I bestemmer selv, hvilke lokale identifikationsmidler I vil udstede. En typisk løsning er at kombinere et brugernavn og kodeord med ekstra faktorer på særlige hardwareenheder. Det kan fx være apps på mobile enheder.
Jeres brugere kan så anvende det lokale identifikationsmiddel i stedet for MitID, når de logger ind på vegne af jeres organisation.
En organisation, der er etableret som Lokal IdP, kan selv registrere brugere i MitID Erhverv på det NSIS sikringsniveau, som den lokale IdP er anmeldt til. Brugerne kan med det samme logge ind med deres lokale identifikationsmiddel uden at gå igennem et MitID Erhverv aktiveringsforløb. Men de har ikke muligheden for at signere.
NemLog-in tilbyder en kvalificeret signeringstjeneste, hvor brugere kan underskrive med et MitID identifikationsmiddel, fx en MitID app (privat eller erhverv). Signeringstjenesten i NemLog-in forudsætter, at den bagvedliggende identitet er registreret i overensstemmelse med eIDAS forordningen. For kvalificerede signaturer er der således i eIDAS artikel 24.1 nogle ekstra krav, som er uafhængige af brugerens sikringsniveau.
Dette betyder, at brugere, som er oprettet af en NSIS-anmeldt organisation med Lokal IdP, som udgangspunktet alene kan logge ind, men ikke signere i NemLog-ins kvalificerede signeringstjeneste på vegne af jeres organisation. Hvis jeres organisation har behov for at brugere kan signere på vegne af organisationen, findes der tre forskellige muligheder for at aktivere dette:
Der er mulighed for at opgradere en brugers identitet, så brugeren udover at logge ind, også kan signere med Lokal IdP. Det kan gøres ved at tilføje muligheden for privat MitID eller et særskilt MitID til brugerens profil. Dette kan enten gøres i MitID Erhverv eller via IdM API’et. MitID Erhverv gennemfører en fornyet aktivering af identiteten og sender en e-mail med et aktiveringslink til brugeren. Aktiveringen kræver, at brugeren logger ind med sit private MitID.
Hvis brugeren aktiverer sig med sit private MitID, og herefter vælger ikke at acceptere at anvende sit private MitID fremover, vil det private MitID ikke blive tilføjet som identifikationsmiddel til brugeren. Aktiveringen medfører, at identiteten bliver markeret som godkendt til kvalificeret signering (også med Lokal IdP). Hvis man efterfølgende sletter privat MitID som identifikationsmiddel, vil brugeren stadig kunne signere med Lokal IdP.
Det er nødvendigt, at I er tilsluttet MitID Erhverv, før I kan sætte jeres Lokale IdP op i MitID Erhverv. I vælger selv, om I vil starte med at tilslutte jer, eller gøre det sideløbende med etableringen af jeres Lokale IdP. Jeres organisation skal bare være tilsluttet, før I sender en mail til Digitaliseringsstyrelsen (trin 9).
Fx skal jeres organisation være NSIS-godkendt og fremgå af NSIS positivlisten før I kan etablere den Lokale IdP.
Med en Lokal IdP har I som organisation mulighed for at selv at håndtere jeres erhvervsbrugere decentralt - fremfor at gøre det via MitID Erhverv. I får også mulighed for at udstede lokale identifikationsmidler til jeres brugere.
Hvis I har behov for Lokal IdP, er det en god idé at afklare jeres ønsker og forretningsmæssige behov, herunder:
Herefter kan I med fordel etablere et projekt og skabe ledelsesopbakning i jeres organisation.
Det er en forudsætning, at alle brugere også er oprettet i MitID Erhverv, hvis I vil bruge lokale erhvervsidentiteter til at logge på jeres egne systemer eller offentlige selvbetjeningsløsninger.
Til det formål kan I tilslutte en Lokal IdM-løsning. En Lokal IdM-løsning kan kalde IdM API'et i MitID Erhverv og synkronisere lokal oprettelse og sletning af jeres brugere med MitID Erhverv.
På den måde behøver I kun at administrere jeres brugere ét sted - i jeres lokale administrationssystem. Det er dog også muligt for jer at administrere jeres brugere i MitID Erhverv, og disse ændringer vil blive implementeret i jeres lokale administrationssystem.
Det er en forudsætning, at jeres lokal IdP skal leve op til krav og spilleregler, som er defineret i den Nationale Standard for Identiteters Sikringsniveauer (NSIS), hvis I vælger Lokal IdP kombineret med Lokal IdM.
Dette skyldes, at I som organisation bliver en lokal identitetsgarant, hvis I vælger at kombinere jeres lokale IdP med Lokal IdM.
Implementering af NSIS-standarden involverer en række forskellige discipliner – både tekniske, organisatoriske og sikkerhedsmæssige. Det er derfor vigtigt ikke at betragte opgaven som et rent teknisk implementeringsprojekt:
Ved tilslutning af den Lokale IdP i produktion vil Digitaliseringsstyrelsen kontrollere, at jeres lokale IdP fremgår af NSIS positivlisten over anmeldte løsninger.
I har mulighed for at sætte en testorganisation op. Det kan I gøre i MitID Erhverv integrationstestmiljø.
Der kan I også fx afprøve:
I vil også kunne læse den tekniske integrationsvejledning.
Gå til MitID Erhverv testorganisation i integrationstestmiljøetDet er en forudsætning, at I indhenter nødvendige revisionserklæringer og ledelseserklæringer til brug for NSIS-anmeldelsen.
