Info | ||
---|---|---|
|
...
UI Button | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Bemærk | |||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||
Sikringsniveauer i Unilogin-føderationen tager udgangspunkt i Unilogin-klassifikationen (svarende til 2 og 3 i Vejledning vedrørende niveauer af autenticitetssikring) og i NSIS sikringsniveauerne. Unilogin-føderationenkræver som minimum NSIS sikringsniveau Lavarbejder med begge klassifikationer i takt med at tjenester og IdP'er bliver klar til NSIS.Unilogin-føderationen vil i første omgang ikke forventes på sigt at leve op til kravene for NSIS sikringsniveauet Betydelig. Unilogin Brokeren vil derfor blive revideret og anmeldt på dette sikringsniveau. Unilogin IdP er en en-faktor løsninger, der inkluderer børn og vil derfor være klassificeret på niveau 2 i Unilogin-klassifikationen. Børn er ikke omfattet af NSIS. For at understøtte to-faktorlogin for både børn og voksne et sikrere login for børn end en-faktor login, vil Unilogin's broker og IdP'er understøtte et supplerende sikringsniveau, benævnt "VoksenVerificeret”, der udover opfyldelsen af kravene til NSIS sikringsniveau Lav også kræver opfyldelse af kravene til NSIS sikringsniveau Betydelig forså vidt angår kravene til "Styrke af Elektronisk Identifikationsmiddel" og "Autentifikationsmekanismer". Det supplerende niveau benævnes Unilogin sikringsniveau Styrket og kommunikeres til tjenester som et sikringsniveau mellem NSIS sikringsniveau Lav og NSIS sikringsniveau Betydelig. Unilogin sikringsniveau Styrket er tænkt som et permanent sikringsniveau for tofaktorlogin for børn, mens Unilogin sikringsniveau Styrket er tænkt som første skridt i implementeringen af NSIS sikringsniveau Betydelig for tofaktorlogin for voksne. NSIS sikringsniveauerne forventes at være fuldt implementeret for voksne ved ibrugtagningen af MitID. sikringsniveau 2 i Unilogin-klassifikationen, bekræfter at en voksen har identificeret barnet. Som udgangspunkt vil to-faktorlogin i Unilogin involvere anvendelsen af MitID. Lokale Som udgangspunkt vil tofaktorlogin i Unilogin for voksne involvere anvendelsen af NemLog-in (evt. ved hjælp af Faktor2-løsningen for voksne i brokeren) og for børn den nyudviklede Faktor2-løsning for børn. Lokale IdP'er, der tilkobles føderationen, vil herudover kunne levere alle NSIS 2.0 niveauer og Unilogin sikringniveau Styrket. NSIS sikringsniveauerne Betydelig og Høj vil af brokeren blive mappet til Unilogin sikringsniveau Styrket, da føderationen ikke lever op til kravene for NSIS sikringsniveauerne Betydelig og Høj. Hvis en tjeneste kræver NSIS sikringsniveauet Lav og brugeren vælger at anvende sit NemID, vil tjenesten få bekræftet opfyldelsen af NSIS sikringsniveau Lav. Brokeren vil desuden huske, at brugeren er autentificeret på Unilogin sikringniveau Styrket, så der kan sikres SSO også på dette sikringsniveau. Nedenstående matrix viser sammenhængen mellem:
Uniform Resource Identifiers for sikringsniveauerogså kunne levere et to-faktorlogin. SAML supportTjenester kan medsende ønske om sikringsniveau til Brokeren i <AuthnContextClassRef>. Sikringsniveauerne i <AuthnRequest> angives inden for klassifikationerne Unilogin eller NSIS. Unilogin-sikringsniveauerne baserer sig på sikringsniveau i henhold til Vejledning vedrørende niveauer af autenticitetssikring som i OIOSAML 2.0.9 plus et VoksenVerificeret for børn. NSIS-niveauerne indføres ultimo 2021 og kan ikke kommunikeres før. De er derfor opmærket med gul.
