Guide til implementering af Lokal IdP

Introduktion til guiden

Guiden foreligger i en version 1.1. Der er dele, der endnu ikke er fuldt ud beskrevet. Enkelte tekniske detaljer udestår. Guiden vil derfor blive udbygget i takt med, at afklaringer og specifikationer falder på plads.

Læs guide til implementering af Lokal IdP (Pdf)

Guidens otte trin til etablering af Lokal IdP

• Trin 1: Afklar ønsker og behov, fx NSIS sikringsniveau og integration

  Afklar jeres ønsker til og forretningsmæssige behov for Lokal IdP.

  • Tag stilling til NSIS sikringsniveauet for de tjenester, som jeres brugere skal kunne tilgå. Overvej, om brugerne skal kunne autentificere sig på niveau Betydelig eller Høj. I kan evt. opdele brugerne i forskellige grupper efter deres behov.
  • Tag stilling til krav til oppetid, svartider og andre servicemål for jeres lokale IdP. Formålet er, at I får en løsning, der kommer jeres forretningsmæssige behov i møde.
  • Overvej, hvordan lokale erhvervsidentiteter også er oprettet centralt i NemLog-ins erhvervsløsning, MitID Erhverv. Ønsker I en integration mellem jeres lokale IdM system og MitID Erhverv? Eller vil I administrere brugere direkte i MitID Erhverv?
• Trin 2: Etablér projekt, og skab ledelsesopbakning

  Organisér et projekt om etablering og implementering af Lokal IdP i jeres organisation.

• Trin 3: Sammenhold NSIS-krav med nuværende processer og systemer

  Foretag en gap-analyse, som sammenholder NSIS-krav på det ønskede sikringsniveau med jeres nuværende processer og systemer.

  Det omfatter bl.a. følgende:

  • Tag stilling til ønsket proces for identitetssikring: Skal brugerne fx første gang logge på med privat MitID? Skal det første log-in ske i en lokal indrulleringsapplikation eller centralt i NemLog-in? Skal brugerne møde fysisk op og vise pas, kørekort mv.
  • Afklar, hvilke typer identifikationsmidler I vil udstede lokalt. Tag også stilling til, hvordan I vil udlevere og håndtere dem. En typisk løsning vil være at kombinere et brugernavn og kodeord med ekstra faktorer på særlige hardwareenheder, fx apps på mobile enheder.
  • Afklar, hvordan I teknisk vil etablere servicen for autentifikation, og hvordan den kan understøtte de valgte sikringsniveauer. Den lokale IdP skal udstille en SAML snitflade, som opfylder kravene i ’OIOSAML Local IdP Profile’.
  • Afklar krav til driftsfaciliteter og teknisk sikkerhed. Er nuværende driftsfaciliteter modne nok, eller skal de forbedres?
  • Afdæk behov for uddannelse af brugere, der skal arbejde med fx identitetssikring.
  • Etablér et ledelsessystem for informationssikkerhed (ISMS). Hvis I allerede har et, skal I tilpasse det, så det dækker processer for identitetshåndtering.
  • Afklar håndtering af underleverandører af fx software og drift, som leverer dele af den lokale implementering.
  • Beskriv processer, sikkerhedsdesign og tekniske systemer. Sørg for, at design bliver reviewet.
  • Planlæg, hvordan systemer og processer kan auditeres af en ekstern revisor. Det er fx vigtigt, at I sikrer et tilstrækkeligt revisionsspor, så revisor kan konstatere, at processer, personer og systemer udfører de nødvendige kontroller.
• Trin 4: Implementér nødvendige systemer og processer
  • Byg miljøer til Lokal IdP samt tilhørende brugerkatalog. Etablér de nødvendige komponenter og services.
  • Anskaf de nødvendige certifikater til den lokale IdP.
  • Foretag lokal test. Det gælder både funktionel test og sikkerhedstest.
    Gennemfør test af organisatoriske processer.
• Trin 5: Foretag testtilslutning mod NemLog-in, og afprøv Lokal IdP i integrationstestmiljø

  Tidspunkt for mulighed for test af IdP følger.

• Trin 6: Indhent revisionserklæringer og ledelseserklæringer til NSIS anmeldelse

  Indhent de nødvendige revisionserklæringer og ledelseserklæringer til brug for jeres NSIS-anmeldelse.

  Vi anbefaler en tidlig dialog med revisor.

• Trin 7: Indsend anmeldelsespakke til Digitaliseringsstyrelsen

  Indsend anmeldelsespakke (inkl. revisionserklæringer) til Digitaliseringsstyrelsen.

  Afvent en godkendelse og evt. supplerende spørgsmål.

• Trin 8: Anmod om overførsel af Lokal IdP til NemLog-ins produktionsmiljø

  Når I har fået en godkendelse fra Digitaliseringsstyrelsen, kan I anmode om at få overført jeres lokale IdP til NemLog-ins produktionsmiljø. I anmoder via NemLog-ins Administrationskomponent. Herefter er jeres lokale IdP live og klar til autentifikation.