Udvidet brug af personligt NemID i erhvervssammenhæng Side 1 af 8 23. april 2015 TG Baggrund Digitaliseringsstyrelsen planlægger i samarbejde med Erhvervsstyrelsen at gennemføre nogle ændringer i NemLog-in universet, der i en række sammenhænge vil gøre det muligt at benytte et personligt NemID i erhvervssammenhæng. Målet med ændringerne er at lette digital selvbetjening for erhvervsbrugere samt reducere behovet for support i forbindelse med adgang til digital selvbetjening. Formålet med notatet er at beskrive ændringerne fra et tjenesteudbyderperspektiv, således at disse kan vurdere påvirkningen af deres løsning. Beskrivelsen er fokuseret på tekniske forhold og beskriver derfor ikke aspekter vedrørende support, kommunikation, juridiske forhold etc. Læseren antages at være bekendt med de eksisterende løsninger til log-in og brugeradministration for erhvervsbrugere. Overblik over ændringer For en lang række virksomheder og virksomhedsformer kan det afgøres entydigt ud fra data registreret hos Erhvervsstyrelsen, om en person (identificeret ved CPR nummer) kan tegne alene eller er fuldt ansvarlig deltager for virksomheder (identificeret ved CVR numre). Der ønskes åbnet mulighed for, at disse brugere kan logge på erhvervsrettede løsninger med personligt NemID, således at der herved ikke længere er behov for at anskaffe et eller flere NemID til erhverv samt tildele rettigheder til disse. Det skal understreges, at den nye mulighed er et frivilligt tilbud for erhvervsbrugerne, og at de eksisterende løsninger til medarbejdercertifikater og brugeradministration består. Når en bruger fremover vælger at logge på en erhvervsrettet tjeneste ved brug af personligt NemID, vil NemLog-in foretage et opslag hos Erhvervsstyrelsen med henblik på at afgøre, om der findes et eller flere CVR numre, hvor personen kan tegne alene eller er fuldt ansvarlig deltager. Hvis der findes en eller flere af sådanne virksomheder, vil NemLog-in spørge brugeren, om denne ønsker at agere som en virksomhed (og hvilken) eller som borger i tjenesten. Hvis brugeren vælger en virksomhedskontekst, udsteder NemLog-in en SAML Assertion til tjenesten, som simulerer et log-in med NemID til erhverv for den pågældende
virksomhed. Da kontrakten mellem tjenesten og NemLog-in alene går på indholdet af den udstedte SAML Assertion, kan NemLog-in i langt de fleste tilfælde simulere et log-in med NemID til erhverv overfor tjenesten ved at sende de rette attributter, selvom brugeren faktisk har logget ind med personligt NemID. Målet er således, at hovedparten af ændringen kan foretages i NemLogin uden større påvirkning af tjenesterne, der er tilsluttet NemLog-in. Side 2 af 8 Log-in situationen er skitseret på nedenstående figur: Endvidere udvides NemLog-in s fuldmagtsløsning for borgere (https://fuldmagt.nemlog-in.dk), så det bliver muligt med personligt NemID at give en erhvervsfuldmagt til et CVR nummer. I den forbindelse defineres nogle erhvervsrettede fuldmagtspakker, som svarer til de nuværende rettigheder, der administreres i NemLog-in/Brugeradministration. Tjenesteregistrering Den nye funktionalitet ifm. log-in påtænkes at blive aktiveret for alle erhvervsrettede tjenester når ændringen i NemLog-in idriftsættes, uden at tjenesterne skal foretage sig yderligere. Det bliver dog muligt for den enkelte tjeneste aktivt at slå funktionen fra via NemLog-in s administrationsmodul (https://administration.nemlog-in.dk)
Side 3 af 8 Fordele for brugere og tjenesteudbydere Ved at implementere den beskrevne ændring opnås en række fordele, som er skitseret herunder. Fordele for brugerne: Vil kunne tilgå erhvervsrettede tjenester med personligt NemID og få fuld adgang. Dermed kan man undlade at skulle bestille medarbejdersignaturer, udpege brugeradministratorer og tildele adgang til brugere. Undgår at skulle tildele sig selv rettigheder for de tjenester, hvor NemLogin benyttes til rettighedsadministration samt evt. udpege en NemLog-in administrator. Undgår at skulle tildele sig selv rettigheder i de tjenester, som indrettes til at forstå en ny ejerskabsattribut (se senere). Fordele for tjenesterne: Supportbyrden ifm. medarbejdersignaturer kan lettes betydeligt. Undgår selv at skulle foretage opslag i registre for at fastslå, om en person kan repræsentere en virksomhed. Kan i vidt omfang genbruge eksisterende logik for håndtering af medarbejderlog-in, idet NemLog-in kan simulere et medarbejderlog-in med et borgerlog-in, så det bliver transparent for tjenesten. Der er dog få undtagelser, som beskrives nærmere nedenfor.
