Lokal IdP

Det kræver teknisk modenhed og kapacitet at etablere og vedligeholde en Lokal IdP, der stiller høje sikkerhedskrav. I skal derfor være opmærksomme på følgende 4 punkter:

• For at tilslutte en Lokal IdP skal I implementere NSIS-standarden (National Standard for Identiteters Sikkerhedsniveauer) på det relevante sikkerhedsniveau (betydelig eller høj) og godkendes af NSIS Tilsynet i Digitaliseringsstyrelsen.
• I skal investere tid, kompetencer samt ressourcer for at blive NSIS-anmeldt og gennemføre efterfølgende revision hvert år.
• I skal selv vedligeholde egne identifikationsmidler.
• Det er oftest mere ressourcekrævende og finansielt tungt at have en Lokal IdP og udstede egne identifikationsmidler end at bruge MitID identifikationsmidler i organisationen.

Før I begynder at etablere en Lokal IdP, kan I med fordel overveje jeres forretningsmæssige behov og ønsker, herunder:

• NSIS-sikringsniveauet for de tjenester, jeres brugere skal kunne tilgå (betydelig eller høj)
• krav til oppetid, svartid og andre servicemål
• hvordan lokale erhvervsidentiteter oprettes: Ønsker I en integration mellem et eventuelt lokalt IdM system og MitID Erhverv? Eller vil I administrere brugere direkte i MitID Erhverv?

Når I har dannet jer et overblik, kan I med fordel etablere et projekt og skabe opbakning hertil internt i egen organisation.

Hvis I ønsker at etablere en Lokal IdP, er det en forudsætning, at jeres Lokal IdP lever op til kravene i NSIS (National Standard for Identiteters Sikkerhedsniveauer).

Jeres Lokal IdP skal være NSIS-anmeldt og fremgå af NSIS-positivlisten senest ved tilslutning af Lokal IdP i produktion.

Implementering af NSIS-standarden involverer en række forskellige discipliner – både tekniske, organisatoriske og sikkerhedsmæssige. Det er derfor vigtigt ikke at betragte opgaven som et rent teknisk implementeringsprojekt:

• Identificér ønsket proces for identitetssikring:
  • Skal jeres brugere fx første gang logge på med privat MitID?
  • Sker identitetssikringen i den lokale indrulleringsapplikation eller centralt i NemLog-in?
  • Skal brugerne i stedet møde fysisk op og præsentere pas/kørekort?
• Afklar, hvilken type identifikationsmidler I vil udstede lokalt, og hvordan de udleveres og håndteres. Typisk kombineres et brugernavn og kodeord med ekstra faktorer på særlige hardwareenheder fra fx apps på mobile enheder.
• Afklar, hvordan autentifikationsservicen etableres teknisk (IdP), og hvordan den kan understøtte de valgte sikringsniveauer. Den lokale IdP skal udstille en SAML-snitflade, som opfylder kravene i ”OIOSAML Local IdP Profile”.
• Afklar krav til driftsfaciliteter og teknisk sikkerhed: Er jeres nuværende driftsfaciliteter modne nok, eller skal der ske forbedringstiltag?
• Afdæk behov for uddannelse af jeres brugeradministrator, der skal arbejde med fx identitetssikring.
• Etabler ledelsessystem for informationssikkerhed (ISMS) eller tilpas eksisterende, så det dækker processer for identitetshåndtering.
• Afklar håndtering af underleverandører af fx software eller drift, som leverer dele af den lokale implementering.
• Beskriv processer, sikkerhedsdesign og tekniske systemer, og få design.
• Planlæg, hvordan systemer og processer kan auditeres af ekstern revisor: Det er fx vigtigt, at der sikres et tilstrækkeligt revisionsspor, så revisor kan konstatere, at processer, personer og systemer udfører de kontroller, som er tiltænkt.

Digitaliseringsstyrelsens hjemmeside: National Standard for Identiteters Sikringsniveauer (NSIS)

Jeres brugere, der er oprettet i jeres lokal IdP, kan logge ind på selvbetjeninger med jeres egne identifikationsmidler, som de gør på jeres egne systemer. Men de kan ikke underskrive på vegne af jeres organisation.

