DataHub Forbrugeradgangsløsning NemID Quick ... - Energinet.dk
DataHub Forbrugeradgangsløsning NemID Quick ... - Energinet.dk
DataHub Forbrugeradgangsløsning NemID Quick ... - Energinet.dk
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>DataHub</strong><br />
<strong>Forbrugeradgangsløsning</strong><br />
<strong>NemID</strong> <strong>Quick</strong> Guide<br />
Dok 75936-12_v1, Sag 10/3365 1/6<br />
20. august 2012<br />
JHH/MEH
Indhold<br />
1. NemId/Digital Signatur ..................................................................... 3<br />
2. Tjenesteudbyderaftaler..................................................................... 3<br />
2.1 Selve aftalen ........................................................................ 3<br />
2.2 Adgang til DanIDs testsystem ................................................ 4<br />
2.3 Overgang til produktion ......................................................... 4<br />
3. Implementering af <strong>NemID</strong>/Digital signatur ......................................... 5<br />
4. Implementer token generering .......................................................... 5<br />
5. SSL ................................................................................................ 5<br />
6. CSS ............................................................................................... 5<br />
7. Implementering af <strong>Forbrugeradgangsløsning</strong> ....................................... 6<br />
8. Checkliste ....................................................................................... 6<br />
Dok 75936-12_v1, Sag 10/3365 2/6
Formålet med dette dokument er at give et hurtigt overblik over de aktiviteter,<br />
der skal til for at opfylde de krav, der bliver stillet til elleverandørerne i forbin-<br />
delse med implementering af <strong>Forbrugeradgangsløsning</strong>en.<br />
For yderligere information henvises til den detaljerede dokumentation, der fin-<br />
des <strong>DataHub</strong>-projektets hjemmeside www.energinet/datahub.<strong>dk</strong>.<br />
1. NemId/Digital Signatur<br />
Inden man går i gang, skal man afklare, om man vil implementere både NemId<br />
og Digital Signatur som adgang til <strong>DataHub</strong> via <strong>Forbrugeradgangsløsning</strong>en.<br />
Implementering af <strong>NemID</strong> som adgangskontrol er et krav, men det anbefales,<br />
at man samtidigt implementerer Digital Signatur.<br />
Såfremt man ikke implementerer adgang med Digital Signatur, vil man afskære<br />
en stor del af erhvervskunderne fra at anvende <strong>Forbrugeradgangsløsning</strong>en,<br />
idet de fleste af erhvervskunderne stadig anvender denne form for adgangskontrol.<br />
Dertil kommer, at man vil afskære et mindre antal privatkunder, som også<br />
fortsat anvender Digital Signatur. Slutteligt vil en gruppe kunder, der har valgt<br />
at have den adgangsløsning som DanID kalder <strong>NemID</strong> med lokal nøgleopbevaring<br />
blive afskåret fra at kunne anvende løsningen.<br />
Den ekstra indsats, der skal til for både at implementere NemId og Digital Signatur,<br />
er minimal i forhold til kun at skulle implementere NemId alene.<br />
2. Tjenesteudbyderaftaler<br />
Hvis man allerede har en tjenesteudbyderaftale med DanId kan man springe<br />
dette kapitel over og gå direkte til afsnittet om implementering af NemId/Digital<br />
signatur.<br />
2.1 Selve aftalen<br />
Først og fremmest skal der indgås en såkaldt Tjenesteudbyderaftale med Nets<br />
DanID. Dette gøres via formularen på deres hjemmeside<br />
https://www.nets-danid.<strong>dk</strong>/produkter/for_tjenesteudbydere/nemid_tjenesteudbyder/bestil_nemid_tjenesteudbyder/<br />
I den forbindelse skal man vælge hvilken licensmodel man vil have.<br />
Man betaler enten for hver enkeltbruger eller pr. session.<br />
Enkeltbruger modellen anbefales kun, hvis man har et system med få brugere,<br />
der hver har mange sessioner.<br />
Når man indgår tjenesteudbyderaftalen, skal der vælges et prettyname, som er<br />
det, der vil blive vist i NemId appletten. Det er vigtigt, at prettyname vælges<br />
med omhu, da det ikke kan ændres senere.<br />
Hvis man skal have adgang til PID/cpr tjenesten kan det bestilles her:<br />
https://www.nets-danid.<strong>dk</strong>/produkter/for_tjenesteudbydere/pid_cpr-<br />
tjeneste/bestil_pid_cpr-tjeneste/<br />
Dok 75936-12_v1, Sag 10/3365 3/6
Vær opmærksom på, at CPR-nummer opslag kun tillades for offentlige virksomheder.<br />
2.2 Adgang til DanIDs testsystem<br />
Når tjenesteudbyderaftalen er på plads, skal der bestilles adgang til DanIds<br />
testsystemer.<br />
Dette gøres via formularen:<br />
https://www.netsdanid.<strong>dk</strong>/produkter/for_tjenesteudbydere/nemid_tjenesteudbyder/nemid_tjenesteudbyder_support/skriv_til_nemid_tjenes<br />
teudbyder_support/adgang_til_testsystem/.<br />
I forbindelse med bestillingen af adgangen til testsystemet er der 2 ting, som<br />
man skal være opmærksom på:<br />
1. Man skal huske at bestille en test virksomhedssignatur (VOCES), hvis<br />
man ikke har en sådan i forvejen. Denne skal anvendes til signering af<br />
applet parametrene og eventuelt til at lave opslag i DanIDs PID tjeneste,<br />
hvis det er nødvendigt.<br />
2. Man skal opgive den eksterne ip-adresse på testserveren. Årsagen til<br />
dette er, at DanID gerne vil begrænse adgangen til testsystemet.<br />
2.3 Overgang til produktion<br />
Når man skal overgå til produktion, skal der først og fremmest bestilles et produktions<br />
VOCES. I den forbindelse er det vigtigt at referere til Tjenesteudbyder-<br />
aftalen, da certifikatet ellers koster en ikke-negligerbar sum.<br />
Når produktions VOCES er på plads, skal man bestille adgang til produktion på<br />
DanIDs hjemmeside via formularen:<br />
https://www.netsdanid.<strong>dk</strong>/produkter/for_tjenesteudbydere/nemid_tjenesteudbyder/nemid_tjenesteudbyder_support/skriv_til_nemid_tjenes<br />
teudbyder_support/adgang_til_produktionssystem/<br />
I den forbindelse skal man bruge UID fra produktionscertifikatet. UID kan man<br />
få ved at installere certifikatet lokalt på en Windows maskine, hvorefter man<br />
kan gå ind og kikke på dets egenskaber i MMC:<br />
- Skriv mmc i Startmenuen<br />
- Når mmc er startet op, vælg da filer->tilføj/fjern snapin<br />
- Vælg snapin ”certifikater”<br />
- Vælg ”min brugerkonto”<br />
- Luk vinduet til tilføjelse af snapin<br />
- Kig i certifikater->personlige. Her vil certifikatet ligge som default<br />
- Vælg egenskaber for certifikatet<br />
- Oplysningen om UID’en ligger i emne/subject<br />
Dok 75936-12_v1, Sag 10/3365 4/6
3. Implementering af <strong>NemID</strong>/Digital signatur<br />
Der findes to muligheder for implementering af Log-in med <strong>NemID</strong>:<br />
1. Man kan hente Tjenesteudbyderpakken/TU pakken hos DanId. TUpakken<br />
indeholder alt, hvad man skal bruge for at implementere NemId<br />
Log-in, og den understøtter både java og C# .inet. Pakken er gratis. Det<br />
kræver en vis indsigt og en del tid at implementere NemId ud fra TUpakken.<br />
2. Man kan vælge at få en leverandør til at implementere løsningen. Der<br />
findes 2-3 forskellige aktører på det danske marked, der tilbyder implementering<br />
af NemId Log-in.<br />
Resultatet af NemId er, at man står med brugerens certifikat i hånden. Det, der<br />
