Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
September 2019
eID, NSIS, MitID & NL3v. Thoke Graae MagnussenIT-arkitekt
Hovedemner på dette oplæg
• Vores fælles ramme
• NemID til MitID
• NemLog-in3
• NSIS
• eID-gateway
Visionen
Den fællesoffentlige strategi for brugerstyring skal sikre:
• At borgere, virksomheder og myndigheder har adgang til en let og effektiv brugerstyring på tværs af løsninger.
• At løsningerne bindes sammen på tværs af domæner.
• At brugerstyring sker på en måde som fremmer sikkerhed, tillid, privatlivsbeskyttelse, valgmuligheder, innovation, og som øger anvendelsen af tjenester.
3
Referencearkitektur for Brugerstyring
eIDAS Forordningen
• eIDAS-forordningen, blev vedtaget af EU-landene i 2014.• Skal fremme borgere og virksomheders muligheder for, at
anvende selvbetjeningsløsninger på tværs af EU’s indre grænser.
• eIDAS-forordningen pålægger Danmark at anerkende eID’er for fra andre europæiske medlemslande i danske selvbetjeningsløsninger.
• Stiller krav til elektroniske signaturer, kvalificerede digitalecertifikater, elektroniske segl, tidsstempler og udstydere aftillidstjenester
5
Person- og erhvervsidentiteter
RA
Person-identiteter
Erhvervs-identiteter
NemLog-in
RA = Registrering i borgerservice eller bank
Medarbejdere
Personer
Medarbejdere
PengeinstitutterErhvervs-
identiteter
6
As-is
To-be
Identitet og akkreditiv - kobling
7
Fra NemID til MitID…
MitID
(Identity Provider, aka IdP)
NemLog-in Bank Brokere
Anden IdP
Brokere
Tjenesteudbydere
Brugerorganisa-tioner
Lokal IdP
Banker mm.
(føderation)
eID-Gateway
NemLog-in3 funktionalitet de næste 10 årUændret forretningsfunktionalitet
• Log-in for alle privat- og erhvervsbrugere på NSIS sikringsniveau Betydelig• NemLog-in med SSO for offentlige tjenester• Mapning til CPR for offentlige tjenester• FBRS rettighedsstyring, fuldmagter, administration af tjenester
Ny forretningsfunktionalitet• Log-in på NSIS sikringsniveau Lav (fx kontokig) og Høj• Fødereret dokumentsignering med kvalificeret signatur efter
standardiserede dokumentformater (PAdES og XAdES)• Forbedret mulighed for anvendelse af attributter og samtykke fra MitID• Privacy forbedringer med tjenesteudbyderspecifikke UUID’er (erstatter PID
og RID)
NemLog-in som MitID-broker:• Den offentlige sektor benytter kun NemLog-in som broker, hvorimod
private aktører har mulighed for at benytte hvilken som helst (certificeret) broker de måtte ønske (eller udvikle deres egen)
Adgang for private tjenesteudbydere via NemLog-in:• Begrænset funktionalitet (ingen SSO)• Fakturering baseret på transaktioner
Andre MitID-brokere• Alle private tjenesteudbydere har mulighed for at udvikle deres egen
broker til markedet• Private broker-løsninger skal certificeres og anmeldes iht. NSIS
(National Standard for Identiteters Sikringsniveauer), hvis integration med NemLogin
• Bank-brokere
Brokertyper
Akkreditiver og autentifikation
• Autentifikation– Flere sikringsniveauer (NSIS/eIDAS)– Multifaktor (PSD2)
• Akkreditiver (ved Go-Live)– 3 standardakkreditiver
– Password– Fysisk akkreditiv– Mobil app
– Akkreditiver til særlige behov– Teknologiudfordrede– Svagtseende– Højeste sikringsniveau
• Fleksibilitet til at kunne tilføje nye akkreditiver / fjerne gamle
Erhvervsidentiteter fremadrettet
• Certifikatbaserede medarbejdersignaturer udfases
• Flere muligheder for loginmidler – administration af erhvervsidentiteter i én central portal
• MitID privat login-middel • Private MitID-login-midler vil kunne anvendes til erhverv –
Afhængig af det dobbelte frivillighedsprincip• MitID-login-middel kun til erhvervsmæssig anvendelse, hvis den
ene part ønsker det• Enkeltmandsvirksomheder vil fortsat automatisk kunne anvende
privat MitID til erhverv (svarende til ”NemID privat til erhverv”)• Udstedt login-middel via en Lokal IdP
