Migreringsforløb

Supporten af OIOSAML2 ophører

Følgende ændringer gælder for OIOSAML2 efter 31. marts 2023:

Supporten for OIOSAML2 ophører. Det betyder eksempelvis, at vi ikke længere hjælper med at give adgang til tekniske administratorer, samt at vi ikke hjælper med at hente metadata ud fra eksisterende OIOSAML2 systemer.
Vi vedligeholder ikke længere protokollen. I praksis betyder det, at eventuelle fejl i OIOSAML2 snitfladen ikke rettes.

I kan stadig få hjælp til at migrere jeres tjenester fra OIOSAML2 til OIOSAML3.

Migrering eller tilslutning til ny NemLog-in

De fleste offentlige tjenesteudbyderes tjenester er allerede forbundet til NemID via det nuværende NemLog-in. Nogle offentlige tjenesteudbydere benytter imidlertid Tjenesteudbyderpakken til at integrere direkte til NemID, og er dermed ikke tilsluttet NemLog-in. Forløbet for enten at blive tilsluttet eller overgå til det nye NemLog-in er forskelligt afhængigt af, om I i dag er tilsluttet NemLog-in, eller om I ikke er. Nedenfor kan du læse om begge forløb.

Den overordnede planlægning af opgaverne nedenfor vil typisk ligge hos jeres organisations ledelse. Derimod vil selve eksekveringen af opgaverne i høj grad ligge hos organisationens it-afdeling eller it-leverandør.

Migreringsforløb - hvis I er tilsluttet NemLog-in i dag

National Standard for Identiteters Sikringsniveauer (NSIS) vil gælde for hele den nye infrastruktur. Det betyder, at tjenesteudbydere skal foretage en NSIS-risikovurdering af deres tjeneste og implementere brugen af de nye sikringsniveauer. Desuden skal I igennem NemLog-ins test cases bl.a. for at sikre, at brugere på for lavt sikringsniveau ikke kan logge ind.

I skal være opmærksomme på, at brugere, der er autentificeret via NemLog-in, ikke nødvendigvis er logget på med NemID eller MitID. Grunden til dette er, at der i det nye NemLog-in er flere identifikationsmidler og flere sikringsniveauer. Det betyder, at brugerens aktuelle sikringsniveau afhænger af hvilket identifikationsmiddel, brugeren vælger at bruge til det enkelte login.

Teknisk betyder implementeringen, at jeres tjeneste bør meddele det krævede sikringsniveau, når brugeren vil logge på, og skal kontrollere det opnåede sikringsniveau efter login. Denne implementering skal I foretage, inden I tilslutter jeres tjeneste til den nye OIOSAML 3 snitflade.

I foretager en NSIS-risikovurdering ved at undersøge, hvilke risici der er, når en bruger logger ind på jeres tjeneste. Ved vurderingen skal I tage højde for, både hvilke risici der er for jer som tjenesteudbyder, og for brugere af jeres tjeneste.

Digitaliseringsstyrelsen har, i samarbejde med KOMBIT, udarbejdet et Excel-værktøj, til at støtte tjenesteudbydere i vurderingen af behov for sikringsniveau. De har desuden udarbejdet en vejledning til valg af sikringsniveau, som bl.a. forklarer, hvordan I bruger Excel-værktøjet.

Du finder både Excel-værktøjet og vejledningen via linket nedenfor.

Læs mere, hent vejledning og se infovideo om NSIS.
Jeres tjeneste bruger i dag OIOSAML 2 til at integrere til NemLog-in, for at udveksle brugerinformationer. Når I overgår til det nye NemLog-in, og dermed OIOSAML 3, skal I forholde jer til nedenstående punkter:
- Læs OIOSAML 3 specifikationen.
- Tag stilling til, hvilke attributter I skal bruge.
- Vær særligt opmærksom på, at I kan modtage PID og RID attributter for eksisterende brugere. Det kan være vigtigt i overgangsperioden.
- Tag stilling til, om I har brug for et fast bruger-id (Subject NameID) hver gang en bruger logger ind, eller om I kan anvende de mere privatlivsvenlige såkaldt transiente id’er, der skifter ved hvert login.
- Overvej, om I ønsker at differentiere mellem private brugere og erhvervsbrugere, da man i OIOSAML 3 kan bede om kun at modtage én af delene. Hvis I har en tjeneste, der alene skal anvendes af fx private brugere, bør I meddele dette til NemLog-in i autentifikationsforespørgslen.
Læs mere om OIOSAML

Hent ny dokumentation og de nye referenceimplementeringer.
I det nye NemLog-in vil nogle opslagstjenester bliver udfaset til fordel for nye UUID opslagstjenester. De nye opslagstjenester vil primært være relevante for jer, hvis I ønsker at anvende den nye signeringsløsning (læs mere nedenfor).

API dokumentation til de nye opslagstjenester er tilgængelig, og indeholder teknisk information om, hvordan I tilgår og foretager forespørgsler i de nye opslagstjenester i NemLog-in. I dokumentationspakken er der beskrevet både opslagstjenester og match-tjenester.

Læs mere om de nye opslagstjenester

Hent API dokumentation
Før I kan tage jeres tjeneste i brug med NemLog-in, skal I igennem nedenstående punkter:
- Tilslut jeres tjeneste til NemLog-ins integrationstestmiljø som OIOSAML3 tjeneste. Det gør I i NemLog-in Administration.
- Udfør integrationstest af jeres tjeneste.
- Udarbejd en testrapport for testen, og upload den til NemLog-in Administration.
Digitaliseringsstyrelsen udvider den nuværende testrapport-template med testcases for OIOSAML 3, så I kan bruge den til at udarbejde jeres nye testrapport.

