Adgangsstyring for brugere

Adgangsstyring for brugere sikrer, at brugere kun tilgår de informationer, som de har fået tildelt rettigheder til af deres myndighed.

På denne side kan du læse om:

Hvad er Adgangsstyring for brugere

Fælleskommunal Adgangsstyring for brugere foregår ud fra autentifikation og autorisation, som er styret i myndighedens brugerstyring.

Autentifikation bestemmer brugerens identitet og hvilket tilhørsforhold, denne har til en myndighed.
Autorisation er brugerens rettigheder - hvad må den pågældende bruger. Denne tildeling/afgrænsning af rettigheder styres med jobfunktionsroller og dataafgrænsninger.

En brugers rettigheder udtrykkes ved kombinationer af roller og afgrænsninger. Fx kan man udtrykke en rettighed som ”du må læse dokumenter, men kun de dokumenter, der omhandler dagpenge”:

Rolle: Se dokument
Dataafgrænsning: KLE 32.30 (KLE-nummer for Dagpenge ved sygdom og barsel)

eller ”som medarbejder må du se lønoplysninger, men kun i din egen afdeling”:

Rolle: Se lønoplysninger
Dataafgrænsning: Organisation UUID på brugerens organisation

Det vil sige, at en rettighed altid består af en rolle (hvad du må), og den kan eventuelt kombineres med en eller flere afgrænsninger (hvilke data du må udføre de tilladte handlinger på).

Adgangsstyring for brugere i den fælleskommunale infrastruktur er integreret med alle myndigheders Identity Providere, hvilket gør, at kommunens brugere automatisk kan logges på.

Context Handler

Context Handler er en SAML IdP-proxy, der udsteder adgang for brugere på vegne af de kommunale Identity Providere til de brugervendte systemer, der er registreret i den fælleskommunale infrastruktur. Brugervendte systemer er typisk fagsystemer, der har en brugergrænseflade (SAPA, BBR eller lignende).

Sikkerhedsmodellen understøttes af Context Handleren og Fælleskommunal Administration. Både det brugervendte system og kommunens lokale Identity Provider (IdP) integrerer til Context Handler, og begge systemer er registreret i Fælleskommunal Administration, hvor rettighederne modelleres i form af jobfunktionsroller. Det betyder, at det brugervendte system ikke kommunikerer direkte med kommunens lokale IdP, men at Context Handleren agerer proxy for kommunen og oversætter rettighederne mellem de to systemer.

I 2022 kommer der en ny version af Context Handleren med udvidet funktionalitet - du kan læse mere om den nye version nedenfor.

Ny Context Handler på vej – klar til NSIS og NemLog-in3

I 2022 leveres en ny version af Context Handleren – det sker hen over to releases, hvoraf den første blev leveret i Q2 2022 (fold tidsplanen ud nedenfor).

For at kunne skelne mellem den nuværende version og den nye version, kalder vi den nye for NSIS-Context Handler.

Information om NSIS-Context Handler

NSIS-Context Handler kan det samme som den nuværende Context Handler, men vil derudover også indeholde ny funktionalitet til:

Understøttelse af National Standard for Identiteters Sikringsniveauer (NSIS)
- Tilslutning og understøttelse af både NSIS-IdP’er og ”gamle” IdP’er
- NSIS-Context Handler er registreret til niveau ”Høj” hos Digitaliseringsstyrelsen
Implementering af Attributservice til overførsel af rettigheder
- Understøttelse af IdP’er, der ikke kan generere OIOBPP i et token
- Føderationer med Sundhedsvæsenets Elektroniske Brugerstyring (SEB) for login til systemer, der er tilsluttet SEB - fx Fælles Udbud af Telemedicin (FUT)
Føderation med NemLog-in3
- Log-in/step-up funktionalitet for kommunale IdP’er, der ikke har et givent NSIS-sikringsniveau

Med den udvidede funktionalitet, kan NSIS-Context Handler derfor understøtte både OIOSAML 2 og OIOSAML 3, samt NIST- og NSIS-sikringsniveauer.

Desuden kommer der en ny version af Security Token Service, der kan udstede JSON Web Token (JWT). Det betyder, at serviceudbydere, der understøtter JWT på deres webservices (fx REST), også kan bruge Security Token Service.

