Lokal Identity Provider (Lokal IdP)

Med en Lokal IdP kan I lokalt udstede identifikationsmidler til jeres brugere, som kan anvende disse til at logge ind på jeres egne it-systemer og offentlige selvbetjeningsløsninger.

I bestemmer selv, hvilke lokale identifikationsmidler I vil udstede. En typisk løsning er at kombinere et brugernavn og kodeord med ekstra faktorer på særlige hardwareenheder. Det kan fx være apps på mobile enheder.

Jeres brugere kan så anvende det lokale identifikationsmiddel i stedet for MitID, når de logger ind på vegne af jeres organisation.

En Lokal IdP-løsning giver stor fleksibilitet

  • Jeres brugere kan anvende de samme identifikationsmidler i såvel jeres organisation som i offentlige og private selvbetjeningsløsninger – fx samme brugernavn, password, app og fysisk enhed.
  • Lokale identifikationsmidler kan fx integreres med fysiske adgangskort til jeres organisation, således at jeresbrugere oplever en enklere og mere sammenhængende adgang i deres dagligdag.
  • Jeres organisationen kan opnå en enklere administration af sine erhvervsbrugere ved, at brugerne kun administreres lokalt samt at opdateringer synkroniseres med MitID Erhverv via IdM API.

Login og signering med Lokal IdP

Login med lokalt identifikationsmiddel

En organisation, der er etableret som Lokal IdP, kan selv registrere brugere i MitID Erhverv på det NSIS sikringsniveau, som den lokale IdP er anmeldt til. Brugerne kan med det samme logge ind med deres lokale identifikationsmiddel uden at gå igennem et MitID Erhverv aktiveringsforløb. Men de har ikke muligheden for at signere.

Kvalificeret signering med lokalt identifikationsmiddel

NemLog-in tilbyder en kvalificeret signeringstjeneste, hvor brugere kan underskrive med et MitID identifikationsmiddel, fx en MitID app (privat eller erhverv). Signeringstjenesten i NemLog-in forudsætter, at den bagvedliggende identitet er registreret i overensstemmelse med eIDAS forordningen. For kvalificerede signaturer er der således i eIDAS artikel 24.1 nogle ekstra krav, som er uafhængige af brugerens sikringsniveau.

Dette betyder, at brugere, som er oprettet af en NSIS-anmeldt organisation med Lokal IdP, som udgangspunktet alene kan logge ind, men ikke signere i NemLog-ins kvalificerede signeringstjeneste på vegne af jeres organisation. Hvis jeres organisation har behov for at brugere kan signere på vegne af organisationen, findes der tre forskellige muligheder for at aktivere dette:

  • Indsend en supplerende revisionserklæring om anvendte registreringsprocesser relateret til den lokal IdP. Den supplerende revisionserklæring skal ikke sendes til NSIS tilsynet, men blot til MitID Erhverv.
  • Indsend en overensstemmelsesvurderingsrapport som bekræfter, at de lokale registreringsprocesser overholder kravene fastsat i artikel 24.1 i eIDAS forordningen. Overensstemmelsesvurderingsrapporten skal fremsendes til både eIDAS tilsynet med kopi til MitID Erhverv.
  • Aktivering i MitID Erhverv med privat MitID.

Aktivering i MitID Erhverv med privat MitID

Der er mulighed for at opgradere en brugers identitet, så brugeren udover at logge ind, også kan signere med Lokal IdP. Det kan gøres ved at tilføje muligheden for privat MitID eller et særskilt MitID til brugerens profil. Dette kan enten gøres i MitID Erhverv eller via IdM API’et. MitID Erhverv gennemfører en fornyet aktivering af identiteten og sender en e-mail med et aktiveringslink til brugeren. Aktiveringen kræver, at brugeren logger ind med sit private MitID.

Hvis brugeren aktiverer sig med sit private MitID, og herefter vælger ikke at acceptere at anvende sit private MitID fremover, vil det private MitID ikke blive tilføjet som identifikationsmiddel til brugeren. Aktiveringen medfører, at identiteten bliver markeret som godkendt til kvalificeret signering (også med Lokal IdP). Hvis man efterfølgende sletter privat MitID som identifikationsmiddel, vil brugeren stadig kunne signere med Lokal IdP.

Alt du skal vide om etablering af Lokal IdP
En Lokal IdP skal NSIS-anmeldes på sikringsniveau Betydelig eller Høj, før den kan tilsluttes MitID Erhverv løsningen.

Jeres organisation skal være tilsluttet MitID Erhverv

Det er nødvendigt, at I er tilsluttet MitID Erhverv, før I kan sætte jeres Lokale IdP op i MitID Erhverv. I vælger selv, om I vil starte med at tilslutte jer, eller gøre det sideløbende med etableringen af jeres Lokale IdP. Jeres organisation skal bare være tilsluttet, før I sender en mail til Digitaliseringsstyrelsen (trin 9).

