Udkast
Sikringsniveauer i Unilogin-føderationen tager udgangspunkt i NSIS sikringsniveauerne. Unilogin-føderationen kræver som minimum NSIS sikringsniveau Lav.
Unilogin-føderationen vil i første omgang ikke leve op til kravene for NSIS sikringsniveauet Betydelig. For at understøtte to-faktorlogin for både børn og voksne vil Unilogin's broker og IdP'er understøtte et supplerende sikringsniveau, der udover opfyldelsen af kravene til NSIS sikringsniveau Lav også kræver opfyldelse af kravene til NSIS sikringsniveau Betydelig forså vidt angår kravene til "Styrke af Elektronisk Identifikationsmiddel" og "Autentifikationsmekanismer". Det supplerende niveau benævnes Unilogin sikringsniveau Styrket og kommunikeres til tjenester som et sikringsniveau mellem NSIS sikringsniveau Lav og NSIS sikringsniveau Betydelig. Unilogin sikringsniveau Styrket er tænkt som et permanent sikringsniveau for tofaktorlogin for børn, mens Unilogin sikringsniveau Styrket er tænkt som første skridt i implementeringen af NSIS sikringsniveau Betydelig for tofaktorlogin for voksne. NSIS sikringsniveauerne forventes at være fuldt implementeret for voksne ved ibrugtagningen af MitID.
Som udgangspunkt vil tofaktorlogin i Unilogin for voksne involvere anvendelsen af NemLog-in (evt. ved hjælp af Faktor2-løsningen for voksne i brokeren) og for børn den nyudviklede Faktor2-løsning for børn. Lokale IdP'er, der tilkobles føderationen, vil herudover kunne levere alle NSIS 2.0 niveauer og Unilogin sikringniveau Styrket. NSIS sikringsniveauerne Betydelig og Høj vil af brokeren blive mappet til Unilogin sikringsniveau Styrket, da føderationen ikke lever op til kravene for NSIS sikringsniveauerne Betydelig og Høj.
Hvis en tjeneste kræver NSIS sikringsniveauet Lav og brugeren vælger at anvende sit NemID, vil tjenesten få bekræftet opfyldelsen af NSIS sikringsniveau Lav. Brokeren vil desuden huske, at brugeren er autentificeret på Unilogin sikringniveau Styrket, så der kan sikres SSO også på dette sikringsniveau.
Nedenstående matrix viser sammenhængen mellem:
- Krav til sikringsniveau fra tjenestens side
- Brugerens valg
- Konkrete eksempler på IdP, der kan opfylde brugerens valg
- Brokerens svar til tjenesten
Uniform Resource Identifiers for sikringsniveauer
URI for NSIS sikringsniveauerne Lav, Betydelig og Høj er henholdsvis:
- https://data.gov.dk/nsis/loa/Low
- https://data.gov.dk/nsis/loa/Substantial
- https://data.gov.dk/nsis/loa/High
URI for Unilogin sikringsniveauet Styrket er:
SAML support
XML attributten "Comparison" i RequestedAuthnContext for et AuthnRequest ignoreres pt. i løsningen. Krav med "comparison" attribut vil derfor behandles som "Exact".
Matrix over sikringsniveauer og deres mapning i Unilogin-brokeren
Krævet sikringsniveau fra tjeneste | Sikringsniveau i svar fra IdP | Eksempel IdP | Sikringsniveau i svar til tjenesten fra broker |
---|---|---|---|
NSIS Lav | NSIS Lav | Unilogin, Lokal 1-faktor | NSIS Lav |
Unilogin Styrket | NemLog-in*, Lokal 2-faktor | ||
NSIS Betydelig | Lokal 2-faktor | ||
NSIS Høj | - | ||
Unilogin Styrket | NSIS Lav | UniLogin, Lokal 1-faktor | Unilogin Styrket** |
Unilogin Styrket | NemLog-in*, Lokal 2-faktor | Unilogin Styrket | |
NSIS Betydelig | Lokal 2-faktor | ||
NSIS Høj | - | ||
NSIS Betydelig | Sikringsniveauet kan pt. ikke opfyldes | ||
NSIS Høj | Sikringsniveauet kan pt. ikke opfyldes |
* NemLog-in's sikringsniveau, X509/AssuranceLevel=3, oversættes til Unilogin Styrket i løsningen.
** Opnås vha. Faktor2 step-up løsningen i brokeren.