MitID og NemLog-in3 - hvad venter der os?

NemID erstattes i 2021 af private identiteter leveret af MitID løsningen og erhvervsidentiteter leveret af NemLog-in3 løsningen. 
Her beskriver Signaturgruppen de nye tekniske infrastrukturer.

De kommende identiteter under MitID og NemLog-in3 ventes indfaset i markedet i 2021. Den nye infrastruktur adskiller sig fra NemID på flere måder, som gennemgås herunder.
 

1. Tre NSIS sikringsniveauer

MitID projektet leverer identiteter på tre NSIS sikringsniveauer: Lav, Betydelig og Høj.

NemID privats nuværende sikringsniveau svarer til NSIS sikringsniveau Betydelig.

Vi får altså to nye sikringsniveauer i markedet, hvoraf sikringsniveau Høj især forventes anvendt i sundhedsområdet på længere sigt, imens sikringsniveau Lav kan tænkes på som et password login eller en "konto-kig" løsning til adgang til mindre følsomme data. Dette giver nye muligheder for tjenesteudbyderne.

 

2. Flere identifikationsmidler (nøgler

MitID forventes at tilbyde flere nye identifikationsmidler som kan anvendes i kombination til at opnå de tre NSIS sikringsniveauer. Identifikationsmidler er tekniske komponenter, som implementerer en identifikationsfaktor, altså noget man ved, noget man har eller noget man er. Udover et password identifikationsmiddel og et mobil app identifikationsmiddel, kommer der fysiske identifikationsmiddel til svagtseende, teknologisk udfordrede og et særligt FIDO U2F baseret identifikationsmiddel til NSIS sikringsniveau Høj. 

NemLog-in3 tilvejebringer erhvervsidentiteter, som enten baserer sig på identifikationsmidlerne fra MitID eller på  lokale identifikationsmidler tilknyttet en Lokale Identity Providers (IdP) for de organisationer, som vælger at udnytte denne nye mulighed. 

MitID identifikationsmidler til erhvervsbrug

Brugerorganisationerne kan vælge, om deres medarbejdere må tilknytte en erhvervsidentitet til deres private MitID identifikationsmiddel eller om deres medarbejdere kan eller skal anvende dedikerede MitID identifikationsmidler til erhvervsbrug. Der kan knyttes flere CVR-numre til de samme identifikationsmidler. 

Lokal IdP identifikationsmidler

Brugerorganisationer kan også vælge at tilslutte deres egen IdP (f.eks. MS ADFS) til NemLog-in3, og anvende egne lokale identifikationsmidler såsom netværks password med SoloID app eller SoloID Windows Hello som anden faktor.  Tilkobling at Lokal IdP til NemLog-in3 forudsætter en anmeldelse af den Lokale IdP og tilhørende systemer, processer og driftsmiljø i henhold til NSIS standarden.

Certifikater i NemLog-in3

Der kan også udstedes VOCES3 og MOCES3 certifikater i NemLog-in3. Disse certifikater kan dog ikke anvendes til autentifikation imod NemLog-in3, men kan anvendes til sikker email og beskyttelse af system-til-system og ikke-browser-baserede løsninger, såsom visse løsninger omkring Fælles MedicinKort og eTinglysning. 

De nye certifikatpolitikker kan findes her.

Administration af brugere og rettigheder

Uanset løsningsmodel skal erhvervsidentiteterne stadig administreres af brugerorganisationerne ligesom det gøres i dag, for eksempel ved hjælp af Signaturcentral.

Som noget nyt, bliver der også mulighed for at automatisere rettighedsstyring imod NemLog-in3s KFOBS komponent.

Som en del af migrerings-forberedelserne hos vore kunder, etablerer Signaturgruppen en opdateret version af Signaturcentral, som kan oprette og administrere erhvervsidentiteter i den nye infrastruktur parallelt med administrationen i NemID. Signaturcentral vil derudover kunne synkronisere brugerrettigheder op i NemLog-in3 samt håndtere de nye MOCES3 og VOCES3 certifikater.
 

3. Tjenesteudbydere skal tilknyttes en Broker

Kun aktører som er certificeret til Broker rollen får mulighed for at integrere direkte til MitID og erhvervsidentiteterne i NemLog-in3. Alle Tjenesteudbydere i infrastrukturen skal indgå aftale med en Broker.

For at blive Broker skal man blandt andet certificeres i henhold til Broker sikkerheds-codex og UX scheme samt indgå en Broker aftale om ansvar og økonomi. 

Signaturgruppen etablerer "Nets eID Broker", som I kan læse mere om her.
 

4. Dokumentsignering foregår på en portal

Brokere kan understøtte dokumentsignering for alle privat- og erhvervsbrugere i en portalløsning i NemLog-in3.

Brugeren autentificerer sig med sine akkreditiver, og der genereres et centralt nøglepar med tilhørende certifikat, som anvendes til at danne en teknisk digital signatur på et dokument. 

Tjenesteudbydere, som i dag anvender dokumentsignering i NemID, skal altså opdatere deres løsning til understøttelse af den nye dokumentsigneringsmekanisme. Dette hjælper vi med i Nets eID Brokeren.
 

5. Migrering til ny infrastruktur som skal holde de næste ti år

Den nye infrastruktur vil være et stabilt grundlag for videreudvikling af vores digitalisering de næste ti år.

I Signaturgruppen videreudvikler vi nu vores eksisterende kundeløsninger til at understøtte de nye privat- og erhvervsidentiteter. Vores målsætning er således at hjælpe vores kunder og medarbejdere effektivt og sikkert igennem migreringsperioden og ind i den kommende infrastruktur med mindst mulig gene for medarbejderne i deres daglige arbejde.

Se hvordan vi migrerer jeres nuværende løsninger fra Signaturgruppen