Underbilag A Administrationsmodul

Transkript

1 Underbilag A Administrationsmodul 1.1 Begreber [Begrebsdiagram med læsevejledning, og reference til appendiks A for definitioner. Det er centralt i dette afsnit at begrebsmodellen kan læses, og at der er en empirisk forståelse for begreberne. Det er ikke et formål at begreberne defineres koncist, da dette er i appendiks A.] Nedenfor er vist begrebsmodellen med de centrale forretningsbegreber og systemmæssige begreber for Adgangsstyring. Kunden forstår centrale forretningsbegreber som begreber, der er elementære i al kommunikation inden for Administrationsmodulet. anmoder om Administreres i Administrationsmodul godkender Tilslutningsaftale regulerer Tilsluttet system leverer Leverandør er en Tilslutningspart er en Supportleverandør Føderationsaftale kan være anmoder om godkender anmoder om Myndighed er en er en Forvalter regulerer Identity Provider Brugervendt system er et administreres via Serviceudbyder Anvendersystem godkender Serviceudbyderadministration applikation håndhæver regulerer udsteder adgangstokens bestående af håndhæver Systemrolle Serviceaftale er en kan indeholde er en kan indeholde Dataafgrænsning Brugersystemrolle Jobfunktionsrolle Servicesystemrolle adgang begrænses af tildeles Bruger Fødereret brugeradministration Figur 1: Begreber for tilslutningsparter, systemer og aftaler, der administreres via Administrationsmodulet.

2 Begrebsmodellen på anmoder om Administreres i Administrationsmodul godkender Tilslutningsaftale regulerer Tilsluttet system leverer Leverandør er en Tilslutningspart er en Supportleverandør Føderationsaftale kan være anmoder om godkender anmoder om Myndighed er en er en Forvalter regulerer Identity Provider Brugervendt system er et administreres via Serviceudbyder Anvendersystem godkender Serviceudbyderadministration applikation håndhæver regulerer udsteder adgangstokens bestående af håndhæver Systemrolle Serviceaftale er en kan indeholde er en kan indeholde Dataafgrænsning Brugersystemrolle Jobfunktionsrolle Servicesystemrolle adgang begrænses af tildeles Bruger Fødereret brugeradministration Figur 1 viser de centrale begreber, der administreres via Administrationsmodulet og illustrerer udvalgte relationer mellem disse. Begreberne beskrives i afsnittene nedenfor. Begrebsmodellen kan læses som følger: En tilslutningspart kan enten være en Leverandør, en Myndighed, en Forvalter eller en Supportleverandør. En Leverandør kan tilslutte et tilsluttet system ved at indgå en tilslutningsaftale med Forvalteren. Et tilsluttet system kan være: En Identity Provider, der udsteder adgangstokens for brugere bestående af jobfunktionsroller, for de Myndigheder, der har indgået en føderationsaftale herom. Et brugervendt system, der håndhæver adgang i henhold til brugersystemroller. En serviceudbyder, der håndhæver adgang i henhold til servicesystemroller Et anvendersystem, der anvender en serviceudbyder i henhold til serviceaftaler, der godkendes af den dataansvarlige Myndighed.

