Af Mikkel Hald, 08/02/22
Mange tjenester aftager NemLog-in/NemID gennem WAYF — fordi dét er lettere end at integrere direkte til Digitaliseringsstyrelsen: Tekniske og andre forpligtelser som tjenesteudbyderne ellers selv ville skulle opfylde over for Styrelsen, opfylder WAYF på deres vegne.
Digitaliseringsstyrelsen er nu i gang med at erstatte det nuværende NemLog-in2 og NemID med det nye NemLog-in3 og MitID. Det medfører en del ændringer for WAYF — men ikke mange og ingen store for tjenesteudbydere bag WAYF som i dag aftager NemLog-in herigennem.
Allerede nu kan man faktisk logge ind med MitID på alle de tjenester som er forbundet til NemLog-in/NemID gennem WAYF. I en overgangsfase, før idriftsættelsen af det nye NemLog-in3, har Digitaliseringsstyrelsen nemlig valgt at koble MitID til det eksisterende NemLog-in2. Som tjenesteudbyder på WAYFs NemLog-in mærker man ingen forskel på om brugeren har brugt NemID eller MitID: I begge tilfælde modtager WAYFs tjenesteudbydere altid helt samme slags token, i WAYFs velkendte format – og sådan vil det fortsætte: Tjenesteudbyderne kommer ikke til at skulle ændre i deres grundlæggende tekniske integration til WAYF på noget tidspunkt – heller ikke når WAYF går fra NemLog-in2 til NemLog-in3 – eller når NemID engang nedlægges. Overgangen bliver seamless.
Tjenester som modtager brugerens mailadresse fra NemLog-in, vil dog opleve ikke at modtage dén hvis brugeren rent faktisk har brugt MitID. Digitaliseringsstyrelsen har oplyst at dét er med vilje, og det er uvist om MitID på noget tidspunkt vil blive i stand til at sende brugerens mailadresse.
Tjenester som modtager eduPersonPrincipalName eller eduPersonTargetedID fra NemLog-in i dag og er kritisk afhængige af dem, vil også få en udfordring på sigt – de attributter vil nemlig skifte værdi for hver bruger. Uvist præcis hvornår, men dog næppe før engang i 2023. Berørte udbydere er formentlig ret få og kan henvende sig til WAYF for vejledning. I dag er de to attributters værdier baseret på PID (borgere) eller RID (medarbejdere); men PID/RID udgår. I stedet kommer der et borger-UUID og et medarbejder-UUID, som er nogle helt andre værdier. Formentlig vil de to WAYF-attributter fremover basere sig på dém. (De to attributter skifter kun værdier når de kommer fra IdP'en NemLog-in; de skifter ikke værdier når de kommer fra IdP'er fra WAYFs brugerorganisationer.)
Derimod vil samtlige tjenesteudbydere blive berørt af et nyt krav om at login-tokens fra NemLog-in kun må fremsendes med den personhenførbare del af tokenen krypteret. Alle tjenester vil altså skulle være i stand til at afkryptere dele af hver XML-token de modtager fra NemLog-in. Den funktionalitet er heldigvis standard i de fleste SAML-biblioteker som bruges af tjenester. Men det vil kræve at udbyderen i hver tjenestes metadata hos WAYF inddaterer den offentlige nøgle svarende til den privatnøgle som tjenesten afkrypterer XML med – hvilket man kan gøre allerede nu (placeres i SP/KeyDescriptor/.../X509Certificate, med encryption som værdi i use-feltet og med fx http://www.w3.org/2001/04/xmlenc#aes256-cbc og http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p som værdier i hver sit Algorithm-felt i en EncryptionMethod-blok; udfyld i WAYF-blokken assertion.encryption med true for at kunne teste.). Ud over selve den offentlige nøgle er det vigtigt at man (jf. det småttrykte herover) angiver hvilke krypteringsalgoritmer ens SAML-interface understøtter; angiver man intet, vil algoritmerne http://www.w3.org/2009/xmlenc11#rsa-oaep og http://www.w3.org/2009/xmlenc11#aes256-gcm blive brugt. Man bør konsultere dokumentationen for sin tjenestes SAML-interface for korrekt opsætning af XML-afkryptering i egen software. Kravet forventes at træde i kraft senest ved udgangen af første kvartal af 2023 – nøjagtigt tidspunkt udmeldes så snart det kendes.
