Udvidet brug af personligt NemID i erhvervssammenhæng



Relaterede dokumenter
Udvidet brug af personligt NemID i erhvervssammenhæng

NemID privat til erhverv

Guide til integration med NemLog-in / Brugeradministration

Session oprettet hos egen serviceudbyder Varianter

Løsningsbeskrivelse og visuelle guidelines Dokumentet er en del af NemID tjenesteudbyderpakken.

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Guide til NemLog-in Security Token Service

Rediger eller opret institutionsmedarbejder på en ungdomsuddannelse

Digital post. AMU-nr

Notat om håndtering af aktualitet i matrikulære sager

Bekendtgørelse om fritagelse af fysiske personer fra tilslutning til Offentlig Digital Post m.v.

1. Send Digitalt knappen anvendes til at afsende meddelelsen til de valgte modtagere. (Alt- S)

End-to-end scenarier for fuldmagtsløsningen

NemID DataHub adgang. & Doc , sag 10/3365

Tilføjelse af administrator for myndighed

Vejledning til NemLog-in

Guide til integration med NemLog-in / Web SSO

Login til den digitale ansøgningsportal

Vejledning om dybe links i Digital Post. Februar 2016

Vejledning i tildeling af rettigheder til VandData. Vejledningen henvender sig til Vandselskabers Nem Log-in Administratorer og beskriver, hvordan

Anbefalede testprocedurer

Til bestyrelsen for Institutioner for erhvervsrettede uddannelser og almengymnasiale uddannelser samt almene voksenuddannelser m.v.

UNI Login brugeradministration. - fra Lectio til UNI Login

Tilslutning af ny myndighed til NemLog-in

Trin-for-trin guide: Tilslutning af web service til NemLog-in

Guide til integration med NemLog-in / Signering

Digitaliseringsstyrelsen

UNI Login. Adgangskontrol

Spørgsmål og svar om håndtering af udenlandsk udbytteskat marts 2016

ADGANG TIL EGEN SAG ADGANG TIL EGEN SAG. Integration til Borger.dk baseret på fælleskommunal infrastruktur

Forretningsmæssige testscases for Seal.net i relation til anvendelse af NSP services

Håndtering af bunkning

Brugerstyring i Digital Post

Virksomheden har og anvender deres gamle digital signatur, som endnu ikke er udløbet.

Beskatning af fri telefon den systemmæssige understøttelse

Forslag til principerklæring til vedtagelse på FOAs strukturkongres 12. og 13. januar 2006 i Aalborg

Let i gang med NemRefusion for selvstændige

23. maj 2013Klik her for at angive tekst. HHK/KMJ. Vejledning til brug af Støttesystemet Adgangsstyring

Den samlede erhvervsløsning i næste generation af NemID og NemLog-in3

Artikel til digst.dk om offentlige myndigheders særlige vejledningspligt ifm. kanalskifte til Digital Post

Digitaliseringsstyrelsen

Netprøver.dk. Brugervejledning til Brugeradministratorer

Loginvejledning, tips og hjælp

Kort og godt om NemID. En ny og sikker adgang til det digitale Danmark

DataHub Forbrugeradgangsløsning NemID Quick Guide

Vejledning til personlige funktioner på MIT DANSKE ARK ( eksklusive profil og cv) Indholdsfortegnelse:

Kommuneplantillæg 1. til Kommuneplan Klimatilpasningsplan

SPØRGESKEMAUNDERSØGELSE

Retsudvalget REU Alm.del endeligt svar på spørgsmål 104 Offentligt

Vejledning til Køreprøvebooking. FAQ Ofte stillede spørgsmål

Overgangen til RejsUd fra andet rejseafregningssystem

Digitale uddannelsesaftaler. Vejledning til skoler

Version 1.0. Vilkår for brug af Støttesystemet Adgangsstyring

borger.dk Tom Bøgeskov udviklingschef IT- og Telestyrelsen Borgerkommunikationskontoret Center for borger.dk

Skolemedarbejder 9. klasse. Brugervejledning Optagelse.dk

Release note R Mandag den 23. marts Autocore Salg

Ministertale ved åbent samråd om L 160 om offentlig digital post tirsdag den 15. maj 2012 kl

