Lokal Identity Provider (Lokal IdP)

Med en Lokal IdP kan I lokalt udstede identifikationsmidler til jeres brugere, som kan bruge disse til at logge ind på jeres egne it-systemer og offentlige selvbetjeningsløsninger.

I bestemmer selv, hvilke lokale identifikationsmidler I vil udstede. En typisk løsning er at kombinere et brugernavn og kodeord med ekstra faktorer på særlige hardwareenheder. Det kan fx være apps på mobile enheder.

Jeres brugere kan så anvende det lokale identifikationsmiddel i stedet for MitID, når de logger ind på vegne af jeres organisation.

En Lokal IdP løsning giver stor fleksibilitet

  • Jeres brugere kan anvende de samme identifikationsmidler i såvel jeres organisation som i offentlige og private selvbetjeningsløsninger – fx samme brugernavn, password, app og fysisk enhed.
  • Lokale identifikationsmidler kan fx integreres med fysiske adgangskort til jeres organisation, således at jeres brugere oplever en enklere og mere sammenhængende adgang i deres dagligdag.
  • Jeres organisationen kan opnå en enklere administration af sine erhvervsbrugere ved, at brugerne kun administreres lokalt samt at opdateringer synkroniseres med MitID Erhverv via IdM API.

Login og signering med Lokal IdP

Login med lokalt identifikationsmiddel

En organisation, der er etableret som Lokal IdP, kan selv registrere brugere i MitID Erhverv på det NSIS sikringsniveau, som Lokal IdPen er anmeldt til. Brugerne kan med det samme logge ind med deres lokale identifikationsmiddel uden at gå igennem et MitID Erhverv aktiveringsforløb. Brugerne har dog ikke muligheden for at signere.

Kvalificeret signering med lokalt identifikationsmiddel

NemLog-in tilbyder en kvalificeret signeringstjeneste, hvor brugere kan underskrive med et MitID identifikationsmiddel, fx en MitID app (privat eller erhverv). Signeringstjenesten i NemLog-in forudsætter, at den bagvedliggende identitet er registreret i overensstemmelse med eIDAS-forordningen. For kvalificerede signaturer er der således i eIDAS artikel 24.1 nogle ekstra krav, som er uafhængige af brugerens sikringsniveau.
Dette betyder, at brugere, der er oprettet af en NSIS-anmeldt organisation med Lokal IdP, som udgangspunktet alene kan logge ind, men ikke signere i NemLog-ins kvalificerede signeringstjeneste på vegne af jeres organisation.

Hvis brugerne har behov for at signere på vegne af jeres organisation, findes der 3 forskellige muligheder for at aktivere muligheden for signering:

  • Validere i MitID Erhverv med privat MitID.
  • Indsende en supplerende revisionserklæring.
  • Indsende en overensstemmelsesvurderingsrapport.

Signér efter validering i MitID Erhverv med privat MitID

Der er mulighed for at opgradere en brugers identitet, så brugeren, udover at logge ind, også kan signere med Lokal IdP.

Hvis brugeradministrator skal bistå:

Det kan gøres ved, at brugeren validerer sig i MitID Erhverv med sit private MitID. Brugeradministrator kan:

    1. logge ind på MitID Erhverv
    2. finde den bruger, der skal validere sig
    3. generere en e-mail under ’Underskrift’.

Så modtager den pågældende bruger en e-mail, hvor brugeren skal validere sin identitet med sit private MitID.

Brugeren kan selv generere e-mail til validering:

Den enkelte bruger har også mulighed for selv at generere en e-mail til validering med privat MitID.

Her skal brugeren:

  1. logge ind på MitID Erhverv
  2. generere en e-mail under ’Stamdata ’.

Så modtager den pågældende bruger en e-mail, hvor brugeren skal validere sin identitet med sit private MitID.

Supplerende revisionserklæring

Indsend en supplerende revisionserklæring om anvendte registreringsprocesser relateret til jeres Lokal IdP. Den supplerende revisionserklæring skal ikke sendes til NSIS tilsynet, men blot til MitID Erhverv.

