Lokal IdP

Med en Lokal IdP bliver I en såkaldt lokal identitetsgarant. Det vil sige, at I lokalt kan udstede identifikationsmidler til jeres brugere og anvende disse til autentifikation mod tjenester tilsluttet NemLog-in.


I afgør selv, hvilke lokale identifikationsmidler I vil udstede. En typisk løsning er at kombinere et brugernavn og kodeord med ekstra faktorer på særlige hardwareenheder. Det kan fx være apps på mobile enheder.


En Lokal IdP-løsning giver stor fleksibilitet:

  • I kan anvende et lokalt netværkspassword som den ene faktor ved log-in.

  • I kan yde lokal hjælp, når brugere skal registrere en to-faktor-enhed eller har glemt deres password.

  • I kan få Single sign on (SSO) på tværs af jeres egne it-systemer og offentlige tjenester.

  • I kan logge på med et lokalt udstedt identifikationsmiddel. Det gælder, uanset om det er et log-in på jeres egne interne it-systemer eller på offentlige og private tjenester.

 

Login og signering med Lokal IdP

Login med lokalt identifikationsmiddel

En organisation, der er etableret som Lokal IdP, kan selv registrere brugere i MitID Erhverv på det NSIS sikringsniveau, som den lokale IdP er anmeldt til. Brugerne kan med det samme logge ind med deres lokale identifikationsmiddel.


Kvalificeret signering med lokalt identifikationsmiddel

NemLog-in tilbyder en kvalificeret signeringstjeneste, som i dag kan anvendes af brugere med et MitID identifikationsmiddel (privat eller erhverv). Signeringstjenesten i NemLog-in forudsætter, at den bagvedliggende identitet er registreret i overensstemmelse med eIDAS forordningen. For kvalificerede signaturer er der således i eIDAS artikel 24.1 nogle ekstra krav, som er uafhængige af brugerens sikringsniveau.

Dette betyder, at brugere oprettet af en NSIS anmeldt brugerorganisation med Lokal IdP i udgangspunktet alene kan anvendes til Login - men at identiteten ikke kan signere i NemLog-in’s kvalificerede signeringstjeneste.

En brugerorganisation kan imidlertid opgradere en identitet, som kun har Lokal IdP som loginmiddel, til en identitet, der kan signere med Lokal IdP, ved at tilføje et Privat MitID eller et dedikeret MitID til identiteten. Dette kan enten gøres via brugerfladen i MitID Erhverv eller via IdM API’et. Herved vil MitID Erhverv gennemføre (fornyet) aktivering af identiteten ved at sende en mail med et aktiveringslink. Aktiveringen kræver login med privat MitID.

Hvis brugeren aktiverer med sit Private MitID og herefter ikke accepterer det dobbelte frivilighedsprincip, vil det Private MitID ikke blive tilføjet som identifikationsmiddel til identiteten - men aktiveringen medfører, at identiteten bliver markeret som godkendt til kvalificeret signering (også med Lokal IdP). Hvis man efterfølgende sletter Privat MitID som loginmiddel, vil brugere stadig kunne signere via autentifikation med Lokal IdP.

Digitaliseringsstyrelsen forventer i 2024 at åbne for, at organisationer, der kan dokumentere opfyldelse registreringskravene i eIDAS forordningen, vil kunne åbne for signering med Lokal IdP uden en ekstra aktivering via MitID Erhverv. De nærmere rammer for dette bliver udmeldt på et senere tidspunkt.

Etablér en Lokal IdP

Det kræver en stor modenhed at etablere og vedligeholde en Lokal IdP. En Lokal IdP skal NSIS-anmeldes på sikringsniveau Betydelig eller Høj, før den kan tilsluttes MitID Erhverv løsningen.

Kombinér Lokal IdP med Lokal IdM

Det er en forudsætning for brug af lokale identifikationsmidler, at alle brugere også er oprettet centralt i den nye erhvervsløsning, MitID Erhverv.

Til det formål kan I tilslutte en Lokal IdM-løsning. En lokal IdM-løsning kan kalde IdM API'et udstillet af MitID Erhverv og herved synkronisere lokal oprettelse og sletning af jeres brugere med MitID Erhverv.

Læs mere om en kombineret løsning

Forudsætning for etablering af Lokal IdP

  • Jeres organisation skal være tilsluttet MitID Erhverv.
  • Jeres organisation skal være NSIS godkendt og fremgå af NSIS positivlisten.


