Menu
Om den fælleskommunale infrastruktur Infrastrukturens løsninger Tilslutning Teknikken bag infrastrukturen Vilkår og aftaler Kontakt og support

Udfasning af Context Handler 1 og Security Token Service 1

Her finder du status for udfasning af Context Handler 1 og Security Token Service 1 samt links til mere information om overgangen til Context Handler 2 og Security Token Service 2.

Denne side er senest opdateret: 26. marts 2025

Context Handler 1 (Fælleskommunal Adgangsstyring for brugere) og Security Token Service 1 (Fælleskommunal Adgangsstyring for systemer) udfases den 31. marts 2025 i både Produktionsmiljøet og Eksternt testmiljø. Det betyder, at alle it-systemer, der bruger de gamle versioner, skal have skiftet over til at bruge de nye versioner inden denne dato.

Alt efter om dit it-system bruger Fælleskommunal Adgangsstyring for brugere eller Fælleskommunal Adgangsstyring for systemer er der forskel på, hvad du skal gøre for at skifte over til de nye versioner. Det kan du læse mere om nedenfor.

De nye versioner kalder vi for hhv. Context Handler 2 og Security Token Service 2. De kan det samme som de gamle versioner, men er også udvidet med ny funktionalitet.

Tidslinje

Oversigt over KOMBIT-løsningernes overgang

I skemaet her, kan du se planerne for KOMBIT-løsningernes skifte til hhv. Context Handler 2 og Security Token Service 2. For de løsninger, der anvender Fælleskommunal Adgangsstyring for brugere, kan du også se, hvilket sikringsniveau, den enkelte løsning kræver. Planen opdateres løbende i henhold til KOMBIT-løsningernes releaseplaner.

Q&A om overgangen til Context Handler 2 og Security Token Service 2

Kommunens brugere skal kunne logge på fagløsninger/it-systemer via Context Handler 2. Om det gøres via en eller flere IdP’er, er op til den enkelte kommune.

Den eller de IdP’er, som en kommune tilslutter til Context Handler 2, skal derfor dække samtlige brugere i kommunen, der skal kunne logge på fagløsninger/it-systemer via Fælleskommunal Adgangsstyring for brugere.

Hvis din kommune har mere end en IdP, skal du også være opmærksom på, at det kun er IdP'er optaget på Digitaliseringsstyrelsens NSIS-positivliste, som kan bruges til at logge brugere på fagløsninger/it-systemer, der kræver et NSIS-sikringsniveau.

Mange kommuner har i forbindelse med deres klargøring til NSIS etableret en ekstra Identity Provider (IdP) specifikt for NSIS. Nogle kommuner har også valgt, at det kun er denne ekstra IdP, der er tilsluttet Context Handler 2.

For brugere i disse kommuner betyder det, at de skal logge på it-systemer via forskellige IdP’er afhængig af, om pågældende it-system bruger Context Handler 1 eller Context Handler 2.

Hvis din kommune har mere end en IdP, skal du derfor være opmærksom på hvilken IdP, du skal vælge som autentificeringsmetode i dropdown-listen, når du skal logge ind via Context Handler 2 – det kan nemlig være en anden IdP end den, du skal bruge ved login via Context Handler 1.

Clear cookies i din browser

Hvis du har valgt at sætte hak i ”Husk mit valg” i forbindelse med, at du er logget på et it-system via Fælleskommunal Adgangsstyring for brugere, er der blevet lagt en cookie i din browser, som derfor husker hvilken IdP, du valgte som autentificeringsmetode i dropdown-listen ved login.

Fordi der ligger en cookie, vil din browser forsøge at kontakte den samme IdP næste gang, du prøver at logge på via Fælleskommunal Adgangsstyring for brugere. Hvis den IdP, som browseren ”husker”, ikke er den IdP, du skal bruge til at logge ind med, vil du måske opleve ikke at kunne logge på.

I så fald, skal du (eller din kommunes it-afdeling) fjerne den cookie i din browser, så du får mulighed for at vælge den rigtige IdP. I de fleste browsere er det muligt at slette specifikke cookies for specifikke URL'er - i dette tilfælde vil det være cookies fra henholdsvis "adgangsstyring.stoettesystemerne.dk" for Context Handler 1 og "n2adgangsstyring.stoettesystemerne.dk" for Context Handler 2. 

Du kan læse mere om, hvordan du sletter cookies i Edge, Chrome eller via et script i denne vejledning.

Context Handler 2 kræver to-faktor autentifikation, når brugere skal logge på it-systemer, der kræver høje sikringsniveauer (NIST 3 eller 4, NSIS ”Betydelig” eller ”Høj”).

Som bruger vil du derfor blive bedt om to-faktor-godkendelse, når du skal logge på et it-system, der kræver et af disse sikringsniveauer.

Det betyder, at du skal være tildelt en mulighed for at autentificere dig med to faktorer/to-trins godkendelse. Det er din kommune, der skal give dig mulighed for at bruge jeres lokale løsning til to-faktor-login.

