De fællesoffentlige komponenter: Federativa identitetslösningar, Erfarenheter från Danmark Digital post, NemSMS & Fjernprint samt strategien for udvikling af mobile løsninger for Digital post og Min side Stephanie Pause, fungerende projektleder for NemLog-in projektet, kontoret for Digitalpost og Betaling Digitaliseringsstyrelsen, Finansministeriet 15.februar 2012
Agenda 1. Føderative identitetsløsninger i DK og den danske fællesoffentlige digitale Infrastruktur 2. Status i DK: 3 føderationer: NemLog-in, Virk BRS, WAYF Ligheder og forskelle Transaktioner 3. Komparativt studie: Danmark, Sverige og Norge 4. Fokus i DK lige nu Nyt NemLog-in Fuldmagter 5. Lessons learned
1. Føderative identitetsløsninger i DK og den danske fællesoffentlige digitale Infrastruktur
1. Federativa løsninger i DK og den danske fællesoffentlige Digitale Infrastruktur Sikkerhed/IAM: NemID, Føderationer: NemLog-in, Virk BRS, WAYF Portal: Borger.dk, virk.dk og sundhed.dk Datagenbrug: OIO, Digitalisér.dk, åbne standarder, arkitekturkrav. Betaling: e-faktura, NemHandel, NemKonto og e-indkomst Kommunikation: Digital post, NemSMS og senere i 2011, fjernprint Projektering: Referencemodellerne FORM og STORM, Statens IT-projektråd, Ministeriernes IT-projektkontor, reviewkrav.
2. Status i DK: 3 føderationer: NemLog-in, Virk BRS, WAYF Ligheder og forskelle Transaktioner
NemLog-in Borgerrettet føderation med borgerrettet NemID og SSO Tilgængelig august 2008 Borger.dk modtog 1,5 mio. borger-log-in-anmodninger i januar 2012 3. januar 2012 var der over 100.000 unikke besøgende på NemLog-in D. 3. januar 2012 var der 200.000 log-ins med Single-Sign-on. (Den travleste dag i januar 2011 var der 50.000 log-ins med Single Sign-on) 1,1 mio. log-in anmodninger i september 2011. Det er 10x ift. samme md. 2010 år. Besøgsrekord var martsdag i 2011: + 1 mio. log-ins
NemLog-in Video 100% Mørk rød 100% Lys rød 100% Lys blå 100% Mørk grøn 100% Lilla 50% Lys grøn 50% Lys rød 50% Lys blå 50% Mørk grøn 50% Lilla
Virk BRS Virksomhedsrettet føderation, til virk-portalen Digital signatur for virksomheder, SSO og rettighedsstyring Nøgletal 2011-2012 Brugergrænseflader brugeradministrations komponent
2010-08 2010-12 2010-17 2010-21 2010-25 2010-29 2010-33 2010-37 2010-41 2010-46 2010-50 2011-02 2011-06 2011-10 2011-14 2011-18 2011-22 2011-26 2011-30 2011-34 2011-38 2011-42 2011-46 2011-50 2012-01 2012-05 Brugere 200000 Antal registrerede brugere 180000 160000 140000 120000 100000 80000 60000 40000 20000 0 Private brugere Virksomhedsbrugere Virk-administratorer Registrerede virksomheder 2 per. glid. med. (Private brugere) 2 per. glid. med. (Virksomhedsbrugere) 2 per. glid. med. (Virkadministratorer) 2 per. glid. med. (Registrerede virksomheder) Ugenummer
2010-07 2010-11 2010-15 2010-19 2010-23 2010-27 2010-31 2010-35 2010-39 2010-43 2010-47 2010-51 2011-03 2011-07 2011-11 2011-15 2011-19 2011-23 2011-27 2011-31 2011-35 2011-39 2011-43 2011-47 2011-51 2012-02 2012-06 Login 700000 Antal login per uge 600000 500000 400000 300000 200000 Private brugere Virksomhedsbrugere Virk-administratorer Virksomheder med login 100000 0 Ugenummer
2010-29 2010-32 2010-35 2010-38 2010-41 2010-44 2010-47 2010-50 2011-01 2011-04 2011-07 2011-10 2011-13 2011-16 2011-19 2011-22 2011-25 2011-28 2011-31 2011-34 2011-37 2011-40 2011-43 2011-46 2011-49 2011-52 2012-02 2012-05 Signeringer 60000 Antal signeringer 50000 40000 30000 20000 Private brugere Virksomhedsbrugere Virksomhedscertifikater 10000 0 Ugenummer
WAYF WAYF er et Single Sign-On-system, som skaber forbindelse mellem webtjenester og log-in-systemer på især uddannelsesinstitutioner. WAYF står for Where Are You From hvor kommer du fra? Det skal man svare på når man logger ind på en webtjeneste som bruger WAYF-log-in.
Sammenligning NemLog-in, Virk BRS, WAYF Element NemLog-in (den gamle) Virk BRS WAYF Målgruppe Borgere, fællesoffentligt Virksomheder, fællesoffentligt Undervisningssektoren, på vej til flere sektorer Autorisationsmekanisme Digital Signatur, NemID Medarbejdersignatur Brugerid + password Transaktioner/md Serviceudbydere Understøtter små virksomheder/instit utioner 2,4 mio. (jan 2012) + 100 (jan 2012) ¼ mio (1. kvt 2010) + 100 (1. kvt. 2010) NemID via NemLog-in Nej Ja Nej kræver, at virksomheden/institutio nen har et AD Sammenhængende login Nej Nej Ja men ikke bilateralt. En blanding af en central og decentral model. Understøtter store virksomheder/instit utioner Ja, men se næste element SSO/Single Logout Ja/Ja Ja/Ja?? Ja/Ja Samtykke til attributudveksling Ja, hvis eget AD (understøtter ikke alle standarder primært SAML2) Nej Nej Ja, per service
3. Komparativt studie: Danmark, Sverige og Norge
Borgerrettede føderationer i Sverige, Norge og Danmark Emne Sverige Norge Danmark OCES BankID BankID NemID Autentificering Autentificering Kontekst: offentlig/privat Lokalt lagret (3 forskellige typer). Udviklet af ni banker, som også står for udstedelsen af BankID. Installation af certificeret software, der understøtter alle tre typer BankID. Centralt lagret. Udviklet af banksektoren gennem BankID partnerskab i regi af Finanssektorens Fællesorganisation 2 faktor autentifikation (fødselsdato/password/ sikkerhedskort ) Én central myndighed (DanID) Brugernavn/pass-word/nøglekode Både/Og Både/Og Både/og, samme certifikat i banker og offentlige løsninger IDPorten NemLog-in SSO Nej, men samme brugergænseflade Ja, for offentlige løsninger Transakt./md 27,5 mio. (Jan 2012) 2,4 mio. (jan 2012) Log-in SAML-standard Ja, OIOSAML Certifikatinfrastruktur Føderationsnavn Brugerrettigheder Yderligere funktionaliteter Ja (fuldmagter) ultimo 2012 CSS, signering (medio 2012)
4. Fokus i DK lige nu: Nyt NemLog-in Fuldmagter
Hvad er det nye NemLog-in? kort fortalt! Det nye NemLog-in -løsningen udvikles af Digitaliseringsstyrelsen på vegne af staten, regioner og kommuner Kontrakt indgået i december 2010 og ibrugtagning forventes medio 2012 Det nye NemLog-in består af følgende komponenter: NemLog-in/SSO NemLog-in/Signering NemLog-in/Brugeradministration tager udgangspunkt i virk.dk/brs og tilføjer ca. 20% ekstra funktionalitet NemLog-in/Tilslutning automatisk tilslutningssystem
Løsningsoverblik
NemLog-in SSO komponenten Svarer funktionelt meget til nuværende NemLog-in, dog med flg. udvidelser: OIOSAML 2.0.7 Skal kunne indsætte rettigheder i assertion Inkluderer en Security Token Service til at understøtte identitetsbaserede web services Skal kunne håndtere bootstrap tokens Bagudkompatibel med Virk BRS: understøtter attribute queries på Virk s format De ikke-funktionelle krav er skærpede
Rettighedskomponenten Et brugeradministrationsmodul for alle tilsluttede løsninger Løsningerne skal stadig stå for adgangskontrol! Rollebaseret model kendt fra Virk s nuværende løsning Tildelte rettigheder ender i SAML Assertions udstedt af NemLog-in SSO komponenten Mulighed for delegering af rettigheder Mere avanceret model end i Virk BRS
Sammenhænge mellem komponenter
Ny Fællesoffentlig Brugerrettighedskomponent (FBRS)
Delegering til eksterne medarbejder
Basal fællesoffentlig fuldmagtsløsning Videreudviklingsaktivitet i forbindelse med NemLog-in forventes kravsat og idriftsat i 2012
Fuldmagt - Koncept
Borger delegerer rettighed til en repræsentant
5. Lessons learned
Lessons learned Fælles log-in via SAML: Det er en stor gevinst at frakoble log-in fra den enkelte myndighedsløsning NemID kunne opgraderes på alle myndighedsløsninger ved blot at videreudvikle NemLogin s log-in-side Referenceimplementeringer OIOSAML.NET og OIOSAML.JAVA gør det hurtigere og billigere for myndighederne Standardprodukter har stadig udfordringer med at understøtte OIOSAML Governance: Det er vigtig at have et governancemodel for føderationerne og for bruger-styring => det er svært at finde et fælles model og imødekomme alle behov Vilkår Der er behov for kontrol og sanktioner af it-leverandører, myndigheder og slutbrugerne => meget fokus på udarbejdelse af vilkår Koncept: Brugerstyring generelt, single-sign on/sign out er et meget svære koncepter for slutbrugerne Slutbrugerne skal uddannes i SSO ved at lukke deres browser Brugerstyring på virksomhedsområdet er svært, da medarbejderen og dens jobfunktion ikke er kendt => stor fokus på at inddrage virksomhedsbrugerne så tidlig som mulig i processen for at optimere brugergrænsefladerne og kommunikationen
MERE INFORMATION Navn: Stephanie Pause stepa@digst.dk Tlf. 22 24 61 42 Læs mere på www.digst.dk/digitale-loesninger/nemlogin/detnye-nemlogin