Ny funktionalitet - Information til Tjenesteudbydere

Nedenfor kan du læse mere om elementerne i signeringsløsningen. Hvad ændringerne betyder for jer som tjenesteudbyder og hvad I skal gøre for at komme i gang med løsningen.

Signering med NemID anvendte et såkaldt XMLdSig-format (OpenSign) ved underskrift af elektroniske dokumenter. Det er med signering med MitID erstattet af nye formater: XAdES- og PAdES (XML Advanced digital Electronic Signatures og PDF Advanced digital Electronic Signatures).

Input og output-formater
Det er nødvendigt, at I overvejer, hvilket input- og output-format I ønsker at bruge. Der understøttes de samme input-formater i NemLog-in signering, som blev anvendt i NemID signering. Det vil sige tekst, HTML, PDF eller XML. Output-formaterne har derimod ændret sig. I skal derfor beslutte, om I vil bruge XAdES eller PAdES. I kan vælge output-format uafhængigt af input-format. Hvis I anvender PAdES kan I med eksempelvis Adobe Acrobat Reader se, at dokumentet er signeret og af hvem.

Elektroniske signaturer der er lavet i det gamle format bliver ikke ugyldige. De opnår blot ikke de fordele, der er knyttet til de nye formater.
Dokumentation til opslagstjenester og match-tjenester (Supporting Services) findes i linket nedenfor. Dokumentationen indeholder teknisk information til tjenesteudbydere om, hvordan I tilgår og foretager forespørgsler i de nye opslagstjenester i NemLog-in. Der er beskrevet både opslagstjenester og match-tjenester.

Materialet består af:
- Introduktion og beskrivelser af identifiers
- Opslagstjenester
- UUID-match
Hent dokumentation til opslagstjenester version 1.9.1 (06-11-2023) (PDF)
Når en privat person har underskrevet et dokument, får den pågældende tjenesteudbyder det underskrevne dokument retur. Det er som regel nødvendigt for tjenesteudbyderen at kontrollere identiteten af underskriver.

I signering med NemID foregik kontrollen ved at udtrække brugerens PID fra signeringscertifikatet (POCES) og foretage CPR-opslag.

Signering med MitID anvender ikke PID i signeringscertifikater. I stedet anvender løsningen et UUID for personsignaturer.

For personsignaturer er der to typer UUID:
- Sessionsspecifikt UUID: Der udstedes et nyt UUID for hver signatur, en person afgiver. Det betyder, at det ikke umiddelbart kan udledes af to underskrevne dokumenter, om det er samme bruger, der har skrevet under.
- Globalt UUID: Der anvendes samme UUID, hver gang en person signerer.
Det er altså ikke muligt at kontrollere underskrivers identitet vha. PID-opslag.

Læs dokumentation til opslagstjenester

Hvilke muligheder har I for at identificere underskriver?

Der er forskellige måder at identificere den, der har skrevet under med MitID:
- Anvend SubjectMatchesSigner: Denne metode kræver, at brugeren logger ind hos samme tjenesteudbyder, inden brugeren underskriver et dokument. Læs mere om SubjectMatchesSigner i dokumentationen til opslagstjenester
- Anvend global identifikator i signeringscertifikat, og lav efterfølgende et direkte opslag i Datafordeler med globalt UUID (CPRUUID). Læs om CPR-opslag i Datafordeler
- Anvend CPRUUIDMatchesSigner: Hvis tjenesteudbyderen har kendskab til underskrivers CPRUUID fra Datafordeler eller ved tidligere login med OIOSAML3, kan det også bruges i et match-opslag. Læs mere om CPRUUIDMatchesSigner i dokumentationen til opslagstjenester
- Anvend CPRMatchesSigner: Dette opslag svarer til PID-CPR match og kan anvendes af alle tjenesteudbydere. Opslaget afgør, om UUID fra signeringscertifikatet (globalt eller sessionsspecifikt) tilhører en person med et givet CPR-nummer. Dette opslag bliver først tilgængelig i en senere version af Opslagstjenesterne.
Hvis brugeren skal logge ind på din tjeneste, før brugeren skriver under, anbefaler vi, at du anvender SubjectMatchesSigner
Når en privat person har underskrevet et dokument, får den pågældende tjenesteudbyder det underskrevne dokument retur. Det er som regel nødvendigt for tjenesteudbyderen at kontrollere identiteten af underskriver.

I signering med NemID foregik kontrollen ved at udtrække brugerens PID fra signeringscertifikatet (POCES) og foretage PID-CPR-match-opslag.

Signering med MitID anvender ikke PID i signeringscertifikater. I stedet anvender løsningen et UUID for personsignaturer.

For personsignaturer er der to typer UUID:
- Sessionsspecifikt UUID: Der udstedes et nyt UUID for hver signatur, en person afgiver. Det betyder, at det ikke umiddelbart kan udledes af to underskrevne dokumenter, om det er samme bruger, der har skrevet under.
- Globalt UUID: Der anvendes samme UUID, hver gang en person signerer.
Det er altså ikke muligt at kontrollere underskrivers identitet vha. PID-opslag.

Læs dokumentation til opslagstjenester

Hvilke muligheder har I for at identificere underskriver?

Der er forskellige måder at identificere den, der har skrevet under med MitID:
- Anvend SubjectMatchesSigner: Denne metode kræver, at brugeren logger ind hos samme tjenesteudbyder, inden brugeren underskriver et dokument. Læs mere om SubjectMatchesSigner i dokumentationen til opslagstjenester
- Anvend CPRUUIDMatchesSigner: Hvis tjenesteudbyderen har kendskab til underskrivers CPRUUID fra tidligere login med OIOSAML3, kan det også bruges i et match-opslag. Læs mere om CPRUUIDMatchesSigner i dokumentationen til opslagstjenester
- Anvend CPRMatchesSigner: Dette opslag svarer til PID-CPR match og kan anvendes af alle tjenesteudbydere. Opslaget afgør, om UUID fra signeringscertifikatet (globalt eller sessionsspecifikt) tilhører en person med et givet CPR-nummer. Dette opslag bliver først tilgængelig i en senere version af Opslagstjenesterne.
Hvis brugeren skal logge ind på din tjeneste, før brugeren skriver under, anbefaler vi, at du anvender SubjectMatchesSigner.