Få helt styr på NemID

Digitaliseringsstyrelsen

Ændring af arbejdsmiljøarbejdet

Guide til kravspecifikation

Timeout-politik for den fællesoffentlige føderation

Giv andre medarbejdere adgang til den digitale postkasse. Vejledning til Digital Post for virksomheder

GOD KOMMUNIKATION I BUF: ALLE MEDARBEJDERE KOMMUNIKERER VI KOMMUNIKERER EFTER MODTAGERNES BEHOV VI KOMMUNIKERER ÅBENT OG TROVÆRDIGT

Vejledning til SmartSignatur Proof Of Concept

Introduktion til NemID og NemID tjenesteudbyderpakken

Spørgsmål: Må der - i forlængelse af ovenstående spørgsmål - være én projektleder pr. skole?

Skolers arbejde med at forberede elever til ungdomsuddannelse

Vilkår for It-systemudbyderes tilslutning til og anvendelse af NemLog-in. Digitaliseringsstyrelsen 2013

IndFak Kontrakt manual

Telefoni Brugervejledning

Notat. De tre situationer er karakteriseret ved følgende faktiske forhold, som jeg har lagt til grund for min vurdering:

Tildeling af rettigheder i NEMLOG-IN

(Bilag til dagsordenspunkt 8, Kommunale anvenderkrav til støttesystemerne)

Integration SF1920 NemLogin / Digital fuldmagt Integrationsbeskrivelse - version 1.0.0

Netprøver.dk. Brugervejledning til skolens it ansvarlige

Introduktion til brugeradministratorer i SEB v3

EKSEMPEL PÅ INTERVIEWGUIDE

FÆLLES UDBUD AF ØKONOMI- OG LØNSYSTEM VISIONSPAPIR

Ledelsesgrundlag. Baggrund. Allerød Kommune

Vejledning om mulighederne for genoptagelse efter såvel lovbestemte som ulovbestemte regler. 10. april 2013

Vejledning til rapport om udbud af spil 1/5

Versionsopdatering Epos HR 1 Highlights version November 2010

TILDELING AF RETTIGHEDER I NEMLOG-IN

Ændringsforslag DSU s love

Notat. Retningslinjer for sammensætning af bestyrelser i dagtilbud og FU fra fusionen til næste ordinære valg. Dagtilbud og FU-områder.

Bemærkninger til forslaget. Almindelige bemærkninger til forslaget

Vejledning for klage over en prøve ved Det Sundhedsfaglige Hovedområde, UCN

KL S EFFEKTMÅLINGS- REDSKAB TIL KONTROLOMRÅDET

Forslag til løsning af Opgaver til ligningsløsning (side172)

Oversigt over spørgsmål og svar til udbud af Elektronisk låsesystem til boliger i Stevns Kommune

Oplæg til debat. Hvem mangler i jeres menighedsråd?

KL S EFFEKTMÅLINGS- REDSKAB TIL KONTROLOMRÅDET

Borgerne i Tybjerg-området kan køres til og fra Borgerservice i Fensmark. Dette selvom Fensmark er beliggende inden for bykernen.

Retningslinjer for informationssikkerhed i Quick Care

Dokumentation Nets Rettighedsstyring (Attributtjeneste)

STS Designdokument. STS Designdokument

Transkript:

Udvidet brug af personligt NemID i erhvervssammenhæng Side 1 af 8 23. april 2015 TG Baggrund Digitaliseringsstyrelsen planlægger i samarbejde med Erhvervsstyrelsen at gennemføre nogle ændringer i NemLog-in universet, der i en række sammenhænge vil gøre det muligt at benytte et personligt NemID i erhvervssammenhæng. Målet med ændringerne er at lette digital selvbetjening for erhvervsbrugere samt reducere behovet for support i forbindelse med adgang til digital selvbetjening. Formålet med notatet er at beskrive ændringerne fra et tjenesteudbyderperspektiv, således at disse kan vurdere påvirkningen af deres løsning. Beskrivelsen er fokuseret på tekniske forhold og beskriver derfor ikke aspekter vedrørende support, kommunikation, juridiske forhold etc. Læseren antages at være bekendt med de eksisterende løsninger til log-in og brugeradministration for erhvervsbrugere. Overblik over ændringer For en lang række virksomheder og virksomhedsformer kan det afgøres entydigt ud fra data registreret hos Erhvervsstyrelsen, om en person (identificeret ved CPR nummer) kan tegne alene eller er fuldt ansvarlig deltager for virksomheder (identificeret ved CVR numre). Der ønskes åbnet mulighed for, at disse brugere kan logge på erhvervsrettede løsninger med personligt NemID, således at der herved ikke længere er behov for at anskaffe et eller flere NemID til erhverv samt tildele rettigheder til disse. Det skal understreges, at den nye mulighed er et frivilligt tilbud for erhvervsbrugerne, og at de eksisterende løsninger til medarbejdercertifikater og brugeradministration består. Når en bruger fremover vælger at logge på en erhvervsrettet tjeneste ved brug af personligt NemID, vil NemLog-in foretage et opslag hos Erhvervsstyrelsen med henblik på at afgøre, om der findes et eller flere CVR numre, hvor personen kan tegne alene eller er fuldt ansvarlig deltager. Hvis der findes en eller flere af sådanne virksomheder, vil NemLog-in spørge brugeren, om denne ønsker at agere som en virksomhed (og hvilken) eller som borger i tjenesten. Hvis brugeren vælger en virksomhedskontekst, udsteder NemLog-in en SAML Assertion til tjenesten, som simulerer et log-in med NemID til erhverv for den pågældende

virksomhed. Da kontrakten mellem tjenesten og NemLog-in alene går på indholdet af den udstedte SAML Assertion, kan NemLog-in i langt de fleste tilfælde simulere et log-in med NemID til erhverv overfor tjenesten ved at sende de rette attributter, selvom brugeren faktisk har logget ind med personligt NemID. Målet er således, at hovedparten af ændringen kan foretages i NemLogin uden større påvirkning af tjenesterne, der er tilsluttet NemLog-in. Side 2 af 8 Log-in situationen er skitseret på nedenstående figur: Endvidere udvides NemLog-in s fuldmagtsløsning for borgere (https://fuldmagt.nemlog-in.dk), så det bliver muligt med personligt NemID at give en erhvervsfuldmagt til et CVR nummer. I den forbindelse defineres nogle erhvervsrettede fuldmagtspakker, som svarer til de nuværende rettigheder, der administreres i NemLog-in/Brugeradministration. Tjenesteregistrering Den nye funktionalitet ifm. log-in påtænkes at blive aktiveret for alle erhvervsrettede tjenester når ændringen i NemLog-in idriftsættes, uden at tjenesterne skal foretage sig yderligere. Det bliver dog muligt for den enkelte tjeneste aktivt at slå funktionen fra via NemLog-in s administrationsmodul (https://administration.nemlog-in.dk)

Side 3 af 8 Fordele for brugere og tjenesteudbydere Ved at implementere den beskrevne ændring opnås en række fordele, som er skitseret herunder. Fordele for brugerne: Vil kunne tilgå erhvervsrettede tjenester med personligt NemID og få fuld adgang. Dermed kan man undlade at skulle bestille medarbejdersignaturer, udpege brugeradministratorer og tildele adgang til brugere. Undgår at skulle tildele sig selv rettigheder for de tjenester, hvor NemLogin benyttes til rettighedsadministration samt evt. udpege en NemLog-in administrator. Undgår at skulle tildele sig selv rettigheder i de tjenester, som indrettes til at forstå en ny ejerskabsattribut (se senere). Fordele for tjenesterne: Supportbyrden ifm. medarbejdersignaturer kan lettes betydeligt. Undgår selv at skulle foretage opslag i registre for at fastslå, om en person kan repræsentere en virksomhed. Kan i vidt omfang genbruge eksisterende logik for håndtering af medarbejderlog-in, idet NemLog-in kan simulere et medarbejderlog-in med et borgerlog-in, så det bliver transparent for tjenesten. Der er dog få undtagelser, som beskrives nærmere nedenfor.

