Sikringsniveauer i Unilogin-føderationen tager udgangspunkt i Unilogin-klassifikationen (svarende til 2 og 3 i Vejledning vedrørende niveauer af autenticitetssikring) og i NSIS sikringsniveauerne. Unilogin-føderationen arbejder med begge klassifikationer i takt med at tjenester og IdP'er bliver klar til NSIS.Unilogin-føderationen forventes på sigt at leve op til kravene for NSIS sikringsniveauet Betydelig. Unilogin Brokeren vil derfor blive revideret og anmeldt på dette sikringsniveau. Unilogin IdP er en en-faktor løsninger, der inkluderer børn og vil derfor være klassificeret på niveau 2 i Unilogin-klassifikationen. Børn er ikke omfattet af NSIS. For at understøtte et sikrere login for børn end en-faktor login, vil Unilogin's broker understøtte et supplerende sikringsniveau, benævnt "VoksenVerificeret”, der udover opfyldelsen af kravene til sikringsniveau 2 i Unilogin-klassifikationen, bekræfter at en voksen har identificeret barnet. Som udgangspunkt vil to-faktorlogin i Unilogin involvere anvendelsen af NemIDMitID. Lokale IdP'er, der tilkobles føderationen, vil også kunne levere et to-faktorlogin. SAML supportTjenester kan medsende ønske om sikringsniveau til Brokeren i <AuthnContextClassRef>. Sikringsniveauerne i <AuthnRequest> angives inden for klassifikationerne Unilogin eller NSIS. Unilogin-sikringsniveauerne baserer sig på sikringsniveau i henhold til Vejledning vedrørende niveauer af autenticitetssikring som i OIOSAML 2.0.9 plus et VoksenVerificeret for børn. NSIS-niveauerne indføres primo ultimo 2021 og kan ikke kommunikeres før. De er derfor opmærket med gul.
| Unilogin-niveauer rangordnet | Bemærkning | OIOSAML 2.0.9 niveau |
|---|
| dk:unilogin:loa:EnFaktor | Lavest tilladte niveau i føderationen, og niveauet hvis SP ikke anmoder om niveau. | Er ækvivalent med "2" | | dk:unilogin:loa:VoksenVerificeret | Barns login verificeres yderligere af tilknyttet voksen eller lærer | Giver implicit "2" | | dk:unilogin:loa:ToFaktor | 2-faktor proces garanteres | Er ækvivalent med "3" |
Der kan kun anmodes om ét sikringsniveau i <AuthnContextClassRef>. I <AuthnContextClassRef> i Response fra Brokeren inkluderer intet <AuthnContextClassRef>. Brokerens konkrete sikringsniveauer i Response i begge klassifikationer fremgår af attributter i SAML-assertion: "https://data.gov.dk/concept/core/nsis/loa" for NSIS-sikringsniveauerne og "dk:gov:saml:attribute:AssuranceLevel" + "dk:unilogin:loa" for Unilogin-sikringsniveauerne. En IdP kan angive sikringsniveauer inden for begge klassifikationer. Autentifikationsniveauet indeholder to niveauer. Der er altid et Unilogin-niveau, da alle IdP'er som minimum er på sikringsniveau 2. Det kan indeholde en NSIS-niveau, men ikke nødvendigvis. Hvis Unilogin-niveauet ikke er eksplicit angivet kan det implicit udledes af NSIS-niveauet i IdP-svaret som vist ovenfor. Kun Unilogin-niveauet kan hæves med step-up processer. NSIS-niveauer kommunikeres som beskrevet i OIOSAML 3.0. NSIS-niveauerne indføres først efter lanceringen af erhvervsidentiteter i NemLog-in3.
| Unilogin sikringsniveauer mellem SP og Broker fra uge 8 2020 | SAML attributter i Broker Svar |
|---|
SP Forespørgsel i <AuthnContextClassRef> | Broker autentifikationsniveau for at |
|---|
forespøgsel * Niveau hæves vha. processen for VoksenVerificeret af tilknyttet voksen/lærer. ** Niveau Niveau hæves vha. step-up med eget NemID.MitID. *** Hvis medarbejder og autentifikationsniveau baseres på privat MitID, opnås kun EnFaktor/2/Low (idriftsættes medio august 2020). | UI Button |
|---|
| color | green |
|---|
| size | large |
|---|
| icon | download |
|---|
| tooltip | NSIS 2.= |
|---|
| title | NSIS 2.0.1 |
|---|
| url | https://digst.dk/media/20287/national-standard-for-identiteters-sikringsniveauer-nsis-version-201.pdf |
|---|
|
| UI Button |
|---|
| color | green |
|---|
| size | large |
|---|
| icon | download |
|---|
| title | Vejledning vedrørende niveauer af autenticitetssikring |
|---|
| url | https://www.digitaliser.dk/resource/363424 |
|---|
|
| 