Vi anbefaler, at I har en tidlig dialog med revisor.Det må påregnes et vist arbejde med at indhente de krævede revisionserklæringer, herunder at sikre, at den relevante dokumentation for systemer og processer er fyldestgørende samt tilgængelige for revisor.
Når I har indhentet og udarbejdet relevant dokumentation, skal I indsende en samlet anmeldelsespakke (inklusiv revisionserklæringer) til NSIS Tilsynet i Digitaliseringsstyrelsen på tilsyn_nsis@digst.dk.
Send anmeldelsespakken til NSIS Tilsynet i Digitaliseringsstyrelsen
Herefter skal I afvente godkendelse eller supplerende spørgsmål fra Tilsynet, før I kan få en godkendelse.
NSIS-tilsynet håndterer NSIS-anmeldelserne så hurtigt som muligt, og som udgangspunkt indenfor 30 dage.
Det afhænger af:
Når I har fået godkendt NSIS-anmeldelses og optræder på NSIS-positivlisten for anmeldte løsninger på Digitaliseringsstyrelsens hjemmeside, er næste trin at kontakte MitID Erhverv på mitiderhverv@digst.dk.
I skal sende en mail til MitID Erhverv i Digitaliseringsstyrelsen
E-mailen skal indeholde følgende oplysninger:
MitID Erhverv teamet åbner herefter op for, at I kan sætte jeres Lokale IdP op i produktion i MitID Erhverv.
Når I har fået bekræftelse på mail, er I klar til at sætte den Lokale IdP op.
Nu er I klar til sidste trin i etableringsprocessen, som er at sætte den Lokale IdP op i MitID Erhvervs produktionsmiljø.
Det er en organisationsadministrator i jeres organisation, som kan sætte den Lokale IdP op.
Når I har sat jeres lokale IdP op, kan I udpege de brugeradministratorer i MitID Erhverv, som fremadrettet kan tildele lokale identifikationsmidler til jeres brugere. Ligeledes kan man udpege de administratorer som kan oprette eller tildele brugere mulighed for at signere, såfremt organisationen er godkendt til dette.
Læs vejledning til angivelse af sikringsniveau til administrator
I har altid mulighed for at tildele jeres brugere et lokalt identifikationsmiddel i MitID Erhverv.
Derudover kan I, som har valgt at kombinere jeres Lokal IdP med IdM, tildele jeres brugere et lokalt identifikationsmiddel i jeres lokale administrationssystem og synkronisere brugerne over i MitID Erhverv.
Brugere tildeles rettigheder i MitID Erhverv på samme måde, uanset om I anvender MitID identifikationsmidler eller lokale identifikationsmidler fra en Lokal IdP.
Rettigheder kobles med andre ord på identiteten uafhængigt af identifikationsmidlet. Rettigheder kan tildeles via IdM API’et eller via MitID Erhverv.
For Lokal IdP’er er der endvidere mulighed for at medsende information om grupper i det lokalt udstedte token, som kan ekspanderes til rettigheder i MitID Erhverv.
Hvis jeres organisation har etableret Lokal IdP i MitID Erhverv, har I mulighed for at stille jeres Lokal IdP til rådighed for andre organisationer. På den måde fungerer den som Full-service Lokal IdP.
En organisation, som har etableret en Lokal IdP, kan give mulighed for, at andre organisationer også kan gøre brug af denne.
Fordelen ved dette er, at organisationerne dermed ikke selv skal foretage en NSIS-anmeldelse i forbindelse med etablering af Lokal IdP.
Organisationen, som stiller en Full-service Lokale IdP til rådighed, varetager alle tekniske og processuelle forhold reguleret i NSIS, herunder registrering og identitetssikring af lokale brugere og udstedelse af lokale identifikationsmidler.
Full-service Lokal IdP'en er underlagt revision, som er krævet efter NSIS-standarden. Derfor er det organisationen, som har etableret som full-service Lokal IdP, der fremgår af NSIS-positivlisten.
Læs mere om NSIS i trin 3-8 i ovenstående guide til etablering af Lokal IdP.
Hvis I ønsker at stille jeres Lokale IdP til rådighed for andre organisationer, skal I følge vejledningen til etablering af Lokal IdP.
Vær opmærksom på, at I som lokal identitetsgarant er ansvarlige for bla.:
Læs mere i vejledningen til etablering af Lokal IdP overnfor.
Hvis I stiller en Full-service Lokal IdP til rådighed, fastlægger I selv jeres aftaler med de organisationer, der anvender jeres service.
Som udbyder af en full-service Lokal IdP skal I underskrive en fælles ledelseserklæring med de organisationer, som ønsker at anvende jeres Lokale IdP.
Det er den enkelte organisation, som anvender jeres full-service Lokal IdP, der sender den fælles ledelseserklæring ind til MitID Erhverv. Derfor behøver I som udbyder af en -service Lokal IdP ikke at dokumentere aftaleforholdene overfor MitID Erhverv.
Hvis I ønsker at anvende en full-service Lokal IdP, skal I lave en aftale med en udbyder af en full-service Lokal IdP.
MitID Erhverv kan ikke oplyse, hvilke Full-service Lokal IdP’er, der er til rådighed. I kan orientere jer i NSIS-positivlisten samt opsøge markedet for mulige IdP’er i Danmark.
Gå til NSIS-positivlisten på Digitaliseringsstyrelsens hjemmeside
Når I har indgået aftalen med en Full-service Lokal IdP og skal tilkobles denne i MitID Erhverv, skal I sende en mail til MitID Erhverv-teamet.
Mailen skal indeholde følgende informationer: