Find ud af, hvad en Lokal IdP er, hvilke muligheder en Lokal IdP kan give jer, og hvordan I kan forberede og implementere en Lokal IdP.
Denne side er primært relevant for
Denne side giver jer et overblik over følgende emner:
Med en Lokal IdP (lokal identitetsudbyder) får jeres organisation mulighed for at udstede jeres egne identifikationsmidler til jeres brugere.
Brugerne anvender derfor det samme lokalt udstedte identifikationsmiddel til at bekræfte deres identitet , når de skal logge ind på jeres egne it-systemer og selvbetjeninger. Typisk kombinerer organisationerne et brugernavn og kodeord med ekstra faktorer på særlige hardwareenheder. Det kan fx være apps på mobile enheder.
Det kræver teknisk modenhed og kapacitet at etablere og vedligeholde en Lokal IdP, der stiller høje sikkerhedskrav. I skal derfor være opmærksomme på følgende 4 punkter:
Før I begynder at etablere en Lokal IdP, kan I med fordel overveje jeres forretningsmæssige behov og ønsker, herunder:
Når I har dannet jer et overblik, kan I med fordel etablere et projekt og skabe opbakning hertil internt i egen organisation.
Hvis I ønsker at etablere en Lokal IdP, er det en forudsætning, at jeres Lokal IdP lever op til kravene i NSIS (National Standard for Identiteters Sikkerhedsniveauer).
Jeres Lokal IdP skal være NSIS-anmeldt og fremgå af NSIS-positivlisten senest ved tilslutning af Lokal IdP i produktion.
Implementering af NSIS-standarden involverer en række forskellige discipliner – både tekniske, organisatoriske og sikkerhedsmæssige. Det er derfor vigtigt ikke at betragte opgaven som et rent teknisk implementeringsprojekt:
Digitaliseringsstyrelsens hjemmeside: National Standard for Identiteters Sikringsniveauer (NSIS)
Digitaliseringsstyrelsens hjemmeside: OIOSAML profilerJeres brugere, der er oprettet i jeres lokal IdP, kan logge ind på selvbetjeninger med jeres egne identifikationsmidler, som de gør på jeres egne systemer. Men de kan ikke underskrive på vegne af jeres organisation.
Hvis jeres brugere skal underskrive på vegne af organisationen, er der nogle yderligere krav, som gør sig gældende. I kan læse nærmere her:
At underskrive på vegne af organisationen, når brugeren er oprettet i en Lokal IdP
Når I har gjort alt ovenfor, er I klar til at etablere en Lokal IdP. I kan læse nærmere om:
Vejledningen er delt op i 6 trin:
I har mulighed for at sætte en testorganisation op. Det kan I gøre i MitID Erhvervs integrationstestmiljø, hvor I fx kan afprøve:
MitID Erhverv integrationstestmiljø: Test MitID Erhverv funktioner
Det er en forudsætning, at I indhenter de nødvendige revisionserklæringer og ledelseserklæringer til brug for NSIS-anmeldelsen.
Vi anbefaler, at I har en tidlig dialog med revisor. Der må påregnes et vist arbejde i at indhente de nødvendige revisionserklæringer samt sikre, at den relevante dokumentation for systemer og processer er fyldestgørende samt tilgængelig for revisor.
Digitaliseringsstyrelsens hjemmeside: National Standard for Identiteters Sikringsniveauer (NSIS)
Når I har indhentet og udarbejdet relevant dokumentation, skal I sende en samlet anmeldelsespakke (inklusiv revisionserklæringer) til NSIS Tilsynet i Digitaliseringsstyrelsen:
NSIS Tilsynet i Digitaliseringsstyrelsen: E-mail
Herefter skal I afvente en tilbagemelding fra NSIS Tilsynet. Det kan ske, at I modtager supplerende spørgsmål fra NSIS Tilsynet, før I kan blive NSIS-anmeldt.
Læs mere om, hvad pakken skal indeholde, og læs ofte stillede spørgsmål om NSIS:
Digitaliseringsstyrelsens hjemmeside: Ofte stillede spørgsmål om NSIS
NSIS Tilsynet håndterer NSIS-anmeldelserne så hurtigt som muligt, og som udgangspunkt inden for 30 dage. Hvor lang tid anmeldelsen tager afhænger af:
Når jeres Lokal IdP fremgår af NSIS-positivlisten på Digitaliseringsstyrelsens hjemmeside, skal jeres organisation kontakte MitID Erhverv per e-mail. E-mailen skal indeholde følgende oplysninger:
MitID Erhverv åbner op for, at I kan opsætte jeres Lokal IdP i produktion i MitID Erhverv.
