NemLog-in3-projektet

Baggrund

NemLog-in spiller en central rolle i Danmarks digitale infrastruktur ved at gøre det muligt for danske borgere og virksomheder at logge ind på offentlige selvbetjeningsløsninger. Digitaliseringsstyrelsen ønsker at videreføre og videreudvikle NemLog-in, hvorfor løsningen er blevet genudbudt. Som en del af NemLog-in3 skal der udvikles en løsning for erhvervsidentiteter.

Om NemLog-in løsningen

NemLog-in videreføres og vil fortsat fungere i de roller, som i dag. Det vil altså være den primære fælles identitetsbroker/IdP-løsning og integrationspunkt for offentlige tjenesteudbydere og selvbetjeningsløsninger og tilbyde den samme række af services som i dag. Det er fx loginportal med Single-sign-on (SSO) funktionalitet, fælles brugerrettighedsstyring (FBRS), signeringstjeneste (inkl. signaturvalidering), fuldmagtsfunktionalitet og Security Token Service (STS) funktionalitet.

Det forventes ikke, at der bliver ændret grundlæggende på den funktionalitet, NemLog-in allerede tilbyder i den eksisterende infrastruktur til offentlige tjenesteudbydere. Til gengæld vil der ske en række udvidelser med ny funktionalitet samt tilpasninger af den eksisterende funktionalitet.

De største tilføjelser bliver:

  • Der oprettes en ny identitetsgarant (IdP) for erhvervsidentiteter, inkl. tilhørende administrationsportal for erhvervsidentiteter til erstatning for den OCES-baserede ”NemID Medarbejdersignatur” løsning.
  • CA-funktionalitet (OCES), der i den nuværende infrastruktur leveres som en del af NemID, vil i fremtiden blive en del af scopet for NemLog-in.
  • Signeringsløsningen skal opgraderes og moderniseres væsentligt i forhold til nye signeringsstandarder mv.

En anden stor ændring bliver, at der åbnes op for, at private tjenesteudbydere skal kunne benytte dele af NemLog-in.

I forhold til eksisterende komponenter kan bl.a. følgende ændringer nævnes:

  • NemLog-in loginportalen opdateres, så den understøtter autentifikation via MitID.
  • FBRS opdateres, så komponenten bliver bedre integreret med den fremtidige portal til erhvervsidentitetsadministration.
  • Tilslutning af tjenesteudbydere og især aftaleindgåelse for virksomheder, der ønsker at udstede erhvervsidentiteter (Brugerorganisationer) samles og strømlines væsentligt.

Nedenfor følger en kort gennemgang af de væsentligste NemLog-in-komponenter, og hvordan deres rolle vil være i den fremtidige infrastruktur.

Loginportal med Single Sign On (SSO)

NemLog-ins eksisterende loginportal vil blive opdateret, så den understøtter autentifikation via MitID. Det vil kun i mindre omfang påvirke eksisterende tjenesteudbydere, da den nuværende SAML-snitflade så vidt muligt opretholdes. Enkelte attributter i den nuværende snitflade kan ikke opretholdes, da de er snævert knyttet til OCES-certifikaterne. NemLog-in bliver således en brokerløsning i forhold til MitID- infrastrukturen og vil fungere som det primære adgangspunkt for offentlige tjenesteudbydere med uændret funktionalitet ift. SSO. Derudover vil portalen også kunne benyttes af private tjenesteudbydere til at blive tilsluttet MitID infrastrukturen, dog uden mulighed for SSO.

Ud over private personidentiteter fra MitID vil loginportalen også understøtte autentifikation af erhvervsidentiteter. Afhængig af erhvervsbrugerens (og organisationens) præferencer vil erhvervsbrugeren enten kunne autentificere sig via en erhvervsidentitet, der er koblet til erhvervsbrugerens private MitID elektroniske identifikationsmidler, eller via dedikerede MitID-erhvervsidentifikationsmidler. Der indføres dermed en løsere kobling mellem erhvervsidentiteter og identifikationsmidler end i dag, hvilket giver en mere fleksibel infrastruktur og brugeroplevelse.

