Adgangsstyring for brugere

Adgangsstyring for brugere sikrer, at brugere kun tilgår de informationer, som de har fået tildelt rettigheder til af deres myndighed.

På denne side kan du læse om:

Hvad er Adgangsstyring for brugere

Fælleskommunal Adgangsstyring for brugere foregår ud fra autentifikation og autorisation, som er styret i myndighedens brugerstyring.

Autentifikation bestemmer brugerens identitet og hvilket tilhørsforhold, denne har til en myndighed.
Autorisation er brugerens rettigheder - hvad må den pågældende bruger. Denne tildeling/afgrænsning af rettigheder styres med jobfunktionsroller og dataafgrænsninger.

En brugers rettigheder udtrykkes ved kombinationer af roller og afgrænsninger. Fx kan man udtrykke en rettighed som ”du må læse dokumenter, men kun de dokumenter, der omhandler dagpenge”:

Rolle: Se dokument
Dataafgrænsning: KLE 32.30 (KLE-nummer for Dagpenge ved sygdom og barsel)

eller ”som medarbejder må du se lønoplysninger, men kun i din egen afdeling”:

Rolle: Se lønoplysninger
Dataafgrænsning: Organisation UUID på brugerens organisation

Det vil sige, at en rettighed altid består af en rolle (hvad du må), og den kan eventuelt kombineres med en eller flere afgrænsninger (hvilke data du må udføre de tilladte handlinger på).

Adgangsstyring for brugere i den fælleskommunale infrastruktur er integreret med alle myndigheders Identity Providere, hvilket gør, at kommunens brugere automatisk kan logges på.

Context Handler

Context Handler er en SAML IdP-proxy, der udsteder adgang for brugere på vegne af de kommunale Identity Providere til de brugervendte systemer, der er registreret i den fælleskommunale infrastruktur. Brugervendte systemer er typisk fagsystemer, der har en brugergrænseflade (SAPA, BBR eller lignende).

Sikkerhedsmodellen understøttes af Context Handleren og Fælleskommunalt Administrationsmodul. Både det brugervendte system og kommunens lokale Identity Provider (IdP) integrerer til Context Handler, og begge systemer er registreret i Fælleskommunalt Administrationsmodul, hvor rettighederne modelleres i form af jobfunktionsroller. Det betyder, at det brugervendte system ikke kommunikerer direkte med kommunens lokale IdP, men at Context Handleren agerer proxy for kommunen og oversætter rettighederne mellem de to systemer.

Ny version af Context Handler – klar til NSIS og NemLog-in3

Nedenfor er samlet mere information om Context Handler 2.

Information om Context Handler 2

Context Handler 2 indeholder funktionalitet til:

Understøttelse af National Standard for Identiteters Sikringsniveauer (NSIS)
- Tilslutning og understøttelse af både NSIS-IdP’er og ”gamle” IdP’er
- Context Handler 2 er registreret til niveau ”Høj” hos Digitaliseringsstyrelsen
Implementering af Attributservice til overførsel af rettigheder
- Understøttelse af IdP’er, der ikke kan generere OIOBPP i et token
- Føderationer med Sundhedsvæsenets Elektroniske Brugerstyring (SEB) for login til systemer, der er tilsluttet SEB - fx Fælles Udbud af Telemedicin (FUT)
Føderation med NemLog-in3
- Log-in/step-up funktionalitet for kommunale IdP’er, der ikke har et givent NSIS-sikringsniveau

Context Handler 2 understøtter både OIOSAML 2 og OIOSAML 3, samt NIST- og NSIS-sikringsniveauer.

Context Handler 1 er varslet til at blive udfaset den 31. marts 2025. Læs den fulde nyhed og alle detaljer herom her. Det betyder at du efter denne dato skal være overgået til Context Handler 2.

Du kan også læse mere på siden om udfasning af Context Handler 1 og Security Token Service 1.

Overgangsperioden, hvor tjenesteudbydere/brugervendte systemer kan skifte over til at bruge Context Handler 2 startede i henholdsvis december 2022 i Eksternt testmiljø og i august 2023 i Produktionsmiljøet.

Context Handler 2 kræver to-faktor autentifikation, når brugere skal logge på it-systemer, der kræver høje sikringsniveauer (NIST 3 eller 4, NSIS ”Betydelig” eller ”Høj”).

Som bruger vil du derfor blive bedt om to-faktor-godkendelse, når du skal logge på et it-system, der kræver et af disse sikringsniveauer.

Det betyder, at du skal være tildelt en mulighed for at autentificere dig med to faktorer/to-trins godkendelse. Det er din kommune, der skal give dig mulighed for at bruge jeres lokale løsning til to-faktor-login.

