En hævning af sikringsniveau via step-up kræver en reautentifikation med en stærkere mekanisme. Dermed kan step-up ikke ske per ”automatik” uden brugerinvolvering.
Single sign-on tillader brugere med en aktiv session hos en offentlig tjenesteudbyder tilsluttet NemLog-in at tilgå en anden offentlig tjenesteudbyder tilsluttet NemLog-in uden at skulle autentificere sig igen. En tjenesteudbyder kan altid kræve autentifikation ved hvert login, hvis det er ønsket (”ForceAuthn” i SAML).
Hvis en tjenesteudbyder kræver et højere sikringsniveau end det, den nuværende brugersession har, vil brugeren blive bedt om at hæve sit sikringsniveau ved en reautentifikation med en stærkere mekanisme.
En Lokal IdP kan understøtte flere autentifikationsprocesser, der resulterer i forskellige sikringsniveauer. Det er det aktuelle sikringsniveau, der rapporteres til NemLog-in og videre til en tjenesteudbyder, når en bruger autentificeret via en Lokal IdP ønsker at tilgå en tjeneste. Dog kan en Lokal IdP aldrig sende en brugerautentifikation af sted med et højere sikringsniveau end det sikringsniveau, den lokale IdP er anmeldt på og revideret efter.
Eksempel: Hvis en bruger hos en lokal IdP anmeldt på niveau Betydelig ønsker at tilgå en tjeneste, der kræver niveau Høj, vil vedkommende være nødt til at benytte andre identifikationsmidler end de lokale (fx MitID) og være identitetssikret til niveau Høj i andet regi, fx som privatperson med MitID på niveau Høj.