Såfremt brugeren har tilknyttet sine private MitID identifikationsmidler til en eller flere erhvervsidentiteter, vil loginportalen håndtere, hvilken kontekst brugeren i den konkrete session skal agere i. Den SAML-autentifikationsbillet, der leveres videre til tjenesteudbydere, kommer dermed til at være forskellig, afhængig af om brugeren vælger at agere som privatperson eller som medarbejder. Denne funktionalitet er fra marts 2017 allerede delvist implementeret i NemLog-in loginportalen i den såkaldte ”NemID Privat til Erhverv”-løsning, hvor fuldt ansvarlige deltagere og andre personer med fulde tegningsrettigheder til en virksomhed har mulighed for at logge ind som medarbejder med deres private NemID.

Der er på sigt planer om, at NemLog-in kan agere som broker for lokale Identity Providers (IdP) – reguleret inden for rammerne af NSIS-standarden. Dette tænkes realiseret ved, at der åbnes for føderering mellem NemLog-in og andre IdP’er. Herved opnås på sigt mulighed for autentifikation med andet end MitID identifikationsmidler– fx elektroniske identifikationsmidler udstedt lokalt i en organisation, der har sin egen Identity Provider.

Signering i den fremtidige infrastruktur

Der skal udvikles en signeringskomponent baseret på den nye CEN-standard for Remote Signing (CEN EN 419 241). Komponenten vil blive bygget som en del af NemLog-in3-projektet, og erstatter den signeringsservice, der allerede findes i NemLog-in.

Signering vil basere sig på slutbruger-autentifikation via MitID-kernen eller anden identitetsgarant, fx NemLog-in3 for erhvervsidentiteter. Komponenten vil i første omgang understøtte signaturformaterne PAdES og XAdES. Den vil til forskel fra den nuværende løsning være baseret på kvalificerede engangscertifikater (korttidscertifikater), der vil blive udstedt af infrastrukturens CA-komponent (i NemLog-in). Ved at anvende kvalificerede certifikater i signeringstjenesten opnås den fordel at kommercielle de facto standardprodukter, som fx Adobe PDF Reader, vil kunne verificere validiteten af signerede dokumenter direkte, uden at der skal benyttes særlige værktøjer hertil.

PKI/CA-certifikat funktionalitet i den fremtidige infrastruktur

Modsat den nuværende NemID-løsning vil der ikke blive stillet krav om, at MitID-kernen skal være baseret på certifikatbaserede (PKI) identiteter. OCES-certifikatporteføljen udgår ikke, men certifikatpolitikkerne revideres og tilpasses de fremtidige behov. Dette betyder bl.a. at:

  • Certifikatpolitik for OCES Person (POCES) videreføres ikke.
  • Certifikatpolitikker for OCES funktionscertifikater (FOCES) og OCES virksomhedscertifikater (VOCES) samles i én opdateret certifikatpolitik for OCES virksomhedscertifikater.
  • OCES certifikatpolitikkerne suppleres med nye offentlige certifikatpolitikker for kvalificerede certifikater for fysiske personer (borgere), fysiske personer associeret med en juridisk person (medarbejdere) og juridiske personer (virksomheder).
  • Der er udarbejdet en ny offentlig politik for kvalificeret tidsstempling. Samtlige politikker opbygges efter en struktur fastlagt i internetstandarden RFC 3647.
  • Kravene følger NSIS og eIDAS, som er mere outcome baserede.
  • Politikkerne er bragt i overensstemmelse med europæiske standarder for politikker for tillidstjenester.
  • Certifikatpolitikken for MOCES strammes op, så sikkerhedskravene til opbevaring og håndtering af nøglefiler tydeliggøres, hvilket begrænser muligheden for lokalt installerede nøglefiler i software på PC og lignende. Dette sker for at sikre et ensartet højt sikringsniveau.

De fremtidige erhvervsidentiteter

Til erstatning for NemID til Erhverv (Medarbejdersignatur) vil der i NemLog-in3 blive oprettet en helt ny identitetsgarant til erhvervsbrugere.

Denne erhvervsidentitetsgarant vil håndtere den fulde livscyklus for erhvervsidentiteter og blive designet, så den kan integreres med MitID, hvor det er relevant.

