| Uddrag medtager |
|---|
| OFFSKOLELOGIN:Disclaimer: Projektleder |
|---|
| OFFSKOLELOGIN:Disclaimer: Projektleder |
|---|
| nopanel | true |
|---|
|
Styringsmodel for Uniloginføderationen (Udkast)Her beskrives de formelle krav, som myndigheder skal leve op til, for at lokale IdP'er kan blive tilkoblet Unilogin Broker med henblik på, at brugere kan anvende lokale IdP'er i Uniloginføderationen. Der gøres opmærksom på, at styringsmodellen er i udkastform og der derfor kan blive foretaget mindre justeringer. Version 1 sidst opdateret 6.1.2020 | View file |
|---|
| name | Anmeldelsesdokument.DOCX |
|---|
| height | 250 |
|---|
|
Uniloginføderationen vil på sigt anvende rammeværket i National Standard for Identiteters Sikringsniveauer (NSIS), Version 2.0.1. Styrelsen for It og Læring sørger for anmeldelsen af Unilogin Broker til Digitaliseringsstyrelsen. Hvis en organisation på dette tidspunkt ønsker at få tilkoblet organisationens egen IdP til Unilogin Broker, skal IdP’en ligeledes anmeldes til Digitaliseringsstyrelsen på det sikringsniveau, som IdP’en kan opfylde. Skemaer til NSIS anmeldelse, vejledninger mv. findes her: https://digst.dk/it-loesninger/nemlog-in/det-kommende-nemlog-in/vejledninger-og-standarder/nsis-standarden/ Når en IdP er NSIS-anmeldt til Digitaliseringsstyrelsen, vil NSIS rammeværket udgøre den styringsmodel, som Unilogin føderationen vil bygge på. Lokale IdP’er, der ønsker at blive koblet på Unilogin Broker vil dog fortsat skulle anmelde sig til STIL, da dette er den formelle meddelelse til STIL om, at man ønsker at få tilkoblet en IdP på brokeren. Denne anmeldelse vil dog begrænse sig til et supplement til NSIS anmeldelse, hvor anmelderen skal forpligte sig til at dele sikkerhedshændelser og tilsvarende nødvendige oplysninger med STIL. Fra idriftsættelse af det nye Unilogin og den nye Unilogin Broker i februar 2020 vil Unilogin føderationen ikke understøtte NSIS. Frem mod implementeringen af NSIS sikringsniveauerne skal autentificering med lokale IdP'er være korrekt, men med en lokal vurdering af, hvad dette indebærer. Den lokale vurdering skal dog tage udgangspunkt i kravene til NSIS sikringsniveauerne. Anmeldere af IdP’er har ansvaret for hele livscyklus for Id-midlet og vurderer i den forbindelse, hvad der giver et tilstrækkeligt sikkerhedsniveau. Id-midlets livscyklus er nærmere defineret i NSIS, og NSIS indeholder en række krav til IdP’er, som kan inspirere anmelderen af en IdP til, hvad der kan give et tilstrækkeligt sikkerhedsniveau. NSIS Lav er en god retningslinje for et godt 1-faktorlogin, mens NSIS Betydelig er en god retningslinje for et godt 2-faktorlogin. En bevidsthed omkring kravene i NSIS kan desuden mindske forandringen ved en NSIS-anmeldelse. IdP’er, der omfatter børn, vil ikke være omfattet af NSIS, men NSIS kan også i disse tilfælde anvendes som rettesnor for IdP’en i kombination med den tekniske løsning for Unilogin IdP’en, sådan at lokale IdP’er for børn på sigt lægger sig