DataHub Forbrugeradgangsløsning NemID Quick ... - Energinet.dk

DataHub
Forbrugeradgangsløsning
NemID Quick Guide
Dok 75936-12_v1, Sag 10/3365 1/6
20. august 2012
JHH/MEH

Indhold
1. NemId/Digital Signatur ..................................................................... 3
2. Tjenesteudbyderaftaler..................................................................... 3
2.1 Selve aftalen ........................................................................ 3
2.2 Adgang til DanIDs testsystem ................................................ 4
2.3 Overgang til produktion ......................................................... 4
3. Implementering af NemID/Digital signatur ......................................... 5
4. Implementer token generering .......................................................... 5
5. SSL ................................................................................................ 5
6. CSS ............................................................................................... 5
7. Implementering af Forbrugeradgangsløsning ....................................... 6
8. Checkliste ....................................................................................... 6
Dok 75936-12_v1, Sag 10/3365 2/6

Formålet med dette dokument er at give et hurtigt overblik over de aktiviteter,
der skal til for at opfylde de krav, der bliver stillet til elleverandørerne i forbin-
delse med implementering af Forbrugeradgangsløsningen.
For yderligere information henvises til den detaljerede dokumentation, der fin-
des DataHub-projektets hjemmeside www.energinet/datahub.dk.
1. NemId/Digital Signatur
Inden man går i gang, skal man afklare, om man vil implementere både NemId
og Digital Signatur som adgang til DataHub via Forbrugeradgangsløsningen.
Implementering af NemID som adgangskontrol er et krav, men det anbefales,
at man samtidigt implementerer Digital Signatur.
Såfremt man ikke implementerer adgang med Digital Signatur, vil man afskære
en stor del af erhvervskunderne fra at anvende Forbrugeradgangsløsningen,
idet de fleste af erhvervskunderne stadig anvender denne form for adgangskontrol.
Dertil kommer, at man vil afskære et mindre antal privatkunder, som også
fortsat anvender Digital Signatur. Slutteligt vil en gruppe kunder, der har valgt
at have den adgangsløsning som DanID kalder NemID med lokal nøgleopbevaring
blive afskåret fra at kunne anvende løsningen.
Den ekstra indsats, der skal til for både at implementere NemId og Digital Signatur,
er minimal i forhold til kun at skulle implementere NemId alene.
2. Tjenesteudbyderaftaler
Hvis man allerede har en tjenesteudbyderaftale med DanId kan man springe
dette kapitel over og gå direkte til afsnittet om implementering af NemId/Digital
signatur.
2.1 Selve aftalen
Først og fremmest skal der indgås en såkaldt Tjenesteudbyderaftale med Nets
DanID. Dette gøres via formularen på deres hjemmeside
https://www.nets-danid.dk/produkter/for_tjenesteudbydere/nemid_tjenesteudbyder/bestil_nemid_tjenesteudbyder/
I den forbindelse skal man vælge hvilken licensmodel man vil have.
Man betaler enten for hver enkeltbruger eller pr. session.
Enkeltbruger modellen anbefales kun, hvis man har et system med få brugere,
der hver har mange sessioner.
Når man indgår tjenesteudbyderaftalen, skal der vælges et prettyname, som er
det, der vil blive vist i NemId appletten. Det er vigtigt, at prettyname vælges
med omhu, da det ikke kan ændres senere.
Hvis man skal have adgang til PID/cpr tjenesten kan det bestilles her:
https://www.nets-danid.dk/produkter/for_tjenesteudbydere/pid_cpr-
tjeneste/bestil_pid_cpr-tjeneste/
Dok 75936-12_v1, Sag 10/3365 3/6

Vær opmærksom på, at CPR-nummer opslag kun tillades for offentlige virksomheder.
2.2 Adgang til DanIDs testsystem
Når tjenesteudbyderaftalen er på plads, skal der bestilles adgang til DanIds
testsystemer.
Dette gøres via formularen:
https://www.netsdanid.dk/produkter/for_tjenesteudbydere/nemid_tjenesteudbyder/nemid_tjenesteudbyder_support/skriv_til_nemid_tjenes
teudbyder_support/adgang_til_testsystem/.
I forbindelse med bestillingen af adgangen til testsystemet er der 2 ting, som
man skal være opmærksom på:
1. Man skal huske at bestille en test virksomhedssignatur (VOCES), hvis
man ikke har en sådan i forvejen. Denne skal anvendes til signering af
applet parametrene og eventuelt til at lave opslag i DanIDs PID tjeneste,
hvis det er nødvendigt.
2. Man skal opgive den eksterne ip-adresse på testserveren. Årsagen til
dette er, at DanID gerne vil begrænse adgangen til testsystemet.
2.3 Overgang til produktion
Når man skal overgå til produktion, skal der først og fremmest bestilles et produktions
VOCES. I den forbindelse er det vigtigt at referere til Tjenesteudbyder-
aftalen, da certifikatet ellers koster en ikke-negligerbar sum.
Når produktions VOCES er på plads, skal man bestille adgang til produktion på
DanIDs hjemmeside via formularen:
https://www.netsdanid.dk/produkter/for_tjenesteudbydere/nemid_tjenesteudbyder/nemid_tjenesteudbyder_support/skriv_til_nemid_tjenes
teudbyder_support/adgang_til_produktionssystem/
I den forbindelse skal man bruge UID fra produktionscertifikatet. UID kan man
få ved at installere certifikatet lokalt på en Windows maskine, hvorefter man
kan gå ind og kikke på dets egenskaber i MMC:
- Skriv mmc i Startmenuen
- Når mmc er startet op, vælg da filer->tilføj/fjern snapin
- Vælg snapin ”certifikater”
- Vælg ”min brugerkonto”
- Luk vinduet til tilføjelse af snapin
- Kig i certifikater->personlige. Her vil certifikatet ligge som default
- Vælg egenskaber for certifikatet
- Oplysningen om UID’en ligger i emne/subject
Dok 75936-12_v1, Sag 10/3365 4/6