Side 4 af 8 Potentielle ulemper Ændringen har en række potentielle ulemper, som må accepteres samt håndteres ved en tydelig kommunikation: Brugerne skal logge ud og ind igen for at skifte virksomhedskontekst (fra et CVR til et andet) i tjenester eller for at skifte mellem borger- og virksomhedskontekst. Dette er dog også tilfældet i dag, hvis man har flere MOCES certifikater for forskellige virksomheder. Man vil potentielt kunne skræddersy en bedre brugeroplevelse, hvis man kan vælge kontekst i tjenesterne frem for i infrastrukturen. Det kan i nogen sammenhænge potentielt blive uklart for brugerne, hvad de skal vælge, inden de tilgår tjenesten (fx NemRefusion). Grundet NemLog-in s SSO funktionalitet vil brugerens valg truffet for den første tjeneste også gælde for efterfølgende tjenester, som tilgås i samme session (dvs. indtil logout eller timeout). Logger brugeren således først på borger.dk med borgerkontekst og herefter navigerer til skat.dk, vil NemLog-in automatisk foretage single sign-on til skat.dk med borgerkontekst uden at brugeren får vist en dialog, hvor vedkommende kan vælge at agere som virksomhed.
Side 5 af 8 Ændringerne i et teknisk perspektiv Ændringer i forbindelse tokenudstedelse I dette afsnit beskrives, hvordan NemLog-in s regler for tokenudstedelse tænkes udvidet. SAML Assertion udstedes på baggrund af brugerens valg i den nye dialog sammenholdt med tjenestens metadata. Som grundprincip er tokenet enten borgerorienteret (OIOSAML POCES profil) eller erhvervsorienteret (OIOSAML MOCES profil), og der er ingen sammenblanding af de to profiler. Hvis brugeren i dialogen vælger log-in til et CVR nummer på baggrund af log-in med personligt NemID, anvendes flg. regler til simulering af medarbejderlog-in: 1. dk:gov:saml:attribute:cvrnumberidentifier (udfyldes med CVR for den valgte virksomhed) 2. dk:gov:saml:attribute:authorizedtorepresent (attributten angiver, at personen kan tegne CVR nummeret alene eller er fuldt ansvarlig deltager og udfyldes med CVR, hvis tjenesten efterspørger denne, nye attribut) 3. dk:gov:saml:attribute:ridnumberidentifier (udfyldes med PID nummer fra personcertifikatet) 4. Certificate Serial Number attributten udfyldes med værdien fra POCES certifikatet. 5. Cetificate Issuer attributten udfyldes med værdien fra POCES certifikatet. 6. Organisation Name udfyldes med navnet på virksomheden returneret fra web servicen. 7. User Certificate udfyldes med POCES certifikatet, hvis attributten efterspørges i metadata. 8. Uid attributten indeholder normalt Subject Serial number fra certifikatet, og simuleres ved at indsætte det dannede RID-nummer på rette plads i strengen. 9. Alle (erhvervs)privilegier, der er registreret på tjenesten, medsendes med scope udfyldt som CVR nummeret (automatisk tildeling til ejeren). 10. Erhvervsfuldmagter udstedt til CVR nummeret medsendes som om de var tildelt brugeren i NemLog-in/Brugeradministration. Der implementeres ingen påvirkning af NemLog-in s AttributeQuery eller STS services ændringen gælder alene for Web SSO.
