Hvad er et ”entity ID”, og hvad bruges det til?

Hver serviceudbyder, der tilsluttes NemLog-in, skal tildeles et entydigt navn, der anvendes i kommunikationen med NemLog-in tjenesten. Kommunikationen sker via SAML 2.0 protokollen (nærmere betegnet den danske OIOSAML profil), og i denne protokol har parterne et unikt ID som kaldes ”entity ID”.

I OIOSAML profilen (version 2.0.5) angives nogle regler for opbygning af entity ID, som tager udgangspunkt i serviceudbyderens domæne. I princippet kunne entity ID’er også baseres på løbenumre, UUID’er osv. Hensigten med at basere navnekonvention på domænenavne er at sikre, at der tildeles unikke navne til serviceudbyderne, uden der er behov for central administration af ID’er hos Digitaliseringsstyrelsen.

Hvis en serviceudbyder anvender domænet ”bjergbykommune.dk”, foreskriver OIOSAML profilen at entity ID bliver ”https://saml.bjergbykommune.dk”. Bemærk at denne ID skal opfattes som et logisk navn og altså ikke angiver adressen (URL) på fysiske servere mv. De fysiske adresser på serviceudbydernes servere (SAML endepunkter) er beskrevet serviceudbyderens metadata fil.

Navnekonventionen i OIOSAML profilen tager ikke højde for situationer, hvor fx en kommune er tilknyttet flere forskellige SAML installationer. Dette kan eksempelvis forekomme, hvis kommunen køber forskellige it-løsninger, der OIOSAML parate, og som drives hos leverandøren. Det kunne eksempelvis være et system til elektroniske blanketter fra én leverandør og et system til on-line adgang til kommunens biblioteker fra en anden leverandør. Hvis disse to løsninger anvender forskellige servere til håndteringen af SAML protokollen, hvilket er sandsynligt, når de drives hos leverandørerne, er der behov for to forskellige entity ID’er. Her kan det være relevant at inddrage underdomæner i entity ID’erne som fx:

  • https://saml.blanket.bjergbykommune.dk
  • https://saml.bibliotek.bjergbykommune.dk 
I dette tilfælde angiver entity ID navnet på en SAML installation (hos leverandøren), og metadata filen rummer så de fysiske adresser på serverne i denne installation. Sagt på en anden måde er entity et kort navn for en metadata fil, som udpeger en SAML installation.

Bemærk at en SAML installation godt kan agere logintjeneste for flere forretningsapplikationer på en gang. Hvis kommunen f.eks. etablerer en SAML server i eget miljø, kan denne integreres med alle borgerapplikationer i kommunens miljø, og her er der så kun brug for et entity ID.

Gå tilbage til alle spørgsmål