Hvis jeres brugere skal underskrive på vegne af organisationen, er der nogle yderligere krav, som gør sig gældende. I kan læse nærmere her:

At underskrive på vegne af organisationen, når brugeren er oprettet i en Lokal IdP

1. Etablér miljøer til Lokal IdP og tilhørende brugerkatalog, og etablér de nødvendige komponenter og services.
2. Anskaf nødvendige certifikater til Lokale IdP'en.
3. Foretag lokal test, herunder både funktionel test og sikkerhedstest.
4. Gennemfør test af organisatoriske processer.

I har mulighed for at sætte en testorganisation op. Det kan I gøre i MitID Erhvervs integrationstestmiljø, hvor I fx kan afprøve:

• IdM
• certifikat API’er
• jeres Lokal IdP-integration.

MitID Erhverv integrationstestmiljø: Test MitID Erhverv funktioner

Det er en forudsætning, at I indhenter de nødvendige revisionserklæringer og ledelseserklæringer til brug for NSIS-anmeldelsen.

Vi anbefaler, at I har en tidlig dialog med revisor. Der må påregnes et vist arbejde i at indhente de nødvendige revisionserklæringer samt sikre, at den relevante dokumentation for systemer og processer er fyldestgørende samt tilgængelig for revisor.

Digitaliseringsstyrelsens hjemmeside: National Standard for Identiteters Sikringsniveauer (NSIS)

Når I har indhentet og udarbejdet relevant dokumentation, skal I sende en samlet anmeldelsespakke (inklusiv revisionserklæringer) til NSIS Tilsynet i Digitaliseringsstyrelsen:

NSIS Tilsynet i Digitaliseringsstyrelsen: E-mail

Herefter skal I afvente en tilbagemelding fra NSIS Tilsynet. Det kan ske, at I modtager supplerende spørgsmål fra NSIS Tilsynet, før I kan blive NSIS-anmeldt.

Læs mere om, hvad pakken skal indeholde, og læs ofte stillede spørgsmål om NSIS:

Digitaliseringsstyrelsens hjemmeside: Ofte stillede spørgsmål om NSIS

NSIS Tilsynet håndterer NSIS-anmeldelserne så hurtigt som muligt, og som udgangspunkt inden for 30 dage. Hvor lang tid anmeldelsen tager afhænger af:

• anmeldelsens kompleksitet
• fuldstændighed og kvalitet
• antallet af igangværende behandlinger af NSIS-anmeldelser
• ressourcer i NSIS Tilsynet.

Når jeres Lokal IdP fremgår af NSIS-positivlisten på Digitaliseringsstyrelsens hjemmeside, skal jeres organisation kontakte MitID Erhverv per e-mail. E-mailen skal indeholde følgende oplysninger:

• Organisationens navn.
• CVR-nummer.
• EntityID for Lokal IdP.
• Om jeres organisation bruger egen Lokal IdP eller en ekstern full-service Lokal IdP.
• Åbner brugernes mulighed for at skrive under på vegne af organisationen. Dette forudsætter, at organisationen lever op til kravene. Læs mere om kravene under afsnittet ”At underskrive på vegne af organisationen, når brugeren er oprettet i en Lokal IdP”.
• Navn, telefon og e-mailadresse på kontaktperson.

MitID Erhverv åbner op for, at I kan opsætte jeres Lokal IdP i produktion i MitID Erhverv.

MitID Erhverv: E-mail

Når I har fået bekræftelse per e-mail, er I klar til at opsætte jeres Lokal IdP.

Orienter jer i NSIS-positivlisten:

Digitaliseringsstyrelsens hjemmeside: National Standard for Identiteters Sikringsniveauer (NSIS)

Nu skal jeres organisation opsætte jeres Lokal IdP i MitID Erhvervs produktionsmiljø. Det gør en organisationsadministrator i jeres organisation.