3 1.2 Informationsmodel [Diagram med informationsmodellen, læsevejledning, korte noter om relationerne og relation til begrebsmodellen, og reference til appendiks B for detaljer] Begrebsmodellen viser den overordnede konceptuelle sammenhæng mellem begreberne for adgangsstyrring. Nedenstående informationsmodel er en beriget konceptuel model. Informationsmodellen er en beriget version af begrebsmodellen, hvor attributter, objekter og relationer er beskrevet nøjere. Enkelte begreber er opsplittet i flere forretningsobjekter for kunne uddybe deres indbyrdes sammenhænge. ne i denne model fokuserer på de informationsmæssige sammenhænge mellem objekterne. Tilsluttet system Præsentationsnavn Tilslutningspart Præsentationsnavn Har fødereret brugeradministration Brugerinaktiveringsperiode Identity Provider Brugervendt system Serviceudbyder Anvendersystem Tilslutningsaftale ID Assurance Level SAML metadata Mobilvenlig Kan autentificere Kender roller Føderationsaftale Standardbetingelser Version Aktiveringstidspunkter Jobfunktionsrolle ID Version Præsentationsnavn Aktiveringstidspunkter Delegeret til tildeles kan indeholde ID SAML metadata er tilknyttet definerer Brugersystemrolle ID URL Supportleverandør Dataafgrænsningsværdi Værdi definerer Servicesystemrolle ID OCES certifikat Serviceaftale Standardbetingelser Version Begrundelse Standardbetingelser Version Aktiveringstidspunkter Forvalter Leverandør Myndighed Aftalerelation Aktiveringstidspunkter Version Indgåelsesstatus Bruger ID Bruger Administrationsmodulbruger tilknyttet Anvenderkontekst CVR-nummer Systemrolle ID Version Præsentationsnavn Aktiveringstidspunkter Dataafgrænsningstype ID Syntaksdefinition Valideringsservice Præsentationsnavn Navn RID Er aktiv Advis-præferencer -adresse Figur 2: Informationsmodel for Administrationsmodulet. I appendiks B beskrives udvalgte entiteter i informationsmodellen. I beskrivelsen er der lagt vægt på at beskrive de dele af informationsmodellen, der adskiller sig fra begrebsmodellen. n medtager derfor ikke nødvendigvis alle entiteter, attributter og relationer, hvis det vurderes at der ikke er væsentlige forskelle fra hvad begrebsmodellen allerede har beskrevet.

4 Appendiks A: Begrebsdefinitioner [Her gives de konkrete begrebsdefinitioner for de centrale begreber der anvendes i Løsningen, og som er vist i diagrammet i Begrebsmodellen. ] Følgende afsnit en beskrivelse af begreberne en dansk term, en generel definition og evt. en kommentar, for de begreber der er centrale for Administrationsmodulet. Anvendersystem Anvendersystem et it-system, der kan tilgå en serviceudbyder, og anvende de data eller den funktionalitet, serviceudbyderen udstiller. Begrebet anvendersystem benyttes i denne kravspecifikation om itsystemer, der anvender en serviceudbyder, og hvor aftaler om adgang til serviceudbyderen styres via serviceaftaler i Administrationsmodulet. Bemærk at et givet it-system både kan optræde som anvendersystem og som serviceudbyder. Eksempelvis vil en serviceudbyder, der anvender en anden serviceudbyder, optræde som anvendersystem over for den anden serviceudbyder. Bruger bruger En person, der anvender et brugervendte systemer En bruger anvender altid et brugervendt system på vegne af en tilslutningspart. I rammearkitekturen er en bruger typisk tilknyttet en Myndighed og brugeren autoriseres til at anvende det brugervendte system ved at brugeren tildeles jobfunktionsroller i Myndighedens egen brugeradministrationsløsning. Brugeradministrationsløsning Adgangsstyringsbegreb brugeradministrationsløsning de systemer og processer, der er implementeret for at administrere brugere og deres adgangsrettigheder til it-systemer En Identity Provider er den komponent, der udsteder tokens, der roller, en bruger er tildelt. Bag Identity Provideren er der en

