Gå til hovedindhold

Adgangsstyring for brugere

Adgangsstyring for brugere sikrer, at brugere kun tilgår de informationer, som de har fået tildelt rettigheder til af deres myndighed.

På denne side kan du læse om:

Hvad er Adgangsstyring for brugere

Fælleskommunal Adgangsstyring for brugere foregår ud fra autentifikation og autorisation, som er styret i myndighedens brugerstyring.

  • Autentifikation bestemmer brugerens identitet og hvilket tilhørsforhold, denne har til en myndighed.
  • Autorisation er brugerens rettigheder - hvad må den pågældende bruger. Denne tildeling/afgrænsning af rettigheder styres med jobfunktionsroller og dataafgrænsninger.

En brugers rettigheder udtrykkes ved kombinationer af roller og afgrænsninger. Fx kan man udtrykke en rettighed som ”du må læse dokumenter, men kun de dokumenter, der omhandler dagpenge”:

  • Rolle: Se dokument
  • Dataafgrænsning: KLE 32.30 (KLE-nummer for Dagpenge ved sygdom og barsel)

eller ”som medarbejder må du se lønoplysninger, men kun i din egen afdeling”:

  • Rolle: Se lønoplysninger
  • Dataafgrænsning: Organisation UUID på brugerens organisation

Det vil sige, at en rettighed altid består af en rolle (hvad du må), og den kan eventuelt kombineres med en eller flere afgrænsninger (hvilke data du må udføre de tilladte handlinger på).

Adgangsstyring for brugere i den fælleskommunale infrastruktur er integreret med alle myndigheders Identity Providere, hvilket gør, at kommunens brugere automatisk kan logges på.

Context Handler

Context Handler er en SAML IdP-proxy, der udsteder adgang for brugere på vegne af de kommunale Identity Providere til de brugervendte systemer, der er registreret i den fælleskommunale infrastruktur. Brugervendte systemer er typisk fagsystemer, der har en brugergrænseflade (SAPA, BBR eller lignende).

Sikkerhedsmodellen understøttes af Context Handleren og Fælleskommunal Administration. Både det brugervendte system og kommunens lokale Identity Provider (IdP) integrerer til Context Handler, og begge systemer er registreret i Fælleskommunal Administration, hvor rettighederne modelleres i form af jobfunktionsroller. Det betyder, at det brugervendte system ikke kommunikerer direkte med kommunens lokale IdP, men at Context Handleren agerer proxy for kommunen og oversætter rettighederne mellem de to systemer.

I 2022 kommer der en ny version af Context Handleren med udvidet funktionalitet - du kan læse mere om den nye version nedenfor.

Ny Context Handler på vej – klar til NSIS og NemLog-in3

I 2022 leveres en ny version af Context Handleren – det sker hen over to releases, hvoraf den første forventes i Q2 2022 (fold tidsplanen ud nedenfor).

For at kunne skelne mellem den nuværende version og den nye version, kalder vi den nye for NSIS-Context Handler.

Information om NSIS-Context Handler

NSIS-Context Handler kan det samme som den nuværende Context Handler, men vil derudover også indeholde ny funktionalitet til:

  • Understøttelse af National Standard for Identiteters Sikringsniveauer (NSIS)
    • Tilslutning og understøttelse af både NSIS-IdP’er og ”gamle” IdP’er
    • NSIS-Context Handler er registreret til niveau ”Høj” hos Digitaliseringsstyrelsen
  • Implementering af Attributservice til overførsel af rettigheder
    • Understøttelse af IdP’er, der ikke kan generere OIOBPP i et token
    • Føderationer med Sundhedsvæsenets Elektroniske Brugerstyring (SEB) for login til systemer, der er tilsluttet SEB - fx Fælles Udbud af Telemedicin (FUT)
  • Føderation med NemLog-in3
    • Log-in/step-up funktionalitet for kommunale IdP’er, der ikke har et givent NSIS-sikringsniveau

Med den udvidede funktionalitet, kan NSIS-Context Handler derfor understøtte både OIOSAML 2 og OIOSAML 3, samt NIST- og NSIS-sikringsniveauer.

Desuden kommer der en ny version af Security Token Service, der kan udstede JSON Web Token (JWT). Det betyder, at serviceudbydere, der understøtter JWT på deres webservices (fx REST), også kan bruge Security Token Service.

Du kan også læse om den nye funktionalitet i Pipeline for udvikling af infrastrukturen.

NSIS-Context Handler leveres i to releases. Planen for de to releases samt test- og ibrugtagning er tegnet op nedenfor. Planen er senest opdateret 19. maj 2022

1. release i Q2 2022 indeholder størstedelen af den nye funktionalitet, undtagen integration til NemLog-in3 (NL3). Efter 1. release, vil vejledningsmaterialet til ibrugtagning af NSIS-Context Handler blive afprøvet sammen med pilotkommuner.

Når pilotperioden er afsluttet i Q3, vil der være en overgangsperiode, hvor der vil være to kørende versioner af Context Handleren; den nuværende og NSIS-Context Handler.

Integration til NemLog-in3 følger Digitaliseringsstyrelsens tidsplan, og derfor forventes 2. release af NSIS-Context Handler (med NL3-funktionalitet) i Q4 2022.

Kommunerne har 31. maj 2022 modtaget en KLIK-opgave om hvordan, de tilslutter deres IdP til NSIS-Context Handler. Kort fortalt, kan en kommune tage NSIS-Context Handler i brug ved at oprette den som relying party i kommunens IdP (etablere trust), så kommunens IdP stoler på både nuværende Context Handler og NSIS-Context Handler.

