Snitfladeændringer i NemLog-in

Med lanceringen af MitID-løsningen vil der blive foretaget nogle ændringer i infrastrukturen. Ændringerne kan have en række konsekvenser for de tjenesteudbydere, der er tilsluttet NemLog-in.

Det er Digitaliseringsstyrelsens ambition, at ændringerne skal have en så minimal indflydelse på tjenesteudbyderne som muligt. Digitaliseringsstyrelsen har derfor indledt en dialog med tjenesteudbyderne, der i dag er tilsluttet NemLog-in.

I den forbindelse er der udsendt information om snitfladeændringerne samt en faseplan til tjenesteudbyderne.

Mail sendt til tjenesteudbyderne

Snitfladeændringer i NemLog-in3

Kære offentlige tjenesteudbydere, der er tilsluttet NemLog-in,

Digitaliseringsstyrelsen står overfor at skulle genudbyde næste generation af NemID (MitID) og NemLog-in.

Med lanceringen af MitID-løsningen i vil der blive foretaget nogle ændringer i infrastrukturen. Ændringerne kan have disse konsekvenser:

  • Tjenesteudbydere må tilpasse deres integrationer til NemLog-in.
  • Snitfladeændringer kan medføre en risiko for, at en række offentlige tjenesteudbydere ikke når at blive klar til lanceringen af MitID, hvilket kan give udfordringer for borgere og virksomheder, som i værste fald kan blive tvunget til at beholde deres gamle nøglekort i en overgangsperiode etc.

Ambitionen fra Digitaliseringsstyrelsens side er, at ændringer skal have en så minimal indflydelse på jer som tjenesteudbydere som muligt. Der vil dog uundgåeligt ske snitfladeændringer i NemLog-in, som vil påvirke tjenesterne, der er tilsluttet NemLog-in. Det primære spørgsmål omhandler, hvorvidt NemLog-in kan blive ved med at levere det samme attributsæt til jer som tjenesteudbydere.

Oversigt over ændringer i attributter ifm. log-in

Digitaliseringsstyrelsen har etableret en oversigt over ændringerne, herunder hvilke attributter i OIOSAML-billetten, der forventes at bestå og hvilke, der ikke gør. Digitaliseringsstyrelsen ønsker derfor allerede nu at indgå dialog med jer for at kortlægge, hvilke tjenester der anvender de certifikatattributter, som udgår.

For at etablere et overblik over ændringerne, er OIOSAML attributterne kortlagt, og der er udviklet en trafiklysmodel (se vedhæftede Appendiks A), hvor de enkelte attributter er markeret på flg. måde:

  • Grøn 
    Attributten består med stor sandsynlighed. Tjenester skal ikke gøre noget for nuværende, hvis denne anvendes.
  • Gul 
    Attributtens fremtid er endnu ikke afklaret; tjenester bør overveje at gøre deres løsning robust overfor, at den mangler i SAML Assertion.
  • Rød 
    Attributten udgår med stor sandsynlighed; tjenesterne bør lave plan for at udfase den i deres løsning inden MitID go live.

Desuden fremgår det af oversigten, hvorvidt attributterne:

  • Er obligatoriske
  • Er relevante for borger- hhv. medarbejderlog-in
  • Om kilden til attributten er certifikatet eller NemLog-ins egne databaser.

Det skal understreges, at kortlægningen er foreløbig, idet ikke alle forhold om den fremtidige infrastruktur er endeligt afklaret. For NemLog-in's tjenester vil ændringerne i snitfladerne først træde i kraft, når MitID går i drift. Dette betyder, at der for tjenesterne er et længere tidsrum til at håndtere snitfladeændringer herunder at planlægge opdateringer til eksisterende tjenester i kommende releases eller genudbud.

Ændring af snitflade for NemLog-in signering

NemLog-in’s signeringstjeneste står ligesom log-in tjenesten over for en modernisering, der kan betyde ændringer i snitflader for tjenesteudbydere. Baggrunden for snitfladeændringerne er dels udviklingen i standarder og teknologier, dels krav i eIDAS forordningen, og endelig at eID og eSignatur adskilles i infrastrukturen.

