Lokal Identity Management (Lokal IdM)

Gå tilbage til avanceret funktionalitet

Der er to muligheder for integration mellem jeres IdM-system og MitID Erhverv:

Lokal IdM light
Lokal IdM kombineret med Lokal IdP

Lokal IdM light

Med Lokal IdM light kan I automatisk synkronisere brugere og rettigheder til MitID Erhverv. Den automatiske synkronisering sker gennem IdM API.
Synkroniseringen gør, at brugerne både er oprettet i MitID Erhverv og i jeres lokale IdM-system. Det giver jer mindre administration og højere sikkerhed. Med Lokal IdM light skal en bruger aktivere sin brugerprofil med sit private MitID.
I indgår en aftale med MitID Erhverv om integration med IdM via følgende to trin:

I er tilsluttet som brugerorganisation til MitID Erhverv - og har derigennem accepteret gældende vilkår for løsningen.
I sender en mail til MitID Erhverv forvaltningsteamet omkring anmodning om aktiver af IdM light, med følgende info:

Mailoverskrift: IdM light
Mail: CVR-nummer og kontaktoplysninger

Mail til MitID Erhverv teamet

Lokal IdM kombineret
med Lokal IdP

Med en IdM-løsning kombineret med Lokal IdP (der er NSIS anmeldt), opnår I fuld kontrol over brugere, rettigheder og identifikationsmidler - men også det fulde ansvar for disse.

Løsningen adskiller sig fra IdM light beskrevet ovenfor ved, at brugerne nu kan anvende lokalt udstedte identifikationsmidler i stedet for alene MitID identifikationsmidler. Dette giver en række fordele for brugerne, eksempelvis behøver de ikke aktivere deres brugerprofil med deres private MitID. Til gengæld kræver det, at den lokale IdP løsning er NSIS anmeldt både som elektronisk identifikationsordning og identitetsbroker.

Ligesom Lokal IdM light sker der automatisk synkronisering af brugere og rettigheder til MitID Erhverv. I får:

Lokal administration af de identifikationsmidler, I selv udsteder:
- Brug af lokalt netværkspassword som den ene faktor
- Lokal hjælp ved glemt password eller registrering af to-faktor enhed
- Brug af jeres egne to-faktor-løsninger
- Single sign on (SSO) på tværs af jeres egne it-systemer og offentlige tjenester
Automatisk synkronisering af brugere på tværs af:
- Lokal IdP
- Lokal IdM
- MitID Erhverv
Mulighed for at oprette aktiverede brugere, der straks kan logge ind

Pga. NSIS-anmeldelsen er der høje sikkerhedskrav og øgede udgifter til certificering og årlig revision.

Læs mere her om Lokal IdP

Sammenlign mulighederne for integration med IdM

Muligheder	Lokal IdM light	Lokal IdM + IdP
Automatisk synkronisering til NemLog-in	X	X
Lokal identitetssikring		X
Certificering og årlig revision		X
Lokalt netværks-password og egne to-faktor-identifikationsmidler		X
Lokal hjælp ved fx glemt password		X
Single sign-on oplevelse for brugerne		X

Guide: Etablering af integration med IdM

Guiden er en hjælp til de organisationer, der ønsker integration mellem organisationens IdM-system og MitID Erhverv. Guiden beskriver, hvad I skal tage stilling til og gøre for at etablere integrationen.

Det kræver teknisk udvikling at etablere integrationen. Vi anbefaler, at I bruger udviklere med erfaring i jeres IdM-system. Udviklerne skal desuden kunne udvikle op imod IdM API’et.

Trin 1 - Vælg hvordan I ønsker at integrere med IdM

Vælg den form for integration mellem jeres IdM-system og MitID Erhverv, der passer til jeres behov.

Trin 2 - Påbegynd NSIS-anmeldelse (afhænger af hvordan I integrerer)

Brug af IdM light alene kræver ikke NSIS anmeldelse. Her vil MitID Erhverv stå for aktivering af alle oprettede brugere.