Fire former for elektroniske identifikationsmidler vil fremover være tilgængelige for erhvervsidentiteter:

  1. Automatisk kobling mellem privat personidentitet/elektronisk identifikationsmiddel og virksomheder, hvor personen kan tegne virksomheden alene. Dette er ”NemID privat til erhverv” løsningen, der allerede er sat i drift med NemID fra 2017.
  2. En dedikeret erhvervsidentitet, hvor der registreres en relation mellem personens private MitID og CVR-numre for de virksomheder/organisationer, personen er tilknyttet (mapning mellem MitID og CVR-nummer).
  3. En dedikeret erhvervsidentitet med tilhørende dedikerede erhvervsidentifikationsmidler, der oprettes i MitID. Disse elektroniske identifikationsmidler kan være delt mellem flere erhvervsidentiteter eller kan være eksklusive for én specifik erhvervsidentitet.
  4. MOCES PKI-baseret identifikationsmiddel (nøglepar med tilhørende OCES-certifikat), som dog ikke direkte vil kunne anvendes til autentifikation i NemLog-in.

I forhold til punkt 2 ovenfor vil der gælde et dobbelt frivillighedsprincip, så denne mulighed kun vil være tilgængelig, hvis både medarbejder og virksomhed accepterer koblingen til medarbejderens private MitID identifikationsmidler.

Den kommende erhvervsidentitetsadministration samler identitets- og rettighedsstyring for erhvervsidentiteter i én portal, hvor virksomhedens administrator vil kunne administrere virksomhedens medarbejderes erhvervsidentiteter og de tilhørende roller og rettigheder, som er oprettet i FBRS-komponenten.

Fælles aftaleindgåelse for virksomheder på tværs af systemer

For at mindske de administrative byrder for virksomheder, udarbejdes en fælles håndtering af aftaleindgåelse for virksomheder på tværs af de fællesoffentlige infrastrukturløsninger, NemLog-in, MitID og Digital Post. I stedet for at indgå individuelle brugsaftaler med de enkelte infrastrukturløsninger, skal der fremadrettet kun indgås én aftale, og dette gøres så vidt muligt digitalt.

Registreringsautoriteter i erhvervsløsningen

Virksomheder og andre organisationer med et tilknyttet CVR-nummer vil fortsat have mulighed for at oprette erhvervsidentiteter svarende til funktionaliteten i NemID Medarbejdersignatur. Dog vil der ske en ændring i forhold til opretholdelse af de sikringsniveauer for personidentiteter, der defineres med NSIS-standarden. Virksomheder vil være garant for koblingen mellem medarbejderen og virksomheden, mens identitetssikringen af medarbejderen som fysisk person beror på validering ved hjælp af medarbejderens private personidentitet (MitID eller anden digital identitet på samme sikringsniveau).

Hvis virksomhed og/eller medarbejder ønsker at benytte MOCES-certifikater, vil det være muligt at oprette disse i NemLog-ins CA-komponent via erhvervsidentitetsadministrationen.

Fælles brugerrettighedsstyring

En central komponent i den eksisterende NemLog-in løsning er den fælles brugerrettighedsstyringskomponent (FBRS). Den fungerer som brugeradministrationskomponent for en lang række offentlige tjenester og onlineløsninger rettet mod virksomheder. FBRS bygger pt. på den ID-nøgle (RID), der findes i NemID Medarbejdersignatur-løsningen. Via FBRS administrationsportal har virksomheder og organisationer mulighed for i en samlet portal, at administrere rettigheder på tværs af tilkoblede onlineløsninger for alle de medarbejdere, som virksomheden har oprettet i NemID Medarbejdersignatur-løsningen.

Der er ca. 250.000 virksomheder og organisationer i den nuværende FBRS-løsning. Hvis medarbejdere fra disse virksomheder autentificerer sig via NemLog-in loginportalen, medsendes automatisk alle relevante rettigheder som en del af autentifikationsbilletten til den enkelte løsning.

I den fremtidige infrastruktur vil FBRS blive tættere integreret i den fremtidige erhvervsidentitetsgarant, der erstatter NemID Medarbejdersignatur.