Du kan også læse om den nye funktionalitet i Pipeline for udvikling af infrastrukturen.

NSIS-Context Handler leveres i to releases. Planen for de to releases samt test- og ibrugtagning er tegnet op nedenfor. Planen er senest opdateret 7. marts 2023: Der arbejdes på en tidsplan dækkende resten af 2023.

1. release i Q2 2022 indeholdt størstedelen af den nye funktionalitet, undtagen integration til NemLog-in3 (NL3). Efter 1. release, er vejledningsmaterialet til ibrugtagning af NSIS-Context Handler blevet afprøvet sammen med pilotkommuner.

Når pilotperioden er afsluttet i Q3, vil der være en overgangsperiode, hvor der vil være to kørende versioner af Context Handleren; den nuværende og NSIS-Context Handler.

Integration til NemLog-in3 følger Digitaliseringsstyrelsens tidsplan.

Kommunerne har 31. maj 2022 modtaget en KLIK-opgave om hvordan, de tilslutter deres IdP til NSIS-Context Handler. Kort fortalt, kan en kommune tage NSIS-Context Handler i brug ved at oprette den som relying party i kommunens IdP (etablere trust), så kommunens IdP stoler på både nuværende Context Handler og NSIS-Context Handler.

Kommunens IdP behøver på nuværende tidspunkt ikke være NSIS-godkendt for at etablere trust til NSIS-Context Handler.

Det er heller ikke et krav, at kommunens løsninger skal forstå OIOSAML 3 eller NSIS-sikringsniveauer for at kunne skifte til NSIS-Context Handler. Den nye version vil nemlig stadig understøtte OIOSAML 2 og NIST-sikringsniveauer – såvel som OIOSAML 3 og NSIS-sikringsniveauer.

En kommunes lokale IdP vil først blive mødt af et krav om at kunne levere NSIS-sikringsniveauer, når kommunens brugere skal logge på et brugervendt system, der kræver et NSIS-sikringsniveau.

Digitaliseringsstyrelsen har meldt ud, at NemLog-in ultimo juni 2022 overgår til OIOSAML 3.

Det betyder, at alle brugervendte systemer, der både anvender NemLog-in og Fælleskommunal Adgangsstyring for brugere (Context Handler) til log-in, skal kunne understøtte to versioner af SAML for at sikre fortsat drift efter overgangen. For at kunne modtage log-ins fra NemLog-in skal det brugervendte system understøtte OIOSAML 3, og for at modtage log-ins fra Context Handler skal systemet understøtte OIOSAML 2.

Der er endnu ikke sat en dato for udfasning af den nuværende version af Context Handler.

Overgangsperioden, hvor tjenesteudbydere/brugervendte systemer kan skifte over til at bruge den nye version (NSIS-Context Handler) starter forventeligt op i december 2022 for Eksternt testmiljø.

Vi melder ud, når der er fastsat en deadline for hvornår brugervendte systemer skal være skiftet over til ny version.

NSIS-Context Handler vil kunne videreformidle NSIS-sikringsniveauer, når den nye version er blevet godkendt af Digitaliseringsstyrelsen (DIGST).

Når en kommune gerne vil have deres IdP til at kunne sende NSIS-sikringsniveauer via den nye version af Context Handler, sender kommunen en forspørgsel til KOMBIT om skifte fra NIST til NSIS. Herefter kontrollerer KOMBIT om IdP’en er på Digitaliseringsstyrelsens NSIS-positivliste. Hvis IdP’en er godkendt af DIGST, sætter KOMBIT tilsvarende det NSIS-sikringsniveau, som IdP’en er godkendt til.

