Nemlog-in

OIOSAML 3

OIOSAML er en vigtig brik i samspillet mellem de selvbetjeningsløsninger, som er tilsluttet NemLog-in. Private tjenesteudbydere, der ønsker at anvende NemLog-in broker, skal benytte OIOSAML 3.
Play
8:23

Se infovideo om OIOSAML

Download præsentationen fra infovideoen om OIOSAML (PDF)

Hvad er OIOSAML?

SAML er en teknisk standard, der beskriver, hvordan it-systemer kan autentificere en bruger. OIO Web SSO Profile (OIOSAML) er en dansk specialisering (profil) af den internationale SAML-standard, som beskriver hvordan standarden skal anvendes i dansk sammenhæng, herunder hvordan fx CVR- og CPR-numre kan anvendes til at identificere privatpersoner og erhvervsbrugere. Herudover bruges profilen til single sign-on (SSO) og single logout.

I dag anvendes OIOSAML 2 i NemLog-in, men når NemLog-ins broker går i drift vil OIOSAML 3 blive den primære profil. Alle private tjenesteudbydere, der ønsker at integrere til NemLog-in, skal anvende OIOSAML 3 profilen. Læs mere om OIOSAML 3 profilen her på siden.

Om OIOSAML 3 profilen

Den nye NemLog-in broker vil benytte OIOSAML 3 som sin primære snitflade, når løsningen går i drift, og brugerne overgår fra NemID til MitID.

Vigtige elementer i OIOSAML 3:

  • Der er defineret to nye attributprofiler for henholdsvis privatpersoner og erhvervsbrugere (OCES-specifikke attributter udgår), RID og PID fortsætter med status som forældede.
  • BrugerID’er er nu baseret på UUID’er, og Subject feltet bærer altid en tjenesteudbyderspecifik brugerID.
  • Krav til kryptografiske algoritmer og nøglelængder er skærpet.
  • Håndtering af sikringsniveauer (‘levels of assurance’) sker i henhold til NSIS, og der er indført mulighed for at angive et ønsket sikringsniveau i forespørgsler fra tjenesteudbydere.
  • Profilen har fået en ny struktur med udgangspunkt i SAML2Int profilen fra Kantara Initiative. Herved er fokus på de normative krav fremhævet, så det bliver lettere at vurdere og teste om en implementering lever op til kravene.

Ovenstående er ikke en udtømmende liste.

Implementering af OIOSAML 3

I forbindelse med tilslutning til det nye NemLog-in, skal tjenesteudbydere implementere OIOSAML 3. Vi anbefaler, at I forholder jer til nedenstående punkter:

  • Læs OIOSAML 3 specifikationen
  • Tag stilling til, hvilke attributter I skal bruge
  • Tag stilling til, hvilket NSIS sikringsniveau, I vil kræve
  • Vær særligt opmærksom på, at I kan modtage PID og RID attributter for eksisterende brugere. Det kan være vigtigt i overgangsperioden.
  • Overvej, om I ønsker at differentiere imellem private brugere og erhvervsbrugere, da man i OIOSAML 3 kan bede om kun at modtage én af delene. Hvis I har en tjeneste, der alene skal anvendes af fx private brugere, bør I meddele dette til NemLog-in i autentifikationsforespørgslen.

Private tjenesteudbydere skal især være opmærksomme på at de: 

  • ikke kan modtage CPR attributter. I stedet skal NemID PID-CPR match anvendes i en overgangsperiode, hvis I har brug for brugers CPR-nummer. Læs om NemID PID-CPR match.
  • ikke modtage rettighedsattributter med rettigheder fra Brugerrettighedsstyringen.
  • ikke anvende NemLog-in single sign-on.

Dokumentation og referenceimplementeringer

Der er udviklet opdaterede referenceimplementeringer til OIOSAML.Java og OIOSAML.net i beta-version samt beta-dokumentation til OIOSAML 3, som er tilgængelig nu. 

Gå til side for dokumentation, test og referenceimplementeringer