Forløb for tilslutning til NemLog-in
Den overordnede planlægning af opgaverne nedenfor vil typisk ligge hos ledelsen i jeres organisation, fx ift. ressourcer. Derimod vil selve eksekveringen af opgaverne i høj grad ligge hos organisationens it-afdeling. Det kan være en god idé at begynde planlægningen allerede nu, og det er også muligt at begynde at gøre klar til tilslutning til det nye NemLog-in.
-
National Standard for Identiteters Sikringsniveauer (NSIS) vil gælde for hele den nye infrastruktur. Det betyder, at tjenesteudbydere skal foretage en NSIS-risikovurdering af deres tjeneste og implementere brugen af de nye sikringsniveauer. Desuden skal I igennem NemLog-ins test cases bl.a. for at sikre, at brugere på for lavt sikringsniveau ikke kan logge ind.
I skal være opmærksomme på, at brugere, der er autentificeret via NemLog-in, ikke nødvendigvis er logget på med NemID eller MitID. Grunden til dette er, at der i det nye NemLog-in er flere identifikationsmidler og flere sikringsniveauer. Det betyder, at brugerens aktuelle sikringsniveau afhænger af, hvilket identifikationsmiddel brugeren vælger at bruge til det enkelte login.
Teknisk betyder implementeringen, at jeres tjeneste bør meddele det krævede sikringsniveau, når brugeren vil logge på, og skal kontrollere det opnåede sikringsniveau efter login. Denne implementering skal I foretage, inden I tilslutter jeres tjeneste til den nye OIOSAML 3 snitflade.
I foretager en NSIS-risikovurdering ved at undersøge, hvilke risici der er, når en bruger logger ind på jeres tjeneste. Ved vurderingen skal I tage højde for, både hvilke risici der er for jer som tjenesteudbyder og for brugere af jeres tjeneste. Digitaliseringsstyrelsen har, i samarbejde med KOMBIT, udarbejdet et Excel-værktøj, til at støtte tjenesteudbydere i vurderingen af behov for sikringsniveau. De har desuden udarbejdet en vejledning til valg af sikringsniveau, som bl.a. forklarer, hvordan I bruger Excel-værktøjet. Du finder både Excel-værktøjet og vejledningen via linket nedenfor.
-
Når I skal tilsluttes NemLog-in, skal I gennemføre et tilslutningsforløb.
En ledelsesrepræsentant i den organisation I ønsker at tilslutte, skal igennem tilslutningsforløbet, hvorefter I får adgang til at implementere NemLog-in og OIOSAML 3.
Når ovenstående er gennemført, har I adgang til at påbegynde implementeringsopgaverne.
-
Når I har modtaget bekræftelse på at I er tilsluttet det nye NemLog-in, får I adgang til at begynde implementeringen af NemLog-in.
I forbindelse med implementeringen af NemLog-in skal I også implementere OIOSAML 3. OIOSAML profilen er en dansk specialisering af den tekniske standard SAML og udgør den tekniske protokol for integration mellem de selvbetjeningsløsninger, som er tilsluttet NemLog-in. Integrationen mellem jer som tjenesteudbyder og NemLog-in, er dermed baseret på OIOSAML 3.
-
I det nye NemLog-in vil nogle opslagstjenester bliver udfaset til fordel for nye UUID opslagstjenester.
De nye opslagstjenester er primært relevante, hvis I tilbyder signering, og ønsker at bruge den model, hvor der dannes et nyt id hver gang en bruger skriver under. Når I bruger denne model, kan det ikke umiddelbart udledes af to underskrevne dokumenter, om det er samme bruger, der har skrevet under. I disse situationer vil det derfor være nødvendigt at anvende de nye UUID-match tjenester, som er en del af opslagstjenesterne, for at identificere den der har skrevet under.
Når I tillslutter jer NemLog-in, og dermed implementerer OIOSAML, vil I få alle relevante attributter direkte i SAML assertions (CPR, CPRUUID, PID, RID, CVR). Vi anbefaler derfor, at I orienterer jer i OIOSAML 3, og undersøger, om det er relevant for jer at implementere de nye opslagstjenester.
