Nemlog-in

OIOSAML 3.0.2

SAML er en teknisk standard, der beskriver, hvordan IT systemer kan udveksle oplysninger om en bruger.
OIO Web SSO Profile (OIOSAML) er en dansk specialisering (profil) af SAML, som beskriver hvordan standarden skal anvendes i dansk sammenhæng - herunder hvordan fx CVR- og CPR-numre kan anvendes til at identificere virksomheder, borgere og medarbejdere.
OIOSAML er en vigtig brik i samspillet mellem de selvbetjeningsløsninger, som er tilsluttet NemLog-in. Profilen bruges til fødereret log-in og single sign-on (SSO).
I dag anvendes OIOSAML 2 i NemLog-in.

OIOSAML profiler

OIOSAML er en vigtig brik i samspillet mellem de 300 offentlige selvbetjeningsløsninger, som er tilsluttet NemLog-in, herunder borger.dk og virk.dk. Profilen bruges til fødereret log-in og single sign-on (SSO) og sikrer interoperabilitet i implementeringen af SAML2-standarden.

I næste generation af den fællesoffentlige infrastruktur til håndtering af digitale identiteter sker der en række ændringer, som har medført behov for en række opdateringer.

Ved go-live på NemLog-in’s broker i april 2021 vil der være to aktive SAML IdP’er, som kan håndtere brugerautentifikation:

  • Den nuværende OIOSAML 2.0.9 IdP skifter til OIOSAML 2.1.0 snitfladen
  • Der tilføjes en ny OIOSAML 3.0.2 IdP

Begge IdP’er vil være aktive indtil NemID udfases, og NemLog-in vil kunne håndtere brugere med både NemID og MitID på begge IdP’er. NemLog-in oversætter til den version af OIOSAML, som tjenesteudbyderen kan håndtere og fungerer dermed som en ”bro”. Der er endvidere single sign-on mellem de to IdP’er. Dette sikrer en smidig indfasning både for slutbrugere og tjenesteudbydere.

Play
8:23

Se infovideo om OIOSAML

Download præsentationen fra infovideoen om OIOSAML.

De vigtigste ændringer i version 3.0

  • Der er defineret to nye attributprofiler for henholdsvis personer og professionelle (OCES-specifikke attributter udgår), RID og PID fortsætter med status som deprekerede.
  • Identifiers er baseret på UUID’er, og Subject feltet bærer altid en tjenesteudbyderspecifik identifier.
  • Krav til kryptografiske algoritmer og nøglelængder er skærpet.
  • Håndtering af ‘levels of assurance’ sker i henhold til NSIS, og der er indført mulighed for at angive et ønsket sikringsniveau i forespørgsler fra tjenesteudbydere (herunder muligheden for step-up autentifikation).
  • Der er indført krav om support for multiple certifikater i metadatafiler.
  • Det er nu tilladt at anvende et kvalificeret certifikat for en juridisk person i metadata.
  • Profilen har fået en ny struktur med udgangspunkt i SAML2Int profilen fra Kantara Initiative. Herved er fokus på de normative krav fremhævet, så det bliver lettere at vurdere og teste om en implementering lever op til kravene. Yderligere forklaringer og eksempler udgives i en separat vejledning til profilen, så krav adskilles fra forklaringer.

Ovenstående er ikke en udtømmende liste over ændringer.

OIOSAML 3.0.2 profilen

Herunder findes OIOSAML 3.0.2 profilen. NemLog-in3 vil benytte OIOSAML 3.0.2 som sin primære snitflade, når løsningen går i drift i 2021, og brugerne overgår fra NemID til MitID.

OIOSAML 3.0.2 profilen indeholder en mindre opdatering i forhold til den tidligere publicerede OIOSAML 3.0.1:

  • Kravene til kryptografiske algoritmer [OIO-ALG-01] er præciseret.
  • Der er tilføjet en ny attribut (date of birth) i afsnit 6.2.15.

De gældende versioner af OIOSAML ses nedenfor:

OIOSAML Web SSO profile 3.0.2

OIOSAML Basic Privilege Profile 1_2

Der er ligeledes tilføjet en profil til brug mellem en broker og en lokal IdP (Local IdP Profile), der kan anvendes i føderationsscenarier, hvor en brugerorganisation udstiller sin egen IdP. Denne profil kan ses nedenfor:

OIOSAML Local IdP Profile 1.0.2

OIOSAML 2.1.0 profilen

OIOSAML 2.1.0 profilen erstatter OIOSAML 2.0.9 profilen, idet en række attributter vedr. OCES certifikater udfases. Dette er tidligere meldt ud af DIGST til alle nuværende tjenesteudbydere.

Tjenesteudbydere, som er koblet på nuværende OIOSAML 2.0.9 IdP i NemLog-in, bedes forberede sig på, at de med go-live for NemLog-in’s broker (i april 2021) ikke længere kan få disse attributter fra NemLog-in.

Dette gælder både for brugere, som logger ind med MitID og NemID.

Hvis tjenesteudbyderes løsninger i dag anvender de pågældende attributter, er der således behov for opdatering af disse løsninger.

Det drejer sig om flg. attributter:

  • UserCertificate  (urn:oid:1.3.6.1.4.1.1466.115.121.1.8)
  • Certificate issuer               (urn:oid:2.5.29.29)
  • (Certificate) serial number            (urn:oid:2.5.4.5)
  • IsYouthCert         (dk:gov:saml:attribute:IsYouthCert)
  • UniqueAccountKey          (dk:gov:saml:attribute:UniqueAccountKey)
  • Postal address   (urn:oid:2.5.4.16)
  • Title       (urn:oid:2.5.4.12)
  • Organization unit             (urn:oid:2.5.4.11)
  • UserAdministratorIndicator         (dk:gov:saml:attribute:UserAdministratorIndicator)
  • OCES pseudonym (urn:oid:2.5.4.65) 

Hent OIOSAML Web SSO Profile v2.1.0

Tjenesteudbydere kan anvende følgende trin-for-trin guide til at teste, hvorledes deres it-systemer reagerer, når attributterne ikke længere leveres af NemLog-in:

Hent guide til test af udfasning af OCES attributter (pdf.)

Opdaterede referenceimplementeringer

Der er udarbejdet referenceimplementering til OIOSAML.Java og OIOSAML.net i en betaversion. 

Find OIOSAML.Java her

Find OIOSAML.net her