5 brugeradministrationsløsning, der håndterer oprettelse, vedligehold og nedlæggelse af brugere. Administrationsmodulet opererer med to forskellige typer af brugeradministrationsløsninger: En fødereret brugeradministrationsløsning. Denne løsning er udgangspunktet for al brugeradministration til de brugervendte systemer. En ikke-fødereret brugeradministrationsløsning. Denne anvendes alene til brugere af Administrationsmodulet. Alle Myndigheder skal tilvejebringe en (lokal) fødereret brugeradministrationsløsning for deres brugere af de brugervendte systemer. Hos nogle Myndigheder er brugeradministrationsløsningen primært en manuel proces, hvor brugere og rettigheder opsættes manuelt i forskellige it-systemers brugeradministrationsmoduler. Hos andre Myndigheder er brugeradministrationsløsningen systemunderstøttet af Identity Management og Access Governance produkter, der helt eller delvist automatiserer brugeradministration på tværs af it-systemer. Administrationsmodulet vil skulle understøtte at brugere kan få adgang til Administrationsmodulet ved at anvende denne den fødererede brugeradministrationsmodel. Administrationsmodulet tilbyder endvidere at Leverandører, Forvalteren og Supportleverandører kan administrere deres brugere af Administrationsmodulet i en simpel brugeradministrationsløsning, der er en del af Administrationsmodulet. For disse typer af tilslutningsparter tilbydes ikke fødereret brugeradministration. Brugersystemrolle Brugersystemrolle gruppering af rettigheder, der definerer adgang til et givet brugervendt system. En brugersystemrolle er en systemrolle (se dette begreb), der defineres af et brugervendt system. Brugersystemroller tildeles til brugere gennem en jobfunktionsrolle. Brugervendt system

6 brugervendt system et it-system der tilgås direkte af brugere og hvor brugerens adgang styres via rammearkitekturens brugerrettighedsmodel. Rammearkitekturens brugerrettighedsmodel er at: Myndighedens brugere tildeles adgangsgivende jobfunktionsroller i Myndighedens brugeradministrationsløsning. Det brugervendte system håndhæver adgangskontrol når brugere tilgår systemet. Adgangskontrollen håndhæves ud fra de brugersystemroller, med tilhørende dataafgrænsninger, som det brugervendte system har defineret. Jobfunktionsroller administreres, for hver Myndighed, i Administrationsmodulet, og angiver en mapning til brugersystemroller for forskellige brugervendte systemer. Når en bruger tilgår det brugervendte system medsender Context Handleren et brugertoken, der de brugersystemroller, der svarer til de jobfunktionsroller, som brugeren er tildelt. Det brugervendte system håndhæver adgangskontrol på baggrund af dette token. Context Handler Adgangsstyringsbegreb context handler et centralt it-system i rammearkitekturen, der orkestrerer den fødererede adgangsstyring for brugervendte systemer på tværs af mange Myndigheder og mange brugervendte systemer Når en bruger tilgår et brugervendt system, kontakter det brugervendte system Context handleren for at få brugeren autentificeret. Context handleren kender alle tilsluttede Identity Providere og udvælger (evt. med brugerens medvirken) den Identity Provider, der passer til netop den bruger, der tilgår systemet. Identity provideren autentificerer Myndighedens bruger og udsteder et brugertoken på vegne af Myndigheden for at bevidne brugerens identitet, samt hvad brugeren er autoriseret til. Context handleren modtager dette brugertoken, der autorisationer i form af jobfunktionsroller. Context handleren omveksler det modtagne brugertoken til et brugersystemtoken, der brugersystemroller for det specifikke brugervendte system.

7 Brugersystemtokens udstedes af Context Handleren, så de svarer til jobfunktionsrollerne i brugertokenet. Afbildningen mellem jobfunktionsroller og brugersystemroller defineres af hver Myndighed ved at opsætte denne afbildning i Administrationsmodulet. Dataafgrænsning Kommentar Dataafgrænsning dataafgrænsning på en systemrolle, som indsnævrer systemrollens virkefelt (scope). De dataafgrænsninger, der understøttes på en given systemrolle, defineres af det system, der håndhæver systemrollen altså af et brugervendt system eller en serviceudbyder. Dataafgrænsningerne bør udvælges så typiske opgaver i forbindelse med administration af adgang til systemet kan håndteres ved at instantiere dataafgrænsningerne og ikke betyder, at der skal introduceres nye systemroller. Samtidig med at en systemrolle registreres i Administrationsmodulet registres også hvilke dataafgrænsninger, der understøttes på netop denne systemrolle. Dataafgrænsninger tildeles en specifik værdi (den instantieres), når systemrollen tildeles et anvendersystem eller en jobfunktionsrolle. Eksempelvis ville en systemrolle Se sag kunne indeholde en dataafgrænsning på sagstype defineret som et KLE nummer. Ved tildeling af systemrollen til et anvendersystem kan dataafgrænsningen instantieres ved at sætte sagstype = * Således autoriseres anvendersystemet til at se alle sager, der har en sagstype med KLE hovedgruppe 27 og KLE gruppe 10. Forvalter Generel definition Forvalter den organisation, der forvalter den fællekommunale rammearkitektur. Forvalteren er eksempelvis ansvarlig for at godkende tilslutningspart og tilslutninger af it-systemer. Forvalteren vil også i visse tilfælde kunne indgå aftaler på vegne af

