1 NemID privat til erhverv - forenklet brugeradministration for virksomheder Juni 2016 Kenneth Kruuse kekru@digst.dk
PUNKTER PÅ DAGENS PROGRAM 1. Udfordringen for virksomheder 2. Hvad omfatter initiativet 3. Hvem får glæde af initiativet 4. Tidsplan 5. Kommunikation 6. Spørgsmål 7. Kort pause 8. Teknisk gennemgang 9. Spørgsmål 2
FORHISTORIE Analyse fra Erhvervsstyrelsen, der peger på, at den offentlige brugerstyring udgør en stor administrativ udfordring for de små og mellemstore virksomheder Februar 2016 indgik regeringen en aftale med DF, LA og K om Vækst og udvikling i hele Danmark her indgår Initiativ 12: Privat NemID til virksomheder og til erhverv i NemKonto Marts 2016 indgår Digitaliseringsstyrelsen en aftale med NNIT om NemID privat til erhverv Digitaliseringsstyrelsen er ved at indgå aftaler om understøttelse i NemKonto og Digital post 3
UDFORDRINGEN FOR VIRKSOMHEDER Mindre og mellemstore virksomheder oplever: - At de både skal have NemID administrator - NemLog-in administrator - Tildele rettigheder Flertallet af virksomheder i Danmark består af én eller få personer. Det er svært at forstå brugerstyring og foretage administration af certifikater og rettigheder. Særligt krav om Digital post til virksomheder og nødvendighed af medarbejdersignatur, har skærpet problemet. 4
INITIATIVET OMFATTER Ved login med privat NemID: Mulighed for ejer at agere på vegne af et CVR nr., ved login med privat NemID Initiativet omfatter også frivillige foreninger Erhvervsfuldmagt til professionel repræsentant, kan afgives med privat NemID Ny information om en person (medarbejder) ejer virksomheden 5
HVEM FÅR GLÆDE AF INITIATIVET? Målgruppen er - virksomheder, hvor ejeren i dag selv håndterer administrative opgaver, dvs. tilgår virksomhedens digitale postkasse eller foretager indberetninger og bestillinger på vegne af virksomheden - Frivillige foreninger, som har brug for at foretage indberetninger, fx ansøgninger til kommunen om lokaler eller støtte Statistik - Op til 440.000 virksomheder og 100.000 foreninger kan få glæde af initiativet - I alt vil initiativet dække op til 80 procent af alle virksomheder og organisationer 6
TIDSPLAN Kontrakt underskrvet 29/3 2016 Informationsmøde med TU'er 6/6 2016 Kommunikation til virksomhederne 1/10 2016 Testfase for TU'er 16/12 2016 Ibrugtagning 3/2 2017 mar apr maj jun jul aug sep okt nov dec Jan feb 2017 Offentlige Digital post NemKonto NemRefusion Danmarks Statistik SKAT Private Teleselskaber Forsikring Bank
KOMMUNIKATION Den største risiko er at brugerne oplever, at de nu kan anvende deres private NemID, men nogle gange stadig skal bruge medarbejdersignatur. Kommunikation - Hvem kan anvende NemID privat til erhverv - Brugeren forventer at kunne, men CVR fremgår ikke - Ejer vil gerne uddelegere, kræver medarbejdersignatur - De offentlige tjenester anvender NemLog-in, men hvad med de private tjenester, som i dag forudsætter medarbejdersignatur - Brugerflow skal justeres, så der tages højde for de nye muligheder 8
Bruger Scenarier for NemID privat til erhverv Indgang Kommunikation Enkeltmandsvirksomhed Kan anvende privat NemID Ny virksomhed Formanden for foreningen Forklæde Kan anvende privat NemID Landmand Repræsentant skal agerer på vegne af virksomheden Grillmester m. mand (ansat) Virk.dk Danmarks Statistik NemKonto Eksisterende Virksomhed Mangler mulighed Ansat kan kun anvende medarbejdersignatur Privat tjeneste Advokat eller konsulent Skal anvende medarbejdersignatur som repræsentant