I følger nedenstående trin for etablering af Lokal IdP

Fx skal jeres organisation være NSIS-godkendt og fremgå af NSIS positivlisten før I kan etablere den Lokale IdP.

Med en Lokal IdP har I som organisation mulighed for at selv at håndtere jeres erhvervsbrugere decentralt - fremfor at gøre det via MitID Erhverv. I får også mulighed for at udstede lokale identifikationsmidler til jeres brugere.

Hvis I har behov for Lokal IdP, er det en god idé at afklare jeres ønsker og forretningsmæssige behov, herunder:

  • NSIS sikringsniveauet for de tjenester, som jeres brugere skal kunne tilgå: En Lokal IdP skal NSIS anmeldes på sikringsniveau Betydelig eller Høj, før den kan blive tilsluttet NemLog-in
  • Krav til oppetid, svartid og andre servicemail for jeres lokale IdP
  • Hvordan lokale erhvervsidentiteter er oprettet centralt i MitID Erhverv: Ønsker I en integration mellem jeres lokale IdM system og MitID Erhverv? Eller vil I administrere brugere direkte i MitID Erhverv? (Se mere i trin 3)

Herefter kan I med fordel etablere et projekt og skabe ledelsesopbakning i jeres organisation.

Særligt om, hvordan lokale erhvervsidentiteter er oprettet i MitID Erhverv

Det er en forudsætning, at alle brugere også er oprettet i MitID Erhverv, hvis I vil bruge lokale erhvervsidentiteter til at logge på jeres egne systemer eller offentlige selvbetjeningsløsninger.

Til det formål kan I tilslutte en Lokal IdM-løsning. En Lokal IdM-løsning kan kalde IdM API'et i MitID Erhverv og synkronisere lokal oprettelse og sletning af jeres brugere med MitID Erhverv.

På den måde behøver I kun at administrere jeres brugere ét sted - i jeres lokale administrationssystem. Det er dog også muligt for jer at administrere jeres brugere i MitID Erhverv, og disse ændringer vil blive implementeret i jeres lokale administrationssystem.

Læs mere om Lokal IdP kombineret med Lokal IdM

Det er en forudsætning, at jeres lokal IdP skal leve op til krav og spilleregler, som er defineret i den Nationale Standard for Identiteters Sikringsniveauer (NSIS), hvis I vælger Lokal IdP kombineret med Lokal IdM.

Dette skyldes, at I som organisation bliver en lokal identitetsgarant, hvis I vælger at kombinere jeres lokale IdP med Lokal IdM.

Implementering af NSIS-standarden involverer en række forskellige discipliner – både tekniske, organisatoriske og sikkerhedsmæssige. Det er derfor vigtigt ikke at betragte opgaven som et rent teknisk implementeringsprojekt:

  • Identificér ønsket proces for identitetssikring: Skal jeres brugere fx første gang logge på med privat MitID, og sker dette i den lokale indrulleringsapplikation eller centralt i NemLog-in, eller skal brugerne i stedet møde fysisk op og præsentere pas/kørekort?
  • Afklar, hvilken type identifikationsmidler I vil udstede lokalt, og hvordan de udleveres og håndteres: Typisk kombineres et brugernavn og kodeord med ekstra faktorer på særlige hardwareenheder fra apps på mobile enheder.
  • Afklar, hvordan autentifikationsservicen etableres teknisk (IdP), og hvordan den kan understøtte de valgte sikringsniveauer: Den lokale IdP skal udstille en SAML-snitflade, som opfylder kravene i ’OIOSAML Local IdP Profile’.
  • Afklar, krav til driftsfaciliteter og teknisk sikkerhed: Er jeres nuværende driftsfaciliteter modne nok, eller skal der ske forbedringstiltag?
  • Afdæk, behov for uddannelse af jeres brugeradministrator der skal arbejde med fx identitetssikring.
  • Etabler ledelsessystem for informationssikkerhed (ISMS) eller tilpas eksisterende, så det dækker processer for identitetshåndtering.
  • Afklar håndtering af underleverandører af fx software eller drift, som leverer dele af den lokale implementering.
  • Beskriv processer, sikkerhedsdesign og tekniske systemer, og få design reviewet.
  • Planlæg, hvordan systemer og processer kan auditeres af ekstern revisor: Det er fx vigtigt, at der sikres et tilstrækkeligt revisionsspor, så revisor kan konstatere, at processer, personer og systemer udfører de kontroller, som er tiltænkt.

