NemLog-In (MitID) broker
Initial considerations
...
Mogens Kjeldsen (Unlicensed) have written to Digitaliseringsstyrelsen to clarify if we can get the user's CPR-number as part of a login proces or if there need to be a verification step.
The answer (see below) was, that it was possible to get the user’s CPR-number without a verification step and the solution was done using this flow.
Answer from Digitaliseringsstyrelsen
Answer in red from Kathrine Stilling, NemLog-in forvaltningen, Kontor for MitID erhverv og digitale serviceområder (KMDS) received on
Som vi forstår det, skal den private leverandør registreres som it-systemudbyder, fordi OS2valghalla skal hostes af en leverandør, som kommer til at være ”Multi-tenant leverandør” for de tilsluttede kommuner, som i denne sammenhæng benævnes ”Tjenesteudbydere”. -Ja det er korrrekt
Jeg vil gerne sikre mig, at vi har forstået vilkårene for NemLog-in korrekt? Særligt fordi vi lige nu skal have afklaret, om vi kan få udviklet OS2valghalla, så systemet automatisk modtager brugerens CPR-nummer ved login med MitID. - Jeg skal ikke kunne se hvordan i vil udvikle på OS2, men går heller ikke ud fra at det er det som du spørger til, men hvis jeres it-leverandør kan beskrive i oprettelsen af de 22 kommuner det drejer sig om de skal være multi-tenant for og i det også beskriver at det er årsagen til at dette multi-tenat it-system skal være offentligt, må I i systemet godt modtage jeres brugers CPR-nummer ved login.Det gælder som sagt kun for offentlige organisationer at man må få sine brugeres cpr-nummer.
Kan I svare på, om det med denne konstruktion vil være muligt for den private leverandør at lave et direkte CPR-opslag ved MitID-identifikation? Eller om det vil være påkrævet med et trin i brugeroprettelsen, hvor der skal være et CPR-nummer match baseret på et CPR-nummer, som brugeren indtaster? - Hvis jeg forstår dit spørgsmål korrekt så er det således: Leverandøren kan via NemLog-in’s autentifikationsservice modtage Autentifikationer på vegne af Tjenesteudbydere. NemLog-in håndterer alle de tekniske forhold vedr. Autentifikation af Slutbrugeren. På baggrund af de leverede Services kan Leverandøren på vegne af sine Tjenesteudbydere opnå følgende i et tilsluttet it-system: • Autentifikation ved anvendelse af de Identifikationsmidler, der understøttes af NemLog-in, herunder MitID • Single sign on (til offentlige Tjenesteudbydere) Autentifikationssvar baseret på MitID indeholder ikke MitID risikodata
Jeg linker til vores vilkår for multi-tenat her, der kan du/I finde flere oplysninger om tilslutning som multi-tenat. https://cms.nemlog-in.dk/media/hyglxuyt/multi-tenant-tilsluttet-nemlog-in-v-1-1.pdf.