Gå til hovedindhold

Adgangsstyring for brugere

Adgangsstyring for brugere sikrer, at brugere kun tilgår de informationer, som de har fået tildelt rettigheder til af deres myndighed.

På denne side kan du læse om:

Hvad er Adgangsstyring for brugere

Fælleskommunal Adgangsstyring for brugere foregår ud fra autentifikation og autorisation, som er styret i myndighedens brugerstyring.

  • Autentifikation bestemmer brugerens identitet og hvilket tilhørsforhold, denne har til en myndighed.
  • Autorisation er brugerens rettigheder - hvad må den pågældende bruger. Denne tildeling/afgrænsning af rettigheder styres med jobfunktionsroller og dataafgrænsninger.

En brugers rettigheder udtrykkes ved kombinationer af roller og afgrænsninger. Fx kan man udtrykke en rettighed som ”du må læse dokumenter, men kun de dokumenter, der omhandler dagpenge”:

  • Rolle: Se dokument
  • Dataafgrænsning: KLE 32.30 (KLE-nummer for Dagpenge ved sygdom og barsel)

eller ”som medarbejder må du se lønoplysninger, men kun i din egen afdeling”:

  • Rolle: Se lønoplysninger
  • Dataafgrænsning: Organisation UUID på brugerens organisation

Det vil sige, at en rettighed altid består af en rolle (hvad du må), og den kan eventuelt kombineres med en eller flere afgrænsninger (hvilke data du må udføre de tilladte handlinger på).

Adgangsstyring for brugere i den fælleskommunale infrastruktur er integreret med alle myndigheders Identity Providere, hvilket gør, at kommunens brugere automatisk kan logges på.

Context Handler

Context Handler er en SAML IdP-proxy, der udsteder adgang for brugere på vegne af de kommunale Identity Providere til de brugervendte systemer, der er registreret i den fælleskommunale infrastruktur. Brugervendte systemer er typisk fagsystemer, der har en brugergrænseflade (SAPA, BBR eller lignende).

Sikkerhedsmodellen understøttes af Context Handleren og Fælleskommunalt Administrationsmodul. Både det brugervendte system og kommunens lokale Identity Provider (IdP) integrerer til Context Handler, og begge systemer er registreret i Fælleskommunalt Administrationsmodul, hvor rettighederne modelleres i form af jobfunktionsroller. Det betyder, at det brugervendte system ikke kommunikerer direkte med kommunens lokale IdP, men at Context Handleren agerer proxy for kommunen og oversætter rettighederne mellem de to systemer.

Ny version af Context Handler – klar til NSIS og NemLog-in3

Nedenfor er samlet mere information om Context Handler 2 (tidligere kaldet NSIS-Context Handler), samt tidsplan for test og ibrugtagning.

Information om Context Handler 2

Context Handler 2 kan det samme som den gamle Context Handler 1, men vil derudover også indeholde ny funktionalitet til:

  • Understøttelse af National Standard for Identiteters Sikringsniveauer (NSIS)
    • Tilslutning og understøttelse af både NSIS-IdP’er og ”gamle” IdP’er
    • Context Handler 2 er registreret til niveau ”Høj” hos Digitaliseringsstyrelsen
  • Implementering af Attributservice til overførsel af rettigheder
    • Understøttelse af IdP’er, der ikke kan generere OIOBPP i et token
    • Føderationer med Sundhedsvæsenets Elektroniske Brugerstyring (SEB) for login til systemer, der er tilsluttet SEB - fx Fælles Udbud af Telemedicin (FUT)
  • Føderation med NemLog-in3
    • Log-in/step-up funktionalitet for kommunale IdP’er, der ikke har et givent NSIS-sikringsniveau

Med den udvidede funktionalitet, kan Context Handler 2 derfor understøtte både OIOSAML 2 og OIOSAML 3, samt NIST- og NSIS-sikringsniveauer.

Desuden kommer der en ny version af Security Token Service, der kan udstede JSON Web Token (JWT). Det betyder, at serviceudbydere, der understøtter JWT på deres webservices (fx REST), også kan bruge Security Token Service.

Planen for test- og ibrugtagning af Context Handler 2 er tegnet op nedenfor. Planen er senest opdateret 14. august 2023.

1. release i Q2 2022 indeholdt størstedelen af den nye funktionalitet, undtagen integration til NemLog-in3 (NL3). Efter 1. release, er vejledningsmaterialet til ibrugtagning af den nye version blevet afprøvet sammen med pilotkommuner.

I overgangsperioden vil der være to kørende versioner af Context Handleren; den gamle Context Handler 1 og den nye Context Handler 2.

Kommunerne modtog 31. maj 2022 en KLIK-opgave om hvordan, de tilslutter deres IdP til den nye version af Context Handler (Context Handler 2). Kort fortalt, kan en kommune tage Context Handler 2 i brug ved at oprette den som relying party i kommunens IdP (etablere trust), så kommunens IdP stoler på både den gamle Context Handler (Context Handler 1) og den nye Context Handler 2.

Kommunens IdP behøver på nuværende tidspunkt ikke være NSIS-godkendt for at etablere trust til Context Handler 2.