Læs vejledningen til, hvordan jeres organisationsadministrator opsætter jeres lokal IdP:

Administrér Lokal IdP

Brugere, som er oprettet i jeres Lokal IdP, kan bekræfte deres identitet med deres private MitID, som de fx bruger til at logge ind på egen netbank med. Så kan de skrive under på vegne af jeres organisation med jeres lokale identifikationsmiddel.

For at bekræfte sin identitet med privat MitID skal brugeradministrator eller brugeren selv generere en e-mail med et link til at bekræfte identiteten med privat MitID.

Hvis brugeradministrator skal generere e-mailen, skal brugeradministrator:

• logge ind på MitID Erhverv
• finde den bruger, der skal bekræfte sin identitet, under menuen ”Brugere”
• generere en e-mail under ”Underskrift”.

Så modtager brugeren en e-mail med et link. Det følger brugeren for at bekræfte sin identitet med sit private MitID.

Hvis brugeren selv skal generere en e-mail til at bekræfte sin identitet med privat MitID, skal brugeren:

• logge ind på MitID Erhverv
• generere en e-mail under ”Stamdata”.

Så modtager brugeren en e-mail, hvor brugeren skal bekræfte sin identitet med sit private MitID.

MitID Erhverv: Login

Brugere i jeres organisation får mulighed for at skrive under på vegne af organisationen med jeres lokale identifikationsmiddel, hvis I indsender en supplerende revisionserklæring om anvendte registreringsprocesser relateret til jeres Lokal IdP.

I skal blot sende den supplerende revisionserklæring til MitID Erhverv, ikke til NSIS Tilsynet.

I kan finde nærmere krav til revisionserklæringen i afsnit 5.4.3.1: ”Afgivelse af en revisionserklæring” i Bilag 7: ”MitID Erhverv Vilkår for anvendelse af Lokal IdP”:

Bilag 7 MitID Erhverv Vilkår for anvendelse af Lokal IdP (pdf)

MitID Erhverv: E-mail

Efter I har indsendt den supplerende revisionserklæring, modtager I en e-mail fra MitID Erhverv om, at jeres brugere nu kan skrive under på vegne af organisationen med jeres lokale identifikationsmiddel.

Brugere i jeres organisation får muligheden for at skrive under på vegne af organisationen med jeres lokale identifikationsmiddel, hvis I indsender en overensstemmelsesvurderingsrapport, som bekræfter, at de lokale registreringsprocesser overholder kravene fastsat i artikel 24.1 i eIDAS forordningen. Overensstemmelsesvurderingsrapporten skal fremsendes til eIDAS Tilsynsorganet i Digitaliseringsstyrelsen med en kopi til MitID Erhverv.

I kan finde nærmere krav til overensstemmelsesvurderingsrapporten i afsnit 5.4.3.2: ”Afgivelse af overensstemmelsesvurderingsrapport” i Bilag 7: ”MitID Erhverv Vilkår for anvendelse af Lokal IdP”:

Bilag 7, MitID Erhverv Vilkår for anvendelse af Lokal IdP (pdf)

MitID Erhverv: E-mail

eIDAS Tilsynsorganet: E-mail

Efter I har sendt jeres overensstemmelsesvurderingsrapport, modtager I en e-mail fra MitID Erhverv om, at brugere, som er oprettet i jeres Lokal IdP, nu kan skrive under på vegne af organisationen med jeres lokale identifikationsmiddel.

En organisation, som har etableret en Lokal IdP, kan give andre organisationer mulighed for at gøre brug af denne. Fordelen ved dette er, at de andre organisationer, som vælger at bruge den etablerede Lokal IdP, ikke selv skal foretage en NSIS-anmeldelse.

Organisationer, som stiller en FullService Lokal IdP til rådighed, varetager alle tekniske og processuelle forhold reguleret i NSIS, herunder registrering og identitetssikring af lokale brugere og udstedelse af lokale identifikationsmidler.

En FullService Lokal IdP er underlagt revision, som er krævet efter NSIS-standarden. Derfor er det organisationen, som er etableret som FullService Lokal IdP, der fremgår af NSIS-positivlisten.