I skal derimod gennemføre en NSIS-anmeldelse, hvis I har valgt Lokal IdM kombineret med Lokal IdP, herunder ønsker selv at oprette straksaktiverede brugere på NSIS sikringsniveau Betydelig og Høj.

Ved tilslutning af en Lokal IdP skal I dokumentere, at I lever op til kravene på det NSIS-niveau (lav/betydelig/høj), som IdP’en tilmeldes under. Som led i dokumentationen skal der medsendes en revisionserklæring og en ledelseserklæring.

Læs mere om Lokal IdP her

Trin 3 - Gå i gang med at udvikle jeres løsning

Undersøg mulighederne for integration fra jeres IdM-system op i mod IdM API’et, så I kan udvikle jeres løsning.

Gå til IdM API dokumentation

Trin 4 - Gør klar til test af jeres løsning

For at teste skal I oprette en testorganisation i MitID Erhverv på pre-produktionsmiljøet, og for denne udstede et systemcertifikat, der er autoriseret at kalde IdM API'et. Det sker på samme måde som i produktion, der er beskrevet i trin 7.

I pre-produktionsmiljøet finder I information om oprettelse af testdata.

Trin 5 - Test jeres løsning i pre-produktionsmiljøet

Test at jeres integration til IdM API'et i MitID fungerer, så I fx kan oprette brugere og tildele rettigheder i MitID Erhverv.

Trin 6 - Få adgang til at bruge IdM API i produktionsmiljøet

I skal anmode om adgang til at bruge IdM API'et i produktionsmiljøet.

Send en mail til mitiderhverv@digst.dk med titlen "IdM Light" og med beskrivelse af jeres CVR nummer og kontaktoplysninger, hvorefter vi tildeler jeres organisation adgang til at benytte API'et.

OBS: I kan herefter udstede et systemcertifikat i MitID Erhverv, hvor I på certifikatet markerer, at det skal kunne anvendes til kald af IdM API - se mere om dette i trin 8.

Trin 7 - Tilslut jeres organisation og importér jeres data

Når I har tilsluttet jer MitID Erhverv, kan I importere jeres brugere og andre data fra NemID medarbejdersignatur. På den måde får I importeret både relevante administratorroller, faktureringsinformation, medarbejdersignaturer og tilknyttede brugerrettigheder til MitID Erhverv.

Alternativt kan I oprette brugerne direkte i MitID Erhverv på baggrund af jeres IdM-data. I skal dog være opmærksomme på, at I skal angive RID ved oprettelse af brugerne for at bevare de eksisterende tildelte rettigheder. Derudover skal I manuelt oprette oplysninger om administratorroller og fakturering, da det ikke ligger i jeres IdM-system.

Trin 8 - Bestil et systemcertifikat

Når I har tilsluttet jeres organisation til MitID Erhverv og fået tildelt adgang til at anvende IdM API'et (trin 6), skal en af jeres administratorer logge ind i MitID Erhverv og udstede et systemcertifikat, som autoriseres til at kalde IdM API'et. Ved oprettelsen af certifikatprofilen i MitID Erhverv skal I derfor under sektionen "Systemrettigheder" afkrydse dialogen "Adgang til IdM services i MitID Erhverv."

Vi anbefaler som udgangspunkt, at I udsteder certifikatet med flg. indstillinger: typen vælges som "OCES systemcertifikat", "Bruger-login" vælges som metode til identifikation og "Internetbrowser" vælges som metode til udstedelse.

Når certifikatet er udstedt, kan I herefter anvende det til autentifikation mod IdM API'et i MitID Erhverv på vegne af jeres CVR-nummer.

Læs mere om certifikater her

Trin 9 - Gå i produktion

Sæt jeres løsning i produktion. Autentifikation sker med systemcertifikatet.