så tæt op af NSIS som muligt. Ved lanceringen af det nye Unilogin i uge 8 skal lokale IdP’er for børn således også tage udgangspunkt i kravene for NSIS sikringsniveauerne. En IdP for børn skal ikke anmeldes til Digitaliseringsstyrelsen, før der evt. er fundet tekniske løsninger, der gør, at kravene til NSIS også kan opfyldes for børn. Indtil da skal IdP’er for børn alene anmeldes til STIL. Herudover skal den ansvarlige for en IdP, der ønskes koblet til Unilogin Broker, også indgå en aftale med Styrelsen for It og Læring om tilkoblingen. I denne aftale skal kommunen eller institutionen forpligte sig til af egen drift straks at meddele Styrelsen for It og Læring, hvis sikringsniveauet ønskes ændret, eller hvis der er en sikkerhedshændelse i forhold til den lokale IdP. Kommunen eller institutionen skal ligeledes være til rådighed for en opfølgende dialog samt afklaring af evt. spørgsmål fra Styrelsen for It og Læring. Hvis en sikkerhedshændelse påvirker brugere, er det kommunens eller institutionens ansvar at informere brugerne om dette, og relevante modforanstaltninger skal træffes som f.eks. spærring af IdP’en mv. I tilfælde af en sikkerhedshændelse i en lokal IdP, hvor Styrelsen for It og Læring vurderer, at det er nødvendigt at afkoble den lokale IdP fra Unilogin Broker for at dæmme op for sikkerhedshændelsen, kan Styrelsen for It og Læring gøre dette. Styrelsen for It og Læring kan desuden i den forbindelse sætte IdP’ens sikringsniveau til et lavere sikringsniveau, hvis Styrelsen for It og Læring vurderer, at dette er mere retvisende. Styrelsen for It og Læring vil dog kun gøre dette, hvis dette er proportionalt med den risiko, der er forbundet med ikke at gøre det. Hvis en lokal IdP afkobles brokeren, vil brugerne kunne anvende Unilogin, indtil den lokale IdP evt. kan kobles på brokeren igen. Endelig skal kommunen eller institutionen erklære, at kommunen eller institutionen er opmærksom på, at der på sigt vil blive stillet krav om NSIS-anmeldelse, og at et sådant krav vil medføre, at den lokale IdP enten skal være NSIS anmeldt eller vil blive afkoblet Unilogin Broker. Kravene til NSIS anmeldelsen vil følge implementeringen af NemLog-in og MitID, som forventes lanceret henholdsvis november 2020 og sommer 2021. Hvis denne implementering bliver forsinket, forsinkes kravet om NSIS-anmeldelse tilsvarende. Indtil videre forventes det dog, at der vil blive stillet krav om NSIS anmeldelse på NSIS Lav af lokale IdP'er for voksne inden udgangen af 2020. Det forventes, at lokale 2-faktor IdP'er herudover skal NSIS anmeldes på NSIS Betydelig senest sommeren 2021.Proces for tilkobling af lokal IdPProcessen for at få koblet en lokal IdP på brokeren vil således overordnet være er foreløbig følgende: - Kontakt Styrelsen for It og Lærings Support med henblik på at blive tilkoblet STILs eksterne testmiljø, herunder fremsendelse af relevante metadata (se blanket oven Se "Blanket: Tilkobling af IdP til eksternt testmiljø" neden for).
