Info | ||
---|---|---|
|
...
UI Button | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Bemærk | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sikringsniveauer i Unilogin-føderationen tager udgangspunkt i Unilogin-klassifikationen (svarende til 2 og 3 i Vejledning vedrørende niveauer af autenticitetssikring) og i NSIS sikringsniveauerne. Unilogin-føderationenkræver som minimum NSIS sikringsniveau Lavarbejder med begge klassifikationer i takt med at tjenester og IdP'er bliver klar til NSIS.Unilogin-føderationen forventes på sigt at leve op til kravene for NSIS sikringsniveauet Betydelig. Unilogin Brokeren vil derfor blive revideret og anmeldt på dette sikringsniveau. Unilogin IdP er en en-faktor løsninger, der inkluderer børn og vil derfor være klassificeret på niveau 2 i Unilogin-klassifikationen. Børn er ikke omfattet af NSIS. For at understøtte to-faktorlogin for både børn vil Unilogin-føderationen definere et supplerende sikringsniveau. Det supplerende niveau kan blive benævnt Unilogin sikringsniveau Styrket og kan blive kommunikeret til tjenester som supplement til NSIS sikringsniveau Lav, når børn skal logge ind i områder af en tjeneste som indeholder følsomme data. Det er således tjenesten og dermed myndigheden, som fastlægger behovet for sikringsniveau.et sikrere login for børn end en-faktor login, vil Unilogin's broker understøtte et supplerende sikringsniveau, benævnt "VoksenVerificeret”, der udover opfyldelsen af kravene til sikringsniveau 2 i Unilogin-klassifikationen, bekræfter at en voksen har identificeret barnet. Som udgangspunkt vil to-faktorlogin i Unilogin involvere anvendelsen af MitID. Som udgangspunkt vil Styrelsen for It og Læring anbefale, at der anvendes NemID ved voksnes behov for et sikringsniveau over NSIS Lav. For børn kan den nyudviklede Unilogin faktor 2 anvendes. Lokale IdP'er, der tilkobles føderationen, vil kunne levere autentifikation på NSIS niveau Lav, det nye Unilogin sikringsniveau Styrket. Derudover arbejder Styrelsen for It og Læring på etablering af en teknisk mulighed for at tilkendegive overfor tjenesterne, at en bruger er logget ind med et to-faktor login, som dog ikke er på NSIS Betydelig.også kunne levere et to-faktorlogin. SAML supportTjenester kan medsende ønske om sikringsniveau til Brokeren i <AuthnContextClassRef>. Sikringsniveauerne i <AuthnRequest> angives inden for klassifikationerne Unilogin eller NSIS. Unilogin-sikringsniveauerne baserer sig på sikringsniveau i henhold til Vejledning vedrørende niveauer af autenticitetssikring som i OIOSAML 2.0.9 plus et VoksenVerificeret for børn. NSIS-niveauerne indføres ultimo 2021 og kan ikke kommunikeres før. De er derfor opmærket med gul.
Der kan kun anmodes om ét sikringsniveau i <AuthnContextClassRef>. I <AuthnContextClassRef> i Response fra Brokeren inkluderer intet <AuthnContextClassRef>. Brokerens konkrete sikringsniveauer i Response i begge klassifikationer fremgår af attributter i SAML-assertion: "https://data.gov.dk/concept/core/nsis/loa" for NSIS-sikringsniveauerne og "dk:gov:saml:attribute:AssuranceLevel" + "dk:unilogin:loa" for Unilogin-sikringsniveauerne. En IdP kan angive sikringsniveauer inden for begge klassifikationer. Autentifikationsniveauet indeholder to niveauer. Der er altid et Unilogin-niveau, da alle IdP'er som minimum er på sikringsniveau 2. Det kan indeholde en NSIS-niveau, men ikke nødvendigvis. Hvis Unilogin-niveauet ikke er eksplicit angivet kan det implicit udledes af NSIS-niveauet i IdP-svaret som vist ovenfor. Kun Unilogin-niveauet kan hæves med step-up processer. NSIS-niveauer kommunikeres som beskrevet i OIOSAML 3.0. NSIS-niveauerne indføres først efter lanceringen af erhvervsidentiteter i NemLog-in3.
Uniform Resource Identifiers (URI) for sikringsniveauer
Matrix over sikringsniveauer og deres mapning i Unilogin-brokeren | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Krævet sikringsniveau fra tjeneste og videresendt fra broker | Sikringsniveau i svar fra IdP | Sikringsniveau i svar til tjenesten fra broker | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
NSIS sikringsniveau Lav | NSIS sikringsniveau Lav | NSIS sikringsniveau Lav | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
NSIS sikringsniveau Lav | NSIS sikringsniveau Lav + Unilogin sikringsniveau Styrket | NSIS sikringsniveau Lav + Unilogin sikringsniveau Styrket | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
NSIS sikringsniveau Lav | NSIS sikringsniveau Betydelig | NSIS sikringsniveau Lav + Unilogin sikringsniveau Styrket | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
NSIS sikringsniveau Lav | NSIS sikringsniveau Høj | NSIS sikringsniveau Lav + Unilogin sikringsniveau Styrket | NSIS sikringsniveau Lav + Unilogin sikringsniveau Styrket (Kan for børn opnås vha. Unilogin Faktor2 i brokeren) |
ToFaktor | 3 | High | |||
dk:unilogin:loa:ToFaktor | dk:unilogin:loa:EnFaktor | ** | ToFaktor | 3 | |
dk:unilogin:loa:VoksenVerificeret | ** | ToFaktor | 3 | ||
dk:unilogin:loa:ToFaktor | ToFaktor | 3 | |||
https://data.gov.dk/concept/core/nsis/loa/Low | ** | ToFaktor | 3 | Low | |
https://data.gov.dk/concept/core/nsis/loa/Substantial | ToFaktor | 3 | Substantial | ||
https://data.gov.dk/concept/core/nsis/loa/High | ToFaktor | 3 | High |
* Niveau hæves vha. processen for VoksenVerificeret af tilknyttet voksen/lærer.
** Niveau hæves vha. step-up med eget MitID.
*** Hvis medarbejder og autentifikationsniveau baseres på privat MitID, opnås kun EnFaktor/2/Low (idriftsættes medio august 2020).
UI Button | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
|
UI Button | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|
|
NSIS sikringsniveau Lav + Unilogin sikringsniveau Styrket
NSIS sikringsniveau Lav + Unilogin sikringsniveau Styrket
NSIS sikringsniveau Betydelig
NSIS sikringsniveau Lav + Unilogin sikringsniveau Styrket
NSIS sikringsniveau Høj
NSIS sikringsniveau Lav + Unilogin sikringsniveau Styrket