OIOSAML 3.0

OIOSAML er nu opdateret til version 3.0

Herunder findes OIOSAML 3.0 profilen, som er opdateret på baggrund af den offentlige høring, som har fundet sted i december 2018. Profilen har status af 'Release Candidate' og forventes meget tæt på den endelige version. 

OIOSAML er en vigtig brik i samspillet mellem de 300 offentlige selvbetjeningsløsninger, som er tilsluttet NemLog-in, herunder borger.dk og virk.dk. Profilen bruges til fødereret log-in og single sign-on (SSO) og sikrer interoperabilitet i implementeringen af SAML2-standarden.

I næste generation af den fællesoffentlige infrastruktur til håndtering af digitale identiteter sker der en række ændringer, som har medført behov for opdatering af OIOSAML 2.0.9 profilen.

OIOSAML 3.0 er beskrevet som en ’to-be’ profil, som på sigt vil erstatte OIOSAML 2.0.9. Eksempelvis forventes NemLog-in3 at benytte OIOSAML 3.0 som sin primære snitflade, når den går i drift i 2020, og brugerne overgår fra NemID til MitID.

De gældende vejledninger for OIOSAML ses nedenfor:

OIOSAML Web SSO profile 3.0 (release candidate)

OIOSAML Basic Privilege Profile 1.1

Årsager til ændringerne

  • Den kommende fællesoffentlige identitetsinfrastruktur (MitID og NemLog-in3) kommer til at adskille eID fra eSignatur, og OCES-infrastrukturen vil blive redesignet.
  • Generelt vil OCES-specifikke attributter blive fjernet fra profilen, og der overgås til mere teknologineutrale og fremtidssikre identifiers baseret på UUID’er.
  • En række nye forretningsbehov er identificeret under foranalyserne forud for kravspecificeringen af den nye infrastruktur.
  • Indførelsen af ny databeskyttelsesregulering (GDPR og Databeskyttelsesloven) og det øgede fokus på privacy har medført et behov for omstrukturering af profilen, således at der opnås privacy-by-design og privacy-by-default. Eksempelvis er identifiers i udgangspunktet specifikke for den enkelte tjenesteudbyder, så brugerens transaktioner ikke kan kobles på tværs af tjenesteudbydere. Tjenesteudbydere, der har lovhjemmel og behov for at få persistente identifiers som fx CPR-numre, kan dog fortsætte med dette.
  • Introduktion af muligheden for private tjenesteudbydere på NemLog-in3 kræver ligeledes en række tilpasninger.
  • Indførelsen af National Standard for Identiteters Sikringsniveauer (NSIS) har medført behov for at tilpasse håndtering af sikringsniveauer (LoA) i profilen.
  • Der er et generelt behov for at opdatere kryptografiske algoritmer og nøglelængder til et tidssvarende niveau.

De vigtigste ændringer

  • Profilen har fået en ny struktur med udgangspunkt i SAML2Int profilen fra Kantara Initiative. Herved er fokus på de normative krav fremhævet, så det bliver lettere at vurdere og teste om en implementering lever op til kravene. Yderligere forklaringer og eksempler udgives som tidligere nævnt i en separat vejledning til profilen, så krav adskilles fra forklaringer.
  • Der er defineret to nye attributprofiler for hhv. personer og professionelle (OCES-specifikke attributter udgår), RID og PID fortsætter med status som deprekerede.
  • Identifiers er baseret på UUID’er og Subject feltet bærer altid en tjenesteudbyderspecifik identifier.
  • Krav til kryptografiske algoritmer og nøglelængder er skærpet.
  • Håndtering af ‘levels of assurance’ sker i henhold til NSIS og der er indført mulighed for at angive et ønsket sikringsniveau i forespørgsler fra tjenesteudbydere (herunder muligheden for step-up autentifikation).
  • Der er indført krav om support for multiple certifikater i metadatafiler.
  • Det er nu tilladt at anvende et kvalificeret certifikat for en juridisk person i metadata.

Bemærk, at ovenstående ikke er en udtømmende liste over ændringer.

Offentlig høring

Digitaliseringsstyrelsen har haft den nye version af profilen i offentlig høring. Høringen blev afsluttet i december 2018.

Læs Høringsnotat

Gå til materialet på høringsportalen