Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 30 Next »

Alle brukere som skal ha smartkort med kvalifiserte sertifikater (QC) og/eller ID@Work må være forhåndsregistrert hos Buypass før sertifikat kan utstedes.

Forhåndsregistrering er en verifikasjon av personlig informasjon om brukeren. Kombinasjon fullt navn og fødselsnummer (FNR/DNR) sjekkes mot Folkeregister (FREG). Brukeren må være registrert i FREG og kombinasjonen navn / fødselsnummer må finnes og stemme, ellers vil det bli gitt en feilmelding i BAM-klienten.

Hvis konfigurasjonen av BAM-klienten er satt opp med Mixed Mode må Bruker være registrert i lokal AD før forhåndsregistrering er mulig.

Hvis konfigurasjonen av BAM-klienten er satt opp med Buypass Mode brukes ikke lokal AD, men brukeren vil bli sjekket og preregistrert direkte hos Buypass.


Det er flere måter å forhåndsregistrere:

  1. BAM-klient: Èn og èn – kun en bruker av gangen

  2. BAM-klient: Batch- eller masseregistrering - en eller flere brukere samtidig ved bruk av filinput

  3. Scim-api: Se beskrivelse på egen side - Access SCIM API

EN bruker

RA-ADMIN må logge på BAM klient og starte funksjonen "Preregistrer bruker hos Buypass" fra administrasjonsmenyen.

Operatøren søker etter riktig bruker ved å legge inn et eller flere kriterier i søkefeltene – Operatør må velge kun én bruker fra resultatlisten.

BAM-klientens Mode vil avgjøre hvordan søk gjennomføres og hvor data hentes fra / sjekkes mot:

  1. Mixed Mode (utstedelse av både LC og QC): Det søkes mot lokal AD og Buypass i parallell basert på hva som er definert som Brukernavn/IssuerKey *. Person må finnes i AD for å bli preregistrert. Dersom person allerede finnes hos Buypass med denne eller annen IssuerKey eller IssuerKey er knyttet til annen person gis det meldinger om dette.

  2. Buypass Mode (utstedelse av kun QC): Det søkes kun mot Buypass basert på hva som er definert som Brukernavn/IssuerKey *. Dersom person allrede finnes hos Buypass med denne eller annen IssuerKey eller IssuerKey er knyttet til annen person gis det meldinger om dette.

*) Se Master_AD_Mapping Employee i Configuration Application Tool.


Informasjon som skal registreres:

  1. Brukernavn/IssuersKey (obligatorisk)

  2. FNR/DNRfornavnetternavn (obligatorisk)

  3. Epost (valgfritt)

  4. UPN - User Principle Name (valgfritt) - nytt fra 3.8.0

  5. Sertifikattype (obligatorisk) - nytt fra 3.8.0 - feltet vil være utfylt med standard verdier for Organisasjonen, så om Bruker skal ha andre kombinasjoner må det endres av Operatør.

    1. ID@Work - Buypass ID i mobil for brukere tilknyttet organisasjoner med sentrallagrede QC som aksesseres fra brukers Buypass mobilAPP

    2. QC på smartkort - Buypass ID med QC på brukeres ansattkort  

 

Lovlige verdier i navn er: a-zàáâãäåæèéêëìíîïñòóôõöøùúûüýÿA-ZÀÁÂÃÄÅÆÈÉÊËÌÍÎÏÑÒÓÔÕÖØÙÚÛÜÝ i tillegg til blank (space), bindestrek (-) og apostrof (') - ikke tall.

Fødselsnummer (FNR/DNR) må være på formatet:

  • Fødselsdato - 6 siffer på formatet ddmmåå

  • Personnummer - 5 siffer på formatet nnnnn

Etter registrering vil Operatør få enten OK / IKKE OK i retur. Hvis IKKE OK må navn og fødselsnummer sjekkes. Om det er registrert i AD må det kontrolleres før nytt forsøk (Mixed Mode).  Kombinasjonen skal være korrekte og matche det som er registrert i FREG.


