Fælleskommunal Adgangsstyring for brugere: Nye OIOSAML-profiler for IdP’er
I Fælleskommunalt Administrationsmodul er der tilføjet nye valgmuligheder, når der skal angives OIOSAML-profil for en Identity Provider. Med de nye profiler kan kommuner bl.a. lade softwarerobotter logge ind via Context Handler 2 med NIST-sikringsniveauer.
Kommunerne anvender forskellige typer af IdP-løsninger, der bruges til log-in af både personbrugere og softwarerobotter (RPA), samt til log-in med både NIST-sikringsniveauer og NSIS-sikringsniveauer.
For at understøtte de forskellige log-in-scenarier, er Fælleskommunal Adgangsstyring for brugere (Context Handler 2) blevet udvidet med nye OIOSAML-profiler.
En OIOSAML-profil er den måde, som en Identity Provider (IdP) og Context Handler 2 kommunikerer med hinanden på. Det vil sige, at det er OIOSAML-profilen, der bl.a. ”bestemmer” hvordan et sikringsniveau bliver kommunikeret mellem Context Handler 2 og IdP’en.
De nye profiler er beregnet til IdP’er, der ikke kan modtage et NIST-sikringsniveau, og til ADFS-IdP’er, der skal kunne modtage et NSIS-sikringsniveau.
Med de nye profiler får kommunerne derfor samme muligheder for at lade deres softwarerobotter logge på it-systemer via Context Handler 2, som de har via Context Handler 1.
Nye valgmuligheder i Fælleskommunalt Administrationsmodul
Med tilføjelsen af de nye profiler, er der nu seks OIOSAML-profiler at vælge imellem for en IdP i Fælleskommunalt Administrationsmodul, når den skal tilsluttes/er tilsluttet Context Handler 2:
OIOSAML2-profiler (kun NIST-sikringsniveauer):
- OIOSAML2
- OIOSAML2 – ADFS multipleauthn
- OIOSAML2 – Without requestet LoA
OIOSAML3-profiler (NSIS- eller NIST-sikringsniveauer):
- OIOSAML3
- OIOSAML3 – ADFS multipleauthn
- OIOSAML3 – ADFS relay state
De forskellige profiler er beskrevet i Vejledning til opsætning af Identity Provider (side 41-43).
Fra OIOSAML2- til OIOSAML3-profil
I Produktionsmiljøet kan en kommune selv ændre profil for deres IdP – så længe det er til en profil inden for samme OIOSAML-version, dvs. fx fra OIOSAML2 – ADFS multipleauthn til OIOSAML2 – Without requestet LoA eller fra OIOSAML3 – ADFS multipleauthn til OIOSAML3 – ADFS relay state.
Hvis profilen derimod skal ændres til en anden OIOSAML-version (fx fra OIOSAML2 til OIOSAML3), skal kommunen kontakte Serviceplatformens Helpdesk.
I Eksternt testmiljø kan en kommune selv ændre mellem OIOSAML2- og OIOSAML3-profiler.
Registrering af ADFS-IdP’er er tilpasset
Hvis en IdP er en ADFS-løsning, kunne det tidligere markeres med et ”flueben” i Administrationsmodulet. Dette flueben er nu afløst af de nye profiler OIOSAML2 – ADFS multipleauthn og OIOSAML3 – ADFS multipleauthn.
For de IdP’er, hvor der var sat et sådan flueben, er profilen automatisk blevet ændret til én af de to ADFS-profiler – alt efter hvilken version af OIOSAML, der er angivet for IdP’en.
Særligt for softwarerobotter (RPA)
Softwarerobotter (RPA) er for nuværende kun understøttet med NIST-sikringsniveauer. Det betyder, at RPA-brugere kun må logge på et it-system via Context Handler 2, hvis systemet kræver NIST-sikringsniveau.
For at en kommune kan lade sine RPA-brugere logge på systemer via Context Handler 2, skal kommunens IdP:
- Understøtte den OIOSAML-profil, som er angivet for IdP’en i Administrationsmodulet
- Kunne skelne mellem personbrugere og RPA-brugere
- Lave den nødvendige autentifikation, der svarer til det krævede sikringsniveau
Du kan læse mere om hvilke af de nye profiler, der kan bruges med RPA-brugere, i Vejledning til opsætning af Identity Provider (side 41-43).
Da NSIS-standarden p.t. kun understøtter fysiske personer og juridiske enheder, må en RPA-bruger ikke logge på et it-system, der kræver et NSIS-sikringsniveau. KL og KOMBIT afventer en afklaring fra Digitaliseringsstyrelsen på, hvordan dette skal løses.
Har du spørgsmål?
Hvis du har spørgsmål til de nye OIOSAML-profiler og deres anvendelse, kan du kontakte KOMBIT på FKI@kombit.dk.