-
I NemLog-ins nye signeringsløsning skal I være særligt opmærksomme på:
- Nye signeringsformater: Den nuværende signeringsløsning fra NemLog-in bruger XML-dSig-format (OpenSign), ved underskrift af elektroniske dokumenter. Det bliver erstattet af nye formater: XAdES- og PAdES (XML Advanced Electronic Signatures og PDF Advanced Electronic Signatures). I skal beslutte, hvilket input- og output-format I vil bruge. Der understøttes de samme input-formater i NemLog-in signering som i NemID signering. Dvs. tekst, HTML, PDF eller XML. Output-formaterne ændrer sig derimod. I skal derfor beslutte, om I vil bruge XAdES eller PAdES. I kan vælge output-format uafhængigt af input-format.
- Nye metoder for validering af signaturer: Hvis I validerer elektroniske signaturer lavet med NemID i dag, skal I udvikle understøttelse af validering af signaturer med privat MitID og brugerprofiler fra MitID Erhverv. I kan enten bruge NemLog-ins nye valideringstjeneste eller etablere jeres egen valideringsløsning ved at anvende EU’s DSS-bibliotek, som er open source. Begge muligheder er gratis.
- Ændringer i opbevaring af signaturbeviser: I dag bliver signaturbeviset gemt centralt i NemLog-in. Fremover vil signaturbeviset automatisk være en integreret del af det signerede dokument. Hvis I ønsker at opbevare en lokal kopi af signaturbeviset, skal I blot gemme en kopi af det signerede dokument.
- Ny integration: Hvis I bruger NemLog-ins signeringsløsning i dag, integrerer jeres tjeneste til løsningen via webservices i NemLog-in. Med det nye NemLog-in vil integrationen foregå med SignSDK, der er tilgængeligt i Java og C#. I skal desuden integrere signeringsklienten direkte på jeres hjemmeside, i stedet for at anvende klienten i NemLog-ins signeringsløsning. Den nye signeringsklient holder det dokument, som skal signeres, i brugerens browser uden at sende til den nye back-end.
- Identifikation af underskriver: I dag fremgår det direkte i det signerede dokument, hvilken bruger der har skrevet under, idet brugeren umiddelbart kan identificeres med PID/CVR+RID i certifikatet. Den nye signeringsløsning understøtter en lignende model, hvor tilsvarende faste, unikke identifikatorer fremgår af signeringscertifikatet (CPR-UUID for private signaturer og et fast erhvervsbruger-UUID for erhvervsidentiteter). Derudover understøttes en mere privatlivsvenlig model, hvor der bliver dannet et nyt id, hver gang en bruger skriver under. Dermed kan det ikke umiddelbart udledes af to underskrevne dokumenter, om det er samme bruger, der har skrevet under. I disse situationer vil det være nødvendigt at anvende de nye UUID-match tjenester, som er en del af opslagstjenesterne for at identificere underskriver.
Dokumentation til den nye signeringsløsning og valideringstjeneste er tilgængelig i beta-version.
-
Før I kan tage jeres tjeneste i brug med det nye NemLog-in, skal I igennem nedenstående punkter:
- Tilslut jeres tjeneste til NemLog-ins integrationstestmiljø som OIOSAML3 tjeneste. Det gør I i NemLog-in Administration.
- Udfør integrationstest af jeres tjeneste.
- Udarbejd en testrapport for testen, og upload den til NemLog-in Administration.
Forud for testrapporten kan I teste alle de funktioner, I har i jeres tjeneste, både lokalt i jeres egne systemer og i det nye testmiljø. I kan allerede nu teste de nye system- og organisationscertifikater i det nye testmiljø.
Den uploadede testrapport skal herefter godkendes af Nets. Når testrapporten er godkendt, kan jeres tjeneste tilsluttes produktion.
Digitaliseringsstyrelsen udvider den nuværende testrapport-template med testcases for OIOSAML 3, så I kan bruge den til at udarbejde jeres nye testrapport.