De nærmere krav til revision fremgår af afsnit 5.4.3.1 Afgivelse af en revisionserklæring i Bilag 7 MitID Erhverv Vilkår for anvendelse af Lokal IdP.

Læs Bilag 7 MitID Erhverv Vilkår for anvendelse af Lokal IdP (pdf)

Send e-mail til MitID Erhverv

Efter I har indsendt den supplerende revisionserklæring, modtager I en e-mail fra MitID Erhverv om, at I nu kan foretage kvalificeret signering med jeres lokale identifikationsmiddel.

Overensstemmelsesvurderingsrapport

Indsend en overensstemmelsesvurderingsrapport som bekræfter, at de lokale registreringsprocesser overholder kravene fastsat i artikel 24.1 i eIDAS forordningen. Overensstemmelsesvurderingsrapporten skal fremsendes til eIDAS tilsynet med kopi til MitID Erhverv.

De nærmere krav til overensstemmelsesvurderingsrapporten fremgår af afsnit 5.4.3.2 Afgivelse af overensstemmelsesvurderingsrapport i Bilag 7 MitID Erhverv Vilkår for anvendelse af Lokal IdP.

Læs Bilag 7, MitID Erhverv Vilkår for anvendelse af Lokal IdP (pdf)

Send e-mail til MitID Erhverv

Send e-mail til eIDAS Tilsynet

Efter I har sendt jeres overensstemmelsesvurderingsrapport, modtager I en e-mail fra MitID Erhverv om, at I nu kan foretage kvalificereret signering med jeres lokale identifikationsmiddel.

Alt du skal vide om etablering af Lokal IdP
En Lokal IdP skal NSIS-anmeldes på sikringsniveau Betydelig eller Høj, før den kan tilsluttes MitID Erhverv løsningen.
For at etablere en Lokal IdP forudsætter det, at:
  • jeres organisation er tilsluttet MitID Erhverv: Det er nødvendigt, at I er tilsluttet MitID Erhverv, før I kan sætte jeres Lokale IdP op i MitID Erhverv. I vælger selv, om I vil starte med at tilslutte jer, eller gøre det sideløbende med etableringen af jeres Lokale IdP. Jeres organisation skal bare være tilsluttet, før I sender en mail til Digitaliseringsstyrelsen (trin 9).
  • I følger nedenstående trin for etablering af Lokal IdP: Fx skal jeres organisation være NSIS-godkendt og fremgå af NSIS positivlisten før I kan etablere den Lokale IdP.
Med en Lokal IdP har I som organisation mulighed for at selv at håndtere jeres erhvervsbrugere decentralt - fremfor at gøre det via MitID Erhverv. I får også mulighed for at udstede lokale identifikationsmidler til jeres brugere.

Hvis I har behov for Lokal IdP, er det en god idé først at afklare jeres ønsker og forretningsmæssige behov, herunder:

  • NSIS sikringsniveauet for de tjenester, som jeres brugere skal kunne tilgå: En Lokal IdP skal NSIS anmeldes på sikringsniveau Betydelig eller Høj, før den kan blive tilsluttet NemLog-in
  • Krav til oppetid, svartid og andre servicemål for jeres Lokal IdP
  • Hvordan lokale erhvervsidentiteter er oprettet centralt i MitID Erhverv: Ønsker I en integration mellem jeres lokale IdM system og MitID Erhverv? Eller vil I administrere brugere direkte i MitID Erhverv? (Se mere i trin 3)

Herefter kan I med fordel etablere et projekt og skabe opbakning hertil internt i egen organisation.

Særligt om, hvordan lokale erhvervsidentiteter er oprettet i MitID Erhverv

Det er en forudsætning, at alle brugere også er oprettet i MitID Erhverv, hvis I vil bruge lokale erhvervsidentiteter til at logge på jeres egne systemer eller offentlige selvbetjeningsløsninger.

Til det formål kan I tilslutte en Lokal IdM-løsning. En Lokal IdM-løsning kan kalde IdM API'et i MitID Erhverv og synkronisere lokal oprettelse og sletning af jeres brugere med MitID Erhverv.

