20. august 2012 JHH/MEH DataHub Forbrugeradgangsløsning NemID Quick Guide Dok 75936-12_v1, Sag 10/3365 1/6
Indhold 1. NemId/Digital Signatur... 3 2. Tjenesteudbyderaftaler... 3 2.1 Selve aftalen... 3 2.2 Adgang til DanIDs testsystem... 4 2.3 Overgang til produktion... 4 3. Implementering af NemID/Digital signatur... 5 4. Implementer token generering... 5 5. SSL... 5 6. CSS... 5 7. Implementering af Forbrugeradgangsløsning... 6 8. Checkliste... 6 Dok 75936-12_v1, Sag 10/3365 2/6
Formålet med dette dokument er at give et hurtigt overblik over de aktiviteter, der skal til for at opfylde de krav, der bliver stillet til elleverandørerne i forbindelse med implementering af Forbrugeradgangsløsningen. For yderligere information henvises til den detaljerede dokumentation, der findes DataHub-projektets hjemmeside www.energinet/datahub.dk. 1. NemId/Digital Signatur Inden man går i gang, skal man afklare, om man vil implementere både NemId og Digital Signatur som adgang til DataHub via Forbrugeradgangsløsningen. Implementering af NemID som adgangskontrol er et krav, men det anbefales, at man samtidigt implementerer Digital Signatur. Såfremt man ikke implementerer adgang med Digital Signatur, vil man afskære en stor del af erhvervskunderne fra at anvende Forbrugeradgangsløsningen, idet de fleste af erhvervskunderne stadig anvender denne form for adgangskontrol. Dertil kommer, at man vil afskære et mindre antal privatkunder, som også fortsat anvender Digital Signatur. Slutteligt vil en gruppe kunder, der har valgt at have den adgangsløsning som DanID kalder NemID med lokal nøgleopbevaring blive afskåret fra at kunne anvende løsningen. Den ekstra indsats, der skal til for både at implementere NemId og Digital Signatur, er minimal i forhold til kun at skulle implementere NemId alene. 2. Tjenesteudbyderaftaler Hvis man allerede har en tjenesteudbyderaftale med DanId kan man springe dette kapitel over og gå direkte til afsnittet om implementering af NemId/Digital signatur. 2.1 Selve aftalen Først og fremmest skal der indgås en såkaldt Tjenesteudbyderaftale med Nets DanID. Dette gøres via formularen på deres hjemmeside https://www.nets-danid.dk/produkter/for_tjenesteudbydere/nemid_tjenesteudbyder/bestil_nemid_tjenesteudbyder/ I den forbindelse skal man vælge hvilken licensmodel man vil have. Man betaler enten for hver enkeltbruger eller pr. session. Enkeltbruger modellen anbefales kun, hvis man har et system med få brugere, der hver har mange sessioner. Når man indgår tjenesteudbyderaftalen, skal der vælges et prettyname, som er det, der vil blive vist i NemId appletten. Det er vigtigt, at prettyname vælges med omhu, da det ikke kan ændres senere. Hvis man skal have adgang til PID/cpr tjenesten kan det bestilles her: https://www.nets-danid.dk/produkter/for_tjenesteudbydere/pid_cprtjeneste/bestil_pid_cpr-tjeneste/ Dok 75936-12_v1, Sag 10/3365 3/6
2.2 Adgang til DanIDs testsystem Når tjenesteudbyderaftalen er på plads, skal der bestilles adgang til DanIds testsystemer. Dette gøres via formularen: Vær opmærksom på, at CPR-nummer opslag kun tillades for offentlige virksomheder. https://www.netsdanid.dk/produkter/for_tjenesteudbydere/nemid_tjenesteudbyder/nemid_tjenesteudbyder_support/skriv_til_nemid_tjenes teudbyder_support/adgang_til_testsystem/. I forbindelse med bestillingen af adgangen til testsystemet er der 2 ting, som man skal være opmærksom på: 1. Man skal huske at bestille en test virksomhedssignatur (VOCES), hvis man ikke har en sådan i forvejen. Denne skal anvendes til signering af applet parametrene og eventuelt til at lave opslag i DanIDs PID tjeneste, hvis det er nødvendigt. 2. Man skal opgive den eksterne ip-adresse på testserveren. Årsagen til dette er, at DanID gerne vil begrænse adgangen til testsystemet. 2.3 Overgang til produktion Når man skal overgå til produktion, skal der først og fremmest bestilles et produktions VOCES. I den forbindelse er det vigtigt at referere til Tjenesteudbyderaftalen, da certifikatet ellers koster en ikke-negligerbar sum. Når produktions VOCES er på plads, skal man bestille adgang til produktion på DanIDs hjemmeside via formularen: https://www.netsdanid.dk/produkter/for_tjenesteudbydere/nemid_tjenesteudbyder/nemid_tjenesteudbyder_support/skriv_til_nemid_tjenes teudbyder_support/adgang_til_produktionssystem/ I den forbindelse skal man bruge UID fra produktionscertifikatet. UID kan man få ved at installere certifikatet lokalt på en Windows maskine, hvorefter man kan gå ind og kikke på dets egenskaber i MMC: - Skriv mmc i Startmenuen - Når mmc er startet op, vælg da filer->tilføj/fjern snapin - Vælg snapin certifikater - Vælg min brugerkonto - Luk vinduet til tilføjelse af snapin - Kig i certifikater->personlige. Her vil certifikatet ligge som default - Vælg egenskaber for certifikatet - Oplysningen om UID en ligger i emne/subject Dok 75936-12_v1, Sag 10/3365 4/6
3. Implementering af NemID/Digital signatur Der findes to muligheder for implementering af Log-in med NemID: 1. Man kan hente Tjenesteudbyderpakken/TU pakken hos DanId. TUpakken indeholder alt, hvad man skal bruge for at implementere NemId Log-in, og den understøtter både java og C#.inet. Pakken er gratis. Det kræver en vis indsigt og en del tid at implementere NemId ud fra TUpakken. 2. Man kan vælge at få en leverandør til at implementere løsningen. Der findes 2-3 forskellige aktører på det danske marked, der tilbyder implementering af NemId Log-in. Resultatet af NemId er, at man står med brugerens certifikat i hånden. Det, der i certifikatet identificerer brugeren entydigt, er det såkaldte subject serial number. Det er det, der skal sendes med i token som identifikation af brugeren. For privatbrugere indeholder det strengen PID:XXXXX, hvor XXXXX er et 8 eller 13 cifret tal. For medarbejdercertifikater og NemId til erhverv indeholder det strengen CVR:YYYYY,RID:ZZZZZ hvor YYYYY er virksomhedens CVR-nummer og ZZZZZ er et såkaldt rolleid, som entydigt identificerer medarbejderen. 4. Implementer token generering Når brugerens subject serial number - også kaldet SSN er tilgængelig, er man klar til at implementere genereringen af de sikkerhedstokens, der skal overføre brugerens identitet til DataHub en. Sikkerhedstokenet består af en SAML 2.0 assertion, hvor issuer er den elleverandør, der har autentificeret brugeren ved hjælp af hans NemId. Subject er brugerens SSN. Endeligt er det muligt at medsende et prettyname som attribut. Sikkerhedstokenet skal underskrives med elleverandørens virksomhedscertifikat, det såkaldte VOCES. Med denne underskrift attesterer elleverandøren, at man har autentificeret brugeren med NemId, og at han derfor har lov til at se sine forbrugsdata. Underskriftsmetoden skal være RSA med SHA256. Det skal i den forbindelse understreges, at det er et krav, at elleverandøren autentificerer brugeren med NemId hver eneste gang, han skal have vist data fra DataHub en. Det er med andre ord ikke tilladt at anvende et cached SSN til at genere tokens med. 5. SSL Det anbefales, at man som elleverandør anvender HTTPS med servercertifikat på Log-in siderne og på de sider, som indeholder Forbrugeradgangsløsningen/ iframen. 6. CSS Elleverandørerne har i nogen grad mulighed for at påvirke, hvordan indholdet af Forbrugeradgangsløsningen/ iframen kommer til at se ud. Dok 75936-12_v1, Sag 10/3365 5/6
Dette gøres ved at sammensætte et CSS stylesheet efter de design retningslinier, som er blevet besluttet. Læs mere om design retningslinierne på hjemmesiden www.energinet.dk/datahub. 7. Implementering af Forbrugeradgangsløsningen/ iframen Når man har NemId Log-in, token generering, SSL servercertifikat og CSS stylesheet på plads, er man parat til at implementere siden med iframe applikationen. Læs mere om retningslinier for størrelse og parametre på www.energinet.dk/datahub. 8. Checkliste Check Opgave Ansvarlig Vælg NemID eller NedID/Digital Signatur løsning Tjenesteudbyderaftale JA/NEJ - Hvis NEJ, indgå Tjenesteudbyderaftale og vælg licensmodel, prettyname og bestil eventuelt PID/CPR tjeneste Test Virksomhedssignatur JA/NEJ - Hvis nej bestil Test Virksomhedssignatur/VOCES Bestil adgang til DanId testsystem Bestil Produktions Virksomhedssignatur/produktions VOCES Bestil adgang til DanId produktionsadgang Vælg implementeringsform af NemID/Digital Signatur Implementering af Generering af signerede SAML 2.0 assertioner med RSA/SHA2456 Implementer SSL servercertifikat til den webserver, der skal præsentere login siderne og Forbrugeradgangssiden/ iframen Anvend CSS stylesheet til formatering af Forbrugeradgangsløsningen/ iframen i forhold til individuelle ønsker Implementer siden med Forbrugeradgangsløsningen/ iframen Dok 75936-12_v1, Sag 10/3365 6/6