Særligt for IdP’er registreret med profilen “OIOSAML2 – Without requestet LoA”

Din kommune kan dog have valgt at registrere din kommunes IdP med OIOSAML-profilen OIOSAML2 – Without requestet LoA i Fælleskommunalt Administrationsmodul.

Hvis din kommune har valgt det, vil Context Handler 2 ikke sende et krævet sikringsniveau med til IdP’en. Det er i så fald din kommune, der har ansvaret for, at du og kommunens øvrige brugere er autentificeret på det nødvendige sikringsniveau i jeres IdP. Som bruger vil du derfor ikke nødvendigvis opleve at blive bedt om to-trins-godkendelse, når du logger på et it-system, der kræver NIST 3 eller 4, da din kommune kan have sikret autentifikation på en anden måde.

Din kommune kan have valgt profilen OIOSAML2 – Without requestet LoA for at give softwarerobotter adgang til it-systemer, der kræver NIST-sikring. Du kan læse mere om OIOSAML-profiler og softwarerobotter i denne nyhed.

I Fælleskommunalt Administrationsmodul registreres en OIOSAML-profil for en Identity Provider (IdP). Det er OIOSAML-profilen, der bl.a. ”bestemmer” hvordan et sikringsniveau bliver kommunikeret mellem Context Handler 2 og IdP’en.

Ved hjælp af OIOSAML-profilerne, har kommuner samme muligheder for at lade deres softwarerobotter logge på it-systemer med NIST-sikringsniveauer via Context Handler 2, som de har via Context Handler 1.

Der er seks forskellige OIOSAML-profiler at vælge imellem ved registrering i Administrationsmodulet, heriblandt specifikke profiler beregnet til IdP’er, der ikke kan modtage et NIST-sikringsniveau, og til ADFS-IdP’er, der skal kunne modtage et NSIS-sikringsniveau. Du kan læse mere om udvidelsen af antallet af OIOSAML-profiler i denne nyhed.

Vær opmærksom på, at softwarerobotter (RPA) kun må logge på et it-system via Context Handler 2, hvis systemet kræver NIST-sikringsniveau.

NSIS-standarden understøtter p.t. kun fysiske personer og juridiske enheder, og derfor må en RPA-bruger ikke logge på et it-system, der kræver et NSIS-sikringsniveau. KL og KOMBIT afventer en afklaring fra Digitaliseringsstyrelsen på, hvordan dette skal løses.

Du kan vælge hvilken assertion encryption, dit it-system ønsker at modtage fra Context Handler 2.

Det gør du ved at angive den ønskede krypteringsalgoritme i it-systemets SAML-metadata under ”Encryption certificate” med attributten ”EncryptionMethod Algorithm”.

Den valgte krypteringsalgoritme vil så fremgå af den SAML-metadata for it-systemet, som du uploader/linker til i registreringen af dit brugervendte system i Fælleskommunalt Administrationsmodul.

Mulige symmetriske ciphers til kryptering:

EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc"
EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc”
EncryptionMethod Algorithm="http://www.w3.org/2009/xmlenc11#aes128-gcm”
EncryptionMethod Algorithm="http://www.w3.org/2009/xmlenc11#aes192-gcm”
EncryptionMethod Algorithm="http://www.w3.org/2009/xmlenc11#aes256-gcm"

Om netværkssikkerhed i infrastrukturen
Du finder oplysninger om hvilke ciphers, der kan benyttes, når dit it-system skal bruge infrastrukturen på denne side i Digitaliseringskataloget.

Digitaliseringsstyrelsen (DIGST) har accepteret NSIS-anmeldelse af Context Handler 2. Det betyder, at Context Handler 2 kan videreformidle NSIS-sikringsniveauerne "Lav", "Betydelig" og "Høj".

Når en kommune gerne vil have deres IdP til at kunne sende NSIS-sikringsniveauer via Context Handler 2, skal kommunen sende en mail til leverandøren af Fælleskommunalt Administrationsmodul (helpdesk@serviceplatformen.dk), hvor kommunen beder om, at der i Administrationsmodulet bliver registreret det NSIS-sikringsniveau, som kommunens IdP er anmeldt til.

Herefter kontrollerer leverandøren af Fælleskommunalt Administrationsmodul om den konkrete IdP er på Digitaliseringsstyrelsens NSIS-positivliste. Hvis IdP’en er på positivlisten, tilpasser leverandøren registreringen i Administrationsmodulet.