8 Myndigheder, hvis forvalteren har fuldmagt hertil. Som udgangspunkt indtræder Kunden i rollen som forvalter, men forvaltningsrollen skal kunne lægges ud til andre organisationer. Føderationsaftale Administrationsmodul begreb Føderationsaftale en godkendelse af at en given Identity Provider kan agere på vegne af en given Myndighed En føderationsaftale indgås mellem Leverandøren af en Identity Provider og godkendes af en Myndighed. Aftalen giver Identity Provideren ret til at udstede tokens, der bevidner, at brugere er autentificeret af myndigheden. DenneDette token anvendes til at afgøre, hvorvidt en given bruger får adgang til et brugervendt system på vegne af Myndigheden. I praksis initieres føderationsaftalen af Leverandøren og godkendes/afvises af Myndigheden. Fælleskommunalt støttesystem fælleskommunalt støttesystem et it-system der er fælles for kommunerne og en del af den Fælleskommunale Rammearkitektur, og som realiserer dele af rammearkitekturens funktionalitet Fælleskommunale støttesystemer udgøres jf. [RA_REVIEW] for indeværende af følgende konkrete fælleskommunale støttesystemer: Sags- og Dokumentindeks Ydelsesindeks Organisation Klassifikation Beskedfordeler På sigt kan der komme flere fællekommunale støttesystemer. Bemærk at et støttesystem optræder i modellen som serviceudbyder, og, ligesom andre it-systemer, både kan optræde som anvendersystem og som serviceudbyder. Eksempelvis vil et støttesystem, der anvender en anden serviceudbyder, optræde som anvendersystem over for den anden serviceudbyder.

9 Identity Provider Identity Provider, IdP system der udsteder tokens vedrørende brugeres identitet, egenskaber og roller En Identity Provider udsteder brugertokens, der bevidner, at brugeren er autentificeret af Identity Provideren. Et brugertoken de jobfunktionsroller, som brugeren er autoriseret til. I Rammearkitekturen udsteder en Identity Provider brugertokens på vegne af Myndigheders brugere. En Identity Provider vil typisk være integreret med Myndighedens brugeradministrationsløsning. I praksis kan en Identity Provider eksempelvis være baseret på Microsoft Active Directory Federation Services (AD FS), være NemLog-in, en særlig mobilvenlig Identity Provider eller lignende. Jobfunktionsrolle Jobfunktionsrolle gruppering af brugersystemroller for en Myndighed. Jobfunktionsroller defineres af den enkelte Myndighed i Administrationsmodulet, hvor jobfunktionsroller mappes til et antal brugersystemroller med tilhørende dataafgrænsninger. Jobfunktionsroller kan være hierarkisk opbygget, så en jobfunktionsrolle kan indeholde et antal af andre jobfunktionsroller. Jobfunktionsroller tildeles brugere i Myndighedens egen brugeradministrationsløsning og denne tildeling udstilles gennem en Identity Provider. Jobfunktionsroller defineres af en Myndighed, så de svarer til de jobfunktioner, Myndighedens medarbejdere udfører. Som udgangspunkt kan en Myndighed kun få adgang til Myndighedens egne data og funktionalitet gennem de jobfunktionsroller Myndigheden kan administrere. En jobfunktionsrolle kan dog delegeres fra en Myndighed til en anden. Hermed giver den første Myndighed den anden Myndighed adgang til den del af første Myndigheds data og funktionalitet, som den delegerede jobfunktionsrolle beskriver. Eksempler på jobfunktionsroller er