For at forbedre brugeroplevelsen for administratorer i virksomheder og organisationer bliver FBRS opdateret på en række punkter. Den skal fx service-enables, så rettigheder kan administreres fra eksterne systemer via API, og der skal bygges en ny administrationsportal, så virksomheder eller organisationer får en samlet og mere intuitiv portal til håndtering af erhvervsidentiteter og de tilknyttede rettigheder.

Senere forventes en udvidelse, der sætter FBRS i stand til at håndtere mere finkornede rettigheder i form af dataafgrænsninger, som supplement til de nuværende statiske roller.

Migrering af brugere fra ”NemID Medarbejdersignatur” til den fremtidige erhvervsidentitetsgarant

Hvad angår eksisterende erhvervsidentiteter i NemID Medarbejdersignatur er forventningen, at de som udgangspunkt alle skal migreres til den nye erhvervsidentitetsgarant, så den enkelte virksomhed slipper for at oprette nye rettigheder til sine erhvervsidentiteter (medarbejderidentiteter) i FBRS og evt. andre eksterne systemer. En ændring i relation til dette bliver, at de migrerede erhvervsidentiteter vil skulle indplaceres på et NSIS-sikringsniveau, som bl.a. vil afhænge af den registreringsproces, der har været fulgt for den enkelte erhvervsidentitet, da den blev oprettet i NemID.

Migrering dækker i NemLog-in regi over en række aktiviteter, som har en vis fleksibilitet ift. tidsmæssig placering, men også hver især har bindinger og afhængigheder, fx til bestemte milepæle i MitID-projektet.

Der vil i store træk være følgende migreringsaktiviteter:

  • Virksomheder skal indgå aftale om tilslutning til NemLog-in’s system til håndtering af erhvervsidentiteter.
  • Erhvervsidentiteter skal migreres fra det nuværende system til NemLog-in, hvor de oprettes i suspenderet tilstand. Her skal det sikres, at tilknyttede data (fx rettigheder i FBRS) bevarer relationen til erhvervsidentiteter.
  • FOCES og VOCES certifikater skal erstattes af nye tilsvarende, oprettet i det nye CA under den reviderede certifikatpolitik.
  • Erhvervsidentiteterne skal som udgangspunkt enten knyttes til et privat MitID identifikationsmiddel eller et dedikeret MitID identifikationsmiddel i stedet for de nuværende NemID identifikationsmidler.

Adgang til MitID og NemLog-in-infrastrukturen for private tjenesteudbydere

For at sikre, at private tjenesteudbydere også i fremtiden vil have adgang til at benytte de tilgængelige services i den nationale eID-infrastruktur (fx autentifikation af MitID), vil NemLog-in tilbyde adgang for denne gruppe af tjenesteudbydere via en identitetsbrokerløsning.

Afhængigt af hvor stor interessen fra det private marked bliver i forhold til at træde ind i rollen som identitetsbroker i MitID for private tjenesteudbydere, er det sandsynligt, at der over tid vil blive tilbudt andre adgangspunkter end den her beskrevne i NemLog-in.

eIDAS Gateway for integration med andre, nationale eID-løsninger fra resten af EU

Som beskrevet ovenfor er offentlige tjenesteudbydere fra 2018 forpligtet til at anerkende digitale identiteter fra andre EU-lande forudsat, at disse er eIDAS-notificerede identitetsløsninger. Det indebærer, at offentlige tjenesteudbydere skal understøtte autentifikation med elektroniske identifikationsmidler fra andre landes eIDAS-notificerede identitetsgaranter.

For at kunne håndtere dette har Digitaliseringsstyrelsen etableret en såkaldt ”eID Gateway”, der skal kunne håndtere identiteter fra andre EU-landes nationale identifikationsløsninger og omdanne dem til et format, der kan benyttes i danske offentlige selvbetjeningsløsninger. eID Gateway vil udbyde en SAML-baseret snitflade til danske tjenesteudbydere, der i så høj grad som muligt ligner den OIOSAML-snitflade, der allerede findes på NemLog-in, for herved i vidt omfang at lade tjenesterne genbruge deres eksisterende integrationer.

MitID vil blive eIDAS-notificeret, som den danske nationale identitetsgarant, og vil således kunne bruges af danske borgere med et MitID identifikationsmiddel mod offentlige tjenesteudbydere i andre EU-lande.

Udbuddene kort fortalt

MitID projektet