Kontakt venligst MitID Erhverv teamet per mail:

  • Mailoverskrift: Lokal IdP
  • Mail:
    • CVR-nummer
    • Kontakt oplysninger (forventeligt organisationsadministrator)
      • Navn
      • E-mail
      • Telefonnummer

Mail MitID Erhverv teamet


Når I modtager bekræftelse fra MitID Erhverv teamet, kan I opsætte jeres brugerorganisation som Lokal IdP i MitID Erhverv løsningen.


OBS – I kan allerede nu og løbende teste opsætning og anvendelse af Lokal IdP funktionalitet i pre-produktionsmiljøet til MitID Erhverv. Det kræver ikke en godkendelse og der er fri leg i miljøet.

Lokal IdP etableringsproces

I nedestående figur er illustreret de forskellige forhold som skal være på plads før en brugerorganisation kan etablere sig som Lokal IdP i MitID Erhverv løsningen.

proces for lokal idp


NSIS krav for Lokal IdP


Tilslutning af en lokal IdP til NemLog-in forudsætter, at denne opfylder kravene i NSIS standarden og er anmeldt på sikringsniveau Betydelig eller Høj.

Ved tilslutning i produktion vil vi derfor kontrollere, at jeres lokale IdP fremgår af NSIS positivlisten over anmeldte løsninger.

Læs mere om NSIS (åbner i et nyt vindue)

Til udviklere 


Her vil I kunne opsætte en testorganisation, samt fx afprøve IdM og certifikat API’er, lokal IdP integration – samt kommende funktionalitet til MitID Erhverv løsningen. I vil også kunne læse den tekniske integrationsvejledning.

Gå til pre-produktionsmiljøet (åbner i et nyt vindue)

Full-service Lokal IdP

En brugerorganisation som er etableret med Lokal IdP i MitID Erhverv, kan stille sin Lokal IdP til rådighed for andre brugerorganisationer og fungerer derved som Full-service Lokal IdP.


Fordel ved anvendelse af Full-service Lokal IdP  

Brugerorganisationer som vælger at benytte en Full-service Lokal IdP, skal dermed ikke selv NSIS anmeldelse i forbindelse med etablering af Lokal IdP. Da den brugerorganisation som stiller en Full-service Lokale IdP til rådighed, varetager alle tekniske og processuelle forhold reguleret i NSIS - herunder registrering og identitetssikring af lokale brugere og udstedelse af lokale identifikationsmidler.


Den eksterne Full-service Lokal IdP er genstand for den revision, der er krævet efter NSIS-standarden. Derfor er det brugerorganisationen etableret som full-service Lokal IdP der fremgår af NSIS positivlisten.


Digitaliseringsstyrelsen kan ikke oplyse hvilke Full-service Lokal IdP’er som er til rådighed, her vil man skulle orientere sig i NSIS positivlisten og/eller kontakte markedet for mulige IdP’er i Danmark.
    

NSIS positivlisten


Proces for tilslutning til Full-service Lokal IdP

Brugerorganisationen som udstiller Full-service Lokal IdP fastlægger selv sine aftaler med de brugerorganisationer, der anvender denne service.


Såfremt I som brugerorganisation i MitID Erhverv ønsker, at anvende en Full-service Lokal IdP, skal I fremsende en underskrevet ledelseserklæring herom, som angiver navn på Full-service Lokal IdP’en samt CVR-nummer. Dernæst skal I også fremsende en fælles ledelseserklæring hvor udbyder af samt I som anvender af Full-service Lokal IdP har underskrevet aftaleforholdet. 


Begge dokumenter til underskrift findes via nedestående link:

Ledelseserklæring samt fælles ledelseserklæring til Full-service Lokal IdP


Kontakt

Hvis I som brugerorganisation har indgået aftale med en Full-service Lokal IdP og skal tilkobles denne i MitID Erhverv. Så send venligst mail til MitID Erhverv teamet med følgende information:

  • Mailoverskrift: Anvend Full-service Lokal IdP

  • Mail

    • Jeres CVR-nummer

    • Kontakt information: navn, mail og telefonnummer (forventeligt jeres organisationsadministrator) 

    • Vedhæft: underskrevet ledelseserklæring samt fællesledelseserklæring. 


Mail MitID Erhverv teamet

Guide til implementering af Lokal IdP

Guiden er en hjælp til de organisationer, der overvejer eller planlægger at etablere en Lokal IdP. Guiden beskriver de trin, I skal igennem fra afklaring af behov, til I tager løsningen i brug.