OIOSAML 3.0

OIOSAML 2.0.9 skal opdateres. Her kan du læse hvorfor og orientere dig i de største ændringer.

OIOSAML er en vigtig brik i samspillet mellem de 300 offentlige selvbetjeningsløsninger, som er tilsluttet NemLog-in, herunder borger.dk og virk.dk. Profilen bruges til fødereret log-in og single sign-on (SSO) og sikrer interoperabilitet i implementeringen af SAML2-standarden. 

I næste generation af den fællesoffentlige infrastruktur til håndtering af digitale identiteter sker der en række ændringer, som medfører behov for opdatering af OIOSAML profilen.

En opdateret version er derfor sendt i offentlig høring.

Årsager til ændringerne

  • Den kommende fællesoffentlige identitetsinfrastruktur (MitID og NemLog-in3) kommer til at adskille eID fra eSignatur, og OCES-infrastrukturen vil blive redesignet.
  • Generelt vil OCES-specifikke attributter blive fjernet fra profilen, og der overgås til mere teknologineutrale og fremtidssikre identifiers baseret på UUID’er.
  • En række nye forretningsbehov er identificeret under foranalyserne forud for kravspecificeringen af den nye infrastruktur.
  • Indførelsen af ny databeskyttelsesregulering (GDPR og Databeskyttelsesloven) og det øgede fokus på privacy har medført et behov for omstrukturering af profilen, således at der opnås privacy-by-design og privacy-by-default. Eksempelvis er identifiers i udgangspunktet specifikke for den enkelte tjenesteudbyder, så brugerens transaktioner ikke kan kobles på tværs af tjenesteudbydere. Tjenesteudbydere, der har lovhjemmel og behov for at få persistente identifiers som fx CPR-numre, kan dog fortsætte med dette.
  • Introduktion af muligheden for private tjenesteudbydere på NemLog-in3 kræver ligeledes en række tilpasninger.
  • Indførelsen af National Standard for Identiteters Sikringsniveauer (NSIS) har medført behov for at tilpasse håndtering af sikringsniveauer (LoA) i profilen.
  • Der er et generelt behov for at opdatere kryptografiske algoritmer og nøglelængder til et tidssvarende niveau.

OIOSAML 3.0 er beskrevet som en ren ’to-be’ profil, som på sigt vil erstatte OIOSAML 2.0.9. Eksempelvis forventes NemLog-in3 at benytte OIOSAML 3.0 som sin primære snitflade, når den går i drift i 2020. Der kan i en overgangsperiode være behov for at understøtte både ny og gammel profil eller evt. hybrider – men der foreligger endnu ikke en detaljeret planlægning af overgangsforløbet.

De vigtigste ændringer

  • Profilen har fået en ny struktur med udgangspunkt i SAML2Int profilen fra Kantara Initiative. Herved er fokus på de normative krav fremhævet, så det bliver lettere at vurdere og teste om en implementering lever op til kravene. Yderligere forklaringer og eksempler udgives som tidligere nævnt i en separat vejledning til profilen, så krav adskilles fra forklaringer.
  • Der er defineret to nye attributprofiler for hhv. personer og professionelle (OCES-specifikke attributter udgår), RID og PID fortsætter med status som deprekerede.
  • Identifiers er baseret på UUID’er og Subject feltet bærer altid en tjenesteudbyderspecifik identifier.
  • Krav til kryptografiske algoritmer og nøglelængder er skærpet.
  • Håndtering af ‘levels of assurance’ sker i henhold til NSIS og der er indført mulighed for at angive et ønsket sikringsniveau i forespørgsler fra tjenesteudbydere (herunder muligheden for step-up autentifikation).
  • Der er indført krav om support for multiple certifikater i metadatafiler.
  • Det er nu tilladt at anvende et kvalificeret certifikat for en juridisk person i metadata.

Bemærk, at ovenstående ikke er en udtømmende liste over ændringer.

Input er velkomne

Digitaliseringsstyrelsen har sendt den nye version af profilen i offentlig høring. De myndigheder, der bruger OIOSAML, er meget velkomne til at bidrage til den endelige kvalitetssikring og komme med input til de planlagte ændringer.

Der er frist for høringsvar den 14. december 2018.

Hent Bilag A: Høringsbrev

Hent Bilag B: Høringsliste

Hent Bilag C: Svarskabelon

Hent Bilag D: OIOSAML Web SSO Profile 3.0

Gå til materialet på høringsportalen