- IdP’en tilkobles STILs eksterne testmiljø og anmelderen af IdP’en sørger for, at den lokale IdP testes på testbrugere i brugerorganisationen
- Indsend underskreven anmeldelse af lokal ID-tjeneste til Styrelsen for It og Lærings Support (Se "Styringsmodel for Uniloginføderationen" nedenfor) - underskrevet af en forvaltningsdirektør for kommunale IdP’er og institutionslederen for IdP’er for selvejende institutioner
- IdP’en kobles på Unilogin Broker på produktionsmiljøet
Det anbefales dog, at lokale IdP'er tilkobles NemLog-in, når dette bliver muligt. På sigt kan der blive stillet krav om, at lokale IdP'er med erhvervsidentiteter skal være tilkoblet NemLog-in som lokal IdP. Dvs. at lokale IdP'er med erhvervsidentiteter ikke vil kunne være tilkoblet Unilogin Broker direkte, men skal tilgås via Unilogin Brokers tilkobling til NemLog-in. Som ansvarlig for en IdP tilkoblet Unilogin Broker, skal man tage hånd om alle dele af livscyklussen for Id-midlet. Dette er nærmere beskrevet i NSIS standarden, der kan give inspiration til, hvad der er tilstrækkeligt. Se mere om NSIS standarden nederst på denne side. Uanset om der er tale om en NSIS anmeldt IdP eller ej, er den der anmelder en IdP til Styrelsen for It og Læring ansvarlig over for evt. fejl og svigt over for dem, der anvender IdP’en. Brokere for IdP’er med flere ansvarlige, kan ikke kobles på Unilogin Broker, så længe føderationen ikke har implementeret NSIS. Det er således kun den ansvarlige myndighed, der kan få koblet en IdP på Unilogin Broker. Det er STIL uvedkommende, om den ansvarlige myndighed selv udvikler sin IdP-løsning eller indgår en aftale med en privat leverandør. STIL har dog brug for et minimum af indblik i den løsning, der er valgt for den lokale IdP af hensyn til de tjenester, der er tilkoblet Unilogin Broker,og for at kunne håndtere sikkerhedshændelser så effektivt som muligt. Private leverandører kan få koblet test-IdP’er på STILs eksterne testmiljø, hvis leverandøren har mindst ét etableret kundeforhold til en ansvarlige myndighed. Ud over Unilogin IdP og lokale IdP’er vil NemID NemLog-in også være tilkoblet brokeren. Blanket: Tilkobling af IdP til eksternt testmiljøUdfyld blanketten neden for omkring IdP for at få denne tilkoblet det eksterne testmiljø for Unilogins broker.
I bedes oprette en sag via denne Kontaktformular og vedhæfte blanketten med de udfyldte oplysninger. Den videre dialog med supporten vil foregå via Jira-sagssystemet. Version 1.1 sidst opdateret 14.1.2020 | View file |
|---|
| name | Tilkobling af lokal IdP v1_1.docx |
|---|
| height | 250 |
|---|
|
Styringsmodel for UniloginføderationenHer beskrives de organisatoriske krav, som myndigheder skal leve op til, for at lokale IdP'er kan blive tilkoblet Unilogin Brokers produktionsmiljø med henblik på, at brugere kan anvende lokale IdP'er i Uniloginføderationen. Du skal sende anmeldelsen sikkert til Styrelsen og IT og Læring via stil@stil.dk. Se mere her: https://www.uvm.dk/ministeriet/kontakt/sikker-e-mail-til-ministeriet eller via Jira-sagssystemet. Opdateret 29.09.2023 | View file |
|---|
| name | Anmeldelse af ID-tjeneste.docx |
|---|
| height | 250 |
|---|
|
- Beskrivelse af plan for idriftsættelse og evt. NSIS anmeldelseKrav om NSIS anmeldelse, Lokal IdP'er kun for elever i grundskolen er undtaget for dette krav
- Overordnet beskrivelse af den lokale ID-tjeneste
- Overordnet beskrivelse af det organisatoriske setup, parter, underleverandører mv.
- Underskrevet ledelseserklæring ift.
o at ID-tjenestens samlede data-, system- og driftssikkerhed er betryggede
o at ledelsen er opmærksom på, at der på sigt vil blive stillet krav om NSIS-anmeldelse, og at det medfører, at ID-tjeneste skal være NSIS-anmeldt for ikke at blive afkoblet Unilogin Broker
o at medsendte dokumentation er retvisende
o at ledelsen er opmærksom på, at man som ansvarlig myndighed er ansvarlig for fejl og svigt over for anvenderne af ID-tjenesten
o forpligtelsen til af egen drift straks at meddele Styrelsen for It og Læring, hvis sikringsniveauet ønskes ændret, eller ved fejl eller svigt i ID-tjenesten
o at være til rådighed for en opfølgende dialog ved fejl eller svigt
o at informere brugerne om ændringer i sikringsniveau eller fejl eller svigt samt at træffe relevante modforanstaltninger som f.eks. spærring af ID-tjenesten i relevant omfang mv.