NB! Dersom epost oppgis blir det lagt inn i Subject Alternative (SAN) - feltet i sertifikatet (default) 
NB! Dersom UPN oppgis må Organisasjonen selv be om at Buypass setter opp sertifikatprofilen slik at også dette legges inn i Subject Alternative (SAN) - feltet i sertifikatet 

(lightbulb)  Gjør oppmerksom på at eksempelet om viser SAN-feltet for et sertifikat kun viser hvordan dette vil se ut når både epost og UPN legges i sertifikatet - innholdet er fra et testmiljø og som dere ser er ikke feltene samstemt.

FLERE brukere

RA-ADMIN må logge på BAM klient og starte funksjonen "Batch Preregistrering" fra administrasjonsmenyen.

BAM-klientens Mode vil avgjøre hvordan søk gjennomføres og hvor data hentes fra / sjekkes mot:

  1. Mixed Mode (utstedelse av både LC og QC): Det søkes mot lokal AD og Buypass i parallell basert på hva som er definert som Brukernavn/IssuerKey *. Person må finnes i AD for å bli preregistrert. Dersom person allerede finnes hos Buypass med denne eller annen IssuerKey eller IssuerKey er knyttet til annen person gis det meldinger om dette.

  2. Buypass Mode (utstedelse av kun QC): Det søkes kun mot Buypass basert på hva som er definert som Brukernavn/IssuerKey *. Dersom person allrede finnes hos Buypass med denne eller annen IssuerKey eller IssuerKey er knyttet til annen person gis det meldinger om dette.

*) Se Master_AD_Mapping Employee i Configuration Application Tool.

I batch preregistrering vil det bli benyttet to typer filer: a) inputfil som brukes som kilde for informasjon om hver bruker, og b) resultatfil som gir tilbakemelding fra preregistreringen.


Innhold denne siden:

Expand all   Collapse all

Batch preregistrering i BAM v 3.8.1 og senere versjoner

Antall attributter eller informasjon som skal preregistreres om en Bruker er utvidet i forhold til tidligere versjoner. Vi støtter ikke lenger .CSV-format, men har innført støtte for .JSON og .XML format.

  1. Brukernavn/IssuersKey (obligatorisk)

  2. FNR/DNRfornavnetternavn (obligatorisk)

  3. Epost (valgfritt)

  4. UPN - User Principle Name (valgfritt)

  5. Sertifikattype (obligatorisk) - feltet vil være utfylt med standard verdier for Organisasjonen, så om bruker skal ha andre kombinasjoner må det endres av Operatør.

    1. ID@Work - Buypass ID i mobil for brukere tilknyttet organisasjoner med sentrallagrede QC som aksesseres fra brukers Buypass mobilAPP

    2. QC på smartkort - Buypass ID med QC på brukeres ansattkort  


Strukturen på resultatfilen er den samme som inputfilen med et tillegg på 2 felt:

  • IsProcessedSuccessfully - inneholder TRUE hvis preregistrering eller oppdater registrering (se Oppdater Brukerinformasjon) er OK, ellers settes den til FALSE

  • ResultMessage - inneholder OK hvis preregistrering eller oppdater registrering er OK, ellers fås en feilmelding

Resultatfilen kan brukes som ny inputfil uten å fjerne disse feltene. Alle record-linjene med feltet IsProcessedSuccessfully = TRUE vil bli ignorert ved innlesning.

I MixedMode må brukerne være registrert i AD. 


Email og UPN

  • Dersom feltene EMAIL og UPN ikke er spesifisert i inputfilen blir feltene i Buypass database heller ikke fylt ut 

  • NB! Det betyr at EMAIL og UPN ikke legges ut som attributter i SAN-feltet i sertifikatene, dersom det er spesifisert i sertifikatprofilen for Organisasjonen 


Sertifikattyper

  • Dersom feltene IsIdAtWorkIssueAllowed eller IsSmartCardIssueAllowed ikke er spesifisert i inputfilen vil default verdier for Brukerstedet (Issuer) brukes. 

Feltene IsProcessedSuccessfully og ResultMessage er ikke nødvendig å ta med i inputfilen, men dersom resultatfilen blir brukt som inputfil etter korrigeringer vil du se feltene som i kodeeksemplene nedenfor. 
Som nevnt ovenfor - Resultatfilen kan brukes som ny inputfil uten å fjerne disse feltene. Alle record-linjene med feltet IsProcessedSuccessfully = TRUE vil bli ignorert ved innlesning.


