemLog-in's pre-produktionsmiljø. Her kan man oprette en (test) brugerorganisation og udstede certifikater.
  
  Bemærk at pre-produktionsmiljøet og integrationstestmiljøet i NemLog-in er koblet til samme bagvedliggende (test) CA.
  
  Du kan hente et eksempel på et OCES3 systemcertifikat: Hent: OCES3 systemcertifikat
  
  Certifikat-filen er i PKCS#12 format og adgangskoden er: c5,PnmF8;m4I
• Attribute Query

  Det er også muligt at teste NemLog-in Attribute Service i integrationstestmiljøet.

  Åbn attribute query

   

• Fejlfinding

  Oplever I fejl i løbet af jeres integration til NemLog-in, kan I finde hjælp til fejlsøgning.

  Åben vejledning: Hjælp til fejlsøgning af din tjeneste

   

  LogViewer

  For NemLog-ins integrationstestmiljø er det muligt at tilgå loggen. Dette sker via LogVieweren.

  Åbn LogViewer

  Har du brug for hjælp til at anvende LogVieweren kan du læse mere i tilhørende vejledning.

  Åben vejledningen: Hjælp til anvendelse af LogVieweren

• FOCES2 testcertifikat/ OCES3 systemcertifikat

  Du skal bruge et FOCES2 eller OCES3 systemcertifikat i forbindelse med tilslutning af din tjeneste. Certifikater indgår i metadata og anvendes til sikring af kommunikationen. Herunder kan du hente eksempler på disse certifikater.

  Hent: FOCES2 testcertifikat
  
  Certifikat-filen er i PKCS#12 format og adgangskoden er: Test1234.
  
  
  Hent: OCES3 systemcertifikat
  
  Certifikat-filen er i PKCS#12 format og adgangskoden er: c5,PnmF8;m4I

  
  
  

• Private tjenester og CPR numre

  Private tjenester og CPR numre i NemLog-in

  Private tjenester kan ikke direkte få udleveret CPR-nummer attributten fra NemLog-in’s broker som en del af SAML billetten i autentifikationssvaret.

  Hvis en privat tjeneste har brug for at kende en slutbrugers CPR-nummer, skal denne i stedet anvende en match-model, hvor slutbrugeren selv indtaster sit CPR-nummer i tjenesten, og hvor tjenesten herefter ved brug af et match-opslag kan verificere, om der er angivet det korrekte CPR nummer for den indloggede bruger.

  Pt. er følgende match-model til rådighed:

  • Tjenesten beder om PID nummer i SAML billet fra NemLog-in, og kalder herefter (PID-CPR) match tjenesten i NemID.  Bemærk at dette kræver en NemID tjenesteudbyderaftale.

  Inden NemID lukker (planlagt 30/6 2023), flyttes NemID’s match tjeneste til NemLog-in’s driftsmiljø, så denne matchservice fortsat er tilgængelig.

  I forbindelse med denne flytning må eksisterende anvendere af NemID’s match tjeneste påregne en mindre tilpasning af egne systemer.

  Digitaliseringsstyrelsen vil snarest melde ud om planerne for flytning og muligheder for test i NemLog-in’s testmiljøer.

  Parallelt hermed er Digitaliseringsstyrelsen i gang med at etablere en ny (UUID-CPR) match tjeneste i NemLog-in. Planen herfor er ikke endeligt på plads, men vi forventer, at den kan tages i brug i Q3 2023.

  UUID er den nye brugerID i OIOSAML3, som på sigt vil afløse PID og RID numrene kendt fra NemID og OIOSAML2.  PID og RID attributterne kan som minimum forventes understøttet hele 2023.