Lokal Identity Provider (Lokal IdP)

Med en Lokal IdP bliver I en såkaldt lokal identitetsgarant. Det vil sige, at I lokalt kan udstede identifikationsmidler til jeres brugere, som kan anvende disse til at logge ind i jeres egne it-systemer og i offentlige selvbetjeningsløsninger.


I bestemmer selv, hvilke lokale identifikationsmidler I vil udstede. En typisk løsning er at kombinere et brugernavn og kodeord med ekstra faktorer på særlige hardwareenheder. Det kan fx være apps på mobile enheder.

Jeres brugere kan så anvende det lokale identifikationsmiddel i stedet for MitID, når de logger ind på vegne af jeres organisation.

En Lokal IdP-løsning giver stor fleksibilitet

  • Erhvervsbrugere kan anvende de samme identifikationsmidler i såvel egen organisation som i offentlige og private selvbetjeningsløsninger – fx samme brugernavn, password, app, fysisk enhed osv.

  • Lokale identifikationsmidler kan fx integreres med fysiske adgangskort til egen organisation, således at erhvervsbrugere oplever en enklere og mere sammenhængende adgang i deres dagligdag.

  • Organisationen kan opnå en enklere administration af sine erhvervsbrugere ved at brugerne kun administreres lokalt, og opdateringer synkroniseres med MitID Erhverv via IdM API.

Login og signering med Lokal IdP

Login med lokalt identifikationsmiddel

En organisation, der er etableret som Lokal IdP, kan selv registrere brugere i MitID Erhverv på det NSIS sikringsniveau, som den lokale IdP er anmeldt til. Brugerne kan med det samme logge ind med deres lokale identifikationsmiddel.


Kvalificeret signering med lokalt identifikationsmiddel

NemLog-in tilbyder en kvalificeret signeringstjeneste, hvor brugere kan underskrive med et MitID identifikationsmiddel fx en MitID app (privat eller erhverv). Signeringstjenesten i NemLog-in forudsætter, at den bagvedliggende identitet er registreret i overensstemmelse med eIDAS forordningen. For kvalificerede signaturer er der således i eIDAS artikel 24.1 nogle ekstra krav, som er uafhængige af brugerens sikringsniveau.

Dette betyder, at brugere, som er oprettet af en NSIS-anmeldt organisation med Lokal IdP, som udgangspunktet alene kan logge ind, men ikke signere i NemLog-in’s kvalificerede signeringstjeneste.

Aktivering i MitID Erhverv 

Der er dog mulighed for at opgradere en brugers identitet, så brugeren udover at logge ind, også kan signere med Lokal IdP. Det gøres ved at tilføje et privat MitID eller et særskilt MitID til brugerens identitet. Dette kan enten gøres i MitID Erhverv eller via IdM API’et. MitID Erhverv gennemfører en fornyet aktivering af identiteten og sender en mail med et aktiveringslink til brugeren. Aktiveringen kræver, at brugeren logger ind med privat MitID.

Hvis brugeren aktiverer med sit private MitID og herefter vælger ikke at acceptere at anvende sit private MitID fremover, vil det private MitID ikke blive tilføjet som identifikationsmiddel til brugeren. Aktiveringen medfører, at identiteten bliver markeret som godkendt til kvalificeret signering (også med Lokal IdP). Hvis man efterfølgende sletter privat MitID som loginmiddel, vil brugeren stadig kunne signere med Lokal IdP.

Digitaliseringsstyrelsen forventer i 2024 at åbne for, at organisationer, der kan dokumentere opfyldelse af registreringskravene i eIDAS forordningen, kan signere med Lokal IdP uden en ekstra aktivering via MitID Erhverv. De nærmere rammer for dette bliver udmeldt på et senere tidspunkt.

Alt du skal vide om etablering af Lokal IdP

Det kræver en stor modenhed at etablere og vedligeholde en Lokal IdP. En Lokal IdP skal NSIS-anmeldes på sikringsniveau Betydelig eller Høj, før den kan tilsluttes MitID Erhverv løsningen. 
For at etablere en Lokal IdP, forudsætter det:

  • At jeres organisation er tilsluttet MitID Erhverv
    Det er nødvendigt, at I er tilsluttet MitID Erhverv, før I kan sætte jeres Lokale IdP op i MitID Erhverv. I vælger selv, om I vil starte med at tilslutte jer, eller gøre det sideløbende med etableringen af jeres Lokale IdP. Jeres organisation skal bare være tilsluttet, før I sender en mail til Digitaliseringsstyrelsen (trin 9).
  • At I følger nedenstående trin for etablering af Lokal IdP
    Fx skal jeres organisation være NSIS-godkendt og fremgå af NSIS positivlisten før I kan etablere den Lokale IdP.
Med en Lokal IdP har I som organisation mulighed for at selv at håndtere jeres erhvervsbrugere decentralt - fremfor at gøre det via MitID Erhverv. I får også mulighed for at udstede lokale identifikationsmidler til jeres brugere.