På den måde behøver I kun at administrere jeres brugere ét sted - i jeres lokale administrationssystem. Det er dog også muligt for jer at administrere jeres brugere i MitID Erhverv, og disse ændringer vil blive implementeret i jeres lokale administrationssystem.

Læs mere om Lokal IdP kombineret med Lokal IdM

Det er en forudsætning, at jeres lokal IdP skal leve op til krav og spilleregler, som er defineret i den Nationale Standard for Identiteters Sikringsniveauer (NSIS), hvis I vælger Lokal IdP kombineret med Lokal IdM.

Dette skyldes, at I som organisation bliver en lokal identitetsgarant, hvis I vælger at kombinere jeres lokale IdP med Lokal IdM.

Implementering af NSIS-standarden involverer en række forskellige discipliner – både tekniske, organisatoriske og sikkerhedsmæssige. Det er derfor vigtigt ikke at betragte opgaven som et rent teknisk implementeringsprojekt:

  • Identificér ønsket proces for identitetssikring: Skal jeres brugere fx første gang logge på med privat MitID, og sker dette i den lokale indrulleringsapplikation eller centralt i NemLog-in, eller skal brugerne i stedet møde fysisk op og præsentere pas/kørekort?
  • Afklar, hvilken type identifikationsmidler I vil udstede lokalt, og hvordan de udleveres og håndteres: Typisk kombineres et brugernavn og kodeord med ekstra faktorer på særlige hardwareenheder fra apps på mobile enheder.
  • Afklar, hvordan autentifikationsservicen etableres teknisk (IdP), og hvordan den kan understøtte de valgte sikringsniveauer: Den lokale IdP skal udstille en SAML-snitflade, som opfylder kravene i ’OIOSAML Local IdP Profile’.
  • Afklar, krav til driftsfaciliteter og teknisk sikkerhed: Er jeres nuværende driftsfaciliteter modne nok, eller skal der ske forbedringstiltag?
  • Afdæk behov for uddannelse af jeres brugeradministrator, der skal arbejde med fx identitetssikring.
  • Etabler ledelsessystem for informationssikkerhed (ISMS) eller tilpas eksisterende, så det dækker processer for identitetshåndtering.
  • Afklar håndtering af underleverandører af fx software eller drift, som leverer dele af den lokale implementering.
  • Beskriv processer, sikkerhedsdesign og tekniske systemer, og få design reviewet.
  • Planlæg, hvordan systemer og processer kan auditeres af ekstern revisor: Det er fx vigtigt, at der sikres et tilstrækkeligt revisionsspor, så revisor kan konstatere, at processer, personer og systemer udfører de kontroller, som er tiltænkt.

Ved tilslutning af Lokal IdP i produktion vil Digitaliseringsstyrelsen kontrollere, at jeres lokale IdP fremgår af NSIS positivlisten over anmeldte løsninger.

Læs mere om ’OIOSAML Local IdP Profile’ på Digitaliseringsstyrelsens hjemmeside

  1. Etablér miljøer til Lokal IdP og tilhørende brugerkatalog, og etabler de nødvendige komponenter og services.

  2. Anskaf nødvendige certifikater til den lokale IdP.

  3. Foretag lokal test herunder både funktionel test og sikkerhedstest.

  4. Gennemfør test af organisatoriske processer.

I har mulighed for at sætte en testorganisation op. Det kan I gøre i MitID Erhverv integrationstestmiljøet.

Der kan I også fx afprøve:

  • IdM
  • certifikat-API’er
  • jeres Lokal IdP-integration

I vil også kunne læse den tekniske integrationsvejledning.

Gå til MitID Erhverv testorganisation i integrationstestmiljøet

Det er en forudsætning, at I indhenter nødvendige revisionserklæringer og ledelseserklæringer til brug for NSIS-anmeldelsen.

Vi anbefaler, at I har en tidlig dialog med revisor. Det må påregnes et vist arbejde med at indhente de krævede revisionserklæringer, herunder at sikre, at den relevante dokumentation for systemer og processer er fyldestgørende samt tilgængelige for revisor.

