Fælleskommunal Adgangsstyring: Nye versioner af Context Handler og Security Token Service klar til brug

[Bemærk: Denne nyhed blev oprindeligt publiceret den 14. august 2023, men er den 29. september 2023 blevet opdateret med information om at nogle kommuner fortsat er i gang med at etablere trust til Context Handler 2 i deres lokale Identity Provider.]

Den nye version af Context Handler har vi tidligere også kaldt for “NSIS-Context Handler”. I forbindelse med at den nye version går i drift i Produktionsmiljøet, har versionen fået nyt navn. Den nye version vil derfor fremover hedde Context Handler 2.

Tilsvarende vil den nye version af Security Token Service fremover hedde Security Token Service 2.

Fælleskommunal Adgangsstyring for brugere

Det har været muligt at teste overgang til Context Handler 2 i Eksternt testmiljø siden december 2022. Nu er den nye version også klar til, at brugervendte systemer, der anvender Fælleskommunal Adgangsstyring for brugere, kan tage den i brug i Produktionsmiljøet med NIST-sikringsniveauer.

red.: Vær opmærksom på, at nogle kommuner fortsat er i gang med at etablere trust til Context Handler 2 i deres lokale Identity Providers (IdP'er). Derfor er det vigtigt, at et brugervendt systems ibrugtagning af Context Handler 2 sker i dialog med de berørte kommuner, så det sikres, at deres brugere kan logge på systemet efter skift til Context Handler 2.

Det betyder, at der starter en overgangsperiode, hvor der er to versioner af Context Handler i drift; den gamle version (Context Handler 1) og den nye version Context Handler 2.

Der er endnu ikke fastsat en deadline for hvornår brugervendte systemer skal være skiftet over til Context Handler 2. Vi melder ud, når der er sat en dato for udfasning af den gamle version.

NSIS-anmeldelse i gang

Context Handler 2 er udviklet til at understøtte både NIST- og NSIS-sikringsniveauer. Før Context Handler 2 må videreformidle NSIS-sikringsniveauer, skal Digitaliseringsstyrelsen (DIGST) dog godkende den nye version som ID-tjeneste.

For nuværende kan Context Handler 2 derfor kun bruges med NIST-sikringsniveauer.

Arbejdet med at få Context Handler 2 godkendt til også at videreformidle NSIS-sikringsniveauer er i gang. Når godkendelsen er på plads, informerer vi ud om det.

Sundhedsvæsenets Elektroniske Brugerstyring (SEB)

Context Handler 2 er også udviklet til bl.a. at understøtte føderation til Sundhedsvæsenets Elektroniske Brugerstyring (SEB).

Teknisk integration mellem Context Handler 2 og SEB forventes at blive etableret efter august 2023, hvorefter integrationen skal testes.

Indtil integrationen mellem Context Handler 2 og SEB meldes klar, kan kommunale brugere logge på systemer tilknyttet SEB som de plejer. Når integrationen er klar til brug, melder vi ud om det.

Hvordan skifter et brugervendt system til Context Handler 2?

Når dit brugervendte system skal skifte over til at bruge Context Handler 2, anbefaler vi, at du starter med at teste skiftet i Eksternt testmiljø.  

red.: Nogle kommuner er fortsat i gang med at etablere trust til Context Handler 2 i deres lokale IdP’er. Vær derfor opmærksom på følgende:

• Du bør i din planlægning afsætte tid til at sikre, at alle de kommuner, der bruger dit brugervendte system, har etableret trust i deres lokale IdP'er og kan logge på via Context Handler 2.
• Nogle kommuner er desuden i gang med at udskifte deres lokale IdP og derfor kan de have mere end én IdP i drift og være i gang med fx migrering af brugere.

På side 14-27 i Vejledning til opsætning af Identity Provider er beskrevet , hvordan trust etableres i fire forskellige typer IdP'er.

Et brugervendt system skifter over til Context Handler 2 ved at gennemføre disse tre trin:

1. Hent metadata for Context Handler 2 ind i det brugervendte system. Du finder link til 'Metadata for Produktion (Context Handler 2)' for brugervendte systemer på denne side.
2. Tilpas registrering af det brugervendte system i Fælleskommunalt Administrationsmodul, så det fremgår, at systemet understøtter Context Handler 2. Du kan læse mere om hvordan du gør dette og se relevante skærmbilleder fra Fælleskommunalt Administrationsmodul i dette dokument. 
3. Genstart det brugervendte system.

Fælleskommunal Adgangsstyring for systemer

Anvendersystemer kan nu trække tokens fra Security Token Service 2 i Produktionsmiljøet.

Tokens, der trækkes fra Security Token Service 2, er baseret på de samme serviceaftaler som for den gamle version.

I Security Token Service 2 er det desuden muligt at trække JSON Web Tokens, og der er indført yderligere sikkerhedstiltag.

Der er endnu ikke fastsat en deadline for hvornår brugervendte systemer skal være skiftet over til Security Token Service 2. Vi melder ud, når der er sat en dato for udfasning af den gamle version.

Hvordan skifter et anvendersystem til Security Token Service 2?

Når dit anvendersystem skal skifte til Security Token Service 2, skal det endepunkt, som systemet henter tokens fra, blot ændres til det nye endepunkt for Security Token Service 2.

SAML-token

Endepunkterne for at hente SAML-token via Security Token Service 2 er:

• Eksternt testmiljø:
  https://n2adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/services/trust/14/certificatemixed
   
• Produktionsmiljø:
  https://n2adgangsstyring.stoettesystemerne.dk/runtime/services/trust/14/certificatemixed

JSON Web Tokens

Når der kommer services i den fælleskommunale infrastruktur, der understøtter brugen af JSON Web Tokens, kan disse tokens hentes via nedenstående endepunkter:

• Eksternt testmiljø:
  https://n2adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/api/rest/oauth/v1/issue 
   
• Produktionsmiljø:
  https://n2adgangsstyring.stoettesystemerne.dk/runtime/api/rest/oauth/v1/issue

Læs mere

Du kan læse mere om Fælleskommunal Adgangsstyring i Digitaliseringskataloget.