Side 4 af 8 Potentielle ulemper Ændringen har en række potentielle ulemper, som må accepteres samt håndteres ved en tydelig kommunikation: Brugerne skal logge ud og ind igen for at skifte virksomhedskontekst (fra et CVR til et andet) i tjenester eller for at skifte mellem borger- og virksomhedskontekst. Dette er dog også tilfældet i dag, hvis man har flere MOCES certifikater for forskellige virksomheder. Man vil potentielt kunne skræddersy en bedre brugeroplevelse, hvis man kan vælge kontekst i tjenesterne frem for i infrastrukturen. Det kan i nogen sammenhænge potentielt blive uklart for brugerne, hvad de skal vælge, inden de tilgår tjenesten (fx NemRefusion). Grundet NemLog-in s SSO funktionalitet vil brugerens valg truffet for den første tjeneste også gælde for efterfølgende tjenester, som tilgås i samme session (dvs. indtil logout eller timeout). Logger brugeren således først på borger.dk med borgerkontekst og herefter navigerer til skat.dk, vil NemLog-in automatisk foretage single sign-on til skat.dk med borgerkontekst uden at brugeren får vist en dialog, hvor vedkommende kan vælge at agere som virksomhed.

Side 5 af 8 Ændringerne i et teknisk perspektiv Ændringer i forbindelse tokenudstedelse I dette afsnit beskrives, hvordan NemLog-in s regler for tokenudstedelse tænkes udvidet. SAML Assertion udstedes på baggrund af brugerens valg i den nye dialog sammenholdt med tjenestens metadata. Som grundprincip er tokenet enten borgerorienteret (OIOSAML POCES profil) eller erhvervsorienteret (OIOSAML MOCES profil), og der er ingen sammenblanding af de to profiler. Hvis brugeren i dialogen vælger log-in til et CVR nummer på baggrund af log-in med personligt NemID, anvendes flg. regler til simulering af medarbejderlog-in: 1. dk:gov:saml:attribute:cvrnumberidentifier (udfyldes med CVR for den valgte virksomhed) 2. dk:gov:saml:attribute:authorizedtorepresent (attributten angiver, at personen kan tegne CVR nummeret alene eller er fuldt ansvarlig deltager og udfyldes med CVR, hvis tjenesten efterspørger denne, nye attribut) 3. dk:gov:saml:attribute:ridnumberidentifier (udfyldes med PID nummer fra personcertifikatet) 4. Certificate Serial Number attributten udfyldes med værdien fra POCES certifikatet. 5. Cetificate Issuer attributten udfyldes med værdien fra POCES certifikatet. 6. Organisation Name udfyldes med navnet på virksomheden returneret fra web servicen. 7. User Certificate udfyldes med POCES certifikatet, hvis attributten efterspørges i metadata. 8. Uid attributten indeholder normalt Subject Serial number fra certifikatet, og simuleres ved at indsætte det dannede RID-nummer på rette plads i strengen. 9. Alle (erhvervs)privilegier, der er registreret på tjenesten, medsendes med scope udfyldt som CVR nummeret (automatisk tildeling til ejeren). 10. Erhvervsfuldmagter udstedt til CVR nummeret medsendes som om de var tildelt brugeren i NemLog-in/Brugeradministration. Der implementeres ingen påvirkning af NemLog-in s AttributeQuery eller STS services ændringen gælder alene for Web SSO.

Samspil mellem tjeneste og NemLog-in Herunder gives en række overvejelser om håndtering af log-in i tjenester, hvor den nye type log-in benyttes. Som det fremgår af ovenstående, vil en tjeneste, som i dag modtager det eksisterende medarbejderlog-in, stort set ikke kunne se forskel i SAML Assertion på den nye type log-in, bortset fra: UserCertificate attributten vil indeholde et POCES certifikat og ikke et MOCES certifikat. Dette har alene betydning for de tjenester, som i dag selv parser certifikatet selv i stedet for at bruge attributter fra SAML Assertion, hvilket vurderes at være et fåtal af tjenester. Hvis certifikatet blot logges, vurderes det ikke at få konsekvenser. CertificateIssuer attributten kan pege på et andet CA hos Nets. Formentlig anvender de færreste denne værdi aktivt, og derfor vurderes påvirkningen som minimal. Brugerens RID nummer vil være nyt dvs. tjenesten vil se brugeren som en ny bruger fra pågældende CVR nummer ved første log-in. Side 6 af 8 Afhængigt af hvordan tjeneste i dag foretager adgangsstyring på baggrund af informationen i SAML Assertion udstedt af NemLog-in, kan der være behov for tilpasninger. De forskellige scenarier er forsøgt skitseret nedenfor: a) Tjenester der primært baserer sig på CVR og RID nummer attributterne forventes uden videre at kunne tilgås på den nye måde dog vil brugeren blive opfattet som en ny bruger ved første log-in med personligt NemID. b) I tjenester, som anvender NemLog-in brugeradministration til administration af rettigheder, vil brugeren få fuld adgang med alle rettigheder - uden at der skal først foretages en administrativ tildeling af rettigheder til brugeren i NemLog-in/Brugeradministration. Der forventes således ikke behov for ændringer i disse tjenester. c) Hvis tjenesten har registreret rettigheder på et specifikt RID nummer (via egen brugeradministration), vil brugeren ikke automatisk få disse rettigheder. Dette forventes at være tilfældet for eksempelvis Digital Post, hvor der lokalt kan være oprettet postadministratorer eller adgange til postmapper, der er koblet til specifikke CVR+RID numre. Her vil tjenesten skulle udvides til at kigge efter den nye attribut (AuthorizedToRepresentNumber) i SAML tokenet og i fald denne er til stede, give brugeren fuld adgang (fx til alle postmapper). d) I visse tjenester forventes det at kunne give en administrativ forenkling eller større sikkerhed, hvis der vished for, at den pågældende bruger er tegningsberettiget og dermed fuldt ud kan disponere på virksomhedens vegne. Eksempelvis kunne man spare arbejdsgange, hvor medarbejderens prokura til agere i tjenesten skal valideres. I disse tilfælde kan man implementere understøttelse for AuthorizedToRepresentNumber attributten og dermed få en forenkling.