Lokal IdP
• Større brugerorganisationer kan vælge at etablere en Lokal IdP(identity provider) og administrere login-midler
• For at kunne anvendes i den offentlige infrastruktur, skal en Lokal IdP tilsluttes NemLog-in
• For at kunne anvendes i den offentlige infrastruktur, skal en Lokal IdP anmeldes imod sit NSIS sikringsniveau og tilsluttes NemLog-in
• Det kræver it-mæssig modenhed og kapacitet at implementere og vedligeholde en Lokal IdP
14
National Standard for Identiteters Sikringsniveau (NSIS)
FAL ”anden IdP broker”
(Federation Assurance Level)
AAL ”login-midlet”
(Authenticator Assurance Level)
IAL ”identiteten”
(Identity Assurance Level)
LOA”tillid”
(Level of Assurance)
• Overensstemmelse med eIDAS: Level of Assurance (LoA)
• Flere sikringsniveauer giver mere fleksibilitet: Lav, Betydelig, Høj
• Mulighed for initiel login på sikringsniveau Lav og senere ”step-up” til Betydelig og Høj – flere brugerrejser
• Tjenesteudbyderen skal selv på baggrund af en risikovurdering beslutte sikringsniveau for adgang til tjenesten. Det er muligt at differentiere krævet sikringsniveau på forskellige dele af tjenesten
• På digst.dk findes en vejledning og et værktøj til at skabe overblik over de nye opgaver
15
Områder eIDAS NSISAnmelder Medlemsland Udbyder (fx privat part)
Kustode EU kommissionen Digitaliseringsstyrelsen
Formål Grænseoverskridende transaktioner
Nationale og lokale transaktioner
Ansvarlig for fejl Medlemslandet (anmelder) Anmelderen
Verifikation af krav Peer-review-proces mellemMedlemslandene (inkl. Relevante erklæringer)
Selvdeklarere (niveau Lav)Revisions- og ledelseserklaring (niveau Betydelig og Høj)
Brugerpopulationer Store (hele befolkningen bør kunne dækkes af de ordninger, et Medlemsland anmelder)
Store og små
Signering fremadrettet
• Den kommende digitale infrastruktur understøtter i udgangspunktet ikke lokal signering
• Signering foregår i det centrale signeringsmodul i NemLog-in3, uafhængigt af om der anvendes MitID login-midler eller Lokal IdP login-midler
• Mulighed for aftale om udstedelse af OCES eller kvalificerede medarbejdercertifikater, hvis man ønsker at signere lokalt
• Signaturformatet skifter fra XML DSig format til EU / eIDAS / ETSI standardiserede PAdES og XAdES
OIOSAML
• Ny struktur - væsentlig mere kompakt specifikation
• Generelt er OCES-specifikke attributter fjernet
• RID og PID fortsætter, men deprecated
• Privacy by design & default (TU-specifikke UUID’er)
• Skærpede krav til kryptografiske algoritmer
• TU kan specificere ønsket sikringsniveau (LoA)
Hvad er eID-gateway?
• Forordningens artikler om anerkendelse af eID trådte i kraft d. 29. september 2018.
• Forordningen gælder kun grænseoverskridende selvbetjeningsløsninger, der kan være relevante at benytte for brugere, som ikke bor i Danmark
• Der er ikke krav om, at de udenlandske borgere skal kunne betjene sig digitalt i danske løsninger, blot at deres nationale eID bliver anerkendt i løsningerne.
• Understøtter autentifikation af ‘Fysisk person’, ‘juridisk person’ og repræsentationer.
• Anvender tilpasset OIOSAML
19
Anmeldte lande
Det er pt. kun tyske borgere, som kan anvende deres nationale eID til at logge ind i danske selvbetjeningsløsninger, men mange flere er på vej…
Anmeldte eID-systemer:
• Portugal
• Estland
• Spanien
• Kroatien
• Belgien
• Storbritannien
• Italien
• Luxemburg
• Tyskland
• Holland
• Tjekkiet
Præ-anmeldte eID-systemer:
• Letland
• Slovakiet
• Danmark
Skriv til os:
Læs mere:
https://www.digst.dk/it-loesninger/implementeringssite
https://www.digst.dk/it-loesninger/nemlog-in/det-kommende-nemlog-in
https://digst.dk/it-loesninger/eid-gateway/
https://digst.dk/it-loesninger/mitid/fremtidens-nemid/
NemLog-in3 eID-gateway [email protected] [email protected] [email protected]