Fælleskommunal Adgangsstyring for brugere: Nye OIOSAML-profiler for IdP’er

Kommunerne anvender forskellige typer af IdP-løsninger, der bruges til log-in af både personbrugere og softwarerobotter (RPA), samt til log-in med både NIST-sikringsniveauer og NSIS-sikringsniveauer.

For at understøtte de forskellige log-in-scenarier, er Fælleskommunal Adgangsstyring for brugere (Context Handler 2) blevet udvidet med nye OIOSAML-profiler.

En OIOSAML-profil er den måde, som en Identity Provider (IdP) og Context Handler 2 kommunikerer med hinanden på. Det vil sige, at det er OIOSAML-profilen, der bl.a. ”bestemmer” hvordan et sikringsniveau bliver kommunikeret mellem Context Handler 2 og IdP’en.

De nye profiler er beregnet til IdP’er, der ikke kan modtage et NIST-sikringsniveau, og til ADFS-IdP’er, der skal kunne modtage et NSIS-sikringsniveau.

Med de nye profiler får kommunerne derfor samme muligheder for at lade deres softwarerobotter logge på it-systemer via Context Handler 2, som de har via Context Handler 1.

Nye valgmuligheder i Fælleskommunalt Administrationsmodul

Med tilføjelsen af de nye profiler, er der nu seks OIOSAML-profiler at vælge imellem for en IdP i Fælleskommunalt Administrationsmodul, når den skal tilsluttes/er tilsluttet Context Handler 2:

OIOSAML2-profiler (kun NIST-sikringsniveauer):

• OIOSAML2
• OIOSAML2 – ADFS multipleauthn
• OIOSAML2 – Without requestet LoA

OIOSAML3-profiler (NSIS- eller NIST-sikringsniveauer):

• OIOSAML3
• OIOSAML3 – ADFS multipleauthn
• OIOSAML3 – ADFS relay state

De forskellige profiler er beskrevet i Vejledning til opsætning af Identity Provider (side 41-43).

Fra OIOSAML2- til OIOSAML3-profil

I Produktionsmiljøet kan en kommune selv ændre profil for deres IdP – så længe det er til en profil inden for samme OIOSAML-version, dvs. fx fra OIOSAML2 – ADFS multipleauthn til OIOSAML2 – Without requestet LoA eller fra OIOSAML3 – ADFS multipleauthn til OIOSAML3 – ADFS relay state.

Hvis profilen derimod skal ændres til en anden OIOSAML-version (fx fra OIOSAML2 til OIOSAML3), skal kommunen kontakte Serviceplatformens Helpdesk.

I Eksternt testmiljø kan en kommune selv ændre mellem OIOSAML2- og OIOSAML3-profiler.

Registrering af ADFS-IdP’er er tilpasset

Hvis en IdP er en ADFS-løsning, kunne det tidligere markeres med et ”flueben” i Administrationsmodulet. Dette flueben er nu afløst af de nye profiler OIOSAML2 – ADFS multipleauthn og OIOSAML3 – ADFS multipleauthn.

For de IdP’er, hvor der var sat et sådan flueben, er profilen automatisk blevet ændret til én af de to ADFS-profiler – alt efter hvilken version af OIOSAML, der er angivet for IdP’en.

Særligt for softwarerobotter (RPA)

Softwarerobotter (RPA) er for nuværende kun understøttet med NIST-sikringsniveauer. Det betyder, at RPA-brugere kun må logge på et it-system via Context Handler 2, hvis systemet kræver NIST-sikringsniveau.

For at en kommune kan lade sine RPA-brugere logge på systemer via Context Handler 2, skal kommunens IdP:

• Understøtte den OIOSAML-profil, som er angivet for IdP’en i Administrationsmodulet
• Kunne skelne mellem personbrugere og RPA-brugere
• Lave den nødvendige autentifikation, der svarer til det krævede sikringsniveau

Du kan læse mere om hvilke af de nye profiler, der kan bruges med RPA-brugere, i Vejledning til opsætning af Identity Provider (side 41-43).

Da NSIS-standarden p.t. kun understøtter fysiske personer og juridiske enheder, må en RPA-bruger ikke logge på et it-system, der kræver et NSIS-sikringsniveau. KL og KOMBIT afventer en afklaring fra Digitaliseringsstyrelsen på, hvordan dette skal løses.

Har du spørgsmål?

Hvis du har spørgsmål til de nye OIOSAML-profiler og deres anvendelse, kan du kontakte KOMBIT på FKI@kombit.dk.