Læs mere om NSIS på Digitaliseringsstyrelsens hjemmeside

Når I har indhentet og udarbejdet relevant dokumentation, skal I indsende en samlet anmeldelsespakke (inklusiv revisionserklæringer) til NSIS Tilsynet i Digitaliseringsstyrelsen.

Send anmeldelsespakken til NSIS Tilsynet i Digitaliseringsstyrelsen

Herefter skal I afvente godkendelse eller supplerende spørgsmål fra NSIS Tilsynet, før I kan få en godkendelse.

Se, hvad pakken skal indeholde og læs ofte stillede spørgsmål om NSIS på Digitaliseringsstyrelsens hjemmeside

NSIS Tilsynet håndterer NSIS-anmeldelserne så hurtigt som muligt, og som udgangspunkt indenfor 30 dage.

Det afhænger af

  • anmeldelsens kompleksitet
  • fuldstændighed og kvalitet
  • antallet af igangværende behandlinger af NSIS-anmeldelser
  • ressourcer i tilsynet.

Når I har fået godkendt NSIS-anmeldelsen og optræder på NSIS-positivlisten for anmeldte løsninger på Digitaliseringsstyrelsens hjemmeside, er næste trin at kontakte MitID Erhverv på mitiderhverv@digst.dk.

I skal sende en e-mail til MitID Erhverv i Digitaliseringsstyrelsen

E-mailen skal indeholde følgende oplysninger:

  • Organisationens navn
  • CVR-nummer
  • EntityID for Lokal IdP
  • Jeres organisation bruger egen Lokal IdP eller en ekstern Full-service Lokal Idp
  • Aktivering af mulighed for kvalificeret signering. Forudsætter at organisationen lever op til krav og dokumenterer. Disse med enten supplerende revisionserklæring eller overensstemmelsesvurderingsrapport
  • Navn, telefon og e-mail på kontaktperson

MitID Erhverv åbner herefter op for, at I kan sætte jeres Lokal IdP op i produktion i MitID Erhverv.

Når I har fået bekræftelse på e-mail, er I klar til at sætte den Lokal IdP op.

Nu er I klar til sidste trin i etableringsprocessen, som er at sætte den lokale IdP op i MitID Erhvervs produktionsmiljø.

Det er en organisationsadministrator i jeres organisation, som kan sætte den lokale IdP op.

Læs vejledning til, hvordan I sætter jeres Lokale IdP op

 

Når I har sat jeres lokale IdP op, kan I udpege de brugeradministratorer i MitID Erhverv, som fremadrettet kan tildele lokale identifikationsmidler til jeres brugere. Ligeledes kan man udpege de administratorer, som kan oprette eller tildele brugere mulighed for at signere, såfremt organisationen er godkendt til dette.

Læs vejledning til angivelse af sikringsniveau til administrator

I har altid mulighed for at tildele jeres brugere et lokalt identifikationsmiddel i MitID Erhverv.

Derudover kan I, som har valgt at kombinere jeres Lokal IdP med IdM, tildele jeres brugere et lokalt identifikationsmiddel i jeres lokale administrationssystem og synkronisere brugerne over i MitID Erhverv.

Rettighedsstyring i MitID Erhverv ved brug af Lokal IdP

Brugere tildeles rettigheder i MitID Erhverv på samme måde, uanset om I anvender MitID identifikationsmidler eller lokale identifikationsmidler fra en Lokal IdP.

Rettigheder kobles med andre ord på identiteten uafhængigt af identifikationsmidlet. Rettigheder kan tildeles via IdM APIet eller via MitID Erhverv.

For Lokal IdPer er der endvidere mulighed for at medsende information om grupper i det lokalt udstedte token, som kan ekspanderes til rettigheder i MitID Erhverv.

Nedenfor kan du overskue processen for, hvordan jeres organisation etablerer en Lokal IdP.

For at etablere Lokal IdP, skal du teste i integrationstestmiljøet, anmeld til NSIS Tilsynet, tilslut organisationen til MitID Erhverv og konfigurere IdP og IdM i produktion.

Etablering af Full-service Lokal IdP

Hvis jeres organisation har etableret Lokal IdP i MitID Erhverv, har I mulighed for at stille jeres Lokal IdP til rådighed for andre organisationer. På den måde fungerer den som Full-service Lokal IdP.