Ved tilslutning af den Lokale IdP i produktion vil Digitaliseringsstyrelsen kontrollere, at jeres lokale IdP fremgår af NSIS positivlisten over anmeldte løsninger.

  1. Etablér miljøer til Lokal IdP og tilhørende brugerkatalog, og etabler de nødvendige komponenter og services.

  2. Anskaf nødvendige certifikater til den Lokale IdP.

  3. Foretag lokal test herunder både funktionel test og sikkerhedstest.

  4. Gennemfør test af organisatoriske processer.

I har mulighed for at sætte en testorganisation op. Det kan I gøre i MitID Erhverv integrationstestmiljø.

Der kan I også fx afprøve:

  • IdM
  • certifikat-API’er
  • jeres Lokal IdP-integration

I vil også kunne læse den tekniske integrationsvejledning.

Gå til MitID Erhverv testorganisation i integrationstestmiljøet

Det er en forudsætning, at I indhenter nødvendige revisionserklæringer og ledelseserklæringer til brug for NSIS-anmeldelsen.

Vi anbefaler, at I har en tidlig dialog med revisor.Det må påregnes et vist arbejde med at indhente de krævede revisionserklæringer, herunder at sikre, at den relevante dokumentation for systemer og processer er fyldestgørende samt tilgængelige for revisor.

Læs mere om NSIS på Digitaliseringsstyrelsens hjemmeside

Når I har indhentet og udarbejdet relevant dokumentation, skal I indsende en samlet anmeldelsespakke (inklusiv revisionserklæringer) til NSIS Tilsynet i Digitaliseringsstyrelsen på tilsyn_nsis@digst.dk.

Send anmeldelsespakken til NSIS Tilsynet i Digitaliseringsstyrelsen

Herefter skal I afvente godkendelse eller supplerende spørgsmål fra Tilsynet, før I kan få en godkendelse.

Se, hvad pakken skal indeholde og læs ofte stillede spørgsmål om NSIS på Digitaliseringsstyrelsens hjemmeside

NSIS-tilsynet håndterer NSIS-anmeldelserne så hurtigt som muligt, og som udgangspunkt indenfor 30 dage.

Det afhænger af:

  • anmeldelsens kompleksitet,
  • fuldstændighed og kvalitet,
  • antallet af igangværende behandlinger af NSIS-anmeldelser,
  • ressourcer i tilsynet.

Når I har fået godkendt NSIS-anmeldelses og optræder på NSIS-positivlisten for anmeldte løsninger på Digitaliseringsstyrelsens hjemmeside, er næste trin at kontakte MitID Erhverv på mitiderhverv@digst.dk.

I skal sende en mail til MitID Erhverv i Digitaliseringsstyrelsen

E-mailen skal indeholde følgende oplysninger:

  • Organisationens navn.
  • CVR-nummer.
  • EntityID for Lokal IdP.
  • Aktivering af mulighed for kvalificeret signering. Forudsætter at organisationen lever op til krav og dokumenterer med enten supplerende revisionserklæring eller overensstemmelsesvurderingsrapport.
  • Navn, telefon og e-mail på kontaktperson.

MitID Erhverv teamet åbner herefter op for, at I kan sætte jeres Lokale IdP op i produktion i MitID Erhverv.

Når I har fået bekræftelse på mail, er I klar til at sætte den Lokale IdP op.

Nu er I klar til sidste trin i etableringsprocessen, som er at sætte den Lokale IdP op i MitID Erhvervs produktionsmiljø.

Det er en organisationsadministrator i jeres organisation, som kan sætte den Lokale IdP op.

Læs vejledning til, hvordan I sætter jeres Lokale IdP op

Når I har sat jeres lokale IdP op, kan I udpege de brugeradministratorer i MitID Erhverv, som fremadrettet kan tildele lokale identifikationsmidler til jeres brugere. Ligeledes kan man udpege de administratorer som kan oprette eller tildele brugere mulighed for at signere, såfremt organisationen er godkendt til dette.

Læs vejledning til angivelse af sikringsniveau til administrator

I har altid mulighed for at tildele jeres brugere et lokalt identifikationsmiddel i MitID Erhverv.

Derudover kan I, som har valgt at kombinere jeres Lokal IdP med IdM, tildele jeres brugere et lokalt identifikationsmiddel i jeres lokale administrationssystem og synkronisere brugerne over i MitID Erhverv.

Rettighedsstyring i MitID Erhverv ved brug af Lokal IdP

Brugere tildeles rettigheder i MitID Erhverv på samme måde, uanset om I anvender MitID identifikationsmidler eller lokale identifikationsmidler fra en Lokal IdP.

