Ny funktionalitet

Nedenfor kan du læse mere om elementerne i signeringsløsningen. Hvad ændringerne betyder for jer som tjenesteudbyder og hvad I skal gøre for at komme i gang med løsningen.

• Signeringsformater

  Signering med NemID bruger et såkaldt XMLdSig-format (OpenSign) ved underskrift af elektroniske dokumenter. Det er med signering med MitID erstattet af nye formater: XAdES- og PAdES (XML Advanced digital Electronic Signatures og PDF Advanced digital Electronic Signatures).

  Skiftet af formater har betydning for jer som tjenesteudbyder, hvis I i dag anvender signering med NemID - særligt hvis I har systemer, der laver dyb teknisk integration med signaturen og læser specifikke elementer ud af det signerede dokument, som fx certifikatet.
  
  

  Input og output-formater
  Det er derfor nødvendigt, at I overvejer, hvilket input- og output-format I ønsker at bruge. Der understøttes de samme input-formater i NemLog-in signering, som I NemID signering,  det vil sige tekst, HTML, PDF eller XML. Output-formaterne ændrer sig derimod. I skal derfor beslutte, om I vil bruge XAdES eller PAdES. I kan vælge output-format uafhængigt af input-format. Hvis I anvender PAdES kan I med eksempelvis Adobe Acrobat Reader se, at dokumentet er signeret og af hvem.

  Hvis I i dag anvender signering med NemID via en it-leverandør, bør I forhøre jer hos leverandøren, om skift af signaturformat får betydning for jer som tjenesteudbyder. Hvis jeres leverandør fx har tilføjet et abstraktionslag mellem jeres tjeneste og selve den elektroniske signatur, kan det betyde, at I ikke selv skal foretage ændringer.

  Elektroniske signaturer der er lavet i det gamle format bliver ikke ugyldige. De opnår blot ikke de fordele, der er knyttet til de nye formater.

• Opbevaring af signaturbeviser

  Ved signering med MitID vil signaturbeviset automatisk være en integreret del af det signerede dokument.

  Hvis I som tjenesteudbyder ønsker at opbevare en lokal kopi af signaturbeviset, skal I blot gemme en kopi af det signerede dokument.

• Opslagstjenester

  Dokumentation til opslagstjenester og match-tjenester (Supporting Services) findes i linket nedenfor. Dokumentationen indeholder teknisk information til tjenesteudbydere om, hvordan I tilgår og foretager forespørgsler i de nye opslagstjenester i NemLog-in. Der er beskrevet både opslagstjenester og match-tjenester.

  Materialet består af:

  • Introduktion og beskrivelser af identifiers
  • Opslagstjenester
  • UUID-match

  Hent dokumentation til opslagstjenester version 1.6 (PDF)

• Ny integration

  Med MitID signering foregår integrationen med SignSDK, der er tilgængeligt i Java og C#.

  I skal desuden integrere signeringsklienten direkte på jeres hjemmeside i stedet for at anvende den klient, I evt. har til signering med NemID. 

  Den nye signeringsklient holder det dokument, som skal signeres, i brugerens browser uden at sende til den nye back-end.

• Identifikation af underskriver (offentlig tjenesteudbyder)

  Når en privat person har underskrevet et dokument, får den pågældende tjenesteudbyder det underskrevne dokument retur. Det er som regel nødvendigt for tjenesteudbyderen at kontrollere identiteten af underskriver.  

  I signering med NemID foregår kontrollen ved at udtrække brugerens PID fra signeringscertifikatet (POCES) og foretage CPR-opslag.  

  Signering med MitID anvender ikke PID i signeringscertifikater. I stedet anvender løsningen et UUID for personsignaturer.  

  For personsignaturer er der to typer UUID: 

  • Sessionsspecifikt UUID: Der udstedes et nyt UUID for hver signatur, en person afgiver. Det betyder, at det ikke umiddelbart kan udledes af to underskrevne dokumenter, om det er samme bruger, der har skrevet under. 
  • Globalt UUID: Der anvendes samme UUID, hver gang en person signerer.  

   

  Det er altså ikke muligt at kontrollere underskrivers identitet vha. PID-opslag. Læs mere om UUID  

  Læs dokumentation til opslagstjenester 

   
  Hvilke muligheder har I for at identificere underskriver? 

  Der er forskellige måder at identificere den, der har skrevet under med MitID: 

  • Anvend SubjectMatchesSigner: Denne metode kræver, at brugeren logger ind hos samme tjenesteudbyder, inden brugeren underskriver et dokument. Læs mere om SubjectMatchesSigner i dokumentationen til opslagstjenester 
  • Anvend global identifikator i signeringscertifikat, og lav efterfølgende et direkte opslag i Datafordeler med globalt UUID (CPRUUID). Læs om CPR-opslag i Datafordeler  
  • Anvend CPRUUIDMatchesSigner: Hvis tjenesteudbyderen har kendskab til underskrivers CPRUUID fra Datafordeler eller ved tidligere login med OIOSAML3, kan det også bruges i et match-opslag. Læs mere om CPRUUIDMatchesSigner i dokumentationen til opslagstjenester 
  • Anvend CPRMatchesSigner: Dette opslag svarer til PID-CPR match og kan anvendes af alle tjenesteudbydere. Opslaget afgør, om UUID fra signeringscertifikatet (globalt eller sessionsspecifikt) tilhører en person med et givet CPR-nummer. Dette opslag bliver først tilgængelig i en senere version af Opslagstjenesterne. 
     

  Hvis brugeren skal logge ind på din tjeneste, før brugeren skriver under, anbefaler vi, at du anvender SubjectMatchesSigner

• Identifikation af underskriver (privat tjenesteudbyder)

  Når en privat person har underskrevet et dokument, får den pågældende tjenesteudbyder det underskrevne dokument retur. Det er som regel nødvendigt for tjenesteudbyderen at kontrollere identiteten af underskriver.  

  I signering med NemID foregår kontrollen ved at udtrække brugerens PID fra signeringscertifikatet (POCES) og foretage PID-CPR-match-opslag. 

  Signering med MitID anvender ikke PID i signeringscertifikater. I stedet anvender løsningen et UUID for personsignaturer.  

  For personsignaturer er der to typer UUID: 

  • Sessionsspecifikt UUID: Der udstedes et nyt UUID for hver signatur, en person afgiver. Det betyder, at det ikke umiddelbart kan udledes af to underskrevne dokumenter, om det er samme bruger, der har skrevet under.
  • Globalt UUID: Der anvendes samme UUID, hver gang en person signerer.  

  
  Det er altså ikke muligt at kontrollere underskrivers identitet vha. PID-opslag. Læs mere om UUID  

  Læs dokumentation til opslagstjenester 

  Hvilke muligheder har I for at identificere underskriver? 

  Der er forskellige måder at identificere den, der har skrevet under med MitID: 

  • Anvend SubjectMatchesSigner: Denne metode kræver, at brugeren logger ind hos samme tjenesteudbyder, inden brugeren underskriver et dokument. Læs mere om SubjectMatchesSigner i dokumentationen til opslagstjenester
  • Anvend CPRUUIDMatchesSigner: Hvis tjenesteudbyderen har kendskab til underskrivers CPRUUID fra tidligere login med OIOSAML3, kan det også bruges i et match-opslag. Læs mere om CPRUUIDMatchesSigner i dokumentationen til opslagstjenester
  • Anvend CPRMatchesSigner: Dette opslag svarer til PID-CPR match og kan anvendes af alle tjenesteudbydere. Opslaget afgør, om UUID fra signeringscertifikatet (globalt eller sessionsspecifikt) tilhører en person med et givet CPR-nummer. Dette opslag bliver først tilgængelig i en senere version af Opslagstjenesterne. 

  Hvis brugeren skal logge ind på din tjeneste, før brugeren skriver under, anbefaler vi, at du anvender SubjectMatchesSigner.

• Signeringsprofiler

  Ved signering med MitID sker der et skift i signeringsprofilerne.

  Læs mere om signeringsprofilerne