- Oprettet af Ulrik Schrøder Esmann, senest ændret af Kaspar Høgdall Mølgaard på maj 10, 2023
Sikringsniveauer i Unilogin-føderationen tager udgangspunkt i Unilogin-klassifikationen (svarende til 2 og 3 i Vejledning vedrørende niveauer af autenticitetssikring) og i NSIS sikringsniveauerne. Unilogin-føderationen arbejder med begge klassifikationer i takt med at tjenester og IdP'er bliver klar til NSIS.
Unilogin-føderationen forventes på sigt at leve op til kravene for NSIS sikringsniveauet Betydelig. Unilogin Brokeren vil derfor blive revideret og anmeldt på dette sikringsniveau. Unilogin IdP er en en-faktor løsninger, der inkluderer børn og vil derfor være klassificeret på niveau 2 i Unilogin-klassifikationen. Børn er ikke omfattet af NSIS.
For at understøtte et sikrere login for børn end en-faktor login, vil Unilogin's broker understøtte et supplerende sikringsniveau, benævnt "VoksenVerificeret”, der udover opfyldelsen af kravene til sikringsniveau 2 i Unilogin-klassifikationen, bekræfter at en voksen har identificeret barnet.
Som udgangspunkt vil to-faktorlogin i Unilogin involvere anvendelsen af MitID. Lokale IdP'er, der tilkobles føderationen, vil også kunne levere et to-faktorlogin.
SAML support
Tjenester kan medsende ønske om sikringsniveau til Brokeren i <AuthnContextClassRef>.
Sikringsniveauerne i <AuthnRequest> angives inden for klassifikationerne Unilogin eller NSIS. Unilogin-sikringsniveauerne baserer sig på sikringsniveau i henhold til Vejledning vedrørende niveauer af autenticitetssikring som i OIOSAML 2.0.9 plus et VoksenVerificeret for børn. NSIS-niveauerne indføres ultimo 2021 og kan ikke kommunikeres før. De er derfor opmærket med gul.
Unilogin-niveauer rangordnet | Bemærkning | OIOSAML 2.0.9 niveau |
---|---|---|
dk:unilogin:loa:EnFaktor | Lavest tilladte niveau i føderationen, og niveauet hvis SP ikke anmoder om niveau. | Er ækvivalent med "2" |
dk:unilogin:loa:VoksenVerificeret | Barns login verificeres yderligere af tilknyttet voksen eller lærer | Giver implicit "2" |
dk:unilogin:loa:ToFaktor | 2-faktor proces garanteres | Er ækvivalent med "3" |
NSIS-niveauer rangordnet | Implicit Unilogin niveau |
---|---|
https://data.gov.dk/concept/core/nsis/loa/Low | dk:unilogin:loa:EnFaktor |
https://data.gov.dk/concept/core/nsis/loa/Substantial | dk:unilogin:loa:ToFaktor |
https://data.gov.dk/concept/core/nsis/loa/High | dk:unilogin:loa:ToFaktor |
Der kan kun anmodes om ét sikringsniveau i <AuthnContextClassRef>. I <AuthnContextClassRef> i Response fra Brokeren inkluderer intet <AuthnContextClassRef>.
Brokerens konkrete sikringsniveauer i Response i begge klassifikationer fremgår af attributter i SAML-assertion: "https://data.gov.dk/concept/core/nsis/loa" for NSIS-sikringsniveauerne og "dk:gov:saml:attribute:AssuranceLevel" + "dk:unilogin:loa" for Unilogin-sikringsniveauerne.
En IdP kan angive sikringsniveauer inden for begge klassifikationer. Autentifikationsniveauet indeholder to niveauer. Der er altid et Unilogin-niveau, da alle IdP'er som minimum er på sikringsniveau 2. Det kan indeholde en NSIS-niveau, men ikke nødvendigvis. Hvis Unilogin-niveauet ikke er eksplicit angivet kan det implicit udledes af NSIS-niveauet i IdP-svaret som vist ovenfor. Kun Unilogin-niveauet kan hæves med step-up processer.
NSIS-niveauer kommunikeres som beskrevet i OIOSAML 3.0. NSIS-niveauerne indføres først efter lanceringen af erhvervsidentiteter i NemLog-in3.
Unilogin sikringsniveauer mellem SP og Broker fra uge 8 2020 | SAML attributter i Broker Svar | ||||
---|---|---|---|---|---|
SP Forespørgsel i <AuthnContextClassRef> | Broker autentifikationsniveau for at forespørgsel kan opfyldes. Ellers skal relevant IdP kaldes. | Note | dk:unilogin:loa | dk:gov:saml:attribute:AssuranceLevel | |
dk:unilogin:loa:EnFaktor eller udeladt | dk:unilogin:loa:EnFaktor | EnFaktor | 2 | ||
dk:unilogin:loa:VoksenVerificeret | VoksenVerificeret | 2 | |||
dk:unilogin:loa:ToFaktor | *** | ToFaktor | 3 | ||
https://data.gov.dk/concept/core/nsis/loa/Low | EnFaktor | 2 | Low | ||
https://data.gov.dk/concept/core/nsis/loa/Substantial | ToFaktor | 3 | Substantial | ||
https://data.gov.dk/concept/core/nsis/loa/High | ToFaktor | 3 | High | ||
dk:unilogin:loa:VoksenVerificeret | dk:unilogin:loa:EnFaktor | * | VoksenVerificeret | 2 | |
dk:unilogin:loa:VoksenVerificeret | VoksenVerificeret | 2 | |||
dk:unilogin:loa:ToFaktor | ToFaktor | 3 | |||
https://data.gov.dk/concept/core/nsis/loa/Low | * | VoksenVerificeret | 2 | Low | |
https://data.gov.dk/concept/core/nsis/loa/Substantial | ToFaktor | 3 | Substantial | ||
https://data.gov.dk/concept/core/nsis/loa/High | ToFaktor | 3 | High | ||
dk:unilogin:loa:ToFaktor | dk:unilogin:loa:EnFaktor | ** | ToFaktor | 3 | |
dk:unilogin:loa:VoksenVerificeret | ** | ToFaktor | 3 | ||
dk:unilogin:loa:ToFaktor | ToFaktor | 3 | |||
https://data.gov.dk/concept/core/nsis/loa/Low | ** | ToFaktor | 3 | Low | |
https://data.gov.dk/concept/core/nsis/loa/Substantial | ToFaktor | 3 | Substantial | ||
https://data.gov.dk/concept/core/nsis/loa/High | ToFaktor | 3 | High |
* Niveau hæves vha. processen for VoksenVerificeret af tilknyttet voksen/lærer.
** Niveau hæves vha. step-up med eget MitID.
*** Hvis medarbejder og autentifikationsniveau baseres på privat MitID, opnås kun EnFaktor/2/Low (idriftsættes medio august 2020).
NSIS 2.0.1Vejledning vedrørende niveauer af autenticitetssikring
- Ingen etiketter