Ændringerne i NemLog-in Signering mod tjenesteudbydere forventes at ske inden for flg. områder:

  • a) Snitfladen til at anmode/modtage signaturer fra NemLog-in, der i dag er baseret på HTTP POST af en række form-variable.
  • b) Selve signatur-output formatet (som i dag et format baseret XML dSig standarden1): 
  1. Signaturer kan være i nye eIDAS compliant formater som fx PAdES og XAdES.
  2. Certifikaterne indeholdt i signaturen vil ikke længere overholde OCES certifikatpolitikker, da OCES certifikater udskiftes med nye certifikater.

I forhold til del a) er der ikke truffet valg om ny snitflade endnu, og Digitaliseringsstyrelsen overvejer stadig, i hvor høj grad det er teknisk muligt at bibeholde de nuværende snitflader.

I forhold til del b) er der også overvejelser om at tilbyde en legacy-variant, der minder om det eksisterende XML dSIG format, samtidig med at nye eIDAS formater introduceres som nye formater. Dog vil det ikke være teknisk muligt fortsat at tilbyde OCES certifikater, så tjenester der selv behandler brugerens certifikat, vil få behov for at ændre.

Digitaliseringsstyrelsen ønsker en tilbagemelding fra tjenesteudbyderne om flg. spørgsmål:

  1. Om tjenesteudbyderen anvender NemLog-in signering?
  2. Om tjenesteudbyderne ønsker at anvende de nye eIDAS formater (fx PAdES)?
  3. Om tjenesteudbyderen selv gennemløber (parser) den modtagne XML dSIG struktur eller blot stoler på statuskoden i post-back formen fra NemLog-in?
  4. Om tjenesteudbyderen selv gennemløber (parser) brugerens certifikat i XML dSIG strukturen?

Tilbagemelding fra tjenester

Digitaliseringsstyrelsen har udarbejdet en faseplan for, hvorledes vi tænker processen forløber bedst muligt, og så ændringerne vil få en så minimal indflydelse på jer som tjenesteudbydere, som muligt (se vedhæftede Faseplan).

Første fase består i at I bedes melde tilbage, hvilke attributter I anvender i jeres tjenester, samt ovenstående spørgsmål vedr. signering. Tilbagemeldingen skal sendes til senest den 11. maj 2017 kl 12.00

På baggrund af tilbagemeldingerne, vil vi igen kontakte jer med henblik på håndtering af eventuelle udfordringer. 

For den videre proces, bedes I se vedlagte faseplan.

Hvis I har spørgsmål til ovenstående, er I velkomne til at kontakte  / 

Hent bilag om OIOSAML attributter

 

Faseplan

Tid Aktivitet
Fase 1
  • Foreløbig udmelding til alle tjenesteudbydere om, hvilke attributter der forventes at udgå (rødt trafiklys). Dette er en "early warning", der kan medtages i den langsigtede releaseplanlægning og udbudstakt for tjenesterne.
  • Kortlægning af hvilke tjenester, der anvender de certifikatattributter, som udgår, og individuel kontakt / dialog med disse.
Fase 2
  • Udsendelse af opdateret OIOSAML profil, hvor den nye snitflade er endeligt specificeret. Denne vil afhænge af kravspecificeringen af MitID.
Fase 3
  • (Dummy)testmiljø klar hos NemLog-in, hvor ny snitflade kan afprøves af tjenesterne (såfremt der kræves ændringer i NemLog-in andet end blot markere attributter som udgået). Der skal også ske test af eventuelle ændringer i signering. Testsnitfladen vil ikke være bundet op på en færdig version af MitID.
Fase 4
  • Tjenesterne gennemfører nødvendige tilpasninger, tester mod NemLog-in's testmiljø og rapporterer status til Digitaliseringsstyrelsen.
Fase 5
  • Idriftsættelse af MitID og dermed ibrugtagning af nye snitflader på NemLog-in.


Der arbejdes løbende på at sikre, at planerne i MitID og NemLog-in3 hænger sammen.