Udvidet brug af personligt NemID i erhvervssammenhæng

Relaterede dokumenter
Udvidet brug af personligt NemID i erhvervssammenhæng

NemID privat til erhverv

Guide til integration med NemLog-in / Brugeradministration

Guide til NemLog-in Security Token Service

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Vejledning i tildeling af rettigheder til VandData. Vejledningen henvender sig til Vandselskabers Nem Log-in Administratorer og beskriver, hvordan

Guide til integration med NemLog-in / Signering

End-to-end scenarier for fuldmagtsløsningen

Tilføjelse af administrator for myndighed

Den samlede erhvervsløsning i næste generation af NemID og NemLog-in3

NemID DataHub adgang. & Doc , sag 10/3365

Tilslutning af ny myndighed til NemLog-in

Let i gang med NemRefusion for selvstændige

Guide til integration med NemLog-in / Web SSO

23. maj 2013Klik her for at angive tekst. HHK/KMJ. Vejledning til brug af Støttesystemet Adgangsstyring

Trin-for-trin guide: Tilslutning af web service til NemLog-in

Guide til login på DA Barsel

Digitaliseringsstyrelsen

Tildeling af rettigheder i NEMLOG-IN

Version 1.0. Vilkår for brug af Støttesystemet Adgangsstyring

Vejledning til NemLog-in

TILDELING AF RETTIGHEDER I NEMLOG-IN

Virksomheden har og anvender deres gamle digital signatur, som endnu ikke er udløbet.

DataHub Forbrugeradgangsløsning NemID Quick Guide

Timeout-politik for den fællesoffentlige føderation

Vejledning til NemLog-in for kommuner

Nets Rettighedsstyring

Vejledning til SmartSignatur Proof Of Concept

Vilkår for It-systemudbyderes tilslutning til og anvendelse af NemLog-in. Digitaliseringsstyrelsen 2013

Guide til kravspecifikation

Vejledning til kommuners brug af Serviceplatformen

Version: 1.0 Udarbejdet: Okt Udarbejdet af: Erhvervsstyrelsen og Digitaliseringsstyrelsen

Dokumentation Nets Rettighedsstyring (Attributtjeneste)

Tildeling af rettigheder i NemLog-in

Digitaliseringsstyrelsen

(Bilag til dagsordenspunkt 8, Kommunale anvenderkrav til støttesystemerne)

Introduktion til brugeradministratorer i SEB v3

Til bestyrelsen for Institutioner for erhvervsrettede uddannelser og almengymnasiale uddannelser samt almene voksenuddannelser m.v.

Vejledning til leverandørers brug af Serviceplatformen

Giv andre medarbejdere adgang til den digitale postkasse. Vejledning til Digital Post for virksomheder

Integration SF1920 NemLogin / Digital fuldmagt Integrationsbeskrivelse - version 1.0.0

Certifikatpolitik for NemLog-in

Tilslutning af ny it-leverandør til NemLog-in

Fælles testmiljøer. Dato: Version: Vejledning til oprettelse og vedligehold af testcertifikater

Introduktion til UNI-Login for udbydere

De fællesoffentlige komponenter: Federativa identitetslösningar, Erfarenheter från Danmark

Vejledning i at give autorisation til Ejerbogen, Ejerregisteret eller andre indberetninger til det offentlige via Virk.dk

NEMID MED ROBOTTER. Muligheder samt en anbefaling til at løse NemID-opgaver med robotter

STS Designdokument. STS Designdokument

Sådan udsteder du en digital fuldmagt for en borger. Vejledning til it-ansvarlige og medarbejdere i borgerservice

Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere

STS Designdokument. STS Designdokument

Vejledning til leverandørers brug af Serviceplatformen

Kundevejledning. AD FS opsætning til Reindex. Version: 1.0. Dato: 19. april Forfatter: Lasse Balsvad (XPERION)

Maj Peter Kristiansen,

Session oprettet hos egen serviceudbyder Varianter

Vejledning til oprettelse af UUmedarbejder. Brugervejledning Optagelse.dk

Vejledning til Køreprøvebooking. FAQ Ofte stillede spørgsmål

Specifikationsdokument for LDAP API

Brugeroprettelse Første login. Optagelse.dk

Tildeling af rettigheder. VandData. Vejledning

Termer og begreber i NemID

Forbruger login med NemID Til forbrugsdata på DataHub

Vejledning for virksomhederne om adgang til Affaldsdatasystemet

Netprøver.dk. Brugervejledning til Brugeradministratorer

Helikopteranalyse af virksomhedsområdet i forbindelse med næste generation af NemID

Sundhedsstyrelsens Elektroniske Indberetningssystem (SEI) Vejledning til indberetning via Citrix-løsning

Denne vejledning beskriver hvordan en myndighed tilslutter

Vejledning. Administrator for Betalingsservice kundeportal

LØSNINGSBESKRIVELSE FOR LOG-IN OG SIGNERING MED NEMID. Beskrivelse af de NemID-typer, som kan bruge på jeres tjeneste.

Vilkår vedrørende brug af Støttesystemet Adgangsstyring

Tilslutning til Digital Post Administrationsportalen

Vejledning til indberetning af salg eller køb af fisk og skaldyr. Blanketten som bruges til indberetningen ligger i Virk.dk.

Digital post er ikke det samme som almindelig . Digital post er modsat s en sikker digital forsendelsesform.

Bilag til standardaftale om delegering af brugerrettigheder mellem lokale identitetsudbydere og serviceudbydere ved anvendelse af SAML-billetter

Vejledning til tildeling af rettigheder i VandData

Giv eksterne parter adgang til den digitale postkasse. Vejledning til Digital Post for virksomheder

Opsætning af din digitale postkasse på Virk. Vejledning til Digital Post for virksomheder

Vejledning. til. RA-administrator

Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3

Specifikationsdokument for OCSP

Interessentforum for næste generation NemID. Møde den 21. marts 2018

eid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019

Brugeroprettelse Første login. Brugervejledning - Optagelse.dk

Brokere i Identitetsinfrastrukturen

Vejledning til anvendelse af fuldmagt på virk.dk

SAPAs forretningsmæssige behov i relation til Dialogintegration. SAPAs behov for Dialogintegration. Fordele ved brug af dialogintegration i SAPA

Vejledning til indmeldelse af ordblinde for skoler og institutioner

Brugervejledning. Optagelse.dk. Opret medarbejder på grundskole

Introduktion til brugeradministratorer i SEB v2

Brugervejledning. Optagelse.dk. Brugeroprettelse Første login for medarbejdere

Løsningsbeskrivelse for log-in og signering med NemID. Valg af målgruppe og navigation omkring NemID på jeres tjeneste.

OS2faktor. AD FS Connector Vejledning. Version: Date: Author: BSG

Brugervejledning. Optagelse.dk. Opret medarbejder på UU-centret

Specifikationsdokument for servicen PID-CPR

Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3

Brugerstyring i Digital Post

DataHub Forbrugeradgangsløsning Spørgsmål og svar

Transkript:

Udvidet brug af personligt NemID i erhvervssammenhæng Side 1 af 10 16. juni 2016 TG Baggrund Digitaliseringsstyrelsen planlægger i samarbejde med Erhvervsstyrelsen at gennemføre nogle ændringer i NemLog-in universet, der i en række sammenhænge vil gøre det muligt at benytte et personligt NemID i erhvervssammenhæng. Målet med ændringerne er at lette digital selvbetjening for erhvervsbrugere samt reducere behovet for support i forbindelse med adgang til digital selvbetjening. Formålet med dette notat er at beskrive ændringerne fra et tjenesteudbyderperspektiv, således at disse kan vurdere påvirkningen af deres løsning. Beskrivelsen er fokuseret på tekniske forhold og beskriver derfor ikke aspekter vedrørende support, kommunikation, juridiske forhold etc. Læseren antages at være bekendt med de eksisterende løsninger til log-in og brugeradministration for erhvervsbrugere. Overblik over ændringer For en lang række virksomheder og virksomhedsformer kan det afgøres entydigt ud fra data registreret hos Erhvervsstyrelsen, om en person (identificeret ved CPR nummer) kan tegne alene eller er fuldt ansvarlig deltager for virksomheder (identificeret ved CVR numre). Der ønskes åbnet mulighed for, at disse brugere kan logge på erhvervsrettede løsninger med personligt NemID, således at der herved ikke længere er behov for at anskaffe et eller flere NemID til erhverv samt tildele rettigheder til disse. Det skal understreges, at den nye mulighed er et frivilligt tilbud for erhvervsbrugerne, og at de eksisterende løsninger til medarbejdercertifikater og brugeradministration består. Når en bruger fremover vælger at logge på en erhvervsrettet tjeneste ved brug af personligt NemID, vil NemLog-in foretage et opslag hos Erhvervsstyrelsen med henblik på at afgøre, om der findes et eller flere CVR numre, hvor personen kan tegne alene eller er fuldt ansvarlig deltager. Hvis der findes en eller flere af sådanne virksomheder, vil NemLog-in spørge brugeren, om denne ønsker at agere som en virksomhed (og hvilken) eller som borger i tjenesten. Hvis brugeren vælger en virksomhedskontekst, udsteder NemLog-in en SAML Assertion til tjenesten, som simulerer et log-in med NemID til erhverv for den pågældende