ANDRE UDFORDRINGER? Den tekniske gennemgang går i dybden med hvordan i som tjenesteudbydere skal forholde jer til initiativet. Der er dog forhold, som jeg vil gerne vil trække frem: - Support hvordan påvirker det jeres support? Der kommer et nyt login scenarie, som supporten skal kunne identificere og hjælpe med - Anvender i egen RID baseret rettighedsstyring? En bruger vil miste sine rettigheder, hvis vedkommende logger på med privat NemID - Har jeres tjeneste i dag en indgang til borgere og erhverv? Hvad sker der hvis brugeren vælger erhverv, men logger på med privat NemID? - Er den nye information, om en bruger er ejer, interessant for jer? 10
KORT PAUSE Spørgsmål? 11
Privat NemID i Erhvervssammenhæng Tekniske forhold 12
LOG-IN 13
HELIKOPTERPERSPEKTIVET 14
UI MOCKUP 15
BETINGELSER FOR SIMULERET MOCES Alle nedenstående regler skal være opfyldt, før der aktiveres dialog til valg af virksomhed i brugergrænseflade: 1. Bruger logger ind med personligt NemID (POCES) uden SSO. 2. Tjenesten er erhvervsrettet (ønsker CVR og RID attributter). 3. Tjenesten har ikke foretaget opt out. 4. Brugeren har ikke foretaget opt out. 5. Brugeren kan iflg. ERST s registerdata tegne alene for et eller flere CVR numre. 6. Tjenesten anvender ikke pseudonymer. 16
VALG OG PRÆFERENCER Brugerens valg af virksomhed foretages i NemLog-in og gælder for hele personens SSO session. Skift af virksomhed eller fra erhverv-til-borger kræver logout / timeout. Brugeren kan gemme præferencer per tjeneste (i browser cookie). Tjenester kan også opt e ud (anbefales ikke). Primært for tjenester, som hovedsageligt er henvendt til personbrugere, men har nogle få MOCES log-ins. 17
SNITFLADE (DEL 1) Ved simuleret MOCES log-in laver NemLog-in SAML token ud fra flg. regler: dk:gov:saml:attribute:authorizedtorepresent sættes til valgt CVR dk:gov:saml:attribute:cvrnumberidentifier sættes til valgt CVR dk:gov:saml:attribute:ridnumberidentifier sættes til PID nummer fra POCES urn:oid:0.9.2342.19200300.100.1.1 (UID) sættes til CVR:[<CVR>]- RID:[PID] urn:oid:2.5.4.10 (organization name) sættes til organisationsnavn fra ERST CPR to CVR service. dk:gov:saml:attribute:isyouthcert (Is youth certificate) udstedes 18
SNITFLADE (DEL 2) Flg. attributter er uændrede i SAML token (tages fra POCES): urn:oid:2.5.4.5 (common name) urn:oid:2.5.4.5 (serial number) urn:oid:1.3.6.1.4.1.1466.115.121.1.8 (user certificate) urn:oid:2.5.29.29 (Certificate issuer attribute) urn:oid:0.9.2342.19200300.100.1.3 (Mail) 19
SNITFLADE (DEL 3) Brugeren får derudover medsendt flg. rettigheder i sit SAML token: Alle rettigheder i NemLog-in Brugeradministration (FBRS) til virksomhedsløsninger med scope sat for valgt virksomhed Alle virksomhedsfuldmagter, der er tildelt til virksomheden. Alle borgerfuldmagter, der er tildelt til virksomheden. 20
KONSEKVENSER FOR TJENESTER Tjenester, der baserer sig på CVR og RID attributterne, oplever ikke den store forskel: Brugerne vil blive opfattet som nye brugere. Tjenester som anvender NemLog-in brugeradministration: Brugeren får fuld adgang, ingen behov for ændringer eller tildelinger. Tjenester som har egen brugeradministration (på CVR+RID): Brugeren mister i første omgang sine rettigheder (ny bruger). Tjenesten kan smage på ny AuthorizedToRepresent attribut og i disse tilfælde give fuld adgang. Tjenester der parser brugerens MOCES certifikat: Parsing logik skal opdateres, så den ikke fejler på at få et POCES. 21
ERHVERVS- FULDMAGT LIGHT 22
MOTIVATION Nuværende løsning til erhvervsfuldmagt (i NemLogin/Brugeradministration aka FBRS) forudsætter, at brugeren har MOCES og virksomheden er tilsluttet NemLog-in som brugerorganisation. Der er brug for en simpel fuldmagtsløsning for virksomheder, som giver den tegningsberettigede mulighed for at give fuldmagt med personligt NemID. Derfor etableres en erhvervsfuldmagt light -løsning baseret på borgerfuldmagtsløsningen. Denne kan anvendes af tegningsberettigede, der logger ind med den føromtalte log-in løsning. 23
HOVEDFORSKELLE TIL BORGERFULDMAGT Fuldmagtspakker er nogle særlige erhvervspakker (ikke borgerpakker ) Man kan kun give en fuldmagt til et CVR nummer. Der sendes advis til modtagervirksomhedens digitale postkasse. Fuldmagter tilbagetrækkes automatisk, hvis personen ikke længere kan tegne virksomheden. 24
FORLØB: 1) VÆLG MODTAGER 25
FORLØB: 2) VÆLG INDHOLD I FULDMAGT 26
FORLØB: 3) VÆLG UDLØBSDATO 27
FORLØB: 4) GENNEMSE OG GODKEND 28
FORLØB: 5) UNDERSKRIV FULDMAGT 29
FORLØB 6): ADVIS 30
FORLØB 7): KVITTERING 31
TILDELING TIL MEDARBEJDER I NEMLOG-IN BRUGERADMINISTRATION For virksomheden, som modtager fuldmagten, kan: Brugeradministratoren se fuldmagten i NemLog-in Brugeradministration (FBRS) og tildele den til en medarbejder. Medarbejderen kan herefter se fuldmagten på sin profilside. 32
SIGNERING 33
OVERVEJELSER OM SIGNERING Nogle indberetningsforløb slutter med, at brugeren skal skrive under. Her kan der være brug for at tjekke, om brugeren underskriver med samme certifikat som blev anvendt ved log-in. Tjek af om det samme certifikat blev brugt til signering kan ske på flere forskellige måder: Tjenesten medsender serienummer til NemLog-in Signering. NemLog-in sikrer, at det rigtige certifikat til log-in. Tjeneste udtrækker certifikat fra signaturen og sammenligner selv serienummer med værdi fra SAML token. Udtræk af serienummer er ens for POCES og MOCES. Tjenesten parser selv brugerens certifikat og forsøger at finde et CVR og RID nummer til at sammenligne med værdier i SAML Assertion. Parsing logik kan fejle. 34
IMPLEMENTERING 35
TESTMILJØER OG TESTDATA Funktionaliteten bliver tilgængelig i testmiljøet i god tid inden produktion. DIGST/NNIT tilvejebringer et antal (ca. 10) testbrugere i testmiljø, som er associeret med forskellige CVR numre. For fuldmagt vil man i CSS kunne tildele virksomhedsfuldmagter til et POCES for at simulere en personbruger, der logger ind i erhvervskontekst. 36
TJENESTEREGISTRERING Tjenester får automatisk aktiveret den nye funktion. Hvis man vil opt e ud for sin tjeneste, sker det i NemLog-in s Administrationsmodul (https://administration.nemlog-in.dk). Man kan abonnere på en ny attribut i Metadata: dk:gov:saml:attribute:authorizedtorepresent Bemærk dog, at man ikke kan slippe for den nye type log-in i en SSO session, hvor brugeren i den første tjenester vælger erhvervskontekst. 37