10 - Borgerservicemedarbejder, - Udbetaler for kontanthjælp, - Sagsbehandler for børn og unge. Leverandør Leverandør en organisation der leverer it-ydelser ved hjælp af den fælleskommunale rammearkitektur og som varetager ansvaret som tilslutningspart og ansvarlig for et tilsluttet system I Administrationsmodulet er Leverandøren den part, der tilslutter systemer og initierer alle aftaler, der vedrører systemet. En Myndighed vil også kunne levere it-ydelser via den fælleskommunale rammearkitektur. I dette tilfælde vil Myndigheden udfylde samme rolle som en Leverandør. Bemærk at vi i denne kravspecifikation også benytter udtrykket Leverandøren af Administrationsmodulet til at henvise til den leverandør, der skal leverer Administrationsmodulet. Dette skal dog ikke forveksles med begrebet Leverandør, der er beskrevet her. Myndighed Myndighed er en offentlig forvaltningsenhed, der har en lovudøvende funktion inden for rammerne af en stat, en region eller en kommune. Karakteristisk for den offentlige myndighed er, at den har lovhjemmel til at være myndighedsudøvende. En Myndighed kan eksempelvis være kommuner, stat eller Udbetaling Danmark (UDK). Myndighed er, i regi af administrationsmodulet, den organisation der godkender anvendelsen af brugervendte systemer og udbudte services i den fælleskommunale rammearkitektur. Myndigheden vil således være dataansvarlig for data i systemerne og være den organisation, der indgår føderations- og serviceaftaler i rollen som dataansvarlig. For de brugervendte systemer autoriseres brugeres adgang til Myndighedens data og funktionalitet ved at brugeren tildeles jobfunktionsroller igennem Myndighedens egen

11 brugeradministrationsløsning. Selve jobfunktionsrollens indhold administreres af Myndigheden i Administrationsmodulet. For serviceudbydere autoriseres anvendersystemers adgang til Myndighedens data og funktionalitet i en serviceudbyder gennem afsendersystemaftaler og serviceaftaler, der indgås via Administrationsmodulet. En Myndighed kan være ansvarlig for systemer, der tilsluttes den fælleskommunale rammearkitektur. I denne kapacitet udfylder Myndigheden den samme rolle som en Leverandør (se dette begreb). Security Token Service Security Token Service, STS et it-system der udsteder tokens vedrørende anvendersystemers identitet, egenskaber og roller. Security Token Servicen udsteder servicesystemtokens, der bevidner at et anvendervendersystem er autentificeret af Security Token Servicen. Servicesystemtokenet endvidere de servicesystemroller som anvendersystemet er autoriseret til gennem de serviceaftaler, der er oprettet via Administrationsmodulet. I praksis anvendes WS-Trust protokollen (OIO WS-Trust profile), når et anvendersystem anmoder Security Token Servicen om at udstede et servicesystemtoken, og anvendersystemet autentificeres derigennem overfor Security Token Servicen. Serviceaftale Administrationsmodul begreb serviceaftale en Myndigheds godkendelse af, at et anvendersystem har rettigheder til at anvende hele eller dele af de udstillede data eller den udstillede funktionalitet, som en serviceudbyder tilbyder på vegne af Myndigheden. En serviceaftale indgås mellem Leverandøren af et specifikt anvendersystem, og en Myndighed, der har data eller funktionalitet udstillet af en specifik serviceudbyder. En serviceaftale er en databehandleraftale, der giver Leverandøren af