Vi har her samlet nogle links til information om NSIS:

Vejledninger

Nedenstående vejledninger gennemgår, hvad der skal udføres for at kunne anvende Context Handleren:

Sådan implementerer du single-sign-on: Vejledning til Adgangsstyring for brugere
Kom godt i gang: Tilslut brugervendt system
Lav jobfunktionsroller: Vejledning til udarbejdelse af jobfunktionsroller for kommuner
Opsæt en Identity Provider: Vejledning til opsætning af Identity Provider
Link til Fælleskommunal Administration for myndigheder: Brugervejledning til Administrationsmodulerne for myndigheder
Eksempel: metadata for brugervendt system
Eksempel: metadata for Identity provider

Skift af IdP SAML-metadata

Hvis du som myndighed skal skifte SAML-metadata på din tilsluttede IdP, fx hvis du skal opdatere certifikat, skal du gøre følgende:

Planlæg skiftet, så det påvirker din organisations brugere mindst muligt - det er ikke muligt at undgå nedetid
Dan nye SAML-metadata i jeres IdP – bemærk, at SAML-metadatafilen kun må indeholde ét certifikat
Slet gamle IdP SAML-metadata på jeres registrerede IdP i Fælleskommunalt Administrationsmodul
Upload nye IdP SAML-metadata på jeres registrerede IdP i Fælleskommunal Administrationsmodul (bemærk, at AD FS-metadata kan indlæses direkte i Administrationsmodulet uden ændringer, så længe det indeholder ét certifikat)

Herefter vil der gå et kort stykke tid, mens Administrationsmodulet lægger data over i Context Handler, derefter kan I igen bruge jeres IdP til at logge på.

Hvis I har behov for hjælp undervejs i processen, kan du kontakte Serviceplatformens Helpdesk.

'Kom godt i gang'-vejledninger

Skal du integrere med den fælleskommunale infrastruktur for første gang? I vores nye serie 'Kom godt i gang', har vi udarbejdet en række trin-for-trin vejledninger, som du kan bruge, når du skal i gang med at anvende infrastrukturen.

Find vejledningerne her

Integrationer til Context Handler

Certifikater

Du finder certifikaterne til den fælleskommunale infrastruktur på siden for certifikater.

Hvis du ikke før har prøvet at anvende certifikater i infrastrukturen, så kan du finde hjælp i vores vejledning 'Kom godt i gang - certifikater'.

Link til metadata

Bemærk, at der findes forskellig metadata til henholdsvis den nuværende version af Context Handler og den nye version (NSIS-Context Handler).

Du finder metadata til hver version nedenfor.

Metadata til nuværende Context Handler

Metadata Ekstern Test (nuværende version):

For brugervendt system: https://adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2/metadata.idp
For IdP (kommunal eller leverandørmyndighed): https://adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2auth/metadata.idp

Metadata Produktion (nuværende version):

For brugervendt system: https://adgangsstyring.stoettesystemerne.dk/runtime/saml2/metadata.idp
For kommunal IdP: https://adgangsstyring.stoettesystemerne.dk/runtime/saml2auth/metadata.idp

Metadata til ny version - NSIS-Context Handler

Metadata Ekstern Test (ny version):

For brugervendt system: https://n2adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2/metadata.idp
For IdP (kommunal eller leverandørmyndighed): https://n2adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2auth/metadata.idp

Metadata Produktion (ny version):

For brugervendt system: (ikke tilgængelig endnu)
For kommunal IdP: https://n2adgangsstyring.stoettesystemerne.dk/runtime/saml2auth/metadata.idp

Vilkår for Adgangsstyring for brugere

Det er nødvendigt, at vilkår for anvendelse af sikkerhedsmodellen i den fælleskommunale rammearkitektur anvendes.

Læs vilkår for anvendelse af sikkerhedsmodellen og beskrivelsen af sikkerhedsmodellen.

Testværktøjer

KOMBIT stiller testværktøjer til rådighed for myndigheder til test af IdP'er. Testværktøjerne giver mulighed for at inspicere login-flowet i en browser i forbindelse med test af Adgangsstyring i det eksterne testmiljø. Bemærk, at der er forskellige testværktøjer til henholdsvis nuværende version af Context Handler og til NSIS-Context Handler.

Testværktøj til nuværende version af Context Handler

Til test med NIST-sikringsniveauer: https://demo-brugervendtsystem.kombit.dk/test/

Bemærk, at der ikke er fastsat en SLA for testværktøjets tilgængelighed og at evt. fejl skal indrapporteres til kdi@kombit.dk.

Testværktøjer til NSIS-Context Handler

Til test med NIST-sikringsniveauer: https://spwithoutnsis.eksterntest-stoettesystemerne.dk/
Til test med NSIS-sikringsniveauer: https://spwithnsis.eksterntest-stoettesystemerne.dk/