Lokal IdP

Find ud af, hvad en Lokal IdP er, hvilke muligheder en Lokal IdP kan give jer, og hvordan I kan forberede og implementere en Lokal IdP.

Hvad er en lokal IdP?

Med en lokal IdP, som står for Local Identity Provider på engelsk, får jeres organisation mulighed for at udstede identifikationsmidler til jeres brugere. Identifikationsmidlerne kan jeres brugere anvende uanset om de logger ind på jeres egne it-systemer eller offentlige selvbetjeninger.

Brugerne anvender identifikationsmidlet til at bekræfte deres identitet , når de skal logge ind på jeres egne it-systemer og offentlige selvbetjeninger. Typisk kombinerer organisationerne et brugernavn og kodeord med ekstra faktorer på særlige hardwareenheder. Det kan fx være apps på mobile enheder.

Fordele ved en lokal IdP

Jeres brugere kan bruge de samme identifikationsmidler i såvel jeres organisation som i offentlige og private selvbetjeninger – fx samme brugernavn, password, app og fysisk enhed.
Lokale identifikationsmidler kan fx integreres med fysiske adgangskort til jeres organisation, således at jeres brugere oplever en enklere og mere sammenhængende adgang i deres dagligdag.
Jeres organisationen kan opnå en enklere administration af brugere ved, at brugerne kun administreres lokalt, samt at opdateringer synkroniseres med MitID Erhverv via IdM API.
I kan vælge at kombinere jeres lokal IdP med lokal IdM (lokal identitetshåndtering) og på den måde få mulighed for at administrere MitID Erhverv brugere samt rettigheder lokalt i jeres eget administrationssystem.
Når der kommer opdateringer og ny funktionalitet i MitID Erhverv, vil de synkroniseres via IdM API’et, hvorfor I med en lokal IdP ikke vil skulle administrere løbende opdateringer

Denne side giver jer et overblik over

Dét skal I gøre, før I går i gang med at etablere lokal IdP
Sådan etablerer I lokal IdP
Full-service IdP: Stil jeres lokal IdP til rådighed for andre organisationer eller brug andres lokal IdP
At skrive under på vegne af organisationen, når brugeren er oprettet i en lokal IdP
Ofte stillede spørgsmål om lokal IdP

Det skal I gøre, før I går i gang med at etablere lokal IdP

Overvej, om jeres organisation er moden nok

Det kræver teknisk modenhed og kapacitet at etablere og vedligeholde en lokal IdP, der stiller høje sikkerhedskrav. I skal derfor være opmærksomme på følgende 4 punkter:

For at tilslutte en lokal IdP skal I implementere NSIS-standarden (National Standard for Identiteters Sikkerhedsniveauer) på det relevante sikkerhedsniveau (betydelig eller høj) og godkendes af NSIS Tilsynet i Digitaliseringsstyrelsen.
I skal investere tid, kompetencer samt ressourcer for at blive NSIS-anmeldt og gennemføre efterfølgende revision hvert år.
I skal selv vedligeholde egne identifikationsmidler.
Det er oftest mere ressourcekrævende og finansielt tungt at have en lokal IdP og udstede egne identifikationsmidler end at bruge MitID identifikationsmidler i organisationen.

Afklar jeres forretningsmæssige ønsker og behov

Før I begynder at etablere en lokal IdP, kan I med fordel overveje jeres forretningsmæssige behov og ønsker, herunder:

NSIS-sikringsniveauet for de tjenester, jeres brugere skal kunne tilgå (betydelig eller høj)
krav til oppetid, svartid og andre servicemål
hvordan lokale erhvervsidentiteter oprettes: Ønsker I en integration mellem et eventuelt lokalt IdM system og MitID Erhverv? Eller vil I administrere brugere direkte i MitID Erhverv?

Når I har dannet jer et overblik, kan I med fordel etablere et projekt og skabe opbakning hertil internt i egen organisation.

Sikr implementering af NSIS-standarden

Hvis I ønsker at etablere en lokal IdP, er det en forudsætning, at jeres lokal IdP lever op til kravene i NSIS (National Standard for Identiteters Sikkerhedsniveauer).

Jeres lokal IdP skal være NSIS-godkendt og fremgå af NSIS-positivlisten senest ved tilslutning af lokal IdP i produktion.

Implementering af NSIS-standarden involverer en række forskellige discipliner – både tekniske, organisatoriske og sikkerhedsmæssige. Det er derfor vigtigt ikke at betragte opgaven som et rent teknisk implementeringsprojekt:

Identificér ønsket proces for identitetssikring:
- Skal jeres brugere fx første gang logge på med privat MitID?
- Sker identitetssikringen i den lokale indrulleringsapplikation eller centralt i NemLog-in?
- Skal brugerne i stedet møde fysisk op og præsentere pas/kørekort?
Afklar, hvilken type identifikationsmidler I vil udstede lokalt, og hvordan de udleveres og håndteres. Typisk kombineres et brugernavn og kodeord med ekstra faktorer på særlige hardwareenheder fra fx apps på mobile enheder.
Afklar, hvordan autentifikationsservicen etableres teknisk (IdP), og hvordan den kan understøtte de valgte sikringsniveauer. Den lokale IdP skal udstille en SAML-snitflade, som opfylder kravene i ”OIOSAML Local IdP Profile”.
Afklar krav til driftsfaciliteter og teknisk sikkerhed: Er jeres nuværende driftsfaciliteter modne nok, eller skal der ske forbedringstiltag?
Afdæk behov for uddannelse af jeres brugeradministrator, der skal arbejde med fx identitetssikring.
Etabler ledelsessystem for informationssikkerhed (ISMS) eller tilpas eksisterende, så det dækker processer for identitetshåndtering.
Afklar håndtering af underleverandører af fx software eller drift, som leverer dele af den lokale implementering.
Beskriv processer, sikkerhedsdesign og tekniske systemer, og få design.
Planlæg, hvordan systemer og processer kan auditeres af ekstern revisor: Det er fx vigtigt, at der sikres et tilstrækkeligt revisionsspor, så revisor kan konstatere, at processer, personer og systemer udfører de kontroller, som er tiltænkt.

Digitaliseringsstyrelsens hjemmeside: National Standard for Identiteters Sikringsniveauer (NSIS)

Digitaliseringsstyrelsens hjemmeside: OIOSAML profiler

Find ud af, om brugere i jeres organisation har brug for at underskrive på vegne af organisationen

Jeres brugere, der er oprettet i jeres lokal IdP, kan logge ind på selvbetjeninger med jeres egne identifikationsmidler, som de gør på jeres egne systemer. Men de kan ikke underskrive på vegne af jeres organisation.

Hvis jeres brugere skal underskrive på vegne af organisationen, kan I læse nærmere her:

Underskriv på vegne af organisationen, når brugeren er oprettet i en lokal IdP (anchor mangler)

Sådan etablerer I en lokal IdP

Når I har gjort alt ovenfor, er I klar til at etablere en lokal IdP. I kan læse nærmere om:

hvad I skal gøre
hvornår det skal gøres.

Vejledningen er delt op i 6 trin:

Implementér nødvendige systemer og processer internt i jeres organisation.
Foretag testtilslutning mod NemLog-in og afprøv jeres lokal IdP.
Indhent revisions- og ledelseserklæringer til brug for NSIS-anmeldelse.
Indsend anmeldelsespakke til NSIS Tilsynet i Digitaliseringsstyrelsen.
Kontakt MitID Erhverv, når I er blevet NSIS-godkendt.
Tilslut lokal IdP i MitID Erhverv.

1. Implementér nødvendige systemer og processer internt i jeres organisation

Etablér miljøer til lokal IdP og tilhørende brugerkatalog, og etablér de nødvendige komponenter og services.
Anskaf nødvendige certifikater til den lokale IdP.
Foretag lokal test herunder både funktionel test og sikkerhedstest.
Gennemfør test af organisatoriske processer.

2. Foretag testtilslutning mod NemLog-in og afprøv jeres lokal IdP

I har mulighed for at sætte en testorganisation op. Det kan I gøre i MitID Erhvervs integrationstestmiljø, hvor I fx kan afprøve:

IdM
certifikat API’er
jeres lokal IdP-integration.

MitID Erhverv integrationstestmiljø: Test MitID Erhverv funktioner

3. Indhent revisions- og ledelseserklæringer til brug for NSIS-anmeldelse

Det er en forudsætning, at I indhenter de nødvendige revisionserklæringer og ledelseserklæringer til brug for NSIS-anmeldelsen.

Vi anbefaler, at I har en tidlig dialog med revisor. Der må påregnes et vist arbejde i at indhente de nødvendige revisionserklæringer samt sikre, at den relevante dokumentation for systemer og processer er fyldestgørende samt tilgængelige for revisor.

Digitaliseringsstyrelsens hjemmeside: National Standard for Identiteters Sikringsniveauer (NSIS)

4. Indsend anmeldelsespakke til NSIS Tilsynet

Når I har indhentet og udarbejdet relevant dokumentation, skal I sende en samlet anmeldelsespakke (inklusiv revisionserklæringer) til NSIS Tilsynet i Digitaliseringsstyrelsen:

NSIS Tilsynet i Digitaliseringsstyrelsen: E-mail

Herefter skal I afvente godkendelse fra NSIS Tilsynet. Det kan ske, at I modtager supplerende spørgsmål fra NSIS Tilsynet, før I kan få en godkendelse.

Læs mere om, hvad pakken skal indeholde, og læs ofte stillede spørgsmål om NSIS:

Digitaliseringsstyrelsens hjemmeside: Ofte stillede spørgsmål om NSIS

NSIS Tilsynet håndterer NSIS-anmeldelserne så hurtigt som muligt, og som udgangspunkt inden for 30 dage. Hvor lang tid anmeldelsen tager afhænger af:

anmeldelsens kompleksitet
fuldstændighed og kvalitet
antallet af igangværende behandlinger af NSIS-anmeldelser
ressourcer i NSIS Tilsynet.

5. Kontakt MitID Erhverv, når I er blevet NSIS-godkendt

Når jeres lokal IdP fremgår af NSIS-positivlisten på Digitaliseringsstyrelsens hjemmeside, skal jeres organisation kontakte MitID Erhverv per e-mail. E-mailen skal indeholde følgende oplysninger:

Organisationens navn.
CVR-nummer.
EntityID for lokal IdP.
Om jeres organisation bruger egen lokal IdP eller en ekstern full-service lokal IdP.
Åbner brugernes mulighed for at skrive under på vegne af organisationen. Dette forudsætter, at organisationen lever op til kravene. Læs mere om kravene under afsnittet ”At skrive under på vegne af organisationen, når brugeren er oprettet i en Lokal IdP”.
Navn, telefon og e-mailadresse på kontaktperson.

MitID Erhverv åbner op for, at I kan opsætte jeres lokal IdP i produktion i MitID Erhverv.

MitID Erhverv: E-mail

Når I har fået bekræftelse per e-mail, er I klar til at opsætte jeres lokal IdP.

Orienter jer i NSIS-positivlisten:

Digitaliseringsstyrelsens hjemmeside: National Standard for Identiteters Sikringsniveauer (NSIS)

6. Tilslut lokal IdP i MitID Erhverv

Nu skal jeres organisation opsætte jeres lokal IdP i MitID Erhvervs produktionsmiljø. Det gør en organisationsadministrator i jeres organisation.

Læs vejledningen til, hvordan jeres organisationsadministrator opsætter jeres lokal IdP:

Administrér lokal IdP

Figuren nedenfor viser processen for, hvordan jeres organisation etablerer en lokal IdP:

At underskrive på vegne af organisationen, når brugeren er oprettet i en lokal IdP

Hvis brugere i jeres organisation er oprettet i jeres lokal IdP, kan de logge ind på selvbetjeninger med jeres egne identifikationsmidler, som de gør på jeres eget system. Brugerne har dog ikke mulighed for at underskrive på vegne af organisationen. Det skyldes, at det kun er muligt at signere på vegne af organisationen, hvis brugeren er registreret i overensstemmelse med eIDAS-forordningen:

Europa-Kommissionens hjemmeside: eIDAS-forordningen

Hvis jeres brugere har behov for at signere på vegne af jeres organisation, kan I aktivere denne mulighed på en af 3 måder. I kan:

få jeres brugere til at bekræfte deres identitet i MitID Erhverv med privat MitID
indsende en supplerende revisionserklæring
indsende en overensstemmelsesvurderingsrapport.

Få jeres brugere til at bekræfte deres identitet i MitID Erhverv med privat MitID

Brugere, som er oprettet i jeres lokal IdP, kan bekræfte deres identitet med deres private MitID, som de fx bruger til at logge ind på egen netbank med. Så kan de skrive under på vegne af jeres organisation med jeres lokale identifikationsmiddel.

For at bekræfte sin identitet med privat MitID skal brugeradministrator eller brugeren selv generere en e-mail med et link til at bekræfte identiteten med privat MitID.

Hvis brugeradministrator skal generere e-mailen, skal brugeradministrator:

logge ind på MitID Erhverv
finde den bruger, der skal bekræfte sin identitet, under menuen ”Brugere”
generere en e-mail under ”Underskrift”.

Så modtager brugeren en e-mail med et link. Det følger brugeren for at bekræfte sin identitet med sit private MitID.

MitID Erhverv: Login

Hvis brugeren selv skal generere en e-mail til at bekræfte sin identitet med privat MitID, skal brugeren:

logge ind på MitID Erhverv
generere en e-mail under ”Stamdata”.

Så modtager brugeren en e-mail, hvor brugeren skal bekræfte sin identitet med sit private MitID.

Indsend supplerende revisionserklæring

Brugere i jeres organisation får mulighed for at skrive under på vegne af organisationen med jeres lokale identifikationsmiddel, hvis I indsender en supplerende revisionserklæring om anvendte registreringsprocesser relateret til jeres lokal IdP.

I skal blot sende den supplerende revisionserklæring til MitID Erhverv, ikke til NSIS Tilsynet.

I kan finde nærmere krav til revisionserklæringen i afsnit 5.4.3.1: ”Afgivelse af en revisionserklæring” i Bilag 7: ”MitID Erhverv Vilkår for anvendelse af Lokal IdP”:

Bilag 7 MitID Erhverv Vilkår for anvendelse af Lokal IdP (pdf)

MitID Erhverv: Login

Efter I har indsendt den supplerende revisionserklæring, modtager I en e-mail fra MitID Erhverv om, at jeres brugere nu kan skrive under på vegne af organisationen med jeres lokale identifikationsmiddel.

Indsend overensstemmelsesvurderingsrapport

Brugere i jeres organisation får muligheden for at skrive under på vegne af organisationen med jeres lokale identifikationsmiddel, hvis I indsender en overensstemmelsesvurderingsrapport, som bekræfter, at de lokale registreringsprocesser overholder kravene fastsat i artikel 24.1 i eIDAS forordningen. Overensstemmelsesvurderingsrapporten skal fremsendes til eIDAS Tilsynsorganet i Digitaliseringsstyrelsen med en kopi til MitID Erhverv.

I kan finde nærmere krav til overensstemmelsesvurderingsrapporten i afsnit 5.4.3.2: ”Afgivelse af overensstemmelsesvurderingsrapport” i Bilag 7: ”MitID Erhverv Vilkår for anvendelse af Lokal IdP”:

Bilag 7, MitID Erhverv Vilkår for anvendelse af Lokal IdP (pdf)

MitID Erhverv: Login

eIDAS Tilsynsorganet: E-mail

Efter I har sendt jeres overensstemmelsesvurderingsrapport, modtager I en e-mail fra MitID Erhverv om, at brugere, som er oprettet i jeres lokal IdP, nu kan skrive under på vegne af organisationen med jeres lokale identifikationsmiddel.

Full-service IdP: Stil jeres lokal IdP til rådighed for andre organisationer eller brug andres lokal IdP

Hvis jeres organisation har etableret en lokal IdP i MitID Erhverv, har I mulighed for at stille jeres lokal IdP til rådighed for andre organisationer. Så bliver I en full-service IdP.

Jeres organisation kan også vælge at bruge en anden organisations lokal IdP i stedet for at etablere jeres egen.

Fordele ved at anvende en full-service lokal IdP

En organisation, som har etableret en lokal IdP, kan give andre organisationer mulighed for at gøre brug af denne. Fordelen ved dette er, at de andre organisationer, som vælger at bruge den etablerede lokal IdP, ikke selv skal foretage en NSIS-anmeldelse.

Organisationer, som stiller en full-service lokal IdP til rådighed, varetager alle tekniske og processuelle forhold reguleret i NSIS, herunder registrering og identitetssikring af lokale brugere og udstedelse af lokale identifikationsmidler.

En full-service lokal IdP er underlagt revision, som er krævet efter NSIS-standarden. Derfor er det organisationen, som er etableret som full-service IdP, der fremgår af NSIS-positivlisten.

Læs mere om NSIS:

Digitaliseringsstyrelsens hjemmeside: National Standard for Identiteters Sikringsniveauer (NSIS)

Stil jeres egen lokal IdP til rådighed for andre

Hvis I stiller jeres egen full-service lokal IdP til rådighed, fastlægger I selv jeres aftaler med de organisationer, der vælger at bruge jeres lokal IdP.

Som udbyder af en full-service lokal IdP skal I underskrive en fælles ledelseserklæring med de organisationer, som ønsker at bruge jeres lokal IdP.

Det er den enkelte organisation, som anvender jeres full-service lokal IdP, der sender den fælles ledelseserklæring ind til MitID Erhverv. Derfor behøver I som udbyder af en full-service lokal IdP ikke at dokumentere aftaleforholdene over for MitID Erhverv.

Fælles ledelseserklæring (pdf)

MitID Erhverv: E-mail

Brug en full-service lokal IdP tilbudt af en anden organisation

Hvis I ønsker at anvende en full-service lokal IdP, som er tilbudt af en anden organisation, skal I lave en aftale med en udbyder af en full-service lokal IdP.

MitID Erhverv kan ikke oplyse, hvilke full-service lokal IdP’er, der er til rådighed. I kan orientere jer i NSIS-positivlisten samt opsøge markedet for mulige full-service lokal IdP’er i Danmark:

Digitaliseringsstyrelsen.dk: Tilsyn med National Standard for Identiteters Sikringsniveauer (NSIS)

Når I har indgået en aftale med en udbyder af en full-service lokal IdP, skal I sende følgende 2 dokumenter til MitID Erhverv:

Underskrevet ledelseserklæring.
Fælles ledelseserklæring, hvor både jer selv som anvendere og udbyderen af full-service lokal IdP’en har underskrevet aftaleforholdet.

Ledelseserklæring for Lokal IdP (pdf)

Fælles ledelseserklæring (pdf)

Når I har indgået aftale med en full-service lokal IdP og skal tilkobles i MitID Erhverv, skal I sende en e-mail til MitID Erhverv.

E-mailen skal indeholde følgende 7 informationer:

Emnefelt: Anvend full-service lokal IdP.
Jeres CVR-nummer.
Kontaktpersonens oplysninger:
- Navn
- E-mail
- Telefonnummer
Vedhæft:
- Underskrevet ledelseserklæring
- Fællesledelseserklæring

MitID Erhverv: E-mail

Spørgsmål og svar om lokal IdP

Find svar på spørgsmål om lokal IdP.

Hvor lang er behandlingstiden i forbindelse med NSIS-godkendelse?

Som udgangspunkt har NSIS Tilsynet 30 dages behandlingstid. NSIS Tilsynet tilstræber at håndtere behandlingen af indsendte NSIS-anmeldelse så hurtigt som muligt. Det er derfor ikke givet, at behandlingen vil tage 30 dage. Det vil afhænge af NSIS-anmeldelsens kompleksitet, fuldstændighed og kvalitet, antallet af igangværende behandlinger af NSIS-anmeldelser samt ressourcesituationen i NSIS Tilsynet i relation hertil.

Hvordan kan vores brugere få adgang eller ret til forskellige selvbetjeninger i MitID Erhverv, når vi bruger lokal IdP?

En rettighed i MitID Erhverv er en adgang eller ret til at udføre en bestemt opgave i en selvbetjening. Brugere tildeles rettigheder i MitID Erhverv på samme måde, uanset om de bruger MitID identifikationsmidler eller lokale identifikationsmidler fra en lokal IdP. Rettigheder kobles med andre ord på brugeren uafhængigt af identifikationsmidlet.

Rettigheder kan tildeles:

via integration til IdM API’et
i MitID Erhverv.

Hvis I vælger at tildele rettigheder i MitID Erhverv, skal rettighedsadministrator eller brugeradministrator i jeres organisation gøre det. Vejledningen findes her:

Tildel eller slet rettigheder

For lokal IdP'er er der desuden mulighed for at medsende information om grupper i det lokalt udstedte token, som kan ekspanderes til rettigheder i MitID Erhverv. Dette er nærmere beskrevet i afsnit 8 i den tekniske integrationsvejledning til lokal IdP:

NemLog-in.dk: Integrationsvejledning til Lokal IdP (pdf)

Hvad koster det at anvende IdM API’et som lokal IdP?

Brug af API’et er gratis, men der skal betales for antallet af brugere, som er mere end 3 brugere.