Sidehistorik

Info

icon	false

...

UI Button

color	green
size	large
icon	download
tooltip	NSIS 2.=
title	NSIS 2.0
url	https://digst.dk/media/18271/national-standard-for-identiteters-sikringsniveauer-nsis-version-20-endelig.pdf

NSIS sikringsniveau Lav + Unilogin sikringsniveau Styrket

NSIS sikringsniveau Lav

Bemærk

title	Udkast

Sikringsniveauer i Unilogin-føderationen tager udgangspunkt i Unilogin-klassifikationen (svarende til 2 og 3 i Vejledning vedrørende niveauer af autenticitetssikring) og i NSIS sikringsniveauerne. Unilogin-føderationen

kræver som minimum NSIS sikringsniveau Lav

arbejder med begge klassifikationer i takt med at tjenester og IdP'er bliver klar til NSIS.

Unilogin-føderationen forventes på sigt at leve op til kravene for NSIS sikringsniveauet Betydelig. Unilogin Brokeren vil derfor blive revideret og anmeldt på dette sikringsniveau. Unilogin IdP er en en-faktor løsninger, der inkluderer børn og vil derfor være klassificeret på niveau 2 i Unilogin-klassifikationen. Børn er ikke omfattet af NSIS.

For at understøtte

to-faktorlogin for både børn vil Unilogin-føderationen definere et supplerende sikringsniveau. Det supplerende niveau kan blive benævnt Unilogin sikringsniveau Styrket og kan blive kommunikeret til tjenester som supplement til NSIS sikringsniveau Lav, når børn skal logge ind i områder af en tjeneste som indeholder følsomme data. Det er således tjenesten og dermed myndigheden, som fastlægger behovet for sikringsniveau.

et sikrere login for børn end en-faktor login, vil Unilogin's broker understøtte et supplerende sikringsniveau, benævnt "VoksenVerificeret”, der udover opfyldelsen af kravene til sikringsniveau 2 i Unilogin-klassifikationen, bekræfter at en voksen har identificeret barnet.

Som udgangspunkt vil to-faktorlogin i Unilogin involvere anvendelsen af MitID.

Som udgangspunkt vil Styrelsen for It og Læring anbefale, at der anvendes NemID ved voksnes behov for et sikringsniveau over NSIS Lav. For børn kan den nyudviklede Unilogin faktor 2 anvendes.

Lokale IdP'er, der tilkobles føderationen, vil

kunne levere autentifikation på NSIS niveau Lav, det nye Unilogin sikringsniveau Styrket. Derudover arbejder Styrelsen for It og Læring på etablering af en teknisk mulighed for at tilkendegive overfor tjenesterne, at en bruger er logget ind med et to-faktor login, som dog ikke er på NSIS Betydelig.

også kunne levere et to-faktorlogin.

SAML support

Tjenester kan medsende ønske om sikringsniveau til Brokeren i <AuthnContextClassRef>.

Sikringsniveauerne i <AuthnRequest> angives inden for klassifikationerne Unilogin eller NSIS. Unilogin-sikringsniveauerne baserer sig på sikringsniveau i henhold til Vejledning vedrørende niveauer af autenticitetssikring som i OIOSAML 2.0.9 plus et VoksenVerificeret for børn. NSIS-niveauerne indføres ultimo 2021 og kan ikke kommunikeres før. De er derfor opmærket med gul.

Unilogin-niveauer rangordnet	Bemærkning	OIOSAML 2.0.9 niveau
dk:unilogin:loa:EnFaktor	Lavest tilladte niveau i føderationen, og niveauet hvis SP ikke anmoder om niveau.	Er ækvivalent med "2"
dk:unilogin:loa:VoksenVerificeret	Barns login verificeres yderligere af tilknyttet voksen eller lærer	Giver implicit "2"
dk:unilogin:loa:ToFaktor	2-faktor proces garanteres	Er ækvivalent med "3"

NSIS-niveauer rangordnet	Implicit Unilogin niveau
https://data.gov.dk/concept/core/nsis/loa/Low	dk:unilogin:loa:EnFaktor
https://data.gov.dk/concept/core/nsis/loa/Substantial	dk:unilogin:loa:ToFaktor
https://data.gov.dk/concept/core/nsis/loa/High	dk:unilogin:loa:ToFaktor

Der kan kun anmodes om ét sikringsniveau i <AuthnContextClassRef>. I <AuthnContextClassRef> i Response fra Brokeren inkluderer intet <AuthnContextClassRef>.

Brokerens konkrete sikringsniveauer i Response i begge klassifikationer fremgår af attributter i SAML-assertion: "https://data.gov.dk/concept/core/nsis/loa" for NSIS-sikringsniveauerne og "dk:gov:saml:attribute:AssuranceLevel" + "dk:unilogin:loa" for Unilogin-sikringsniveauerne.

En IdP kan angive sikringsniveauer inden for begge klassifikationer. Autentifikationsniveauet indeholder to niveauer. Der er altid et Unilogin-niveau, da alle IdP'er som minimum er på sikringsniveau 2. Det kan indeholde en NSIS-niveau, men ikke nødvendigvis. Hvis Unilogin-niveauet ikke er eksplicit angivet kan det implicit udledes af NSIS-niveauet i IdP-svaret som vist ovenfor. Kun Unilogin-niveauet kan hæves med step-up processer.

NSIS-niveauer kommunikeres som beskrevet i OIOSAML 3.0. NSIS-niveauerne indføres først efter lanceringen af erhvervsidentiteter i NemLog-in3.

Unilogin sikringsniveauer mellem SP og Broker fra uge 8 2020			SAML attributter i Broker Svar
SP Forespørgsel i <AuthnContextClassRef>	Broker autentifikationsniveau for at forespørgsel kan opfyldes. Ellers skal relevant IdP kaldes.	Note	dk:unilogin:loa	dk:gov:saml:attribute:AssuranceLevel	https://data.gov.dk/concept/core/nsis/loa
dk:unilogin:loa:EnFaktor eller udeladt	dk:unilogin:loa:EnFaktor		EnFaktor	2
	dk:unilogin:loa:VoksenVerificeret		VoksenVerificeret	2
	dk:unilogin:loa:ToFaktor	***	ToFaktor	3

Uniform Resource Identifiers (URI) for sikringsniveauer

NSIS sikringsniveau LavUnilogin sikringsniveau Styrketstilloa/FortifiedNSIS sikringsniveau BetydeligNSIS sikringsniveau Høj

Sikringsniveau	URI

https://data.gov.dk/concept/core/nsis/loa/Low			EnFaktor	2	Low
https://data.gov.dk/concept/core/nsis/loa/Substantial		ToFaktor	3	Substantial
https://data.	gov.dk/concept/core/nsis/loa/High		ToFaktor	3	High
dk:unilogin:loa:VoksenVerificeret	dk:unilogin:loa:EnFaktor	*	VoksenVerificeret	2
	dk:unilogin:loa:VoksenVerificeret		VoksenVerificeret	2
	dk:unilogin:loa:ToFaktor		ToFaktor	3
	https://	data.gov.dk/concept/core/nsis/loa/Low	*	VoksenVerificeret	2	Low
	https://data.gov.dk/concept/core/nsis/loa/Substantial			ToFaktor	3	Substantial
	https://data.gov.dk/concept/core/nsis/loa/High

Matrix over sikringsniveauer og deres mapning i Unilogin-brokeren

Krævet sikringsniveau fra tjeneste og videresendt fra broker

Sikringsniveau i svar fra IdP

Sikringsniveau i svar til tjenesten fra broker

NSIS sikringsniveau Lav

NSIS sikringsniveau Lav + Unilogin sikringsniveau Styrket

NSIS sikringsniveau Lav

NSIS sikringsniveau Betydelig

NSIS sikringsniveau Lav + Unilogin sikringsniveau Styrket

NSIS sikringsniveau Lav

NSIS sikringsniveau Høj

NSIS sikringsniveau Lav + Unilogin sikringsniveau Styrket

(Kan for børn opnås vha. Unilogin Faktor2 i brokeren)

		ToFaktor	3	High
dk:unilogin:loa:ToFaktor	dk:unilogin:loa:EnFaktor	**	ToFaktor	3
	dk:unilogin:loa:VoksenVerificeret	**	ToFaktor	3
	dk:unilogin:loa:ToFaktor		ToFaktor	3
	https://data.gov.dk/concept/core/nsis/loa/Low	**	ToFaktor	3	Low
	https://data.gov.dk/concept/core/nsis/loa/Substantial		ToFaktor	3	Substantial
	https://data.gov.dk/concept/core/nsis/loa/High		ToFaktor	3	High

Sidetræ

Versioner sammenlignet

Gammel version 1

Ny version Nuværende

Nøgle

Sikringsniveauer i Unilogin-føderationen tager udgangspunkt i Unilogin-klassifikationen (svarende til 2 og 3 i Vejledning vedrørende niveauer af autenticitetssikring) og i NSIS sikringsniveauerne. Unilogin-føderationen

arbejder med begge klassifikationer i takt med at tjenester og IdP'er bliver klar til NSIS.

SAML support

Uniform Resource Identifiers (URI) for sikringsniveauer

Matrix over sikringsniveauer og deres mapning i Unilogin-brokeren