Når I har fået bekræftelse per e-mail, er I klar til at opsætte jeres Lokal IdP.
Orienter jer i NSIS-positivlisten:
Digitaliseringsstyrelsens hjemmeside: National Standard for Identiteters Sikringsniveauer (NSIS)
Nu skal jeres organisation opsætte jeres Lokal IdP i MitID Erhvervs produktionsmiljø. Det gør en organisationsadministrator i jeres organisation.
Læs vejledningen til, hvordan jeres organisationsadministrator opsætter jeres lokal IdP:
Figuren nedenfor viser processen for, hvordan jeres organisation etablerer en Lokal IdP:
Hvis brugere i jeres organisation er oprettet i jeres Lokal IdP, kan de logge ind på selvbetjeninger med jeres egne identifikationsmidler, som de gør på jeres eget system. Brugerne har dog ikke mulighed for at underskrive på vegne af organisationen. Det skyldes, at det kun er muligt at signere på vegne af organisationen, hvis brugeren er registreret i overensstemmelse med eIDAS-forordningen:
Europa-Kommissionens hjemmeside: eIDAS-forordningen
Hvis jeres brugere har behov for at signere på vegne af jeres organisation, kan I aktivere denne mulighed på en af 3 måder. I kan:
Brugere, som er oprettet i jeres Lokal IdP, kan bekræfte deres identitet med deres private MitID, som de fx bruger til at logge ind på egen netbank med. Så kan de skrive under på vegne af jeres organisation med jeres lokale identifikationsmiddel.
For at bekræfte sin identitet med privat MitID skal brugeradministrator eller brugeren selv generere en e-mail med et link til at bekræfte identiteten med privat MitID.
Hvis brugeradministrator skal generere e-mailen, skal brugeradministrator:
Så modtager brugeren en e-mail med et link. Det følger brugeren for at bekræfte sin identitet med sit private MitID.
Hvis brugeren selv skal generere en e-mail til at bekræfte sin identitet med privat MitID, skal brugeren:
Så modtager brugeren en e-mail, hvor brugeren skal bekræfte sin identitet med sit private MitID.
Brugere i jeres organisation får mulighed for at skrive under på vegne af organisationen med jeres lokale identifikationsmiddel, hvis I indsender en supplerende revisionserklæring om anvendte registreringsprocesser relateret til jeres Lokal IdP.
I skal blot sende den supplerende revisionserklæring til MitID Erhverv, ikke til NSIS Tilsynet.
I kan finde nærmere krav til revisionserklæringen i afsnit 5.4.3.1: ”Afgivelse af en revisionserklæring” i Bilag 7: ”MitID Erhverv Vilkår for anvendelse af Lokal IdP”:
Bilag 7 MitID Erhverv Vilkår for anvendelse af Lokal IdP (pdf)
Efter I har indsendt den supplerende revisionserklæring, modtager I en e-mail fra MitID Erhverv om, at jeres brugere nu kan skrive under på vegne af organisationen med jeres lokale identifikationsmiddel.
Brugere i jeres organisation får muligheden for at skrive under på vegne af organisationen med jeres lokale identifikationsmiddel, hvis I indsender en overensstemmelsesvurderingsrapport, som bekræfter, at de lokale registreringsprocesser overholder kravene fastsat i artikel 24.1 i eIDAS forordningen. Overensstemmelsesvurderingsrapporten skal fremsendes til eIDAS Tilsynsorganet i Digitaliseringsstyrelsen med en kopi til MitID Erhverv.
I kan finde nærmere krav til overensstemmelsesvurderingsrapporten i afsnit 5.4.3.2: ”Afgivelse af overensstemmelsesvurderingsrapport” i Bilag 7: ”MitID Erhverv Vilkår for anvendelse af Lokal IdP”:
Bilag 7, MitID Erhverv Vilkår for anvendelse af Lokal IdP (pdf)
Efter I har sendt jeres overensstemmelsesvurderingsrapport, modtager I en e-mail fra MitID Erhverv om, at brugere, som er oprettet i jeres Lokal IdP, nu kan skrive under på vegne af organisationen med jeres lokale identifikationsmiddel.
