Gør klar til tilslutning

Gør klar til tilslutning 

Hvis I ønsker at bruge NemLog-in som MitID broker, er der en række opgaver, I skal gennem, og nogle ting I skal beslutte. Den overordnede planlægning af disse opgaver vil typisk ligge hos ledelsen i jeres organisation, fx ift. ressourcer. Derimod vil selve eksekveringen af opgaverne i høj grad ligge hos jeres it-afdeling. Det kan være en god idé at begynde planlægningen allerede nu, og det er også muligt at begynde at gøre klar til tilslutning til NemLog-in.

Nedenfor kan du læse, hvad I kan gøre klar allerede nu.

• Gør klar til at bruge NSIS-standarden

  National Standard for Identiteters Sikringsniveauer (NSIS) vil gælde for hele den nye infrastruktur. Det betyder, at I skal foretage en NSIS-risikovurdering af jeres tjeneste og implementere brugen af de nye sikringsniveauer.

  Teknisk betyder implementeringen, at jeres tjeneste skal meddele det krævede sikringsniveau, når brugeren vil logge på, og kontrollere det opnåede sikringsniveau efter log-in. Denne implementering skal I foretage, når I tilslutter jeres tjeneste til den nye OIOSAML 3 snitflade.

  Læs mere, og se infovideo om NSIS.

• Gør klar til at bruge OIOSAML 3

  I forbindelse med tilslutning til det nye NemLog-in, skal tjenesteudbydere implementere OIOSAML 3. OIOSAML profilen er en dansk specialisering af den tekniske standard SAML og udgør den tekniske protokol for integration mellem de selvbetjeningsløsninger, som er tilsluttet NemLog-in. Integrationen mellem jer som tjenesteudbyder og NemLog-in, er dermed baseret på OIOSAML 3.

  Vi anbefaler, at I forholder jer til nedenstående punkter:

  • Læs OIOSAML 3 specifikationen
  • Tag stilling til, hvilke attributter I skal bruge
  • Vær særligt opmærksom på, at I kan modtage PID og RID attributter for eksisterende brugere. Det kan være vigtigt i overgangsperioden.
  • Tag stilling til, om I har brug for et fast bruger-id (Subject NameID) hver gang en bruger logger ind, eller om I kan anvende de mere privatlivsvenlige såkaldte transiente id’er, der skifter ved hvert login.
  • Overvej, om I ønsker at differentiere imellem private brugere og erhvervsbrugere, da man i OIOSAML 3 kan bede om kun at modtage én af delene. Hvis I har en tjeneste, der alene skal anvendes af fx private brugere, bør I meddele dette til NemLog-in i autentifikationsforespørgslen.
  • Vær opmærksom på, at I som privat tjenesteudbyder ikke kan modtage CPR attributter. I stedet skal NemID PID-CPR match anvendes i en overgangsperiode, hvis I har brug for brugers CPR-nummer. Læs om NemID PID-CPR match.
  • Som privat tjenesteudbyder kan I ikke modtage rettighedsattributter med rettigheder fra Brugerrettighedsstyringen.
  • Som privat tjenesteudbyder kan I ikke anvende NemLog-in single sign-on.

  Læs mere om OIOSAML

  Hent ny dokumentation og de nye referenceimplementeringer

• Find ud af om udfasningen af PID/RID har betydning for jer

  De eksisterende PID/RID tjenester udfases, fordi PID/RID numre er knyttet til de OCES certifikater, som udfases. I den nye infrastruktur bliver brugere i stedet identificeret via UUID'er.

  NemLog-in vil i en overgangsperiode levere de gamle PID og RID attributter i udstedte billetter (SAML assertions), så tjenesteudbydere kan genkende eksisterende brugere oprettet på baggrund af OCES certifikater, og notere deres nye UUID, som herefter bliver anvendt fremadrettet.

• Find ud af, om I skal bruge de nye opslagstjenester

  I det nye NemLog-in vil nogle opslagstjenester bliver udfaset til fordel for nye UUID opslagstjenester.