Preregistration filstruktur med XML / JSON

XML

<Employees>
  <Employee>
    <EmployeeId>pehj</EmployeeId>
    <FirstName>PETRA PSA</FirstName>
    <LastName>HJORT</LastName>
    <SSN>08074900276</SSN>
    <Email>petra.hjort@buypass.no</Email>
    <UPN>pehj@buypass.no</UPN>
    <IsIdAtWorkIssueAllowed>false</IsIdAtWorkIssueAllowed>
    <IsSmartCardIssueAllowed>true</IsSmartCardIssueAllowed>
    <IsProcessedSuccessfully>false</IsProcessedSuccessfully>
    <ResultMessage></ResultMessage>
  </Employee>
</Employees>

JSON

[
 {
   "EmployeeId": "pehj",
   "FirstName": "PETRA PSA",
   "LastName": "HJORT",
   "SSN": "08074900276",
   "Email": "petra.hjort@buypass.no",
   "UPN": "pehj@buypass.no",
   "IsIdAtWorkIssueAllowed": false,
   "IsSmartCardIssueAllowed": true,
   "IsProcessedSuccessfully": false,
   "ResultMessage": ""
 },
 {
   "EmployeeId": "056bbk",
   "FirstName": "Lilian",
    ...... and so on...
 }
]


Preregistration using the Scim-api

(In English only)

Base URLs

Environment

URL

production

https://api.buypass.no/access-scim-api

  • Client ID: Provided upon request

  • Client Secret: Provided upon request

  • Response Type: token

test4

https://api.test4.buypass.no/access-scim-api 

  • Client ID: Provided upon request

  • Client Secret: Provided upon request

  • Response Type: token

Scim-api Docs - test4

https://api.test4.buypass.no/access-scim-api  gives redirect to swagger, or
https://api.test4.buypass.no/access-scim-api/swagger

  • Username: Provided upon request

  • Password: Provided upon request

API Endpoints

Endpoint

Description

/Tenants/{tenant_id}/Users

Retrieve, add and modify users.

/Schemas

Retrieve one or more supported schemas.

/ResourceTypes

Retrieve supported resource types.

/ServiceProviderConfig

An HTTP GET to this endpoint will return a JSON structure that describes the SCIM specification features available on a service provider.

API Schemas

  • urn:ietf:params:scim:schemas:core:2.0:User

  • urn:ietf:params:scim:schemas:extension:buypass:2.0:upn:User 


Core

Field

Description

Example

Required

Mutablitity

userName

Unique identifier for the user, used by the user to directly authenticate with the service provider. Must be the Norwegian National Person Identifier.

"userName" : "01026201590"

Required

Immutable

externalId

An identifier for the User as defined by the customer

"externalId": "701984"

Required

ReadWrite

name

The user's real name

"name": {
   "familyName": "Jensen",
   "givenName": "Barbara",
   "middleName": "Jane"
 }

Required

ReadOnly

phoneNumbers

The user's phone number in E.164 format. Only one phone number is supported

"phoneNumbers":[
   {
      "value":"+4755555555"
   }
]

Optional

ReadWrite

emails

The user's email address. Only one email address is supported.

"emails":[
   {
      "value":"bjensen@example.com",
   }
]

Optional

ReadWrite

entitlements

Array of one or more entitlement values that this user has. Supported entitlement values are:

  • allow_smartcard

  • allow_mobile_id

If no entitlements are provided the default settings for the Tenant takes effect.

"entitlements":[
   {
      "value":"allow_smartcard",
      "value":"allow_mobile_id"
   }
]

Optional

ReadWrite

active

A Boolean value indicating whether a user is active. Only active users is supported.

"active": true

Optional

ReadOnly

UPN

Field

Description

Example

Required

Mutablitity

upn

The name of the user in email address format

"upn" : "user@example.com"

Optional

ReadWrite

API Access Token

Provided for BAS-Merchant when the use of the scim for provisioning has been agreed.


  • No labels