eid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019

Transkript

1 eid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019

2 Hovedemner på dette oplæg Vores fælles ramme NemID til MitID NemLog-in3 NSIS eid-gateway

3 Visionen Den fællesoffentlige strategi for brugerstyring skal sikre: At borgere, virksomheder og myndigheder har adgang til en let og effektiv brugerstyring på tværs af løsninger. At løsningerne bindes sammen på tværs af domæner. At brugerstyring sker på en måde som fremmer sikkerhed, tillid, privatlivsbeskyttelse, valgmuligheder, innovation, og som øger anvendelsen af tjenester.

4 3 Referencearkitektur for Brugerstyring

5 eidas Forordningen eidas-forordningen, blev vedtaget af EU-landene i Skal fremme borgere og virksomheders muligheder for, at anvende selvbetjeningsløsninger på tværs af EU s indre grænser. eidas-forordningen pålægger Danmark at anerkende eid er for fra andre europæiske medlemslande i danske selvbetjeningsløsninger. Stiller krav til elektroniske signaturer, kvalificerede digitale certifikater, elektroniske segl, tidsstempler og udstydere af tillidstjenester

6 Person- og erhvervsidentiteter NemLog-in Medarbejdere RA Pengeinstitutter Personer Personidentiteter Erhvervsidentiteter Erhvervsidentiteter Medarbejdere 5 RA = Registrering i borgerservice eller bank

7 Identitet og akkreditiv - kobling As-is To-be 6

8 Fra NemID til MitID 7

9 Anden IdP MitID (Identity Provider, aka IdP) Brokere (føderation) NemLog-in Bank Brokere Tjenesteudbydere Banker mm. eid-gateway Brugerorganisationer Lokal IdP

10 NemLog-in3 funktionalitet de næste 10 år Uændret forretningsfunktionalitet Log-in for alle privat- og erhvervsbrugere på NSIS sikringsniveau Betydelig NemLog-in med SSO for offentlige tjenester Mapning til CPR for offentlige tjenester FBRS rettighedsstyring, fuldmagter, administration af tjenester Ny forretningsfunktionalitet Log-in på NSIS sikringsniveau Lav (fx kontokig) og Høj Fødereret dokumentsignering med kvalificeret signatur efter standardiserede dokumentformater (PAdES og XAdES) Forbedret mulighed for anvendelse af attributter og samtykke fra MitID Privacy forbedringer med tjenesteudbyderspecifikke UUID er (erstatter PID og RID)

11 Brokertyper NemLog-in som MitID-broker: Den offentlige sektor benytter kun NemLog-in som broker, hvorimod private aktører har mulighed for at benytte hvilken som helst (certificeret) broker de måtte ønske (eller udvikle deres egen) Adgang for private tjenesteudbydere via NemLog-in: Begrænset funktionalitet (ingen SSO) Fakturering baseret på transaktioner Andre MitID-brokere Alle private tjenesteudbydere har mulighed for at udvikle deres egen broker til markedet Private broker-løsninger skal certificeres og anmeldes iht. NSIS (National Standard for Identiteters Sikringsniveauer), hvis integration med NemLogin Bank-brokere

12 Akkreditiver og autentifikation Autentifikation Flere sikringsniveauer (NSIS/eIDAS) Multifaktor (PSD2) Akkreditiver (ved Go-Live) 3 standardakkreditiver Password Fysisk akkreditiv Mobil app Akkreditiver til særlige behov Teknologiudfordrede Svagtseende Højeste sikringsniveau Fleksibilitet til at kunne tilføje nye akkreditiver / fjerne gamle

13 Erhvervsidentiteter fremadrettet Certifikatbaserede medarbejdersignaturer udfases Flere muligheder for loginmidler administration af erhvervsidentiteter i én central portal MitID privat login-middel Private MitID-login-midler vil kunne anvendes til erhverv Afhængig af det dobbelte frivillighedsprincip MitID-login-middel kun til erhvervsmæssig anvendelse, hvis den ene part ønsker det Enkeltmandsvirksomheder vil fortsat automatisk kunne anvende privat MitID til erhverv (svarende til NemID privat til erhverv ) Udstedt login-middel via en Lokal IdP