Hvis I har behov for Lokal IdP, er det en god idé at afklare jeres ønsker og forretningsmæssige behov, herunder:

  • Tag stilling til NSIS sikringsniveauet for de tjenester, som jeres brugere skal kunne tilgå. En Lokal IdP skal NSIS anmeldes på sikringsniveau Betydelig eller Høj, før den kan blive tilsluttet NemLog-in

  • Tag stilling til krav til oppetid, svartid og andre servicemail for jeres lokale IdP

  • Overvej, hvordan lokale erhvervsidentiteter også er oprettet centralt i MitID Erhverv. Ønsker I en integration mellem jeres lokale IdM system og MitID Erhverv? Eller vil I administrere brugere direkte i MitID Erhverv? (Se mere i trin 3)

Når I har gjort det, kan I med fordel etablere et projekt og skabe ledelsesopbakning i jeres organisation.
Det er en forudsætning for brug af lokale identifikationsmidler, at alle brugere også er oprettet centralt i MitID Erhverv.

Til det formål kan I tilslutte en Lokal IdM-løsning. En lokal IdM-løsning kan kalde IdM API'et i MitID Erhverv og synkronisere lokal oprettelse og sletning af jeres brugere med MitID Erhverv.

På den måde behøver I kun at administrere jeres brugere ét sted - i jeres lokale administrationssystem. Det er dog også muligt for jer at administrere jeres brugere i MitID Erhverv.

Læs mere om Lokal IdP kombineret med Lokal IdM
Når I etablerer en Lokal IdP, bliver I som organisation en lokal identitetsgarant. I bliver derfor en vigtig brik for det samlede økosystem med NemLog-in. Derfor skal de samme krav og og spilleregler overholdes, som er defineret i National Standard for Identiteters Sikringsniveauer (NSIS). 

Det er en forudsætning for tilslutning af en lokal IdP, at den lever op til kravene i standarden.

Implementering af NSIS-standarden involverer en række forskellige discipliner – både tekniske, organisatoriske og sikkerhedsmæssige. Det er derfor vigtigt, ikke at betragte opgaven
som et rent teknisk implementeringsprojekt.

Se derfor på:

  • Identificér ønsket proces for identitetssikring. Skal erhvervsbrugerne fx første gang logge på med privat MitID og sker dette i lokal indrulleringsapplikation eller centralt i NemLog-in, eller skal erhvervsbrugerne i stedet møde fysisk op og præsentere pas/kørekort mv.?

  • Afklar hvilken type identifikationsmidler, I vil udstede lokalt, og hvordan de udleveres og håndteres. Typisk kombineres et brugernavn og kodeord med ekstra faktorer på særlige hardwareenheder, fra apps på mobile enheder mv.

  • Afklar hvordan autentifikationsservicen etableres teknisk (IdP), og hvordan den kan understøtte de valgte sikringsniveauer. Den lokale IdP skal udstille en SAML-snitflade, som opfylder kravene i ’OIOSAML Local IdP Profile’.

  • Afklar krav til driftsfaciliteter og teknisk sikkerhed. Er jeres nuværende driftsfaciliteter modne nok, eller skal der ske forbedringstiltag?

  • Afdæk behov for uddannelse af erhvervsbrugere, der skal arbejde med fx identitetssikring eller andet.

  • Etabler ledelsessystem for informationssikkerhed (ISMS) eller tilpas eksisterende, så det dækker processer for identitetshåndtering.

  • Afklar håndtering af underleverandører af fx software eller drift, som leverer dele af den lokale implementering.

  • Beskriv processer, sikkerhedsdesign og tekniske systemer og få design reviewet.

  • Planlæg hvordan systemer og processer kan auditeres af ekstern revisor. Det er fx vigtigt, at der sikres et tilstrækkeligt revisionsspor, så revisor kan konstatere, at processer, personer og systemer udfører de kontroller, som er tiltænkt.

Ved tilslutning af den Lokale IdP i produktion vil Digitaliseringsstyrelsen kontrollere, at jeres lokale IdP fremgår af NSIS positivlisten over anmeldte løsninger.

  1. Etablér miljøer til lokal IdP og tilhørende brugerkatalog, og etabler de nødvendige komponenter og services.

  2. Anskaf nødvendige certifikater til den lokale IdP.

  3. Foretag lokal test herunder både funktionel test og sikkerhedstest.

  4. Gennemfør test af organisatoriske processer
I MitID Erhvervs pre-produktionsmiljø har I mulighed for at sætte en testorganisation op, samt fx afprøve IdM og certifikat-API’er samt jeres lokal IdP-integration.

I vil også kunne læse den tekniske integrationsvejledning. 

Gå til pre-produktionsmiljøet
Det er en forudsætning, at I indhenter nødvendige revisionserklæringer og ledelseserklæringer til brug for NSIS-anmeldelsen.

Vi anbefaler, at I har en tidlig dialog med revisor.

Det må påregnes et vist arbejde med at indhente de krævede revisionserklæringer, herunder at sikre, at
den relevante dokumentation for systemer og processer er fyldestgørende samt tilgængelige for revisor.

Læs mere om NSIS
Når I har indhentet og udarbejdet relevant dokumentation, skal I indsende en samlet anmeldelsespakke (inkl. revisionserklæringer) til NSIS tilsynet i Digitaliseringsstyrelsen.

Anmeldelsespakken skal sendes til: tilsyn_nsis@digst.dk 

Herefter skal I afvente godkendelse eller supplerende spørgsmål fra tilsynet, før I kan få en godkendelse.

Se hvad pakken skal indeholde og læs ofte stillede spørgsmål om NSIS

NSIS-tilsynet håndterer NSIS-anmeldelserne så hurtigt som muligt, og som udgangspunkt indenfor 30 dage.

Det afhænger af anmeldelsens kompleksitet, fuldstændighed og kvalitet, antallet af igangværende behandlinger af NSIS-anmeldelser, samt ressourcer i tilsynet.

Når I har fået godkendt NSIS-anmeldelses og optræder på NSIS-positivlisten for anmeldte løsninger på Digitaliseringsstyrelsens hjemmeside, er næste trin at kontakte MitID Erhverv teamet i Digitaliseringsstyrelsen.

I skal sende en mail til mitiderhverv@digst.dk

Mailen skal indeholde følgende oplysninger:

  • Organisationens navn
  • CVR-nummer
  • EntityID for Lokal IdP
  • Navn, telefon og e-mail på kontaktperson
MitID Erhverv teamet åbner herefter op for, at I kan sætte jeres Lokale IdP op i produktion i MitID Erhverv. 

Når I har fået bekræftelse på mail, er I klar til at sætte den Lokale IdP op.

Nu er I klar til sidste trin i etableringsprocessen, som er at sætte den Lokale IdP op i MitID Erhvervs produktionsmiljø. 

Det er en organisationsadministrator i jeres organisation, som kan sætte den Lokale IdP op. 

Læs vejledning til, hvordan I sætter jeres Lokale IdP op

Når I har sat jeres Lokale IdP op, kan I udpege en af jeres brugeradministratorer i MitID Erhverv, som fremadrettet kan tildele lokale identifikationsmidler til jeres brugere.

Læs vejledning til angivelse af sikringsniveau til administrator

I kan enten tildele jeres brugere et lokalt identifikationsmiddel i jeres lokale administrationssystem og synkronisere brugerne over i MitID Erhverv (hvis I har en Lokal IdM-løsning, jf trin 3).

I har også mulighed for at tildele jeres brugere et lokalt identifikationsmiddel i MitID Erhverv.


Rettighedsstyring i MitID Erhverv ved brug af Lokal IdP

Brugere tildeles rettigheder i MitID Erhverv på samme måde uanset om de anvender MitID identifikationsmidler eller lokale identifikationsmidler (fra en lokal IdP).

Rettigheder kobles med andre ord på identiteten uafhængigt af identifikationsmidlet. Rettigheder kan tildeles via IdM API’et eller via MitID Erhverv.

For Lokal IdP’er er der endvidere mulighed for at medsende information om grupper i det lokalt udstedte token, som kan ekspanderes til rettigheder i MitID Erhverv
Se figur over Lokal IdP etableringsproces
Læs detaljeret vejledning til etablering af Lokal IdP
Etablering af full-service Lokal IdP

Som organisation med en etableret Lokal IdP i MitID Erhverv, har I mulighed for at stille jeres Lokal IdP til rådighed for andre organisationer. På den måde fungerer den som Full-service Lokal IdP.
En organisation, som har etableret en Lokal IdP, kan give mulighed for, at andre organisationer også kan gøre brug af denne. 

Fordelen ved dette er, at organisationerne dermed ikke selv skal foretage en NSIS-anmeldelse i forbindelse med etablering af Lokal IdP.

Organisationen, som stiller en Full-service Lokale IdP til rådighed, varetager alle tekniske og processuelle forhold reguleret i NSIS, herunder registrering og identitetssikring af lokale brugere og udstedelse af lokale identifikationsmidler. 

Full-service Lokal IdP'en er underlagt revision, som er krævet efter NSIS-standarden. Derfor er det organisationen, som har etableret som full-service Lokal IdP, der fremgår af NSIS-positivlisten.

Læs mere om NSIS i trin 3-8 i ovenstående guide til etablering af Lokal IdP.
Hvis I ønsker at stille jeres Lokale IdP til rådighed for andre organisationer, skal I følge vejledningen til etablering af Lokal IdP.

Vær opmærksom på, at I som lokal identitetsgarant er ansvarlige for bla.:
  • Udstedelse af lokale identifikationsmidler til brugere
  • Krav til driftsfaciliteter og teknisk sikkerhed
  • Processer, sikkerhedsdesign og tekniske systemer
  • Revision af jeres processer og systemer fra ekstern revisor
Læs mere i vejledningen til etablering af Lokal IdP.


Aftale med organisationer, som ønsker at anvende jeres lokale IdP

Hvis I stiller en Full-service Lokal IdP til rådighed, fastlægger I selv jeres aftaler med de organisationer, der anvender jeres service.

Som udbyder af en full-service Lokal IdP skal I underskrive en fælles ledelseserklæring med de organisationer, som ønsker at anvende jeres Lokale IdP.

Den fælles ledelseserklæring sender den enkelte organisation, som anvender jeres full-service Lokal IdP, ind til Digitaliseringsstyrelsen. Derfor behøver I som udbyder af en full-service Lokal IdP ikke at dokumentere aftaleforholdene overfor Digitaliseringsstyrelsen.

Udfyld fælles ledelseserklæring for full-service Lokal IdP
Hvis I ønsker at anvende en full-service Lokal IdP, skal I lave en aftale med en udbyder af en full-service Lokal IdP.

Digitaliseringsstyrelsen kan ikke oplyse hvilke Full-service Lokal IdP’er, som er til rådighed. I kan orientere jer i NSIS-positivlisten og/eller kontakte markedet for mulige IdP’er i Danmark.

Gå til NSIS-positivlisten


Aftale med en udbyder af full-service lokal IdP

Når I har indgået en aftale med en udbyder af en full-service Lokal IdP, skal I fremsende en underskrevet ledelseserklæring til Digitaliseringsstyrelsen med en række oplysninger.

I skal desuden fremsende en fælles ledelseserklæring, hvor både udbyderen af den Lokal IdP samt jer som anvendere af den, har underskrevet aftaleforholdet.

Find ledelseserklæring samt fælles ledelseserklæring til underskrivelse 


Kontakt Digitaliseringsstyrelsen 

Når I har indgået aftalen med en Full-service Lokal IdP og skal tilkobles denne i MitID Erhverv, skal I sende en mail til MitID Erhverv-teamet.

Mailen skal indeholde følgende informationer:

  • Mailoverskrift: Anvend Full-service Lokal IdP

  • Mail

    • Jeres CVR-nummer

    • Kontaktinformation: navn, mail og telefonnummer på kontaktperson 

    • Vedhæft: Underskrevet ledelseserklæring samt fællesledelseserklæring. 


Send mail til MitID Erhverv-teamet

Har du brug for hjælp?

Du kan finde vejledning til, hvordan du administrerer en Lokal IdP i vores supportunivers. 

Gå til vejledninger

Du kan også finde hjælp til, hvordan du tester Lokal IdP-funktionalitet i pre-produktionsmiljøet.

Gå til pre-produktionsmiljøet
Gå til avanceret support