OIOSAML profiler

Vigtigste ændringer og tilføjelser i OIOSAML 4.0.0

• De 9 vigtigste tilføjelser i profilen

  1. Der er indført mekanismer til eksplicit navngivning og håndtering af attributprofiler, hvilket gør det muligt at deklarere (metadata), efterspørge (AuthnRequest) og modtage (Assertion) forskellige typer identiteter med forskelligt attributsæt.
  2. Der er defineret en række nye attributprofiler for eIDAS-identiteter, herunder ’person’, ’legal person’ og ’professional’, og der er ligeledes indført flere eksplicitte DK-attributprofiler herunder til håndtering af identiteter uden CPR-nummer eller anonymiserede identiteter. Attributprofilernes eksplicitte navngivning giver større sikkerhed for identitetens type og dermed det forventelige attributsæt.
  3. For hver attributprofil er det tydeligere markeret, om den enkelte attribut er obligatorisk, om den skal være understøttet af Identity Providers (hvis efterspurgt), eller om den er frivillig at tilbyde. Skelnen mellem obligatorisk, understøttet og frivillig giver større klarhed og forudsigelighed for tjenesteudbyderne og deres lokale forretningslogik.
  4. For eIDAS-attributprofilerne er medtaget de attributter, der er specificeret i eIDAS SAML-profilerne fra EU-kommissionen. Det er disse attributter, der kan forventes leveret af eID-gateways fra de øvrige EU-lande.
  5. OIOSAML profilen håndterer sikringsniveauer (Levels of Assurance, LoA) både under eIDAS- og NSIS-rammeværk, samt definerer en generisk LoA-attribut for de tjenesteudbydere, der ikke ønsker at skelne mellem sikringsniveauer under NSIS og eIDAS.
  6. Det er muligt at angive via en attribut (provider), hvilken up-stream IdP som har foretaget brugerautentifikationen.
  7. Der er indført en ny attribut (isRobot), som gør det muligt at deklarere, at identiteten er en robotidentitet. Denne er tiltænkt fremtidige scenarier, hvor softwarerobotter kan få egne eksplicitte identiteter til at autentificere sig med over for en broker.
  8. Der er indført en ny attribut (allowQualifiedSigning), som gør det muligt at deklarere, om identiteten er registreret på en måde, der opfylder kravene til kvalificeret signering i henhold til eIDASforordningen. Denne kan understøtte scenarier, hvor en autentifikation er grundlaget for dannelse af en kvalificeret signatur.
  9. Det er endvidere blevet muligt at angive koblingsstyrken for CPRnumre (attributten CPR IAL). Denne er tiltænkt scenarier, hvor en udenlandsk (eIDAS)identitet formidles med ét sikringsniveau fra en udenlandsk eID-gateway, mens dansk CPR efterfølgende tilføjes i det danske brokerlag på baggrund af en proces, der ikke nødvendigvis har samme sikringsniveau og proveniens som den oprindelige identitet.