Rettigheder kobles med andre ord på identiteten uafhængigt af identifikationsmidlet. Rettigheder kan tildeles via IdM API’et eller via MitID Erhverv.

For Lokal IdP’er er der endvidere mulighed for at medsende information om grupper i det lokalt udstedte token, som kan ekspanderes til rettigheder i MitID Erhverv.

Se figur over Lokal IdP etableringsproces (PNG)

Læs detaljeret vejledning til etalbering af Lokal IdP (PDF)

Etablering af Full-service Lokal IdP

Hvis jeres organisation har etableret Lokal IdP i MitID Erhverv, har I mulighed for at stille jeres Lokal IdP til rådighed for andre organisationer. På den måde fungerer den som Full-service Lokal IdP.

En organisation, som har etableret en Lokal IdP, kan give mulighed for, at andre organisationer også kan gøre brug af denne. 

Fordelen ved dette er, at organisationerne dermed ikke selv skal foretage en NSIS-anmeldelse i forbindelse med etablering af Lokal IdP.

Organisationen, som stiller en Full-service Lokale IdP til rådighed, varetager alle tekniske og processuelle forhold reguleret i NSIS, herunder registrering og identitetssikring af lokale brugere og udstedelse af lokale identifikationsmidler.

Full-service Lokal IdP'en er underlagt revision, som er krævet efter NSIS-standarden. Derfor er det organisationen, som har etableret som full-service Lokal IdP, der fremgår af NSIS-positivlisten.

Læs mere om NSIS i trin 3-8 i ovenstående guide til etablering af Lokal IdP.

Hvis I ønsker at stille jeres Lokale IdP til rådighed for andre organisationer, skal I følge vejledningen til etablering af Lokal IdP.

Vær opmærksom på, at I som lokal identitetsgarant er ansvarlige for bla.:

  • Udstedelse af lokale identifikationsmidler til brugere
  • Krav til driftsfaciliteter og teknisk sikkerhed
  • Processer, sikkerhedsdesign og tekniske systemer
  • Revision af jeres processer og systemer fra ekstern revisor

Læs mere i vejledningen til etablering af Lokal IdP overnfor.

Aftale med organisationer, som ønsker at anvende jeres lokale IdP

Hvis I stiller en Full-service Lokal IdP til rådighed, fastlægger I selv jeres aftaler med de organisationer, der anvender jeres service.

Som udbyder af en full-service Lokal IdP skal I underskrive en fælles ledelseserklæring med de organisationer, som ønsker at anvende jeres Lokale IdP.

Det er den enkelte organisation, som anvender jeres full-service Lokal IdP, der sender den fælles ledelseserklæring ind til MitID Erhverv. Derfor behøver I som udbyder af en -service Lokal IdP ikke at dokumentere aftaleforholdene overfor MitID Erhverv.

Udfyld fælles ledelseserklæring for full-service Lokal IdP

Hvis I ønsker at anvende en full-service Lokal IdP, skal I lave en aftale med en udbyder af en full-service Lokal IdP.

MitID Erhverv kan ikke oplyse, hvilke Full-service Lokal IdP’er, der er til rådighed. I kan orientere jer i NSIS-positivlisten samt opsøge markedet for mulige IdP’er i Danmark.

Gå til NSIS-positivlisten på Digitaliseringsstyrelsens hjemmeside

Aftale med en udbyder af full-service lokal IdP

Når I har indgået en aftale med en udbyder af en full-service Lokal IdP, skal I fremsende en underskrevet ledelseserklæring til Digitaliseringsstyrelsen med en række oplysninger.

I skal desuden fremsende en fælles ledelseserklæring, hvor både udbyderen af den Lokal IdP samt jer som anvendere af den, har underskrevet aftaleforholdet.

Find ledelseserklæring samt fælles ledelseserklæring til underskrivelse 

Kontakt MitID Erhverv

Når I har indgået aftalen med en Full-service Lokal IdP og skal tilkobles denne i MitID Erhverv, skal I sende en mail til MitID Erhverv-teamet.

Mailen skal indeholde følgende informationer:

  • Mailoverskrift: Anvend Full-service Lokal IdP
  • Mail
    • Jeres CVR-nummer
    • Kontaktinformation: navn, mail og telefonnummer på kontaktperson
    • Vedhæft: Underskrevet ledelseserklæring samt fællesledelseserklæring. 

Send mail til MitID Erhverv

Har du brug for hjælp?

Du kan finde vejledning til, hvordan du administrerer en Lokal IdP i vores supportunivers. 

Gå til vejledninger

Du kan også finde hjælp til, hvordan du tester Lokal IdP-funktionalitet i pre-produktionsmiljøet.

Gå til MitID Erhverv testorganisation i integrationstestmiljøet