Jeres uploadede testrapport skal herefter godkendes af Digitaliseringsstyrelsen. Når testrapporten er godkendt, kan jeres tjeneste tilsluttes produktionsmiljøet.

Forud for udfyldelse af testrapporten kan I teste alle de funktioner, I har i jeres tjeneste, både lokalt i jeres egne systemer og i integrationstestmiljøet.

Tilslutning - hvis I ikke er tilsluttet NemLog-in i dag

National Standard for Identiteters Sikringsniveauer (NSIS) vil gælde for hele den nye infrastruktur. Det betyder, at tjenesteudbydere skal foretage en NSIS-risikovurdering af deres tjeneste og implementere brugen af de nye sikringsniveauer. Desuden skal I igennem NemLog-ins test cases bl.a. for at sikre, at brugere på for lavt sikringsniveau ikke kan logge ind.

I skal være opmærksomme på, at brugere, der er autentificeret via NemLog-in, ikke nødvendigvis er logget på med NemID eller MitID. Grunden til dette er, at der i det nye NemLog-in er flere identifikationsmidler og flere sikringsniveauer. Det betyder, at brugerens aktuelle sikringsniveau afhænger af hvilket identifikationsmiddel, brugeren vælger at bruge til det enkelte login.

Teknisk betyder implementeringen, at jeres tjeneste bør meddele det krævede sikringsniveau, når brugeren vil logge på, og skal kontrollere det opnåede sikringsniveau efter login. Denne implementering skal I foretage, inden I tilslutter jeres tjeneste til den nye OIOSAML 3 snitflade.

I foretager en NSIS-risikovurdering ved at undersøge hvilke risici der er, når en bruger logger ind på jeres tjeneste. Ved vurderingen skal I tage højde for både hvilke risici der er for jer som tjenesteudbyder, og for brugere af jeres tjeneste. Digitaliseringsstyrelsen har, i samarbejde med KOMBIT, udarbejdet et Excel-værktøj, til at støtte tjenesteudbydere i vurderingen af behov for sikringsniveau. De har desuden udarbejdet en vejledning til valg af sikringsniveau, som bl.a. forklarer hvordan I bruger Excel-værktøjet.

Du kan finde både Excel-værktøjet og vejledningen, inde på siderne om NSIS via linket nedenfor.

Læs mere, hent vejledning og se infovideo om NSIS
Når I har modtaget bekræftelse på at I er tilsluttet det nye NemLog-in, får I adgang til at begynde implementeringen af NemLog-in.

I forbindelse med implementeringen af NemLog-in skal I også implementere OIOSAML 3. OIOSAML profilen er en dansk specialisering af den tekniske standard SAML, og udgør den tekniske protokol for integration mellem de selvbetjeningsløsninger, som er tilsluttet NemLog-in. Integrationen mellem jer som tjenesteudbyder og NemLog-in er dermed baseret på OIOSAML 3.

Bemærk: hvis I anvender FBRS-privilegier, skal I anvende en særlig proces ved overgangen til OIOSAML 3, for at migrere privilegierne. Der er udarbejdet en guide, der beskriver processen for privilegiemigrering. Find guiden i dokumentationen til OIOSAML 3.

Læs mere om OIOSAML

Hent ny dokumentation og de nye referenceimplementeringer.
I det nye NemLog-in vil nogle opslagstjenester bliver udfaset til fordel for nye UUID opslagstjenester.

De nye opslagstjenester er primært relevante, hvis I tilbyder signering, og ønsker at bruge den model, hvor der dannes et nyt id, hver gang en bruger skriver under. Når I bruger denne model, kan det ikke umiddelbart udledes af to underskrevne dokumenter, om det er samme bruger, der har skrevet under. I disse situationer vil det derfor være nødvendigt at anvende de nye UUID-match tjenester, som er en del af opslagstjenesterne, for at identificere den der har skrevet under.

Når I tilslutter jer NemLog-in, og dermed implementerer OIOSAML, vil I få alle relevante attributter direkte i SAML assertions (CPR, CPRUUID, PID, RID, CVR). Vi anbefaler derfor, at I orienterer jer i OIOSAML 3, og undersøger, om det er relevant for jer at implementere de nye opslagstjenester.

Læs mere om de nye opslagstjenester

Hent API dokumentation
Den nye signeringsløsning understøtter signering med MitID for privatpersoner. På et senere tidspunkt bliver det også muligt at underskrive et dokument som erhvervsbruger eller med et organisationssegl.

Læs mere om den nye signeringsløsning (signering med MitID)

Læs om ny funktionalitet i signeringsløsningen

Hent dokumentation til signeringsløsning
Før I kan tage jeres tjeneste i brug med NemLog-in, skal I igennem nedenstående punkter:
- Tilslut jeres tjeneste til NemLog-in om OIOSAML3 tjeneste. Det gør I i NemLog-in Administration.
  Gå til NemLog-in Adminstration
- Udfør integrationstest af jeres tjeneste.
- Udarbejd en testrapport for testen, og upload den til NemLog-in Administration.
Digitaliseringsstyrelsen udvider den nuværende testrapport-template med testcases for OIOSAML 3, så I kan bruge den til at udarbejde jeres nye testrapport.

Den uploadede testrapport skal herefter godkendes af Digitaliseringsstyrelsen. Når testrapporten er godkendt, kan jeres tjeneste tilsluttes produktionsmiljøet.

Forud for udfyldelse af testrapporten kan I teste alle de funktioner, I har i jeres tjeneste, både lokalt i jeres egne systemer og i det nye testmiljø.

Migrering eller tilslutning til ny NemLog-in

Migreringsforløb - hvis I er tilsluttet NemLog-in i dag

Tilslutning - hvis I ikke er tilsluttet NemLog-in i dag

Fortæl os om du accepterer cookies