Vi har her samlet nogle links til information om NSIS og valg af NSIS-sikringsniveau:

Vejledninger

Nedenstående vejledninger gennemgår, hvad der skal udføres for at kunne anvende Context Handleren:

Sådan implementerer du single-sign-on: Vejledning til Adgangsstyring for brugere
Kom godt i gang: Tilslut brugervendt system
Lav jobfunktionsroller: Vejledning til udarbejdelse af jobfunktionsroller for kommuner
Opsæt en Identity Provider: Vejledning til opsætning af Identity Provider
OIOSAML attribut-profiler: Fælleskommunal OIOSAML 2-attributprofil og Fælleskommunal OIOSAML 3-attributprofil
Link til Fælleskommunal Administration for myndigheder: Brugervejledning til Administrationsmodulerne for myndigheder
Eksempel: metadata for brugervendt system
Eksempel: metadata for Identity provider

Skift af IdP SAML-metadata

Hvis du som myndighed skal skifte SAML-metadata på din tilsluttede IdP, fx hvis du skal opdatere certifikat, skal du gøre følgende:

Planlæg skiftet, så det påvirker din organisations brugere mindst muligt - det er ikke muligt at undgå nedetid
Dan nye SAML-metadata i jeres IdP – bemærk, at SAML-metadatafilen kun må indeholde ét certifikat
Slet gamle IdP SAML-metadata på jeres registrerede IdP i Fælleskommunalt Administrationsmodul
Upload nye IdP SAML-metadata på jeres registrerede IdP i Fælleskommunal Administrationsmodul (bemærk, at AD FS-metadata kan indlæses direkte i Administrationsmodulet uden ændringer, så længe det indeholder ét certifikat)

Herefter vil der gå et kort stykke tid, mens Administrationsmodulet lægger data over i Context Handler, derefter kan I igen bruge jeres IdP til at logge på.

Hvis I har behov for hjælp undervejs i processen, kan du kontakte Serviceplatformens Helpdesk.

'Kom godt i gang'-vejledninger

Skal du integrere med den fælleskommunale infrastruktur for første gang? I vores nye serie 'Kom godt i gang', har vi udarbejdet en række trin-for-trin vejledninger, som du kan bruge, når du skal i gang med at anvende infrastrukturen.

Find vejledningerne her

Integrationer til Context Handler

Certifikater

Du finder certifikaterne til den fælleskommunale infrastruktur på siden for certifikater.

Hvis du ikke før har prøvet at anvende certifikater i infrastrukturen, så kan du finde hjælp i vores vejledning 'Kom godt i gang - certifikater'.

Link til metadata

Bemærk, at der findes forskellig metadata til henholdsvis den gamle version (Context Handler 1) og den nye Context Handler 2.

Du finder metadata til hver version nedenfor.

Metadata til Context Handler 1

Metadata Ekstern Test Context Handler 1:

For brugervendt system: https://adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2/metadata.idp
For IdP (kommunal eller leverandørmyndighed): https://adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2auth/metadata.idp

Metadata Produktion Context Handler 1:

For brugervendt system: https://adgangsstyring.stoettesystemerne.dk/runtime/saml2/metadata.idp
For kommunal IdP: https://adgangsstyring.stoettesystemerne.dk/runtime/saml2auth/metadata.idp

Metadata til Context Handler 2

Metadata Ekstern Test Context Handler 2:

For brugervendt system: https://n2adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2/metadata.idp?samlprofile=nemlogin3
For IdP (kommunal eller leverandørmyndighed): https://n2adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2auth/metadata.idp?samlprofile=nemlogin3

Metadata Produktion Context Handler 2:

For brugervendt system: https://n2adgangsstyring.stoettesystemerne.dk/runtime/saml2/metadata.idp?samlprofile=nemlogin3
For kommunal IdP: https://n2adgangsstyring.stoettesystemerne.dk/runtime/saml2auth/metadata.idp?samlprofile=nemlogin3

Vilkår for Adgangsstyring for brugere

Det er nødvendigt, at vilkår for anvendelse af sikkerhedsmodellen i den fælleskommunale rammearkitektur anvendes.

Læs vilkår for anvendelse af sikkerhedsmodellen og beskrivelsen af sikkerhedsmodellen. (Beskrivelser af de fælleskommunale OIOSAML-attributprofiler, finder du under Vejledninger.)

Læs servicebeskrivelse og vilkår for Context Handler 2.

Testværktøjer

KOMBIT stiller testværktøjer til rådighed for myndigheder til test af IdP'er. Testværktøjerne giver mulighed for at inspicere login-flowet i en browser i forbindelse med test af Adgangsstyring for brugere.

Testværktøjer til Context Handler 2

Eksternt testmiljø

Til test i Eksternt testmiljø med NIST-sikringsniveauer: https://spwithoutnsis.eksterntest-stoettesystemerne.dk/
Til test i Eksternt testmiljø med NSIS-sikringsniveauer: https://spwithnsis.eksterntest-stoettesystemerne.dk/

Produktionsmiljø

Til test i Produktionsmiljø med NIST-sikringsniveauer: https://spwithoutnsis.stoettesystemerne.dk/
Til test i Produktionsmiljø med NSIS-sikringsniveauer: https://spwithnsis.stoettesystemerne.dk/