3. Implementering af NemID/Digital signatur
Der findes to muligheder for implementering af Log-in med NemID:
1. Man kan hente Tjenesteudbyderpakken/TU pakken hos DanId. TUpakken
indeholder alt, hvad man skal bruge for at implementere NemId
Log-in, og den understøtter både java og C# .inet. Pakken er gratis. Det
kræver en vis indsigt og en del tid at implementere NemId ud fra TUpakken.
2. Man kan vælge at få en leverandør til at implementere løsningen. Der
findes 2-3 forskellige aktører på det danske marked, der tilbyder implementering
af NemId Log-in.
Resultatet af NemId er, at man står med brugerens certifikat i hånden. Det, der
i certifikatet identificerer brugeren entydigt, er det såkaldte subject serial number.
Det er det, der skal sendes med i token som identifikation af brugeren. For
privatbrugere indeholder det strengen PID:XXXXX, hvor XXXXX er et 8 eller 13
cifret tal. For medarbejdercertifikater og NemId til erhverv indeholder det
strengen CVR:YYYYY,RID:ZZZZZ hvor YYYYY er virksomhedens CVR-nummer og
ZZZZZ er et såkaldt rolleid, som entydigt identificerer medarbejderen.
4. Implementer token generering
Når brugerens subject serial number - også kaldet SSN – er tilgængelig, er man
klar til at implementere genereringen af de sikkerhedstokens, der skal overføre
brugerens identitet til DataHub’en.
Sikkerhedstokenet består af en SAML 2.0 assertion, hvor issuer er den elleve-
randør, der har autentificeret brugeren ved hjælp af hans NemId. Subject er
brugerens SSN. Endeligt er det muligt at medsende et prettyname som attribut.
Sikkerhedstokenet skal underskrives med elleverandørens virksomhedscertifikat,
det såkaldte VOCES. Med denne underskrift attesterer elleverandøren, at
man har autentificeret brugeren med NemId, og at han derfor har lov til at se
sine forbrugsdata. Underskriftsmetoden skal være RSA med SHA256.
Det skal i den forbindelse understreges, at det er et krav, at elleverandøren
autentificerer brugeren med NemId hver eneste gang, han skal have vist data
fra DataHub’en. Det er med andre ord ikke tilladt at anvende et cached SSN til
at genere tokens med.
5. SSL
Det anbefales, at man som elleverandør anvender HTTPS med servercertifikat
på Log-in siderne og på de sider, som indeholder Forbrugeradgangsløsningen/
iFramen.
6. CSS
Elleverandørerne har i nogen grad mulighed for at påvirke, hvordan indholdet af
Forbrugeradgangsløsningen/ iFramen kommer til at se ud.
Dok 75936-12_v1, Sag 10/3365 5/6

Dette gøres ved at sammensætte et CSS stylesheet efter de design retningslini-
er, som er blevet besluttet. Læs mere om design retningslinierne på hjemmesiden
www.energinet.dk/datahub.
7. Implementering af Forbrugeradgangsløsningen/
iFramen
Når man har NemId Log-in, token generering, SSL servercertifikat og CSS stylesheet
på plads, er man parat til at implementere siden med iFrame applikatio-
nen.
Læs mere om retningslinier for størrelse og parametre på
www.energinet.dk/datahub.
8. Checkliste
Check Opgave Ansvarlig
Vælg NemID eller NedID/Digital Signatur
løsning
Tjenesteudbyderaftale JA/NEJ
- Hvis NEJ, indgå Tjenesteudbyderaftale
og vælg licensmodel, prettyname
og bestil eventuelt PID/CPR tjeneste
Test Virksomhedssignatur JA/NEJ
- Hvis nej bestil Test Virksomhedssignatur/VOCES
Bestil adgang til DanId testsystem
Bestil Produktions Virksomhedssignatur/produktions
VOCES
Bestil adgang til DanId produktionsadgang
Vælg implementeringsform af NemID/Digital
Signatur
Implementering af
Generering af signerede SAML 2.0 assertioner
med RSA/SHA2456
Implementer SSL servercertifikat til den
webserver, der skal præsentere login siderne
og Forbrugeradgangssiden/ iFramen
Anvend CSS stylesheet til formatering af
Forbrugeradgangsløsningen/ iFramen i for-
hold til individuelle ønsker
Implementer siden med Forbrugeradgangs-
løsningen/ iFramen
Dok 75936-12_v1, Sag 10/3365 6/6