Særligt for IdP’er registreret med profilen “OIOSAML2 – Without requestet LoA”

Din kommune kan dog have valgt at registrere din kommunes IdP med OIOSAML-profilen OIOSAML2 – Without requestet LoA i Fælleskommunalt Administrationsmodul.

Hvis din kommune har valgt det, vil Context Handler 2 ikke sende et krævet sikringsniveau med til IdP’en. Det er i så fald din kommune, der har ansvaret for, at du og kommunens øvrige brugere er autentificeret på det nødvendige sikringsniveau i jeres IdP. Som bruger vil du derfor ikke nødvendigvis opleve at blive bedt om to-trins-godkendelse, når du logger på et it-system, der kræver NIST 3 eller 4, da din kommune kan have sikret autentifikation på en anden måde.

Din kommune kan have valgt profilen OIOSAML2 – Without requestet LoA for at give softwarerobotter adgang til it-systemer, der kræver NIST-sikring. Du kan læse mere om OIOSAML-profiler og softwarerobotter i denne nyhed.

Ja, Context Handler 1 og Security Token Service 1 bliver lukket i både Produktionsmiljøet og Eksternt testmiljø den 31. marts 2025. 

Context Handler 2 kan det samme som Context Handler 1, men er også udvidet med ny funktionalitet. Det samme er tilfældet for Security Token Service 2 i forhold til Security Token Service 1.

Du kan læse mere her: Fælleskommunal Adgangsstyring: Nye versioner af Context Handler og Security Token Service klar til brug | Digitaliseringskataloget.

I Fælleskommunalt Administrationsmodul registreres en OIOSAML-profil for en Identity Provider (IdP). Det er OIOSAML-profilen, der bl.a. ”bestemmer” hvordan et sikringsniveau bliver kommunikeret mellem Context Handler 2 og IdP’en.

Ved hjælp af OIOSAML-profilerne, har kommuner samme muligheder for at lade deres softwarerobotter logge på it-systemer med NIST-sikringsniveauer via Context Handler 2, som de har via Context Handler 1.

Der er seks forskellige OIOSAML-profiler at vælge imellem ved registrering i Administrationsmodulet, heriblandt specifikke profiler beregnet til IdP’er, der ikke kan modtage et NIST-sikringsniveau, og til ADFS-IdP’er, der skal kunne modtage et NSIS-sikringsniveau. Du kan læse mere om udvidelsen af antallet af OIOSAML-profiler i denne nyhed.

Vær opmærksom på, at softwarerobotter (RPA) kun må logge på et it-system via Context Handler 2, hvis systemet kræver NIST-sikringsniveau.

NSIS-standarden understøtter p.t. kun fysiske personer og juridiske enheder, og derfor må en RPA-bruger ikke logge på et it-system, der kræver et NSIS-sikringsniveau. KL og KOMBIT afventer en afklaring fra Digitaliseringsstyrelsen på, hvordan dette skal løses.

Nej, det er ikke noget krav. Du kan derfor godt anvende OIOSAML2 sammen med Context Handler 2.

Hvis du skal begynde at anvende NSIS-sikringsniveauer, skal du dog skifte til OIOSAML3. 

Alle kommuner har mindst én IdP tilsluttet Context Handler 2.

Der er allerede løsninger, der anvendes af alle kommuner, der er skiftet til Context Handler 2, fx brugergrænsefladerne til Fælleskommunalt Organisationssystem og Fælleskommunalt Klassifikationssystem.

For at hjælpe kommunerne med evt. migrering af deres brugere mellem IdP'er og tildeling af to-faktor-login til brugere, har de dog behov for at vide, hvornår en given fagløsning planlægger at skifte til Context Handler 2. Det er derfor vigtigt at alle kommuner, der anvender fagløsningen, er informeret om tidsplanen for skiftet fra Context Handler 1 til Context Handler 2.

Du kan vælge hvilken assertion encryption, dit it-system ønsker at modtage fra Context Handler 2.

Det gør du ved at angive den ønskede krypteringsalgoritme i it-systemets SAML-metadata under ”Encryption certificate” med attributten ”EncryptionMethod Algorithm”. 

Den valgte krypteringsalgoritme vil så fremgå af den SAML-metadata for it-systemet, som du uploader/linker til i registreringen af dit brugervendte system i Fælleskommunalt Administrationsmodul.

Mulige symmetriske ciphers til kryptering:

  • EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc"
  • EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc”
  • EncryptionMethod Algorithm="http://www.w3.org/2009/xmlenc11#aes128-gcm”
  • EncryptionMethod Algorithm="http://www.w3.org/2009/xmlenc11#aes192-gcm”
  • EncryptionMethod Algorithm="http://www.w3.org/2009/xmlenc11#aes256-gcm"

Om netværkssikkerhed i infrastrukturen
Du finder oplysninger om hvilke ciphers, der kan benyttes, når dit it-system skal bruge infrastrukturen på denne side i Digitaliseringskataloget.


Nyhedsoversigt

Kontakt os

Har du spørgsmål til overgangen til Context Handler 2 eller Security Token Service 2, kan du kontakte KOMBIT på kdi-udfasning@KOMBIT.dk.