Kommunens IdP behøver på nuværende tidspunkt ikke være NSIS-godkendt for at etablere trust til NSIS-Context Handler.

Det er heller ikke et krav, at kommunens løsninger skal forstå OIOSAML 3 eller NSIS-sikringsniveauer for at kunne skifte til NSIS-Context Handler. Den nye version vil nemlig stadig understøtte OIOSAML 2 og NIST-sikringsniveauer – såvel som OIOSAML 3 og NSIS-sikringsniveauer.

En kommunes lokale IdP vil først blive mødt af et krav om at kunne levere NSIS-sikringsniveauer, når kommunens brugere skal logge på et brugervendt system, der kræver et NSIS-sikringsniveau.

Digitaliseringsstyrelsen har meldt ud, at NemLog-in ultimo juni 2022 overgår til OIOSAML 3.

Det betyder, at alle brugervendte systemer, der både anvender NemLog-in og Fælleskommunal Adgangsstyring for brugere (Context Handler) til log-in, skal kunne understøtte to versioner af SAML for at sikre fortsat drift efter overgangen. For at kunne modtage log-ins fra NemLog-in skal det brugervendte system understøtte OIOSAML 3, og for at modtage log-ins fra Context Handler skal systemet understøtte OIOSAML 2.

Der er endnu ikke sat en dato for udfasning af den nuværende version af Context Handler.

Overgangsperioden, hvor tjenesteudbydere/brugervendte systemer kan skifte over til at bruge den nye version (NSIS-Context Handler) starter forventeligt op ultimo august/primo september 2022 betinget af, at kommunernes IdP'er har etableret trust til begge versioner.

Vi melder ud, når der er fastsat en deadline for hvornår brugervendte systemer skal være skiftet over til ny version.

NSIS-Context Handler vil kunne videreformidle NSIS-sikringsniveauer, når den nye version er blevet godkendt af Digitaliseringsstyrelsen (DIGST).

Når en kommune gerne vil have deres IdP til at kunne sende NSIS-sikringsniveauer via den nye version af Context Handler, sender kommunen en forspørgsel til KOMBIT om skifte fra NIST til NSIS. Herefter kontrollerer KOMBIT om IdP’en er på Digitaliseringsstyrelsens NSIS-positivliste. Hvis IdP’en er godkendt af DIGST, sætter KOMBIT tilsvarende det NSIS-sikringsniveau, som IdP’en er godkendt til.

 

Vejledninger

Nedenstående vejledninger gennemgår, hvad der skal udføres for at kunne anvende Context Handleren:

Skift af IdP SAML-metadata

Hvis du som myndighed skal skifte SAML-metadata på din tilsluttede IdP, fx hvis du skal opdatere certifikat, skal du gøre følgende:

  • Planlæg skiftet, så det påvirker din organisations brugere mindst muligt - det er ikke muligt at undgå nedetid
  • Dan nye SAML-metadata i jeres IdP – bemærk, at SAML-metadatafilen kun må indeholde ét certifikat
  • Slet gamle IdP SAML-metadata på jeres registrerede IdP i Fælleskommunalt Administrationsmodul
  • Upload nye IdP SAML-metadata på jeres registrerede IdP i Fælleskommunal Administrationsmodul (bemærk, at AD FS-metadata kan indlæses direkte i Administrationsmodulet uden ændringer, så længe det indeholder ét certifikat)

Herefter vil der gå et kort stykke tid, mens Administrationsmodulet lægger data over i Context Handler, derefter kan I igen bruge jeres IdP til at logge på.

Hvis I har behov for hjælp undervejs i processen, kan du kontakte Serviceplatformens Helpdesk.

 

'Kom godt i gang'-vejledninger

Skal du integrere med den fælleskommunale infrastruktur for første gang? I vores nye serie 'Kom godt i gang', har vi udarbejdet en række trin-for-trin vejledninger, som du kan bruge, når du skal i gang med at anvende infrastrukturen.

Integrationer til Context Handler
 

Certifikater

Du finder certifikaterne til den fælleskommunale infrastruktur på siden for certifikater.

Hvis du ikke før har prøvet at anvende certifikater i infrastrukturen, så kan du finde hjælp i vores vejledning 'Kom godt i gang - certifikater'.

Link til metadata

Bemærk, at der findes forskellig metadata til henholdsvis den nuværende version af Context Handler og den nye version (NSIS-Context Handler).

Du finder metadata til hver version nedenfor.

Metadata til nuværende Context Handler

Metadata Ekstern Test (nuværende version):

Metadata Produktion (nuværende version):

Metadata til ny version - NSIS-Context Handler

Metadata Ekstern Test (ny version):

Metadata Produktion (ny version):

Vilkår for Adgangsstyring for brugere

Det er nødvendigt, at vilkår for anvendelse af sikkerhedsmodellen i den fælleskommunale rammearkitektur anvendes. 

Læs vilkår for anvendelse af sikkerhedsmodellen og beskrivelsen af sikkerhedsmodellen

Testværktøj

KOMBIT stiller testværktøjet https://demo-brugervendtsystem.kombit.dk/test/ til rådighed for myndigheder. Testværktøjet giver mulighed for at inspicere login-flowet i en browser i forbindelse med test af Adgangsstyring i det eksterne testmiljø.

Bemærk, at der ikke er fastsat en SLA for testværktøjets tilgængelighed og at evt. fejl skal indrapporteres til kdi@kombit.dk.