Samspil mellem tjeneste og NemLog-in Herunder gives en række overvejelser om håndtering af log-in i tjenester, hvor den nye type log-in benyttes. Som det fremgår af ovenstående, vil en tjeneste, som i dag modtager det eksisterende medarbejderlog-in, stort set ikke kunne se forskel i SAML Assertion på den nye type log-in, bortset fra: UserCertificate attributten vil indeholde et POCES certifikat og ikke et MOCES certifikat. Dette har alene betydning for de tjenester, som i dag selv parser certifikatet selv i stedet for at bruge attributter fra SAML Assertion, hvilket vurderes at være et fåtal af tjenester. Hvis certifikatet blot logges, vurderes det ikke at få konsekvenser. CertificateIssuer attributten kan pege på et andet CA hos Nets. Formentlig anvender de færreste denne værdi aktivt, og derfor vurderes påvirkningen som minimal. Brugerens RID nummer vil være nyt dvs. tjenesten vil se brugeren som en ny bruger fra pågældende CVR nummer ved første log-in. Side 6 af 8 Afhængigt af hvordan tjeneste i dag foretager adgangsstyring på baggrund af informationen i SAML Assertion udstedt af NemLog-in, kan der være behov for tilpasninger. De forskellige scenarier er forsøgt skitseret nedenfor: a) Tjenester der primært baserer sig på CVR og RID nummer attributterne forventes uden videre at kunne tilgås på den nye måde dog vil brugeren blive opfattet som en ny bruger ved første log-in med personligt NemID. b) I tjenester, som anvender NemLog-in brugeradministration til administration af rettigheder, vil brugeren få fuld adgang med alle rettigheder - uden at der skal først foretages en administrativ tildeling af rettigheder til brugeren i NemLog-in/Brugeradministration. Der forventes således ikke behov for ændringer i disse tjenester. c) Hvis tjenesten har registreret rettigheder på et specifikt RID nummer (via egen brugeradministration), vil brugeren ikke automatisk få disse rettigheder. Dette forventes at være tilfældet for eksempelvis Digital Post, hvor der lokalt kan være oprettet postadministratorer eller adgange til postmapper, der er koblet til specifikke CVR+RID numre. Her vil tjenesten skulle udvides til at kigge efter den nye attribut (AuthorizedToRepresentNumber) i SAML tokenet og i fald denne er til stede, give brugeren fuld adgang (fx til alle postmapper). d) I visse tjenester forventes det at kunne give en administrativ forenkling eller større sikkerhed, hvis der vished for, at den pågældende bruger er tegningsberettiget og dermed fuldt ud kan disponere på virksomhedens vegne. Eksempelvis kunne man spare arbejdsgange, hvor medarbejderens prokura til agere i tjenesten skal valideres. I disse tilfælde kan man implementere understøttelse for AuthorizedToRepresentNumber attributten og dermed få en forenkling.
Håndtering af signering Side 7 af 8 En række indberetningsforløb (fx i NemRefusion) afsluttes med en signering ved brug af NemLog-in s signeringstjeneste. Her vil der være brug for, at brugeren kan afslutte indberetningen ved at signere med samme personlige NemID, som blev anvendt i forbindelse med log-in. NemLog-in har ingen rettigheder knyttet til signeringsprocessen, men returnerer blot et valideringsresultat samt brugerens signatur (gensigneret af NemLog-in). Hvis tjenesten foretager en validering af, at den samme person har underskrevet indberetningen, som tidligere loggede på, kan der i særlige tilfælde være behov for ændringer af tjenesten. Hvis en sådan validering ikke foretages, forventes der ikke behov for at ændre tjenesten. De forskellige scenarier for validering af anvendt certifikat til signering er skitseret nedenfor sammen med den forventede påvirkning af tjenesten: a) Tjenesten kan i kaldet af NemLog-in s signeringstjeneste medsende serienummeret på det certifikat, der blev anvendt til log-in, og bede NemLog-in sikre, at der signeres med dette certifikat. Dette er den anbefalede valideringsmetode, og i dette tilfælde giver den nye log-in metode ikke anledning til ændringer, idet log-in og underskrift sker med samme personcertifikat. b) Tjenesten kan selv udtrække brugercertifikatet i svaret fra signeringstjenesten og sammenligne serienummeret med de værdier, der blev angivet i SAML Assertion i forbindelse med log-in. Heller ikke denne metode ventes at give nogen udfordringer, idet udtrækning af certifikatserienummer er ens for POCES og MOCES certifikater (standard X.509). c) Tjenesten kan selv udtrække brugercertifikatet i svaret fra signeringstjenesten og forsøge at parse det som et medarbejdercertifikat for fx at sammenligne CVR og RID numre fra Subject feltet med attributter i den modtagne SAML Assertion. I disse tilfælde kan der være behov for en udvidelse af parsinglogikken, så tjenesten ikke fejler, fordi der nu fremgår et personcertifikat. Generelt anbefales at man ændrer logikken til i stedet for at anvende metode a) eller b) beskrevet ovenfor.
Side 8 af 8 Konsekvenser af fuldmagtsændringer En tjeneste vil kun modtage fuldmagtsprivilegier fra NemLog-in, såfremt den på forhånd har konfigureret dette. Det nye er således at erhvervsfuldmagter kan oprettes ved brug af et personligt NemID, hvilket dog ikke direkte påvirker tjenesternes kontrakt med NemLog-in. Hvis en tjeneste har en privatdel og en erhvervsdel og sender brugeren til privatdelen, hvis der fremgår en PID eller CPR attribut i SAML billetten, og til erhvervsdelen hvis der fremgår en CVR eller RID attribut i SAML billetten, kan dette give anledning til genovervejelse af visitationslogikken.