Fælleskommunal Adgangsstyring: Context Handler 1 og Security Token Service 1 udfases i 2025

Fælleskommunal Adgangsstyring for brugere anvendes af Identity Providere (IdP’er) og brugervendte systemer.

Den nye version Context Handler 2 understøtter både NIST- og NSIS-sikringsniveauer, samt OIOSAML 2 og OIOSAML 3. Der er derfor ikke noget krav om, at du tager stilling til eller begynder at bruge NSIS-sikringsniveauer for at skifte til Context Handler 2.

Sådan skifter en Identity Provider til Context Handler 2

For at skifte til at bruge Context Handler 2, skal der i en IdP etableres trust til den nye version.

Kommunerne har allerede modtaget og løst KLIK-opgaver om deres IdP’ers skifte til Context Handler 2 – bl.a. opgaver om etablering af trust. Kommunernes IdP’er er derfor tilsluttet Context Handler 2.

Myndigheder, der ikke har etableret trust til Context Handler 2 i deres IdP, kan læse mere om hvordan trust etableres i Vejledning til opsætning af Identity Provider.

NSIS-niveauer i RelayState

Ikke alle IdP’er kan modtage specifikke NSIS-sikringsniveauer. KOMBIT er derfor i gang med at implementere en lokal IdP-profil, så sikringsniveauer også kan hentes i RelayState, hvis der anvendes en ADFS-løsning som IdP.

Denne løsning forventes at komme i august 2024. Du kan læse mere om OIOSAML Local IdP Profile på Digitaliseringsstyrelsens hjemmeside her.

Softwarerobotter og Context Handler 2

Context Handler 2 sender altid et krævet sikringsniveau til en IdP ved et login i et brugervendt system. Det er dog ikke alle IdP’er, der kan håndtere dette – fx ved brug af Robotics and manufactoring automation (RPA), også kaldet softwarerobotter.

Mange kommuner bruger i dag softwarerobotter (RPA) til automatisering af bl.a. administrative opgaver, og der arbejdes derfor i øjeblikket på en løsning, så softwarerobotter kan logge ind via Context Handler 2 med NIST-sikringsniveauer – uanset typen af IdP.

Løsningen forventes at være klar i august 2024. KOMBIT informerer mere om løsningen, når den er klar til brug.

NSIS-standarden understøtter til gengæld endnu ikke brugen af softwarerobotter. Det betyder, at for nuværende kan en softwarerobot ikke logge på et it-system, der kræver et NSIS-sikringsniveau. Digitaliseringsstyrelsen er ved at afdække, om der kan udarbejdes en løsning for dette.

Sådan skifter et brugervendt system til Context Handler 2

Hvis dit it-system er et brugervendt system, dvs. at brugere af systemet logger ind via Fælleskommunal Adgangsstyring for brugere, skal du gennemføre disse trin for skifte over til Context Handler 2:

1. Du skal koordinere skiftet med de kommuner/myndigheder, der bruger dit it-system, så det sikres, at alle brugere kan logge på via en IdP, der er tilsluttet Context Handler 2.
2. I Fælleskommunalt Administrationsmodul skal du registrere, at dit brugervendte system bruger både Context Handler 1 og Context Handler 2. Læs mere i vores vejledning her.
3. Hent de nye SAML-metadata for Context Handler 2, og læg dem på dit brugervendte system. Dem finder du på Adgangsstyring for brugere | Digitaliseringskataloget.

Skiftet fra Context Handler 1 til Context Handler 2 betyder ikke, at du skal tage stilling til brug af NSIS-sikringsniveauer, da du fortsat vil kunne køre videre på NIST-niveauer. Context Handler 2 gør det blot muligt, at du også kan gøre brug af NSIS-sikringsniveauer.

Hvis dit it-system på et senere tidspunkt skal skifte til at kræve et NSIS-sikringsniveau, skal du koordinere det med alle de kommuner/myndigheder, der logger på dit it-system via Context Handler 2.

Skiftet til Security Token Service 2 er forskelligt, alt efter om dit it-system skal hente tokens eller fungerer som serviceudbyder og derfor skal acceptere tokens udstedt af Security Token Service 2.

For it-systemer, der henter tokens

It-systemer, der henter tokens fra Security Token Service 1, skal skifte til at hente tokens fra Security Token Service 2.

Du skifter over til at hente tokens fra Security Token Service 2 ved at:

1. Ændre den URL, som dit it-system henter tokens fra, så der peges på URL til Security Token Service 2. URLs for hhv. Eksternt testmiljø og Produktionsmiljøet er som følger:
   • Eksternt testmiljø: https://n2adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/services/kombittrust/14/certificatemixed
   • Produktionsmiljø: https://n2adgangsstyring.stoettesystemerne.dk/runtime/services/kombittrust/14/certificatemixed

P.t. anvendes samme certifikat for Security Token Service 1 og Security Token Service 2. 

Der vil være overgang til nyt certifikat for Security Token Service 2 i indeværende år - dette certifikatskifte vil der blive informeret om, når servicevinduet er fastlagt. 

Når det nye certifikat for Security Token Service 2 er tilgængeligt, skal du tilføje det nye certifikat i dit it-systems truststore. Certifikater publiceres på Certifikater | Digitaliseringskataloget.

For serviceudbydere

Som serviceudbyder skal dit it-system have oprettet trust til Security Token Service 2, så det accepterer tokens udstedt af Security Token Service 2.

Hvis dit it-system allerede truster det nuværende certifikat for Adgangsstyring, behøver du p.t. ikke foretage dig noget, da certifikatet anvendes af både Security Token Service 1 og 2.

Der vil være overgang til nyt certifikat for Security Token Service 2 i indeværende år - dette certifikatskifte vil der blive informeret om, når servicevinduet er fastlagt. Når det nye certifikat for Security Token Service 2 er tilgængeligt, skal du oprette trust til Security Token Service 2 ved at:

1. Tilføje det nye certifikat for Security Token Service 2 til dit it-systems truststore, så SAML-tokens udstedt af Security Token Service 2 bliver accepteret på lige fod med tokens, der er udstedt af Security Token Service 1. Certifikater publiceres på Certifikater | Digitaliseringskataloget
2. Husk at beholde det gamle certifikat for Adgangsstyring i truststore, indtil Security Token Service 1 lukkes den 31. marts 2025.