o at Styrelsen for It og Læring i tilfælde af en sikkerhedshændelse kan afkoble ID-tjenesten fra Unilogin Broker, hvis Styrelsen for It og Læring vurderer, at dette er en nødvendig modforanstaltning
o at Styrelsen for It og Læring kan sætte ID-tjenestens sikringsniveau til et lavere sikringsniveau, hvis Styrelsen for It og Læring vurderer, at dette er mere retvisende
| Bemærk |
|---|
| icon | false |
|---|
| title | Lokal IdP - Frist for NSIS anmeldelse |
|---|
| Følg dette link for vejledning om lokal IdP - Frist for NSIS anmeldelse | UI Button |
|---|
| color | blue |
|---|
| size | large |
|---|
| title | Lokal Idp - Frist for NSIS anmeldelse |
|---|
| url | https://viden.stil.dk/display/KLADDESKOLELOGIN/Lokal+IdP+-+Frist+for+NSIS+anmeldelse |
|---|
|
|
Uniloginføderationen vil på anvender rammeværket i National Standard for Identiteters Sikringsniveauer (NSIS). Styrelsen for It og Læring sørger for anmeldelsen af Unilogin Broker til Digitaliseringsstyrelsen. Fuld implementering forventes i løbet af 2024. Hvis en organisation på dette tidspunkt ønsker at få tilkoblet organisationens egen IdP til Unilogin Broker, skal IdP’en ligeledes anmeldes til Digitaliseringsstyrelsen på det sikringsniveau, som IdP’en kan opfylde. Bemærk at det skal være muligt fir STIL at matche den IdP som oprettes i unilogin Broker med en IdP der er godkendt hos Digitaliseringsstyrelsen. | UI Button |
|---|
| color | blue |
|---|
| newWindow | true |
|---|
| size | large |
|---|
| icon | link |
|---|
| tooltip | Skemaer til NSIS anmeldelse, vejledninger |
|---|
| title | Skemaer til NSIS anmeldelse, vejledninger (Digitaliseringsstyrelsen) |
|---|
| url | https://digst.dk/it-loesninger/standarder/nsis/ |
|---|
|
Når en IdP er NSIS-anmeldt til Digitaliseringsstyrelsen, vil NSIS-rammeværket udgøre den styringsmodel, som Unilogin føderationen vil bygge på. Lokale IdP’er, der ønsker at blive koblet på Unilogin Broker vil dog fortsat skulle anmelde sig til STIL, da dette er den formelle meddelelse til STIL om, at man ønsker at få tilkoblet en IdP på brokeren. Denne anmeldelse vil dog begrænse sig til et supplement til NSIS anmeldelse, hvor anmelderen skal forpligte sig til at dele sikkerhedshændelser og tilsvarende nødvendige oplysninger med STIL. Lokale IdP'er tilkoblet NemLog-in som lokal IdP, vil ikke blive mødt med krav om en supplerende anmeldelse til STIL. [1] Skemaer og vejledninger findes på: | UI Button |
|---|
| color | blue |
|---|
| newWindow | true |
|---|
| size | large |
|---|
| icon | link |
|---|
| tooltip | Lokal IdP |
|---|
| title | Guide til implementering af lokal IdP (Digitaliseringsstyrelsen) |
|---|
| url |
|---|
|
| https://digst.dk/it-loesninger/nemlog-in/ |
|
detkommendenemloginvejledninger-og-standarder/nsis-standarden/
| UI Button |
|---|
| color | blue |
|---|
| newWindow | true |
|---|
| size | large |
|---|
| icon | link |
|---|
| tooltip | Passwordvejledning (Center for Cybersikkerhed) |
|---|
| title | Passwordvejledning (Center for Cybersikkerhed) |
|---|
| url | https://www.cfcs.dk/da/forebyggelse/vejledninger/passwords/ |
|---|
|
Tekniske Krav til IdP'er ses på siden Tekniske krav | 