Nemlog-in

OIOSAML 3.0.2

OIOSAML er en vigtig brik i samspillet mellem de selvbetjeningsløsninger, som er tilsluttet NemLog-in. Private tjenesteudbydere, der ønsker at anvende NemLog-in broker, skal benytte OIOSAML 3.
Play
8:23

Se infovideo om OIOSAML

Download præsentationen fra infovideoen om OIOSAML (PDF)

Hvad er OIOSAML?

SAML er en teknisk standard, der beskriver, hvordan it-systemer kan udveksle oplysninger om en bruger. OIO Web SSO Profile (OIOSAML) er en dansk specialisering (profil) af SAML, som beskriver hvordan standarden skal anvendes i dansk sammenhæng, herunder hvordan fx CVR- og CPR-numre kan anvendes til at identificere virksomheder, borgere og medarbejdere. Herudover bruges profilen til fødereret log-in og single sign-on (SSO).

I dag anvendes OIOSAML 2 i NemLog-in, men når NemLog-in broker går i drift vil OIOSAML 3 blive den primære profil. Alle tjenesteudbydere, der ønsker at integrere til NemLog-in, skal anvende OIOSAML 3 profilen. Læs mere om OIOSAML 3 profilen her på siden.

Om OIOSAML 3 profilen

Den nye NemLog-in broker vil benytte OIOSAML 3.0.2 som sin primære snitflade, når løsningen går i drift, og brugerne overgår fra NemID til MitID fra ultimo juni 2021.

Vigtige elementer i OIOSAML 3.0:

  • Der er defineret to nye attributprofiler for henholdsvis personer og professionelle (OCES-specifikke attributter udgår), RID og PID fortsætter med status som deprekerede.
  • Identifiers er baseret på UUID’er, og Subject feltet bærer altid en tjenesteudbyderspecifik identifier.
  • Krav til kryptografiske algoritmer og nøglelængder er skærpet.
  • Håndtering af ‘levels of assurance’ sker i henhold til NSIS, og der er indført mulighed for at angive et ønsket sikringsniveau i forespørgsler fra tjenesteudbydere (herunder muligheden for step-up autentifikation).
  • Profilen har fået en ny struktur med udgangspunkt i SAML2Int profilen fra Kantara Initiative. Herved er fokus på de normative krav fremhævet, så det bliver lettere at vurdere og teste om en implementering lever op til kravene. Yderligere forklaringer og eksempler udgives i en separat vejledning til profilen, så krav adskilles fra forklaringer.

Ovenstående er ikke en udtømmende liste

Følgende attributter bliver udfaset, når NemLog-in broker går i drift:

  • UserCertificate (urn:oid:1.3.6.1.4.1.1466.115.121.1.8)
  • Certificate issuer (urn:oid:2.5.29.29)
  • (Certificate) serial number (urn:oid:2.5.4.5)
  • IsYouthCert (dk:gov:saml:attribute:IsYouthCert)
  • UniqueAccountKey (dk:gov:saml:attribute:UniqueAccountKey)
  • Postal address (urn:oid:2.5.4.16)
  • Title (urn:oid:2.5.4.12)
  • Organization unit (urn:oid:2.5.4.11)
  • UserAdministratorIndicator (dk:gov:saml:attribute:UserAdministratorIndicator)

Herudover vil Security Token Service (STS) ikke levere de udfasede OCES attributter fra go-live af NemLog-in broker, når OIOSAML opdateres fra 2.0.9 til 2.1.0. Hvis man som tjenesteudbyder agerer i rollen som Web Service Provider, skal man derfor sikre sig, at der ikke længere er en afhængighed til de attributter, der udfases.

Implementering af OIOSAML 3

I forbindelse med tilslutning til det nye NemLog-in, skal tjenesteudbydere implementere OIOSAML 3. Vi anbefaler, at I forholder jer til nedenstående punkter:

  • Læs OIOSAML 3 specifikationen
  • Tag stilling til, hvilke attributter I skal bruge
  • Vær særligt opmærksom på, at I kan modtage PID og RID attributter for eksisterende brugere. Det kan være vigtigt i overgangsperioden.
  • Tag stilling til, om I har brug for et fast bruger-id (Subject NameID) hver gang en bruger logger ind, eller om I kan anvende de mere privatlivsvenlige såkaldt transiente id’er, der skifter ved hvert login.
  • Overvej, om I ønsker at differentiere imellem private brugere og erhvervsbrugere, da man i OIOSAML 3 kan bede om kun at modtage én af delene. Hvis I har en tjeneste, der alene skal anvendes af fx private brugere, bør I meddele dette til NemLog-in i autentifikationsforespørgslen.

Private tjenesteudbydere skal især være opmærksomme på at de: 

  • ikke kan modtage CPR attributter. I stedet skal NemID PID-CPR match anvendes i en overgangsperiode, hvis I har brug for brugers CPR-nummer. Læs om NemID PID-CPR match.
  • ikke modtage rettighedsattributter med rettigheder fra Brugerrettighedsstyringen.
  • ikke anvende NemLog-in single sign-on.

Dokumentation og referenceimplementeringer

Der er udviklet opdaterede referenceimplementeringer til OIOSAML.Java og OIOSAML.net i beta-version samt beta-dokumentation til OIOSAML 3, som er tilgængelig nu. 

Gå til side for dokumentation, test og referenceimplementeringer

 

Parallel understøttelse i migreringsperioden

Forud for overgangen til OIOSAML 3, bliver OIOSAML 2.0.9 profilen erstattet af OIOSAML 2.1.0, idet en række attributter vedr. OCES certifikater udfases. Ved go-live for NemLog-in broker i vil der dermed være to aktive SAML IdP’er, som kan håndtere brugerautentifikation:

  • Den nuværende OIOSAML 2.0.9 IdP, som skifter til OIOSAML 2.1.0 snitfladen
  • Den nye OIOSAML 3.0.2 IdP

Begge IdP’er vil være aktive indtil NemID udfases, og NemLog-in vil kunne håndtere både brugere med NemID og MitID på begge IdP’er. NemLog-in oversætter til den version af OIOSAML, som tjenesteudbyderen kan håndtere og fungerer dermed som en ”bro”. Der er endvidere single sign-on mellem de to IdP’er. Dette sikrer en smidig indfasning både for slutbrugere og tjenesteudbydere.

Bemærk, at I som privat tjenesteudbyder ikke kan tilslutte systemer, der anvender OIOSAML 2.1.0 snitfladen.