virksomhed. Da kontrakten mellem tjenesten og NemLog-in alene går på indholdet af den udstedte SAML Assertion, kan NemLog-in i langt de fleste tilfælde simulere et log-in med NemID til erhverv overfor tjenesten ved at sende de rette attributter, selvom brugeren faktisk har logget ind med personligt NemID. Målet er således, at hovedparten af ændringen kan foretages i NemLogin uden større påvirkning af tjenesterne, der er tilsluttet NemLog-in. Side 2 af 10 Log-in situationen er skitseret på nedenstående figur: Endvidere udvides NemLog-in s fuldmagtsløsning for borgere (https://fuldmagt.nemlog-in.dk), så det bliver muligt med personligt NemID at give en erhvervsfuldmagt til et CVR nummer. I den forbindelse defineres nogle erhvervsrettede fuldmagtspakker, som svarer til de nuværende rettigheder, der administreres i NemLog-in/Brugeradministration. Tjenesteregistrering Den nye funktionalitet ifm. log-in påtænkes at blive aktiveret for alle erhvervsrettede tjenester, når ændringen i NemLog-in idriftsættes, uden at tjenesterne skal foretage sig yderligere. Det bliver dog muligt for den enkelte tjeneste aktivt at slå funktionen fra via NemLog-in s administrationsmodul (https://administration.nemlog-in.dk)

Side 3 af 10 Fordele for brugere og tjenesteudbydere Ved at implementere den beskrevne ændring opnås en række fordele, som er skitseret herunder. Fordele for brugerne: Vil kunne tilgå erhvervsrettede tjenester med personligt NemID og få fuld adgang. Dermed kan man undlade at skulle bestille medarbejdersignaturer, udpege brugeradministratorer og tildele adgang til brugere. Undgår at skulle tildele sig selv rettigheder for de tjenester, hvor NemLogin benyttes til rettighedsadministration samt evt. udpege en NemLog-in administrator. Undgår at skulle tildele sig selv rettigheder i de tjenester, som indrettes til at forstå en ny ejerskabsattribut (se senere). Fordele for tjenesterne: Supportbyrden ifm. medarbejdersignaturer kan lettes betydeligt. Undgår selv at skulle foretage opslag i registre for at fastslå, om en person kan repræsentere en virksomhed. Kan i vidt omfang genbruge eksisterende logik for håndtering af medarbejderlog-in, idet NemLog-in kan simulere et medarbejderlog-in med et borgerlog-in, så det bliver transparent for tjenesten. Der er dog få undtagelser, som beskrives nærmere nedenfor.

Side 4 af 10 Potentielle ulemper Ændringen har en række potentielle ulemper, som må accepteres samt håndteres ved en tydelig kommunikation: Brugerne skal logge ud og ind igen for at skifte virksomhedskontekst (fra et CVR til et andet) i tjenester eller for at skifte mellem borger- og virksomhedskontekst. Dette er dog også tilfældet i dag, hvis man har flere MOCES certifikater for forskellige virksomheder. Man vil potentielt kunne skræddersy en bedre brugeroplevelse, hvis man kan vælge kontekst i tjenesterne frem for i infrastrukturen. Det kan i nogen sammenhænge potentielt blive uklart for brugerne, hvad de skal vælge, inden de tilgår tjenesten (fx NemRefusion). Grundet NemLog-in s SSO funktionalitet vil brugerens valg truffet for den første tjeneste også gælde for efterfølgende tjenester, som tilgås i samme session (dvs. indtil logout eller timeout). Logger brugeren således først på borger.dk med borgerkontekst og herefter navigerer til skat.dk, vil NemLog-in automatisk foretage single sign-on til skat.dk med borgerkontekst uden at brugeren får vist en dialog, hvor vedkommende kan vælge at agere som virksomhed.

Side 5 af 10 Ændringerne i et teknisk perspektiv Ændringer i forbindelse tokenudstedelse I dette afsnit beskrives, hvordan NemLog-in s regler for tokenudstedelse tænkes udvidet. SAML Assertion udstedes på baggrund af brugerens valg i den nye dialog sammenholdt med tjenestens metadata. Som grundprincip er tokenet enten borgerorienteret (OIOSAML POCES profil) eller erhvervsorienteret (OIOSAML MOCES profil), og der er i udgangspunktet ingen sammenblanding af de to profiler 1. Hvis brugeren i dialogen vælger log-in til et CVR nummer på baggrund af log-in med personligt NemID, anvendes flg. regler til simulering af medarbejderlog-in: 1. dk:gov:saml:attribute:cvrnumberidentifier (udfyldes med CVR for den valgte virksomhed) 2. dk:gov:saml:attribute:authorizedtorepresent (attributten angiver, at personen kan tegne CVR nummeret alene eller er fuldt ansvarlig deltager og udfyldes med CVR, hvis tjenesten efterspørger denne, nye attribut) 3. dk:gov:saml:attribute:ridnumberidentifier (udfyldes med PID nummer fra personcertifikatet) 4. dk:gov:saml:attribute:cprnumberidentifier (udfyldes med brugerens CPR nummer, der er afledt ud fra personcertifikatet, hvis tjenesten efterspørger attributten i sine metadata) 5. Certificate Serial Number attributten udfyldes med værdien fra POCES certifikatet. 6. Cetificate Issuer attributten udfyldes med værdien fra POCES certifikatet. 7. Organisation Name udfyldes med navnet på virksomheden returneret fra web servicen. 8. User Certificate udfyldes med POCES certifikatet, hvis attributten efterspørges i metadata. 9. Uid attributten indeholder normalt Subject Serial number fra certifikatet, og simuleres ved at indsætte det dannede RID-nummer på rette plads i strengen. 10. Alle (erhvervs)privilegier, der er registreret på tjenesten, medsendes med scope udfyldt som CVR nummeret (automatisk tildeling til ejeren). 11. Erhvervsfuldmagter udstedt til CVR nummeret medsendes som om de var tildelt brugeren i NemLog-in/Brugeradministration. 1 Dog kan en erhvervsrettet tjeneste i sine metadata angive et ønske om at modtage CPR nummer attributten, og i givet fald medsendes denne også i erhvervssammenhæng.

Der implementeres ingen påvirkning af NemLog-in s AttributeQuery eller STS services ændringen gælder alene for Web SSO. Side 6 af 10

Samspil mellem tjeneste og NemLog-in Herunder gives en række overvejelser om håndtering af log-in i tjenester, hvor den nye type log-in benyttes. Som det fremgår af ovenstående, vil en tjeneste, som i dag modtager det eksisterende medarbejderlog-in, stort set ikke kunne se forskel i SAML Assertion på den nye type log-in, bortset fra: UserCertificate attributten vil indeholde et POCES certifikat og ikke et MOCES certifikat. Dette har alene betydning for de tjenester, som i dag selv parser certifikatet selv i stedet for at bruge attributter fra SAML Assertion, hvilket vurderes at være et fåtal af tjenester. Hvis certifikatet blot logges, vurderes det ikke at få konsekvenser. CertificateIssuer attributten kan pege på et andet CA hos Nets. Formentlig anvender de færreste denne værdi aktivt, og derfor vurderes påvirkningen som minimal. Brugerens RID nummer vil være nyt dvs. tjenesten vil se brugeren som en ny bruger fra pågældende CVR nummer ved første log-in. Side 7 af 10 Afhængigt af hvordan tjeneste i dag foretager adgangsstyring på baggrund af informationen i SAML Assertion udstedt af NemLog-in, kan der være behov for tilpasninger. De forskellige scenarier er forsøgt skitseret nedenfor: a) Tjenester der primært baserer sig på CVR og RID nummer attributterne forventes uden videre at kunne tilgås på den nye måde dog vil brugeren blive opfattet som en ny bruger ved første log-in med personligt NemID. b) I tjenester, som anvender NemLog-in brugeradministration til administration af rettigheder, vil brugeren få fuld adgang med alle rettigheder - uden at der skal først foretages en administrativ tildeling af rettigheder til brugeren i NemLog-in/Brugeradministration. Der forventes således ikke behov for ændringer i disse tjenester. c) Hvis tjenesten har registreret rettigheder på et specifikt RID nummer (via egen brugeradministration), vil brugeren ikke automatisk få disse rettigheder. Dette forventes at være tilfældet for eksempelvis Digital Post, hvor der lokalt kan være oprettet postadministratorer eller adgange til postmapper, der er koblet til specifikke CVR+RID numre. Her vil tjenesten skulle udvides til at kigge efter den nye attribut (AuthorizedToRepresent) i SAML tokenet og i fald denne er til stede, give brugeren fuld adgang (fx til alle postmapper). d) I visse tjenester forventes det at kunne give en administrativ forenkling eller større sikkerhed, hvis der vished for, at den pågældende bruger er tegningsberettiget og dermed fuldt ud kan disponere på virksomhedens vegne. Eksempelvis kunne man spare arbejdsgange, hvor medarbejderens prokura til agere i tjenesten skal valideres. I disse tilfælde kan man implementere understøttelse for AuthorizedToRepresent attributten og dermed få en forenkling.

Håndtering af signering Side 8 af 10 En række indberetningsforløb (fx i NemRefusion) afsluttes med en signering ved brug af NemLog-in s signeringstjeneste. Her vil der være brug for, at brugeren kan afslutte indberetningen ved at signere med samme personlige NemID, som blev anvendt i forbindelse med log-in. I den forbindelse er de to problematikker, en tjenesteudbyder skal forholde sig til: a) Kontekst for signering b) Tjek af certifikat Disse beskrives nedenfor. Kontekst for signering Ved traditionel signering med et medarbejdercertifikat, fremgår virksomhedskonteksten ud fra CVR nummeret i certifikatet. Den producerede signatur vil dermed i sig selv udpege en entydig kontekst for signeringen uanset hvordan den underskrevne aftaletekst er udformet. Hvis brugeren i stedet underskriver med personligt NemID, vil dette ikke være tilfældet. Her identificerer certifikatet en fysisk person uden tilknytning til et CVR nummer. Hvis aftaleteksten ikke beskriver konteksten for signeringen, kan det blive vanskeligt senere at godtgøre, om personen underskrev personligt eller som tegningsberettiget eller fuldt ansvarlig deltager for et eller flere af de CVR-numre, personen kan repræsentere. For at imødegå denne potentielle uklarhed, bør tjenesteudbyderne sikre sig, at virksomhedskonteksten fremgår af aftaleteksten, som brugeren signerer. Rent praktisk kan tjenesteudbyderen udtrække CVR nummer og navn på virksomhed fra den SAML billet, der blev modtaget fra NemLog-in under autentifikationsprocessen, og tilføje disse oplysninger til aftaleteksten som tjenesteudbyderen senere i processen danner og sender til NemLog-in Signering (fx Denne aftale underskrives for virksomheden Larsen Byg ApS med CVR nummer 10203040 ). Tjek af certifikat NemLog-in Signering har ingen rettigheder knyttet til signeringsprocessen, men returnerer blot et valideringsresultat samt brugerens signatur (gensigneret af NemLog-in). Hvis tjenesten foretager en validering af, at den samme person har underskrevet indberetningen, som tidligere loggede på, kan der i særlige tilfælde være behov for ændringer af tjenesten. Hvis en sådan validering ikke foretages, forventes der ikke behov for at ændre tjenesten.

De forskellige scenarier for validering af anvendt certifikat til signering er skitseret nedenfor sammen med den forventede påvirkning af tjenesten: a) Tjenesten kan i kaldet af NemLog-in s signeringstjeneste medsende serienummeret på det certifikat, der blev anvendt til log-in, og bede NemLog-in sikre, at der signeres med dette certifikat. Dette er den anbefalede valideringsmetode, og i dette tilfælde giver den nye log-in metode ikke anledning til ændringer, idet log-in og underskrift sker med samme personcertifikat. b) Tjenesten kan selv udtrække brugercertifikatet i svaret fra signeringstjenesten og sammenligne serienummeret med de værdier, der blev angivet i SAML Assertion i forbindelse med log-in. Heller ikke denne metode ventes at give nogen udfordringer, idet udtrækning af certifikatserienummer er ens for POCES og MOCES certifikater (standard X.509). c) Tjenesten kan selv udtrække brugercertifikatet i svaret fra signeringstjenesten og forsøge at parse det som et medarbejdercertifikat for fx at sammenligne CVR og RID numre fra Subject feltet med attributter i den modtagne SAML Assertion. I disse tilfælde kan der være behov for en udvidelse af parsinglogikken, så tjenesten ikke fejler, fordi der nu fremgår et personcertifikat. Generelt anbefales at man ændrer logikken til i stedet for at anvende metode a) eller b) beskrevet ovenfor. Side 9 af 10

Side 10 af 10 Konsekvenser af fuldmagtsændringer En tjeneste vil kun modtage fuldmagtsprivilegier fra NemLog-in, såfremt den på forhånd har konfigureret dette. Det eneste nye er, at erhvervsfuldmagter kan oprettes ved brug af et personligt NemID, hvilket dog ikke direkte påvirker tjenesternes kontrakt med NemLog-in. Der er derfor ikke behov for tekniske ændringer i tjenesten i denne sammenhæng.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback