NSIS Lokal IdP med Signaturgruppen – sommerstatus 2022
Du modtager dette nyhedsbrev, fordi I har valgt Signaturgruppen som partner på implementering af NSIS Lokal IdP til det kommende MitID Erhverv.
I er sikkert godt i gang med at forberede NSIS Lokal IdP hos jer, men samtidig sker der en masse i området, som vi gerne vil opdatere jer på med dette nyhedsbrev.
Det er måske længe siden I valgte Signaturgruppens Lokal IdP-pakke. De første indgik aftaler i februar 2020, og nu ender vi med at komme ind i 2023, inden vi kommer i fuld drift. Hos Signaturgruppen har vi brugt ventetiden på at produktudvikle løsningen ud fra bl.a. jeres input, tilpasse systemet til den løbende udvikling i løsningsdomænet, samt forberede sikkerhedsdokumentation og revisionsmateriale.
"Vi ønsker at gøre overgangen fra NemID til Lokal IdP lige så produktivt for jeres medarbejdere
og lige så godt supporteret for jeres IT-helpdesk, som I kender det fra Signaturcentral."
Status på NSIS-revision
Alle har en krævende opgave med at revidere den samlede løsning imod NSIS. Signaturgruppen leverer skabeloner og oplæg til dækning af hovedparten af de tekniske krav, men den lokale IT-sikkerhedsorganisation, brugeradministration og drift skal planlægges og dokumenteres i jeres miljø. Vi sørger for at dele alle de erfaringer, vi får opsamlet, sådan at vi får gennemført en kosteffektiv best practice revision.
Vores pilotkommuner Viborg og Gladsaxe har gennemført revision i foråret 2022. For at dele aktuel viden, afholdt vi 10. maj et stort webinar, hvor Viborg, Gladsaxe og Horsens øste ud af deres erfaringer. Dette var der over 100 deltagere fra mere end 40 kommuner som nød godt af.
Efter et kundeønske etablerede vi mulighed for at anvende Lokal IdP til alle ansatte, sådan at nye medarbejdere anvender NemID eller MitID, når de accepterer IT-sikkerhedsvilkår og vælger første password, imens øvrige medarbejdere kan anvende selvbetjent password reset med NemID og MitID i løsningen, sådan at vi får etableret enekontrol af disse.
Ved siden af Lokal IdP projekterne har Signaturgruppen også etableret en MitID Broker løsning. Denne NSIS-anmelder vi sommer 2022 til Digitaliseringsstyrelsen med henblik på at understøtte MitID Erhverv for vores tjenesteudbydere efter sommerferien.
Produktivitet i fremtiden med rigtig løsningsarkitektur
Jeres Lokal IdP bliver indgangen til en stribe af nationale tjenester. Lige nu har vi mest fokus på NSIS-anmeldelsen til Digitaliseringsstyrelsen og opkoblingen til NemLog-in i starten af 2023, men både sundhed, skole og det kommunale område kommer til at hænge tættere sammen arkitektonisk i fremtiden. Dette sørger vi naturligvis for at forberede jeres Lokal IdP til at understøtte.
Nedenstående figur illustrerer dele af de nationale infrastrukturer og tjenester, som Lokal IdP løsningen skal hjælpe medarbejderne med at få adgang til. Disse gennemgås under illustrationen.
Figur: Nationale infrastrukturer og eksempler på tjenester i brugernes dagligdag
Generelle tjenester
De generelle tjenester er dem, vi kender fra NemID og NemID medarbejdersignatur i dag. Disse migreres til at anvende MitID og MitID Erhverv, hvor medarbejderne kan anvende jeres lokale to-faktor identifikationsmidler til adgang til de nationale tjenester med single sign-on og samme brugeroplevelse, som de har i hverdagen med jeres lokale IT-landskab.
Vi ser også STIL og uddannelsesområdet bevæges sig over imod den generelle infrastruktur i MitID-perioden, startende med STILs anvendelse af NemLog-in og MitID Erhverv og senere tilpasning af Aula og andre tjenester på skoleområdet.
Sundhedstjenester
Sundhedsdomænet har de seneste år udviklet mange nationale tjenester, som benytter sig af en særlig sundhedsinfrastruktur.
Til lokale sundhedsapplikationer såsom Omsorgsjournaler (EOJ) og elektroniske patientjournaler (EPJ) anvendes SOSI infrastrukturen samt jeres Lokal IdP til at få API adgang til nationale data i f.eks. Fælles Medicinkort (FMK).
Til browser-baserede sundhedsapplikationer anvendes Sundhedsvæsenets Elektroniske Brugerstyring (SEB), som administrerer autentifikation og rettigheder for disse.
Figur: Sundhedsområdets migrering fra NemID til MitID erhverv
Kommunale tjenester
Mange tjenester i det kommunale område benytter i dag adgang via Contexthandleren i den fælleskommunale rammearkitektur.
KOMBIT har annonceret en ny NSIS Contexthandler der vil understøtte de tjenester, som har behov for et NSIS Level Of Assurance (LOA).
Signaturgruppen har derfor forberedt, at jeres Lokal IdP løsning kan tilkobles den nye NSIS Contexthandler, og vi er flere steder i gang med den praktiske tilslutning.
Hos nogle kommuner hjælper vi også med synkronisering af organisationsdata til rammearkitekturen, og vores Lokal IdP er ligeledes forberedt for integration til IdM systemer og andre interne brugerdatakilder, som vores kunder anvender.
Hvorfor har Signaturgruppen ikke lavet en hosted Lokal IdP?
Mange har overvejet, om hovedparten af besværet og ansvaret for en Lokal IdP ikke kunne outsources til den hostede løsning.
Signaturgruppen besluttede i 2020 ikke at gå denne vej ud fra en række overvejelser, som vi stadig finder valide:
- Hvis man ville anvende en international cloud, ville der være en vis GDPR-projektrisiko illustreret ved Schrems dommene og Datatilsynets løbende vurderinger af området.
- Hvis man ville anvende en dansk cloud, havde vi stadig to bekymringer:
- Ens egen ADFS/IdP ville alligevel skulle NSIS-anmeldes, hvis man ønskede single sign-on for medarbejderne (sikringsniveauet er det laveste i en kæde af IdP’er).
- IdP’en bør være ansvarsmæssigt forankret så tæt på organisationen som muligt, Ved en eventuel kompromittering af en IdP kan organisationen risikere at være skyld i, at samtlige danske data i alle nationale systemer potentielt bliver kompromitteret.
Disse overvejelser førte til, at Signaturgruppen ligesom med Signaturcentral traf nogle konservative valg og valgte at udvikle og anbefale en Lokal IdP installeret i organisationens eget IT-miljø.
Vi fortsætter dialogen med vores kunder om den videre udvikling af løsningen.