OIOSAML 3.0.1

OIOSAML er nu opdateret til version 3.0.1

Sidste nyt: referenceimplementeringer

Der er udarbejdet referenceimplementering til OIOSAML.Java og OIOSAML.net i en betaversion. 

Find OIOSAML.Java på Digitalisér.dk

FIND OIOSAML.net på Digitalisér.dk

OIOSAML 3.0.1 profilen

Herunder findes OIOSAML 3.0.1 profilen, som er opdateret på baggrund af den offentlige høring, som har fundet sted i december 2018. Profilen er den endelige version. 

OIOSAML er en vigtig brik i samspillet mellem de 300 offentlige selvbetjeningsløsninger, som er tilsluttet NemLog-in, herunder borger.dk og virk.dk. Profilen bruges til fødereret log-in og single sign-on (SSO) og sikrer interoperabilitet i implementeringen af SAML2-standarden.

I næste generation af den fællesoffentlige infrastruktur til håndtering af digitale identiteter sker der en række ændringer, som har medført behov for opdatering af OIOSAML 2.0.9 profilen.

OIOSAML 3.0.1 er beskrevet som en ’to-be’ profil, som på sigt vil erstatte OIOSAML 2.0.9. Eksempelvis forventes NemLog-in3 at benytte OIOSAML 3.0.1 som sin primære snitflade, når den går i drift i 2020, og brugerne overgår fra NemID til MitID.

De gældende vejledninger for OIOSAML ses nedenfor:

Hent vejledning for OIOSAML Web SSO profile 3.0.1

Hent vejledning for OIOSAML Basic Privilege Profile 1_2

Der er ligeledes tilføjet en profil til brug mellem en broker og en lokal IdP (Local IdP Profile), der kan anvendes i føderationsscenarier, hvor en brugerorganisation udstiller sin egen IdP. Denne profil kan ses nedenfor:

Hent vejledning for OIOSAML Local IdP Profile 1.0.2

Følgende ændringer er medtaget i OIOSAML Local IdP Profile 1.0.2 og i OIOSAML Web SSO profile 3.01:

 • Krav [OIO-GE-01]: tidsperioden for ’clock skew’ er præciseret til et interval på 3-5 minutter
 • Krav [OIO-SP-07]: det er præciseret, at sammenligningsattributten kun gælder NSIS niveauet.
 • Krav [OIO-SP-19]: kravet vedr. HTTP Redirect binding er præciseret til ’MUST’ fra et ’SHOULD’
 • I referencelisten er henvisningen til SAML2 Int profilen fra Kantara Initiative opdateret til seneste version.
 • Der er indført diverse mindre sproglige rettelser

Årsager til ændringerne

 • Den kommende fællesoffentlige identitetsinfrastruktur (MitID og NemLog-in3) kommer til at adskille eID fra eSignatur, og OCES-infrastrukturen vil blive redesignet.
 • Generelt vil OCES-specifikke attributter blive fjernet fra profilen, og der overgås til mere teknologineutrale og fremtidssikre identifiers baseret på UUID’er.
 • En række nye forretningsbehov er identificeret under foranalyserne forud for kravspecificeringen af den nye infrastruktur.
 • Indførelsen af ny databeskyttelsesregulering (GDPR og Databeskyttelsesloven) og det øgede fokus på privacy har medført et behov for omstrukturering af profilen, således at der opnås privacy-by-design og privacy-by-default. Eksempelvis er identifiers i udgangspunktet specifikke for den enkelte tjenesteudbyder, så brugerens transaktioner ikke kan kobles på tværs af tjenesteudbydere. Tjenesteudbydere, der har lovhjemmel og behov for at få persistente identifiers som fx CPR-numre, kan dog fortsætte med dette.
 • Introduktion af muligheden for private tjenesteudbydere på NemLog-in3 kræver ligeledes en række tilpasninger.
 • Indførelsen af National Standard for Identiteters Sikringsniveauer (NSIS) har medført behov for at tilpasse håndtering af sikringsniveauer (LoA) i profilen.
 • Der er et generelt behov for at opdatere kryptografiske algoritmer og nøglelængder til et tidssvarende niveau.

De vigtigste ændringer

 • Profilen har fået en ny struktur med udgangspunkt i SAML2Int profilen fra Kantara Initiative. Herved er fokus på de normative krav fremhævet, så det bliver lettere at vurdere og teste om en implementering lever op til kravene. Yderligere forklaringer og eksempler udgives som tidligere nævnt i en separat vejledning til profilen, så krav adskilles fra forklaringer.
 • Der er defineret to nye attributprofiler for henholdsvis personer og professionelle (OCES-specifikke attributter udgår), RID og PID fortsætter med status som deprekerede.
 • Identifiers er baseret på UUID’er og Subject feltet bærer altid en tjenesteudbyderspecifik identifier.
 • Krav til kryptografiske algoritmer og nøglelængder er skærpet.
 • Håndtering af ‘levels of assurance’ sker i henhold til NSIS og der er indført mulighed for at angive et ønsket sikringsniveau i forespørgsler fra tjenesteudbydere (herunder muligheden for step-up autentifikation).
 • Der er indført krav om support for multiple certifikater i metadatafiler.
 • Det er nu tilladt at anvende et kvalificeret certifikat for en juridisk person i metadata.

Bemærk, at ovenstående ikke er en udtømmende liste over ændringer.

Offentlig høring

Digitaliseringsstyrelsen har haft den nye version af profilen i offentlig høring. Høringen blev afsluttet i december 2018.

Hent Høringsnotat for OIOSAML 3.0.1 profilen

Gå til materialet på høringsportalen