September 2019

eID, NSIS, MitID & NL3v. Thoke Graae MagnussenIT-arkitekt

Hovedemner på dette oplæg

• Vores fælles ramme

• NemID til MitID

• NemLog-in3

• NSIS

• eID-gateway

Visionen

Den fællesoffentlige strategi for brugerstyring skal sikre:

• At borgere, virksomheder og myndigheder har adgang til en let og effektiv brugerstyring på tværs af løsninger.

• At løsningerne bindes sammen på tværs af domæner.

• At brugerstyring sker på en måde som fremmer sikkerhed, tillid, privatlivsbeskyttelse, valgmuligheder, innovation, og som øger anvendelsen af tjenester.

3

Referencearkitektur for Brugerstyring

eIDAS Forordningen

• eIDAS-forordningen, blev vedtaget af EU-landene i 2014.• Skal fremme borgere og virksomheders muligheder for, at

anvende selvbetjeningsløsninger på tværs af EU’s indre grænser.

• eIDAS-forordningen pålægger Danmark at anerkende eID’er for fra andre europæiske medlemslande i danske selvbetjeningsløsninger.

• Stiller krav til elektroniske signaturer, kvalificerede digitalecertifikater, elektroniske segl, tidsstempler og udstydere aftillidstjenester

5

Person- og erhvervsidentiteter

RA

Person-identiteter

Erhvervs-identiteter

NemLog-in

RA = Registrering i borgerservice eller bank

Medarbejdere

Personer

Medarbejdere

PengeinstitutterErhvervs-

identiteter

6

As-is

To-be

Identitet og akkreditiv - kobling

7

Fra NemID til MitID…

MitID

(Identity Provider, aka IdP)

NemLog-in Bank Brokere

Anden IdP

Brokere

Tjenesteudbydere

Brugerorganisa-tioner

Lokal IdP

Banker mm.

(føderation)

eID-Gateway

NemLog-in3 funktionalitet de næste 10 årUændret forretningsfunktionalitet

• Log-in for alle privat- og erhvervsbrugere på NSIS sikringsniveau Betydelig• NemLog-in med SSO for offentlige tjenester• Mapning til CPR for offentlige tjenester• FBRS rettighedsstyring, fuldmagter, administration af tjenester

Ny forretningsfunktionalitet• Log-in på NSIS sikringsniveau Lav (fx kontokig) og Høj• Fødereret dokumentsignering med kvalificeret signatur efter

standardiserede dokumentformater (PAdES og XAdES)• Forbedret mulighed for anvendelse af attributter og samtykke fra MitID• Privacy forbedringer med tjenesteudbyderspecifikke UUID’er (erstatter PID

og RID)

NemLog-in som MitID-broker:• Den offentlige sektor benytter kun NemLog-in som broker, hvorimod

private aktører har mulighed for at benytte hvilken som helst (certificeret) broker de måtte ønske (eller udvikle deres egen)

Adgang for private tjenesteudbydere via NemLog-in:• Begrænset funktionalitet (ingen SSO)• Fakturering baseret på transaktioner

Andre MitID-brokere• Alle private tjenesteudbydere har mulighed for at udvikle deres egen

broker til markedet• Private broker-løsninger skal certificeres og anmeldes iht. NSIS

(National Standard for Identiteters Sikringsniveauer), hvis integration med NemLogin

• Bank-brokere

Brokertyper

Akkreditiver og autentifikation

• Autentifikation– Flere sikringsniveauer (NSIS/eIDAS)– Multifaktor (PSD2)

• Akkreditiver (ved Go-Live)– 3 standardakkreditiver

– Password– Fysisk akkreditiv– Mobil app

– Akkreditiver til særlige behov– Teknologiudfordrede– Svagtseende– Højeste sikringsniveau

• Fleksibilitet til at kunne tilføje nye akkreditiver / fjerne gamle

Erhvervsidentiteter fremadrettet

• Certifikatbaserede medarbejdersignaturer udfases

• Flere muligheder for loginmidler – administration af erhvervsidentiteter i én central portal

• MitID privat login-middel • Private MitID-login-midler vil kunne anvendes til erhverv –

Afhængig af det dobbelte frivillighedsprincip• MitID-login-middel kun til erhvervsmæssig anvendelse, hvis den

ene part ønsker det• Enkeltmandsvirksomheder vil fortsat automatisk kunne anvende

privat MitID til erhverv (svarende til ”NemID privat til erhverv”)• Udstedt login-middel via en Lokal IdP