  De nye opslagstjenester er primært relevante, hvis I tilbyder signering og ønsker at bruge den model, hvor der dannes et nyt id hver gang en bruger skriver under. Når I bruger denne model kan det ikke umiddelbart udledes af to underskrevne dokumenter, om det er samme bruger, der har skrevet under. I disse situationer vil det derfor være nødvendigt at anvende de nye UUID-match tjenester, som er en del af opslagstjenesterne, for at identificere den, der har skrevet under.

  Læs mere om de nye opslagstjenester

  Hent API dokumentation

• Tag stilling til brug af signeringsløsning

  Med det nye NemLog-in er der kommet en ny signeringsløsning, som er baseret på internationalt standardiserede formater. Løsningen understøtter signering med MitID.

  I kan beslutte, om I ønsker at bruge den nye signeringsløsning og hente dokumentationspakken.

  Læs mere om den nye signeringsløsning (signering med MitID)

  Læs om ny funktionalitet i signeringsløsningen

  Hent dokumentation til signeringsløsning

• Orientér jer om ændret brug af certifikater

  MitID er ikke baseret på certifikater, som NemID er. Derfor bliver OCES-certifikater og certifikatpolitikkerne revideret og tilpasset. Det kan betyde, at I skal tilpasse jeres systemer.
  Det kan eksempelvis være:

  • Hvis I bruger PID/RID fra certifikater til at validere brugere, kræver det tekniske tilpasninger af jeres systemer.
  • Hvis I bruger VOCES til system-til-system integration, skal I være opmærksomme på understøttelse i migreringsperioden.
  • Hvis jeres løsning bruger signering, skal I orientere jer I den nye signeringsløsning, og hvad det kræver af ændringer hos jer, samt understøttelse i overgangsperioden.

  Som tjenesteudbyder skal I teste, at de nye organisationscertifikater fungerer med jeres systemer. 

  Vi anbefaler, at I tester de nye organisations- og systemcertifikater i god tid, inden den nye erhvervsløsning går i drift. Hvis jeres tjeneste ikke fungerer med de nye certifikater, risikerer I udfald af tjenesten i forbindelse med system-til-system integrationer, der anvender certifikater fra det nye NemLog-in.

  Læs mere om de nye certifikater

  Gå til side for test og dokumentation

• Test jeres tekniske opsætninger

  I kan allerede nu teste OIOSAML 2 snitfladen i NemLog-ins integrationstestmiljø. OIOSAML 2 snitfladen er anderledes end den kommende OIOSAML 3 snitflade på nogle områder, men de tekniske ændringer, som er nødvendige at udføre, når I skifter fra OIOSAML 2 til OIOSAML 3 er langt færre og enklere, end når I skifter fra direkte integration til NemID til OIOSAML 2. Det er derfor en fordel at gå i gang allerede nu.

  Hvis I ønsker at gøre brug af denne mulighed, skal I gøre følgende:

  1. Tilslut jer til det nuværende NemLog-in som it-leverandør via linket nedenfor.
     Begynd tilslutning.
     Læs guide til tilslutning.
  2. Send en e-mail til Digitaliseringsstyrelsen, hvor I anmoder om at teste NemLog-in, og ønsker at få oprettet et it-system. Digitaliseringsstyrelsen giver jer besked pr. e-mail, når I er blevet oprettet.
     Send anmodning til Digitaliseringsstyrelsen.
  3. Log på NemLog-in Administration og udpeg en it-systemadministrator.
     It-systemadministratoren kan herefter administrere den tekniske integration for it-systemet (uploade metadata, etc.).
     Gå til NemLog-in Administration.

  Når I har gennemført de ovenstående trin, kan I tilføje metadata for systemet og begynde jeres test.

  Ved integrationen skal I bruge et FOCES-testcertifikat. Har I ikke allerede et sådant, kan I hente og bruge testcertifikatet nedenfor.

  Koden til testcertifikatet er: Test1234

  Hent testcertifikat.