Nemlog-in

OIOSAML 3.0.2

OIOSAML er en vigtig brik i samspillet mellem de selvbetjeningsløsninger, som er tilsluttet NemLog-in. Private tjenesteudbydere, der ønsker at anvende NemLog-in broker, skal benytte OIOSAML 3.
Play
8:23

Se infovideo om OIOSAML

Bemærk: OIOSAML 2.0.9 erstattes af OIOSAML 2.1.0 ved go-live for NemLog-in broker. For private tjenesteudbydere er dette kun relevant, hvis I er systemadministrator eller gateway leverandør for en offentlig tjeneste. 

Download præsentationen fra infovideoen om OIOSAML (PDF)

Hvad er OIOSAML?

SAML er en teknisk standard, der beskriver, hvordan it-systemer kan udveksle oplysninger om en bruger. OIO Web SSO Profile (OIOSAML) er en dansk specialisering (profil) af SAML, som beskriver hvordan standarden skal anvendes i dansk sammenhæng, herunder hvordan fx CVR- og CPR-numre kan anvendes til at identificere virksomheder, borgere og medarbejdere. Herudover bruges profilen til fødereret log-in og single sign-on (SSO).

I dag anvendes OIOSAML 2 i NemLog-in, men når NemLog-in broker går i drift vil OIOSAML 3 blive den primære profil. Alle tjenesteudbydere, der ønsker at integrere til NemLog-in, skal anvende OIOSAML 3 profilen. Læs mere om OIOSAML 3 profilen her på siden.

Bemærk, at I som privat tjenesteudbyder kun kan tilslutte systemer, der anvender OIOSAML 2.1.0 snitfladen, i kraft af rollen som systemadministrator eller gateway leverandør for en offentlig tjeneste. 

Om OIOSAML 3 profilen

Den nye NemLog-in broker vil benytte OIOSAML 3.0.2 som sin primære snitflade, når løsningen går i drift, og brugerne overgår fra NemID til MitID.

Vigtige elementer i OIOSAML 3.0:

  • Der er defineret to nye attributprofiler for henholdsvis personer og professionelle (OCES-specifikke attributter udgår), RID og PID fortsætter med status som deprekerede.
  • Identifiers er baseret på UUID’er, og Subject feltet bærer altid en tjenesteudbyderspecifik identifier.
  • Krav til kryptografiske algoritmer og nøglelængder er skærpet.
  • Håndtering af ‘levels of assurance’ sker i henhold til NSIS, og der er indført mulighed for at angive et ønsket sikringsniveau i forespørgsler fra tjenesteudbydere (herunder muligheden for step-up autentifikation).
  • Profilen har fået en ny struktur med udgangspunkt i SAML2Int profilen fra Kantara Initiative. Herved er fokus på de normative krav fremhævet, så det bliver lettere at vurdere og teste om en implementering lever op til kravene. Yderligere forklaringer og eksempler udgives i en separat vejledning til profilen, så krav adskilles fra forklaringer.

Ovenstående er ikke en udtømmende liste.

Implementering af OIOSAML 3

I forbindelse med tilslutning til det nye NemLog-in, skal tjenesteudbydere implementere OIOSAML 3. Vi anbefaler, at I forholder jer til nedenstående punkter:

  • Læs OIOSAML 3 specifikationen
  • Tag stilling til, hvilke attributter I skal bruge
  • Vær særligt opmærksom på, at I kan modtage PID og RID attributter for eksisterende brugere. Det kan være vigtigt i overgangsperioden.
  • Tag stilling til, om I har brug for et fast bruger-id (Subject NameID) hver gang en bruger logger ind, eller om I kan anvende de mere privatlivsvenlige såkaldt transiente id’er, der skifter ved hvert login.
  • Overvej, om I ønsker at differentiere imellem private brugere og erhvervsbrugere, da man i OIOSAML 3 kan bede om kun at modtage én af delene. Hvis I har en tjeneste, der alene skal anvendes af fx private brugere, bør I meddele dette til NemLog-in i autentifikationsforespørgslen.

Private tjenesteudbydere skal især være opmærksomme på at de: 

  • ikke kan modtage CPR attributter. I stedet skal NemID PID-CPR match anvendes i en overgangsperiode, hvis I har brug for brugers CPR-nummer. Læs om NemID PID-CPR match.
  • ikke modtage rettighedsattributter med rettigheder fra Brugerrettighedsstyringen.
  • ikke anvende NemLog-in single sign-on.

Dokumentation og referenceimplementeringer

Der er udviklet opdaterede referenceimplementeringer til OIOSAML.Java og OIOSAML.net i beta-version samt beta-dokumentation til OIOSAML 3, som er tilgængelig nu. 

Gå til side for dokumentation, test og referenceimplementeringer

Overgang fra OIOSAML 2 til OIOSAML 3

Private tjenesteudbydere, der fungerer som systemadministratorer eller gateway leverandører for en offentlig tjeneste skal være opmærksomme på punkterne nedenfor i forbindelse med overgangen fra OIOSAML 2 til OIOSAML 3. Læs mere på siderne om OIOSAML for offentlige tjenesteudbydere via linket nedenfor. 

  • Parallel understøttelse i migreringsperioden
  • Udfasning af en række OCES-attributter
  • OIOSAML 2.1.0 og MitID login

Læs om OIOSAML for offentlige tjenesteudbydere.