Lokal IdP

• Større brugerorganisationer kan vælge at etablere en Lokal IdP(identity provider) og administrere login-midler

• For at kunne anvendes i den offentlige infrastruktur, skal en Lokal IdP tilsluttes NemLog-in

• For at kunne anvendes i den offentlige infrastruktur, skal en Lokal IdP anmeldes imod sit NSIS sikringsniveau og tilsluttes NemLog-in

• Det kræver it-mæssig modenhed og kapacitet at implementere og vedligeholde en Lokal IdP

14

National Standard for Identiteters Sikringsniveau (NSIS)

FAL ”anden IdP broker”

(Federation Assurance Level)

AAL ”login-midlet”

(Authenticator Assurance Level)

IAL ”identiteten”

(Identity Assurance Level)

LOA”tillid”

(Level of Assurance)

• Overensstemmelse med eIDAS: Level of Assurance (LoA)

• Flere sikringsniveauer giver mere fleksibilitet: Lav, Betydelig, Høj

• Mulighed for initiel login på sikringsniveau Lav og senere ”step-up” til Betydelig og Høj – flere brugerrejser

• Tjenesteudbyderen skal selv på baggrund af en risikovurdering beslutte sikringsniveau for adgang til tjenesten. Det er muligt at differentiere krævet sikringsniveau på forskellige dele af tjenesten

• På digst.dk findes en vejledning og et værktøj til at skabe overblik over de nye opgaver

15

Områder eIDAS NSISAnmelder Medlemsland Udbyder (fx privat part)

Kustode EU kommissionen Digitaliseringsstyrelsen

Formål Grænseoverskridende transaktioner

Nationale og lokale transaktioner

Ansvarlig for fejl Medlemslandet (anmelder) Anmelderen

Verifikation af krav Peer-review-proces mellemMedlemslandene (inkl. Relevante erklæringer)

Selvdeklarere (niveau Lav)Revisions- og ledelseserklaring (niveau Betydelig og Høj)

Brugerpopulationer Store (hele befolkningen bør kunne dækkes af de ordninger, et Medlemsland anmelder)

Store og små

Signering fremadrettet

• Den kommende digitale infrastruktur understøtter i udgangspunktet ikke lokal signering

• Signering foregår i det centrale signeringsmodul i NemLog-in3, uafhængigt af om der anvendes MitID login-midler eller Lokal IdP login-midler

• Mulighed for aftale om udstedelse af OCES eller kvalificerede medarbejdercertifikater, hvis man ønsker at signere lokalt

• Signaturformatet skifter fra XML DSig format til EU / eIDAS / ETSI standardiserede PAdES og XAdES

OIOSAML

• Ny struktur - væsentlig mere kompakt specifikation

• Generelt er OCES-specifikke attributter fjernet

• RID og PID fortsætter, men deprecated

• Privacy by design & default (TU-specifikke UUID’er)

• Skærpede krav til kryptografiske algoritmer

• TU kan specificere ønsket sikringsniveau (LoA)

Hvad er eID-gateway?

• Forordningens artikler om anerkendelse af eID trådte i kraft d. 29. september 2018.

• Forordningen gælder kun grænseoverskridende selvbetjeningsløsninger, der kan være relevante at benytte for brugere, som ikke bor i Danmark

• Der er ikke krav om, at de udenlandske borgere skal kunne betjene sig digitalt i danske løsninger, blot at deres nationale eID bliver anerkendt i løsningerne.

• Understøtter autentifikation af ‘Fysisk person’, ‘juridisk person’ og repræsentationer.

• Anvender tilpasset OIOSAML

19

Anmeldte lande

Det er pt. kun tyske borgere, som kan anvende deres nationale eID til at logge ind i danske selvbetjeningsløsninger, men mange flere er på vej…

Anmeldte eID-systemer:

• Portugal

• Estland

• Spanien

• Kroatien

• Belgien

• Storbritannien

• Italien

• Luxemburg

• Tyskland

• Holland

• Tjekkiet

Præ-anmeldte eID-systemer:

• Letland

• Slovakiet

• Danmark

Skriv til os:

Læs mere:

https://www.digst.dk/it-loesninger/implementeringssite

https://www.digst.dk/it-loesninger/nemlog-in/det-kommende-nemlog-in

https://digst.dk/it-loesninger/eid-gateway/

https://digst.dk/it-loesninger/mitid/fremtidens-nemid/

NemLog-in3 eID-gateway MitIDNL3@digst.dk eidas@digst.dk mitid@digst.dk