URI for Unilogin sikringsniveauet Styrket er:
Der kan kun anmodes om ét sikringsniveau i <AuthnContextClassRef>. I <AuthnContextClassRef> i Response fra Brokeren inkluderer intet <AuthnContextClassRef>. Brokerens konkrete sikringsniveauer i Response i begge klassifikationer fremgår af attributter i SAML-assertion: "https://data. stilunilogin/loa/FortifiedSAML supportXML attributten "Comparison" i RequestedAuthnContext for et AuthnRequest ignoreres pt. i løsningen. Krav med "comparison" attribut vil derfor behandles som "Exact". Matrix over sikringsniveauer og deres mapning i Unilogin-brokeren | |||||||||||||||||||||
Krævet sikringsniveau fra tjeneste | Sikringsniveau i svar fra IdP | Eksempel IdP | Sikringsniveau i svar til tjenesten fra broker | NSIS Lav | Unilogin, Lokal 1-faktor | ||||||||||||||||
Unilogin Styrket | NemLog-in*, Lokal 2-faktor | ||||||||||||||||||||
NSIS Betydelig | Lokal 2-faktor | ||||||||||||||||||||
NSIS Høj | - | NSIS Lav | UniLogin, Lokal 1-faktor | Unilogin Styrket** | Unilogin Styrket | NemLog-in*, Lokal 2-faktor | |||||||||||||||
NSIS Betydelig | Lokal 2-faktor | ||||||||||||||||||||
NSIS Høj | - | ||||||||||||||||||||
NSIS Betydelig | Sikringsniveauet kan pt. ikke opfyldes | ||||||||||||||||||||
NSIS Høj | Sikringsniveauet kan pt. ikke opfyldes |
Unilogin sikringsniveauer mellem SP og Broker fra uge 8 2020 | SAML attributter i Broker Svar | ||||
---|---|---|---|---|---|
SP Forespørgsel i <AuthnContextClassRef> | Broker autentifikationsniveau for at forespørgsel kan opfyldes. Ellers skal relevant IdP kaldes. | Note | dk:unilogin:loa | dk:gov:saml:attribute:AssuranceLevel | |
dk:unilogin:loa:EnFaktor eller udeladt | dk:unilogin:loa:EnFaktor | EnFaktor | 2 | ||
dk:unilogin:loa:VoksenVerificeret | VoksenVerificeret | 2 | |||
dk:unilogin:loa:ToFaktor | *** | ToFaktor | 3 | ||
https://data.gov.dk/concept/core/nsis/loa/Low | EnFaktor | 2 | Low | ||
https://data.gov.dk/concept/core/nsis/loa/Substantial | ToFaktor | 3 | Substantial | ||
https://data.gov.dk/concept/core/nsis/loa/High | ToFaktor | 3 | High | ||
dk:unilogin:loa:VoksenVerificeret | dk:unilogin:loa:EnFaktor | * | VoksenVerificeret | 2 | |
dk:unilogin:loa:VoksenVerificeret | VoksenVerificeret | 2 | |||
dk:unilogin:loa:ToFaktor | ToFaktor | 3 | |||
https://data.gov.dk/concept/core/nsis/loa/Low | * | VoksenVerificeret | 2 | Low | |
https://data.gov.dk/concept/core/nsis/loa/Substantial | ToFaktor | 3 | Substantial | ||
https://data.gov.dk/concept/core/nsis/loa/High | ToFaktor | 3 | High | ||
dk:unilogin:loa:ToFaktor | dk:unilogin:loa:EnFaktor | ** | ToFaktor | 3 | |
dk:unilogin:loa:VoksenVerificeret | ** | ToFaktor | 3 | ||
dk:unilogin:loa:ToFaktor | ToFaktor | 3 | |||
https://data.gov.dk/concept/core/nsis/loa/Low | ** | ToFaktor | 3 | Low | |
https://data.gov.dk/concept/core/nsis/loa/Substantial | ToFaktor | 3 | Substantial | ||
https://data.gov.dk/concept/core/nsis/loa/High | ToFaktor | 3 | High |
* Niveau hæves vha. processen for VoksenVerificeret af tilknyttet voksen/lærer.
** Niveau hæves vha. step-up med eget MitID.
*** Hvis medarbejder og autentifikationsniveau baseres på privat MitID, opnås kun EnFaktor/2/Low (idriftsættes medio august 2020).
UI Button | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
|
UI Button | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|
|
* NemLog-in's sikringsniveau, X509/AssuranceLevel=3, oversættes til Unilogin Styrket i løsningen.
** Opnås vha. Faktor2 step-up løsningen i brokeren.