Virksomhetssertifikater til underenheter
Introduksjon
Gjeldende praksis under SEID v1.0 har vært basert på bruk av attributtet organizationalUnitName (OU) i Virksomhetssertifikatene. Dersom OU har inneholdt et 9-sifret (organisasjons)nummer, har dette vært brukt som en identifikator for en underenhet, mens hovedenheten er identifisert av de andre attributtene i sertifikatet.
Denne siden beskriver en innstramming av denne praksisen og en mer detaljert formatering av innholdet i OU-attributtet når sertifikatet brukes for å identifisere en underenhet.
Bakgrunnsinformasjon
Hovedenheter og underenheter
Det er Brønnøysundregistrene som definerer hovedenheter og underenheter – se https://www.brreg.no/bedrift/underenhet/ for mer informasjon.
En hovedenhet er beskrevet som:
- «Samlebegrep for selskap, foreninger, personer og annet som er registrert i Enhetsregisteret».
Mens en underenhet er beskrevet ved:
- «Den aktiviteten hovedenheten driver. En hovedenhet kan ha en eller flere underenheter. Underenhetene er ikke selvstendige. De vil alltid være knyttet opp mot en hovedenhet.»
Med utgangspunkt i denne definisjonen av underenhet synes det naturlig å videreføre prinsippet med at det er hovedenheten som blir identifisert i de andre attributtene i sertifikatet, mens OU-attributtet faktisk identifiserer underenheten.
Det vil være viktig at alle applikasjoner og tjenester som forholder seg til Virksomhetssertifikater, må ta høyde for dette og sikre at sertifikatet kun kan benyttes av underenheten.
Man bør spesielt sørge for at man kan ikke bruke et slik sertifikat på vegne av hovedenheten, dvs eventuelle autorisasjoner og tilganger skal begrenses til underenheten.
Bruk av underenheter
I flg Brønnøysundregistrene er det Statistisk sentralbyrå som avgjør hvilke underenheter som skal registreres. Underenheter benyttes dersom hovedenheten driver næringsvirksomhet i flere bransjer eller har næringsvirksomhet på flere geografiske steder.
Det finnes også et detaljert regelverk for offentlig forvaltning og registrering av underenheter i kommuner, fylkeskommuner og helseforetak. See www.ssb.no for mer informasjon.
Virksomhetssertifikater til underenheter
Bruk av OU-attributtet
Det er allerede tatt høyde for bruk av OU-attributtet i SEID v2.0, vi finner følgende kommentar under 6.2 Subject:
I tillegg kan sertifikatfeltet inneholde andre attributter, for underenheter kan det for eksempel være mulig å bruke:
- organizationalUnitName (OU) – navn og organisasjonsnummer på underenhet
Vi kunne valgt å utstede et Virksomhetssertifikat direkte til en underenhet, men siden en underenhet ikke er selvstendig og alltid vil være knyttet opp til en hovedenhet, synes det naturlig å videreføre bruken av OU-attributtet for dette formålet.
Virksomhetssertifikat til underenhet
Vi trenger en klargjøring og presisering av innholdet i OU-attributtet for å gjøre det tydelig at dette er et sertifikat utstedt til en underenhet. Dagens praksis med bruk av et 9-sifret organisasjonsnummer er for svak i så måte.
OU skal formatteres som angitt nedenfor for å angi at dette er en underenhet:
- OU = ER:NO-<orgnr>-<orgnavn>
Prefiks ER:NO angir at attributtet inneholder organisasjonsnummer og -navn på en underenhet. Hovedenheten blir identifisert med de ordinære attributtene. ER angir at underenheten er definert i Enhetsregisteret. Vi ser for oss at dette prefikset blir harmonisert med et fremtidig nasjonalt kodeverk for å angi andre kilder enn Enhetsregisteret for underenheter.
Vi sier at et Virksomhetssertifikat som utstedes til en underenhet skal benytte følgende attributter:
- countryName (C): ‘NO’
- organizationIdentifier: organisasjonsnummer som unikt identifiserer hovedenheten i hht Enhetsregisteret
- organizationName (O): fullt organisasjonsnavn på hovedenheten slik denne er registrert i Enhetsregisteret
- organizationalUnitName (OU): skal identifisere underenheten
- commonName (CN) – navn som sertifikatinnehaver foretrekker å bruke i sertifikatet
I hht RFC5280 kan ikke OU-attributtet inneholde mer en 64 tegn. Dersom feltet totalt inneholder mer enn 64 tegn vil innholdet bli avkortet, dvs organisasjonsnavnet blir avkortet i hht definerte regler for avkorting av organisasjonsnavn.
Et virksomhetssertifikat utstedt til Feiervesenet i Gjøvk kommune vil da kunne se slik ut:
Her er Feiervesenet en underenhet til Gjøvik kommune som er hovedenheten.
Krav til verifisering
Knytningen mellom hovedenhet og underenhet må verifiseres mot Enhetsregisteret i Brønnøysund.