Med hensyn til det juridiske indgår WAYF ikke skriftlige kontrakter med tjenesteudbyderne ifm. overgangen til NemLog-in3 – men nøjes med en mailkorrespondance med hver udbyder hvor hun bekræfter at være indforstået med et sæt brugsvilkår som publiceres på WAYFs website. WAYF kontakter hver tjenesteudbyder når det bliver aktuelt. De nye vilkår ses her. Bemærk at det nu bliver indskærpet at tjenesteudbydere som er dataansvarlige for hvad der modtages i autentifikationer fra NemLog-in, kun må bruge NemLog-in gennem WAYF hvis de er offentlige virksomheder, og brugen af NemLog-in sker som led i løsningen af en myndighedsopgave. Man kan altså ikke få NemLog-in gennem WAYF hvis man som privat virksomhed er dataansvarlig for de persondata som modtages fra NemLog-in – kun hvis man alene behandler autentifikationen på vegne af en offentlig virksomhed som er dataansvarlig for den, og som løser en myndighedsopgave med den.
Som noget helt nyt vil der i det nye NemLog-in blive skelnet mellem et antal veldefinerede identitetssikringsniveauer: Lavt, Betydeligt og Højt (som ikke er udbredt). Dem skal man som tjenesteudbyder forholde sig til: Man skal lave en forretningsmæssig risikovurdering og herudfra fastlægge hvilket niveau ens tjeneste har brug for i de identiteter den modtager fra NemLog-in. Niveauet “Betydelig” svarer omtrent til sikringsniveauet i det hidtidige NemLog-in og vil være passende for de fleste eller alle tjenester som p.t. aftager NemLog-in gennem WAYF. Digitaliseringsstyrelsen har udformet en vejledning og et værktøj til arbejdet med risikovurderingen. WAYF eller Digitaliseringsstyrelsen skal ikke se risikovurderingen; men den skal findes. For WAYF medfører indførelsen af sikringsniveauerne og den bagvedliggende standard betydeligt merarbejde og betydelige ekstraomkostninger, herunder årlig statsautoriseret revision. Men det får altså ingen betydning for tjenesteudbyderne.
En anden nyskabelse i NemLog-in3 er at selve loginsiden vil vise brugeren navnet på den tjeneste i WAYF hun er ved at logge ind på, fx “Digital Eksamen”. Som det er nu, i NemLog-in2, får brugeren slet og ret at vide at hun er ved at logge ind på "WAYF" – hvilket formentlig opleves som uvedkommende og forstyrrende: Det kan næppe interessere brugeren som er ved at tilgå en bestemt forretningstjeneste, at tjenestens udbyder bruger noget der hedder WAYF, som teknisk leverandør – og er egnet til at forvirre hende når der ikke samtidig er nogen mulighed for at forklare hvad WAYF er. Men fremover bliver WAYF altså helt skjult for brugerne ved de tjenester som får NemLog-in gennem WAYF. Digitaliseringsstyrelsen har dog endnu ikke implementeret den her funktionalitet – vi håber den kommer i løbet af 2023.
Det er endnu uklart hvornår kravene – om afkryptering og risikovurdering – træder uafvendeligt i kraft; men det bliver formentlig inden udgangen af første kvartal af 2023. Vi anbefaler derfor at man tager fat på at opfylde dem straks. Bemærk at de krav og de øvrige beskrevne ændringer ikke kan undgås – man vil møde dem uanset om man får NemLog-in3 gennem WAYF, en anden gateway eller direkte fra Digitaliseringsstyrelsen. Det sidste vil dog kræve en del mere papirarbejde og en noget større integrationsindsats og være mindre fleksibelt ift. en tilslutning gennem WAYF (fx kan man bruge gratis certifikater med WAYF); og på den måde kan WAYF fortsat skabe god værdi for tjenesteudbyderne som formidler af NemLog-in. I praksis vil man som tjenesteudbyder også få mere support hos WAYF (gratis) end man formentlig ville hos fx Digitaliseringsstyrelsen. Og hvis en udbyder allerede er tilsluttet NemLog-in2 gennem WAYF, vil overgangen til NemLog-in3 altså kræve markant færre ændringer i det tekniske setup end ved en direkte forbindelse til Digitaliseringsstyrelsen.