Håndtering af signering Side 7 af 8 En række indberetningsforløb (fx i NemRefusion) afsluttes med en signering ved brug af NemLog-in s signeringstjeneste. Her vil der være brug for, at brugeren kan afslutte indberetningen ved at signere med samme personlige NemID, som blev anvendt i forbindelse med log-in. NemLog-in har ingen rettigheder knyttet til signeringsprocessen, men returnerer blot et valideringsresultat samt brugerens signatur (gensigneret af NemLog-in). Hvis tjenesten foretager en validering af, at den samme person har underskrevet indberetningen, som tidligere loggede på, kan der i særlige tilfælde være behov for ændringer af tjenesten. Hvis en sådan validering ikke foretages, forventes der ikke behov for at ændre tjenesten. De forskellige scenarier for validering af anvendt certifikat til signering er skitseret nedenfor sammen med den forventede påvirkning af tjenesten: a) Tjenesten kan i kaldet af NemLog-in s signeringstjeneste medsende serienummeret på det certifikat, der blev anvendt til log-in, og bede NemLog-in sikre, at der signeres med dette certifikat. Dette er den anbefalede valideringsmetode, og i dette tilfælde giver den nye log-in metode ikke anledning til ændringer, idet log-in og underskrift sker med samme personcertifikat. b) Tjenesten kan selv udtrække brugercertifikatet i svaret fra signeringstjenesten og sammenligne serienummeret med de værdier, der blev angivet i SAML Assertion i forbindelse med log-in. Heller ikke denne metode ventes at give nogen udfordringer, idet udtrækning af certifikatserienummer er ens for POCES og MOCES certifikater (standard X.509). c) Tjenesten kan selv udtrække brugercertifikatet i svaret fra signeringstjenesten og forsøge at parse det som et medarbejdercertifikat for fx at sammenligne CVR og RID numre fra Subject feltet med attributter i den modtagne SAML Assertion. I disse tilfælde kan der være behov for en udvidelse af parsinglogikken, så tjenesten ikke fejler, fordi der nu fremgår et personcertifikat. Generelt anbefales at man ændrer logikken til i stedet for at anvende metode a) eller b) beskrevet ovenfor.

Side 8 af 8 Konsekvenser af fuldmagtsændringer En tjeneste vil kun modtage fuldmagtsprivilegier fra NemLog-in, såfremt den på forhånd har konfigureret dette. Det nye er således at erhvervsfuldmagter kan oprettes ved brug af et personligt NemID, hvilket dog ikke direkte påvirker tjenesternes kontrakt med NemLog-in. Hvis en tjeneste har en privatdel og en erhvervsdel og sender brugeren til privatdelen, hvis der fremgår en PID eller CPR attribut i SAML billetten, og til erhvervsdelen hvis der fremgår en CVR eller RID attribut i SAML billetten, kan dette give anledning til genovervejelse af visitationslogikken.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback