Net iD Service
 

Visa detaljerna i en inloggning med SAML och smarta kort

Sidan granskad/uppdaterad: 2013-02-15

Ibland vill man verkligen "se" vad som händer under en inloggning. Det finns många sätt, Fiddler t.ex. Men ett lite extra trevligt verktyg när man vill inspektera en inloggning där SAML används är "SAML tracer" av Olav Morken.

 

1)

Vi tar sajten www.minameddelanden.se som exempel. Där används SAML via en redirect till Logicas IdP på adressen funktionstjanster.se.

 

2)

Du ser enkelt när din SAML-biljett postas till tjänsten.

 

3)

Fliken "Parameters" visar SAMLResponse.

 

4)

Men Olav bjussar på mer, fliken "SAML" sköter avkodningen. Vi ser hela rasket, inklusive certifikatet biljetten signerats med.

Dessutom har man här petat in hela OCSP-svaret i SAML-biljetten:

 

5)

Lite extra intressant blir det när vi kikar på de detaljer IdP'n väljer att peta in i biljetten. Mot bakgrund av de diskussioner som förts i anslutning till E-legitimationsnämndens arbete är det kanske någon som höjer ett ögonbryn över siffran "4".

Input från CGI/Logica rörande siffran "4" som förklarar bakgrunden

När vi tog fram SAML-profilen, så utgick vi från namnsättning av attributen i OSIF protokollet. (Skulle inte ha gjort det idag, men på den tiden så tänkte vi att vi skulle göra övergången från OSIF till SAML så smidig som möjlig). I OSIF lämnas parametrarna security.level och securitylevel.description.
(BICS-kraven ville i början att man lämnade A resp B och BankID på fil resp BankID på kort för dessa).
Men långt innan e-legitimationsnämnden, STORK-projekt etc, så valde vi att lämna lite mer generiska parametrar och tittade på Liberty Alliance uppdelningen i fyra nivåer och valde att mappa in våra utgivare i de nivåerna. (det var enklare med siffror än den klassningsmodell Verva tog fram med fem nivåerna (0-, 0+, 1, 2 och 3)

Vi redogör tydligt vilken CA som mappas till nivå 3 (alla fil baserade + MBI) och nivå 4 (alla på kort). Detta har inget med varken STORK QAA nivåer där alla svenska eID för närvarande är QAA=3, eller e-legitimationsnämndens olika kommande tillitsnivåer att göra. Men vi har kunder som gör åtskillnad på mjuka och hårda certifikat. Men det har inget med e-legitimationsnämnden att göra……. Vi gjorde vår indelning 2006 eller 2007 i de attribut vi lämnade via OSIF….