En organisation, som har etableret en Lokal IdP, kan give mulighed for, at andre organisationer også kan gøre brug af denne. 

Fordelen ved dette er, at organisationerne dermed ikke selv skal foretage en NSIS-anmeldelse i forbindelse med etablering af Lokal IdP.

Organisationen, som stiller en Full-service Lokale IdP til rådighed, varetager alle tekniske og processuelle forhold reguleret i NSIS, herunder registrering og identitetssikring af lokale brugere og udstedelse af lokale identifikationsmidler.

Full-service Lokal IdPen er underlagt revision, som er krævet efter NSIS-standarden. Derfor er det organisationen, som har etableret som full-service Lokal IdP, der fremgår af NSIS-positivlisten.

Læs mere om NSIS i trin 3-8 i ovenstående guide til etablering af Lokal IdP.

Hvis I ønsker at stille jeres Lokale IdP til rådighed for andre organisationer, skal I følge vejledningen til etablering af Lokal IdP.

Vær opmærksom på, at I som lokal identitetsgarant er ansvarlige for bl.a.:

  • udstedelse af lokale identifikationsmidler til brugere
  • krav til driftsfaciliteter og teknisk sikkerhed
  • processer, sikkerhedsdesign og tekniske systemer
  • revision af jeres processer og systemer fra ekstern revisor.

Læs mere i vejledningen til etablering af Lokal IdP ovenfor.

Aftale med organisationer, som ønsker at anvende jeres lokale IdP

Hvis I stiller en Full-service Lokal IdP til rådighed, fastlægger I selv jeres aftaler med de organisationer, der anvender jeres service.

Som udbyder af en Full-service Lokal IdP skal I underskrive en fælles ledelseserklæring med de organisationer, som ønsker at anvende jeres lokale IdP.

Det er den enkelte organisation, som anvender jeres Full-service Lokal IdP, der sender den fælles ledelseserklæring ind til MitID Erhverv. Derfor behøver I som udbyder af en Full-service Lokal IdP ikke at dokumentere aftaleforholdene overfor MitID Erhverv.

Udfyld fælles ledelseserklæring for full-service Lokal IdP

Hvis I ønsker at anvende en Full-service Lokal IdP, skal I lave en aftale med en udbyder af en Full-service Lokal IdP.

MitID Erhverv kan ikke oplyse, hvilke Full-service Lokal IdPer, der er til rådighed. I kan orientere jer i NSIS-positivlisten samt opsøge markedet for mulige IdPer i Danmark.

Gå til NSIS-positivlisten på Digitaliseringsstyrelsens hjemmeside

Aftale med en udbyder af Full-service Lokal IdP

Når I har indgået en aftale med en udbyder af en Full-service Lokal IdP, skal I fremsende en underskrevet ledelseserklæring til Digitaliseringsstyrelsen med en række oplysninger.

I skal desuden fremsende en fælles ledelseserklæring, hvor både udbyderen af Lokal IdPen, samt jer som anvendere af den, har underskrevet aftaleforholdet.

Find ledelseserklæring samt fælles ledelseserklæring til underskrivelse

Kontakt MitID Erhverv

Når I har indgået aftalen med en Full-service Lokal IdP og skal tilkobles denne i MitID Erhverv, skal I sende en e-mail til MitID Erhverv-teamet.

E-mailen skal indeholde følgende informationer:

  • Emnefelt: Anvend Full-service Lokal IdP
  • E-mail:
    • Jeres CVR-nummer.
    • Kontakt information: navn, mail og telefonnummer på kontaktperson.
    • Vedhæft: Underskrevet ledelseserklæring samt fællesledelseserklæring. 

Send e-mail til MitID Erhverv

Har du brug for hjælp?

Du kan finde vejledning til, hvordan du administrerer en Lokal IdP i vores supportunivers. 

Gå til vejledninger

Du kan også finde hjælp til, hvordan du tester Lokal IdP-funktionalitet i integrationstestmiljøet.

Gå til MitID Erhverv testorganisation i integrationstestmiljøet