14 Lokal IdP Større brugerorganisationer kan vælge at etablere en Lokal IdP (identity provider) og administrere login-midler For at kunne anvendes i den offentlige infrastruktur, skal en Lokal IdP tilsluttes NemLog-in For at kunne anvendes i den offentlige infrastruktur, skal en Lokal IdP anmeldes imod sit NSIS sikringsniveau og tilsluttes NemLog-in Det kræver it-mæssig modenhed og kapacitet at implementere og vedligeholde en Lokal IdP

15 LOA tillid (Level of Assurance) IAL identiteten (Identity Assurance Level) AAL login-midlet (Authenticator Assurance Level) National Standard for Identiteters Sikringsniveau (NSIS) Overensstemmelse med eidas: Level of Assurance (LoA) Flere sikringsniveauer giver mere fleksibilitet: Lav, Betydelig, Høj Mulighed for initiel login på sikringsniveau Lav og senere step-up til Betydelig og Høj flere brugerrejser Tjenesteudbyderen skal selv på baggrund af en risikovurdering beslutte sikringsniveau for adgang til tjenesten. Det er muligt at differentiere krævet sikringsniveau på forskellige dele af tjenesten På digst.dk findes en vejledning og et værktøj til at skabe overblik over de nye opgaver FAL anden IdP broker (Federation Assurance Level) 14

16 Områder eidas NSIS Anmelder Medlemsland Udbyder (fx privat part) Kustode EU kommissionen Digitaliseringsstyrelsen Formål Grænseoverskridende transaktioner Nationale og lokale transaktioner Ansvarlig for fejl Medlemslandet (anmelder) Anmelderen Verifikation af krav Brugerpopulationer Peer-review-proces mellem Medlemslandene (inkl. Relevante erklæringer) Store (hele befolkningen bør kunne dækkes af de ordninger, et Medlemsland anmelder) Selvdeklarere (niveau Lav) Revisions- og ledelseserklaring (niveau Betydelig og Høj) Store og små 15

17 Signering fremadrettet Den kommende digitale infrastruktur understøtter i udgangspunktet ikke lokal signering Signering foregår i det centrale signeringsmodul i NemLogin3, uafhængigt af om der anvendes MitID login-midler eller Lokal IdP login-midler Mulighed for aftale om udstedelse af OCES eller kvalificerede medarbejdercertifikater, hvis man ønsker at signere lokalt Signaturformatet skifter fra XML DSig format til EU / eidas / ETSI standardiserede PAdES og XAdES

18 OIOSAML Ny struktur - væsentlig mere kompakt specifikation Generelt er OCES-specifikke attributter fjernet RID og PID fortsætter, men deprecated Privacy by design & default (TU-specifikke UUID er) Skærpede krav til kryptografiske algoritmer TU kan specificere ønsket sikringsniveau (LoA)

19 Hvad er eid-gateway? Forordningens artikler om anerkendelse af eid trådte i kraft d. 29. september Forordningen gælder kun grænseoverskridende selvbetjeningsløsninger, der kan være relevante at benytte for brugere, som ikke bor i Danmark Der er ikke krav om, at de udenlandske borgere skal kunne betjene sig digitalt i danske løsninger, blot at deres nationale eid bliver anerkendt i løsningerne. Understøtter autentifikation af Fysisk person, juridisk person og repræsentationer. Anvender tilpasset OIOSAML

20 Anmeldte lande Det er pt. kun tyske borgere, som kan anvende deres nationale eid til at logge ind i danske selvbetjeningsløsninger, men mange flere er på vej Anmeldte eidsystemer: Portugal Estland Spanien Præ-anmeldte eid-systemer: Letland Slovakiet Danmark Kroatien Belgien Storbritannien Italien Luxemburg Tyskland Holland 19 Tjekkiet

21

22 Læs mere: Skriv til os: NemLog-in3 eid-gateway MitID