Adgangsstyring for brugere
Adgangsstyring for brugere sikrer, at brugere kun tilgår de informationer, som de har fået tildelt rettigheder til af deres myndighed.
På denne side kan du læse om:
- Hvad er Adgangsstyring for brugere
- Context Handler
- Ny Context Handler på vej
- Vejledninger til opsætning af adgangsstyring, jobfunktionsroller mm.
- Integrationer til Context Handler
- Certifikater
- Link til metadata for nuværende og ny version
- Vilkår for Adgangsstyring for brugere
- Testværktøjer
Hvad er Adgangsstyring for brugere
Fælleskommunal Adgangsstyring for brugere foregår ud fra autentifikation og autorisation, som er styret i myndighedens brugerstyring.
- Autentifikation bestemmer brugerens identitet og hvilket tilhørsforhold, denne har til en myndighed.
- Autorisation er brugerens rettigheder - hvad må den pågældende bruger. Denne tildeling/afgrænsning af rettigheder styres med jobfunktionsroller og dataafgrænsninger.
En brugers rettigheder udtrykkes ved kombinationer af roller og afgrænsninger. Fx kan man udtrykke en rettighed som ”du må læse dokumenter, men kun de dokumenter, der omhandler dagpenge”:
- Rolle: Se dokument
- Dataafgrænsning: KLE 32.30 (KLE-nummer for Dagpenge ved sygdom og barsel)
eller ”som medarbejder må du se lønoplysninger, men kun i din egen afdeling”:
- Rolle: Se lønoplysninger
- Dataafgrænsning: Organisation UUID på brugerens organisation
Det vil sige, at en rettighed altid består af en rolle (hvad du må), og den kan eventuelt kombineres med en eller flere afgrænsninger (hvilke data du må udføre de tilladte handlinger på).
Adgangsstyring for brugere i den fælleskommunale infrastruktur er integreret med alle myndigheders Identity Providere, hvilket gør, at kommunens brugere automatisk kan logges på.
Context Handler
Context Handler er en SAML IdP-proxy, der udsteder adgang for brugere på vegne af de kommunale Identity Providere til de brugervendte systemer, der er registreret i den fælleskommunale infrastruktur. Brugervendte systemer er typisk fagsystemer, der har en brugergrænseflade (SAPA, BBR eller lignende).
Sikkerhedsmodellen understøttes af Context Handleren og Fælleskommunal Administration. Både det brugervendte system og kommunens lokale Identity Provider (IdP) integrerer til Context Handler, og begge systemer er registreret i Fælleskommunal Administration, hvor rettighederne modelleres i form af jobfunktionsroller. Det betyder, at det brugervendte system ikke kommunikerer direkte med kommunens lokale IdP, men at Context Handleren agerer proxy for kommunen og oversætter rettighederne mellem de to systemer.
I 2022 kommer der en ny version af Context Handleren med udvidet funktionalitet - du kan læse mere om den nye version nedenfor.
Vejledninger
Nedenstående vejledninger gennemgår, hvad der skal udføres for at kunne anvende Context Handleren:
- Sådan implementerer du single-sign-on: Vejledning til Adgangsstyring for brugere
- Kom godt i gang: Tilslut brugervendt system
- Lav jobfunktionsroller: Vejledning til udarbejdelse af jobfunktionsroller for kommuner
- Opsæt en Identity Provider: Vejledning til opsætning af Identity Provider
- Link til Fælleskommunal Administration for myndigheder: Brugervejledning til Administrationsmodulerne for myndigheder
- Eksempel: metadata for brugervendt system
- Eksempel: metadata for Identity provider
Skift af IdP SAML-metadata
Hvis du som myndighed skal skifte SAML-metadata på din tilsluttede IdP, fx hvis du skal opdatere certifikat, skal du gøre følgende:
- Planlæg skiftet, så det påvirker din organisations brugere mindst muligt - det er ikke muligt at undgå nedetid
- Dan nye SAML-metadata i jeres IdP – bemærk, at SAML-metadatafilen kun må indeholde ét certifikat
- Slet gamle IdP SAML-metadata på jeres registrerede IdP i Fælleskommunalt Administrationsmodul
- Upload nye IdP SAML-metadata på jeres registrerede IdP i Fælleskommunal Administrationsmodul (bemærk, at AD FS-metadata kan indlæses direkte i Administrationsmodulet uden ændringer, så længe det indeholder ét certifikat)
Herefter vil der gå et kort stykke tid, mens Administrationsmodulet lægger data over i Context Handler, derefter kan I igen bruge jeres IdP til at logge på.
Hvis I har behov for hjælp undervejs i processen, kan du kontakte Serviceplatformens Helpdesk.
Integrationer til Context Handler
Certifikater
Du finder certifikaterne til den fælleskommunale infrastruktur på siden for certifikater.
Hvis du ikke før har prøvet at anvende certifikater i infrastrukturen, så kan du finde hjælp i vores vejledning 'Kom godt i gang - certifikater'.
Link til metadata
Bemærk, at der findes forskellig metadata til henholdsvis den nuværende version af Context Handler og den nye version (NSIS-Context Handler).
Du finder metadata til hver version nedenfor.
Metadata til nuværende Context Handler
Metadata Ekstern Test (nuværende version):
- For brugervendt system: https://adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2/metadata.idp
- For IdP (kommunal eller leverandørmyndighed): https://adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2auth/metadata.idp
Metadata Produktion (nuværende version):
- For brugervendt system: https://adgangsstyring.stoettesystemerne.dk/runtime/saml2/metadata.idp
- For kommunal IdP: https://adgangsstyring.stoettesystemerne.dk/runtime/saml2auth/metadata.idp
Metadata til ny version - NSIS-Context Handler
Metadata Ekstern Test (ny version):
- For brugervendt system: https://n2adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2/metadata.idp
- For IdP (kommunal eller leverandørmyndighed): https://n2adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2auth/metadata.idp
Metadata Produktion (ny version):
- For brugervendt system: (ikke tilgængelig endnu)
- For kommunal IdP: https://n2adgangsstyring.stoettesystemerne.dk/runtime/saml2auth/metadata.idp
Vilkår for Adgangsstyring for brugere
Det er nødvendigt, at vilkår for anvendelse af sikkerhedsmodellen i den fælleskommunale rammearkitektur anvendes.
Læs vilkår for anvendelse af sikkerhedsmodellen og beskrivelsen af sikkerhedsmodellen.
Testværktøjer
KOMBIT stiller testværktøjer til rådighed for myndigheder til test af IdP'er. Testværktøjerne giver mulighed for at inspicere login-flowet i en browser i forbindelse med test af Adgangsstyring i det eksterne testmiljø. Bemærk, at der er forskellige testværktøjer til henholdsvis nuværende version af Context Handler og til NSIS-Context Handler.
Testværktøj til nuværende version af Context Handler
- Til test med NIST-sikringsniveauer: https://demo-brugervendtsystem.kombit.dk/test/
Bemærk, at der ikke er fastsat en SLA for testværktøjets tilgængelighed og at evt. fejl skal indrapporteres til kdi@kombit.dk.
Testværktøjer til NSIS-Context Handler
- Til test med NIST-sikringsniveauer: https://spwithoutnsis.eksterntest-stoettesystemerne.dk/
- Til test med NSIS-sikringsniveauer: https://spwithnsis.eksterntest-stoettesystemerne.dk/