Læs mere om NSIS:

Digitaliseringsstyrelsens hjemmeside: National Standard for Identiteters Sikringsniveauer (NSIS)

Hvis I stiller jeres egen FullService Lokal IdP til rådighed, fastlægger I selv jeres aftaler med de organisationer, der vælger at bruge jeres Lokal IdP.

Som udbyder af en FullService Lokal IdP skal I underskrive en fælles ledelseserklæring med de organisationer, som ønsker at bruge jeres Lokal IdP.

Det er den enkelte organisation, som anvender jeres FullService Lokal IdP, der sender den fælles ledelseserklæring ind til MitID Erhverv. Derfor behøver I som udbyder af en FullService Lokal IdP ikke at dokumentere aftaleforholdene over for MitID Erhverv.

Ledelseserklæring og fælles ledelseserklæring

MitID Erhverv: E-mail

Hvis I ønsker at anvende en FullService Lokal IdP, som er tilbudt af en anden organisation, skal I lave en aftale med en udbyder af en FullService Lokal IdP.

MitID Erhverv kan ikke oplyse, hvilke FullService Lokal IdP’er, der er til rådighed. I kan orientere jer i NSIS-positivlisten samt opsøge markedet for mulige FullService Lokal IdP’er i Danmark:

Digitaliseringsstyrelsens hjemmeside: Tilsyn med National Standard for Identiteters Sikringsniveauer (NSIS)

Når I har indgået en aftale med en udbyder af en FullService Lokal IdP, skal I sende følgende 2 dokumenter til MitID Erhverv:

• Underskrevet ledelseserklæring.
• Fælles ledelseserklæring, hvor både jer selv som anvendere og udbyderen af full-service lokal IdP’en har underskrevet aftaleforholdet.

Ledelseserklæring og fælles ledelseserklæring

Når I har indgået aftale med en FullService Lokal IdP og skal tilkobles i MitID Erhverv, skal I sende en e-mail til MitID Erhverv.

E-mailen skal indeholde følgende 7 informationer:

• Emnefelt: Anvend FullService Lokal IdP.
• Jeres CVR-nummer.
• Kontaktpersonens oplysninger:
  • Navn
  • E-mail
  • Telefonnummer
• Vedhæft:
  • Underskrevet ledelseserklæring
  • Fællesledelseserklæring

MitID Erhverv: E-mail

Som udgangspunkt har NSIS Tilsynet 30 dages behandlingstid. NSIS Tilsynet tilstræber at håndtere behandlingen af indsendte NSIS-anmeldelse så hurtigt som muligt. Det er derfor ikke givet, at behandlingen vil tage 30 dage. Det vil afhænge af:

• NSIS-anmeldelsens:
  • kompleksitet
  • fuldstændighed
  • kvalitet
• antallet af igangværende behandlinger af NSIS-anmeldelser
• ressourcesituationen i NSIS Tilsynet.

En rettighed i MitID Erhverv er en adgang eller ret til at udføre en bestemt opgave i en selvbetjening. Brugere tildeles rettigheder i MitID Erhverv på samme måde, uanset om de bruger MitID identifikationsmidler eller lokale identifikationsmidler fra en Lokal IdP. Rettigheder kobles med andre ord på brugeren uafhængigt af identifikationsmidlet.

Rettigheder kan tildeles:

• via integration til IdM API’et
• i MitID Erhverv.

Hvis I vælger at tildele rettigheder i MitID Erhverv, skal rettighedsadministrator eller brugeradministrator i jeres organisation gøre det. Vejledningen findes her:

Tildel eller slet rettigheder

For Lokal IdP'er er der desuden mulighed for at medsende information om grupper i det lokalt udstedte token, som kan ekspanderes til rettigheder i MitID Erhverv. Dette er nærmere beskrevet i afsnit 8 i den tekniske integrationsvejledning til Lokal IdP:

NemLog-in.dk: Integrationsvejledning til Lokal IdP (pdf)

Brug af API’et er gratis, men der skal betales for antallet af brugere, som er mere end 3 brugere.