i certifikatet identificerer brugeren entydigt, er det såkaldte subject serial number.<br />
Det er det, der skal sendes med i token som identifikation af brugeren. For<br />
privatbrugere indeholder det strengen PID:XXXXX, hvor XXXXX er et 8 eller 13<br />
cifret tal. For medarbejdercertifikater og NemId til erhverv indeholder det<br />
strengen CVR:YYYYY,RID:ZZZZZ hvor YYYYY er virksomhedens CVR-nummer og<br />
ZZZZZ er et såkaldt rolleid, som entydigt identificerer medarbejderen.<br />
4. Implementer token generering<br />
Når brugerens subject serial number - også kaldet SSN – er tilgængelig, er man<br />
klar til at implementere genereringen af de sikkerhedstokens, der skal overføre<br />
brugerens identitet til <strong>DataHub</strong>’en.<br />
Sikkerhedstokenet består af en SAML 2.0 assertion, hvor issuer er den elleve-<br />
randør, der har autentificeret brugeren ved hjælp af hans NemId. Subject er<br />
brugerens SSN. Endeligt er det muligt at medsende et prettyname som attribut.<br />
Sikkerhedstokenet skal underskrives med elleverandørens virksomhedscertifikat,<br />
det såkaldte VOCES. Med denne underskrift attesterer elleverandøren, at<br />
man har autentificeret brugeren med NemId, og at han derfor har lov til at se<br />
sine forbrugsdata. Underskriftsmetoden skal være RSA med SHA256.<br />
Det skal i den forbindelse understreges, at det er et krav, at elleverandøren<br />
autentificerer brugeren med NemId hver eneste gang, han skal have vist data<br />
fra <strong>DataHub</strong>’en. Det er med andre ord ikke tilladt at anvende et cached SSN til<br />
at genere tokens med.<br />
5. SSL<br />
Det anbefales, at man som elleverandør anvender HTTPS med servercertifikat<br />
på Log-in siderne og på de sider, som indeholder <strong>Forbrugeradgangsløsning</strong>en/<br />
iFramen.<br />
6. CSS<br />
Elleverandørerne har i nogen grad mulighed for at påvirke, hvordan indholdet af<br />
<strong>Forbrugeradgangsløsning</strong>en/ iFramen kommer til at se ud.<br />
Dok 75936-12_v1, Sag 10/3365 5/6
Dette gøres ved at sammensætte et CSS stylesheet efter de design retningslini-<br />
er, som er blevet besluttet. Læs mere om design retningslinierne på hjemmesiden<br />
www.energinet.<strong>dk</strong>/datahub.<br />
7. Implementering af <strong>Forbrugeradgangsløsning</strong>en/<br />
iFramen<br />
Når man har NemId Log-in, token generering, SSL servercertifikat og CSS stylesheet<br />
på plads, er man parat til at implementere siden med iFrame applikatio-<br />
nen.<br />
Læs mere om retningslinier for størrelse og parametre på<br />
www.energinet.<strong>dk</strong>/datahub.<br />
8. Checkliste<br />
Check Opgave Ansvarlig<br />
Vælg <strong>NemID</strong> eller NedID/Digital Signatur<br />
løsning<br />
Tjenesteudbyderaftale JA/NEJ<br />
- Hvis NEJ, indgå Tjenesteudbyderaftale<br />
og vælg licensmodel, prettyname<br />
og bestil eventuelt PID/CPR tjeneste<br />
Test Virksomhedssignatur JA/NEJ<br />
- Hvis nej bestil Test Virksomhedssignatur/VOCES<br />
Bestil adgang til DanId testsystem<br />
Bestil Produktions Virksomhedssignatur/produktions<br />
VOCES<br />
Bestil adgang til DanId produktionsadgang<br />
Vælg implementeringsform af <strong>NemID</strong>/Digital<br />
Signatur<br />
Implementering af<br />
Generering af signerede SAML 2.0 assertioner<br />
med RSA/SHA2456<br />
Implementer SSL servercertifikat til den<br />
webserver, der skal præsentere login siderne<br />
og Forbrugeradgangssiden/ iFramen<br />
Anvend CSS stylesheet til formatering af<br />
<strong>Forbrugeradgangsløsning</strong>en/ iFramen i for-<br />
hold til individuelle ønsker<br />
Implementer siden med Forbrugeradgangs-<br />
løsningen/ iFramen<br />
Dok 75936-12_v1, Sag 10/3365 6/6