Hvis jeres organisation har etableret en Lokal IdP i MitID Erhverv, har I mulighed for at stille jeres Lokal IdP til rådighed for andre organisationer. Så bliver I en FullService Lokal IdP.
Jeres organisation kan også vælge at bruge en anden organisations Lokal IdP i stedet for at etablere jeres egen.
En organisation, som har etableret en Lokal IdP, kan give andre organisationer mulighed for at gøre brug af denne. Fordelen ved dette er, at de andre organisationer, som vælger at bruge den etablerede Lokal IdP, ikke selv skal foretage en NSIS-anmeldelse.
Organisationer, som stiller en FullService Lokal IdP til rådighed, varetager alle tekniske og processuelle forhold reguleret i NSIS, herunder registrering og identitetssikring af lokale brugere og udstedelse af lokale identifikationsmidler.
En FullService Lokal IdP er underlagt revision, som er krævet efter NSIS-standarden. Derfor er det organisationen, som er etableret som FullService Lokal IdP, der fremgår af NSIS-positivlisten.
Læs mere om NSIS:
Digitaliseringsstyrelsens hjemmeside: National Standard for Identiteters Sikringsniveauer (NSIS)
Hvis I stiller jeres egen FullService Lokal IdP til rådighed, fastlægger I selv jeres aftaler med de organisationer, der vælger at bruge jeres Lokal IdP.
Som udbyder af en FullService Lokal IdP skal I underskrive en fælles ledelseserklæring med de organisationer, som ønsker at bruge jeres Lokal IdP.
Det er den enkelte organisation, som anvender jeres FullService Lokal IdP, der sender den fælles ledelseserklæring ind til MitID Erhverv. Derfor behøver I som udbyder af en FullService Lokal IdP ikke at dokumentere aftaleforholdene over for MitID Erhverv.
Hvis I ønsker at anvende en FullService Lokal IdP, som er tilbudt af en anden organisation, skal I lave en aftale med en udbyder af en FullService Lokal IdP.
MitID Erhverv kan ikke oplyse, hvilke FullService Lokal IdP’er, der er til rådighed. I kan orientere jer i NSIS-positivlisten samt opsøge markedet for mulige FullService Lokal IdP’er i Danmark:
Når I har indgået en aftale med en udbyder af en FullService Lokal IdP, skal I sende følgende 2 dokumenter til MitID Erhverv:
Ledelseserklæring og fælles ledelseserklæring
Når I har indgået aftale med en FullService Lokal IdP og skal tilkobles i MitID Erhverv, skal I sende en e-mail til MitID Erhverv.
E-mailen skal indeholde følgende 7 informationer:
Find svar på spørgsmål om Lokal IdP.
Som udgangspunkt har NSIS Tilsynet 30 dages behandlingstid. NSIS Tilsynet tilstræber at håndtere behandlingen af indsendte NSIS-anmeldelse så hurtigt som muligt. Det er derfor ikke givet, at behandlingen vil tage 30 dage. Det vil afhænge af:
En rettighed i MitID Erhverv er en adgang eller ret til at udføre en bestemt opgave i en selvbetjening. Brugere tildeles rettigheder i MitID Erhverv på samme måde, uanset om de bruger MitID identifikationsmidler eller lokale identifikationsmidler fra en Lokal IdP. Rettigheder kobles med andre ord på brugeren uafhængigt af identifikationsmidlet.
Rettigheder kan tildeles:
Hvis I vælger at tildele rettigheder i MitID Erhverv, skal rettighedsadministrator eller brugeradministrator i jeres organisation gøre det. Vejledningen findes her:
For Lokal IdP'er er der desuden mulighed for at medsende information om grupper i det lokalt udstedte token, som kan ekspanderes til rettigheder i MitID Erhverv. Dette er nærmere beskrevet i afsnit 8 i den tekniske integrationsvejledning til Lokal IdP:
Brug af API’et er gratis, men der skal betales for antallet af brugere, som er mere end 3 brugere.
Følgende kan også være relevant for jeres organisation, som bruger avanceret funktionalitet i MitID Erhverv.