Det er heller ikke et krav, at kommunens løsninger skal forstå OIOSAML 3 eller NSIS-sikringsniveauer for at kunne skifte til Context Handler 2. Den vil nemlig stadig understøtte OIOSAML 2 og NIST-sikringsniveauer – såvel som OIOSAML 3 og NSIS-sikringsniveauer.

En kommunes lokale IdP vil først blive mødt af et krav om at kunne levere NSIS-sikringsniveauer, når kommunens brugere skal logge på et brugervendt system, der kræver et NSIS-sikringsniveau.

NemLog-in er ultimo juni 2022 overgået til OIOSAML 3.

Det betyder, at alle brugervendte systemer, der både anvender NemLog-in og gammel version af Fælleskommunal Adgangsstyring for brugere (Context Handler 1) til log-in, skal kunne understøtte to versioner af SAML for at sikre fortsat drift efter overgangen.

For at kunne modtage log-ins fra NemLog-in skal det brugervendte system understøtte OIOSAML 3, og for at modtage log-ins fra Context Handler 1 skal systemet understøtte OIOSAML 2.

Der er endnu ikke sat en dato for udfasning af den gamle version af Context Handler (Context Handler 1).

Overgangsperioden, hvor tjenesteudbydere/brugervendte systemer kan skifte over til at bruge Context Handler 2 startede i henholdsvis december 2022 i Eksternt testmiljø og i august 2023 i Produktionsmiljøet.

Vi melder ud, når der er fastsat en deadline for hvornår brugervendte systemer skal være skiftet over til Context Handler 2.

Context Handler 2 vil kunne videreformidle NSIS-sikringsniveauer, når den nye version er blevet godkendt af Digitaliseringsstyrelsen (DIGST).

Når en kommune gerne vil have deres IdP til at kunne sende NSIS-sikringsniveauer via Context Handler 2, sender kommunen en forspørgsel til KOMBIT om skifte fra NIST til NSIS. Herefter kontrollerer KOMBIT om IdP’en er på Digitaliseringsstyrelsens NSIS-positivliste. Hvis IdP’en er godkendt af DIGST, sætter KOMBIT tilsvarende det NSIS-sikringsniveau, som IdP’en er godkendt til.

 

Vejledninger

Nedenstående vejledninger gennemgår, hvad der skal udføres for at kunne anvende Context Handleren:

Skift af IdP SAML-metadata

Hvis du som myndighed skal skifte SAML-metadata på din tilsluttede IdP, fx hvis du skal opdatere certifikat, skal du gøre følgende:

  • Planlæg skiftet, så det påvirker din organisations brugere mindst muligt - det er ikke muligt at undgå nedetid
  • Dan nye SAML-metadata i jeres IdP – bemærk, at SAML-metadatafilen kun må indeholde ét certifikat
  • Slet gamle IdP SAML-metadata på jeres registrerede IdP i Fælleskommunalt Administrationsmodul
  • Upload nye IdP SAML-metadata på jeres registrerede IdP i Fælleskommunal Administrationsmodul (bemærk, at AD FS-metadata kan indlæses direkte i Administrationsmodulet uden ændringer, så længe det indeholder ét certifikat)

Herefter vil der gå et kort stykke tid, mens Administrationsmodulet lægger data over i Context Handler, derefter kan I igen bruge jeres IdP til at logge på.

Hvis I har behov for hjælp undervejs i processen, kan du kontakte Serviceplatformens Helpdesk.

 

'Kom godt i gang'-vejledninger

Skal du integrere med den fælleskommunale infrastruktur for første gang? I vores nye serie 'Kom godt i gang', har vi udarbejdet en række trin-for-trin vejledninger, som du kan bruge, når du skal i gang med at anvende infrastrukturen.

Integrationer til Context Handler
 

Certifikater

Du finder certifikaterne til den fælleskommunale infrastruktur på siden for certifikater.

Hvis du ikke før har prøvet at anvende certifikater i infrastrukturen, så kan du finde hjælp i vores vejledning 'Kom godt i gang - certifikater'.

Link til metadata

Bemærk, at der findes forskellig metadata til henholdsvis den gamle version (Context Handler 1) og den nye Context Handler 2.

Du finder metadata til hver version nedenfor.

Metadata til Context Handler 1 (gammel version)

Metadata Ekstern Test Context Handler 1:

Metadata Produktion Context Handler 1:

Metadata til Context Handler 2 (ny version)

Metadata Ekstern Test Context Handler 2:

Metadata Produktion Context Handler 2:

Vilkår for Adgangsstyring for brugere

Det er nødvendigt, at vilkår for anvendelse af sikkerhedsmodellen i den fælleskommunale rammearkitektur anvendes. 

Læs vilkår for anvendelse af sikkerhedsmodellen og beskrivelsen af sikkerhedsmodellen

Testværktøjer

KOMBIT stiller testværktøjer til rådighed for myndigheder til test af IdP'er. Testværktøjerne giver mulighed for at inspicere login-flowet i en browser i forbindelse med test af Adgangsstyring i det eksterne testmiljø. Bemærk, at der er forskellige testværktøjer til henholdsvis Context Handler 1 og til Context Handler 2.

Testværktøj til Context Handler 1

Bemærk, at der ikke er fastsat en SLA for testværktøjets tilgængelighed og at evt. fejl skal indrapporteres til kdi@kombit.dk.

Testværktøjer til Context Handler 2