12 anvendersystemet en instruks om at måtte behandle Myndighedens data samt overføre dem mellem anvendersystemet og serviceudbyderen. En serviceaftale identificerer anvendersystemet og Leverandøren, samt serviceudbyderen og Myndigheden. Serviceaftalen endvidere de servicesystemroller, som giver anvendersystemet adgang til serviceudbyderen. Derved kan serviceaftalen automatisk håndhæves når anvendersystemet tilgår serviceudbyderen. I praksis initieres serviceaftalen af Leverandøren og godkendes/afvises af Myndigheden. Servicesystemrolle servicesystemrolle gruppering af rettigheder, der definerer adgang til en given serviceudbyder En servicesystemrolle er en systemrolle (se dette begreb), der defineres og håndhæves af en serviceudbyder. Servicesystemroller tildeles anvendersystemer gennem serviceaftaler, der således beskriver hvilken adgang anvendersystemet får til serviceudbyderen. Serviceudbyder Serviceudbyder et it-system, der udstiller data og funktionalitet på vegne af en Myndighed og som kan anvendes af andre it-systemer. Begrebet serviceudbyder benyttes om it-systemer hvor adgang til systemets services kræver godkendelse fra en Myndighed. Myndighedens godkendelse kan eksempelvis være nødvendig, hvis servicen behandler data, som Myndigheden er dataansvarlig for, eller hvis Myndigheden skal betale for brug af servicen. Adgang til en service hos en serviceudbyder styres altid i henhold serviceaftaler, der indgås via Administrationsmodulet. Bemærk at der i den fælleskommunale infrastruktur også kan være itsystemer, der udstiller service, som ikke kræver Myndighedsgodkendelse for at anvende servicen. Disse it-systemer

13 ville ikke være serviceudbydere i henhold til denne begrebsdefinition. En serviceudbyder kan være et af de fælleskommunale støttesystemer (se dette begreb). En serviceudbyder kan også være et andet it-system, der er benytter den fælleskommunale rammearkitektur og udstiller data og funktionalitet på vegne af Myndigheder for anvendersystemer. Bemærk at et givet it-system både kan optræde som anvendersystem og som serviceudbyder. Eksempelvis vil en serviceudbyder, der anvender en anden serviceudbyder, optræde som anvendersystem over for den anden serviceudbyder. Serviceudbyderadministration applikation Administrationsmodulsbegreb Administrationsmodulrolle Et brugervendt system, der anvendes til administration af en serviceudbyder. Serviceudbydere i rammearkitekturen kan have behov for lokal administration udført enten af centrale administratorer (fx hos Forvalteren) eller administratorer hos de enkelte Myndigheder (eksempelvis i forbindelse med opsætning af abonnementer til Beskedfordeler). Til det formål kan serviceudbyder udstille en administrationsapplikation, som registreres i Administrationsmodulet som et brugervendt system. Herved kan brugersystemrollerne knyttet til applikationen blive administreret via Administrationsmodulet, adgangsstyringen sker via den fælleskommunale infrastruktur og administrationsmodulet kan linke direkte til serviceudbyderens applikation med single sign-on og dermed give en sammenhængende brugeroplevelse frem for at de forskellige administrationsapplikationer tilgås og adgangsstyres individuelt. Supportleverandør Administrationsmodulsbegreb Supportleverandør Den organisation, der yder support aftaleindgåelse og administration, som fortages via Administrationsmodulet.

14 Support vil eventuelt ydes af Forvalteren, men det kan også tænkes, at denne opgave uddelegeres til en anden organisation. Systemrolle systemrolle gruppering af rettigheder, der definerer adgang til et givet it-system. Systemroller defineres af et it-system, der udstiller funktionalitet og/eller data. En systemrolle og beskriver en gruppering af hvilken funktionalitet og data, den giver adgang til. En systemrolle kan indeholde en række dataafgrænsninger, som begrænser systemrollens datamæssige virkefelt. En systemrolle tildeles brugere eller systemer, der her igennem autoriseres til at få adgang til it-systemet. For brugere sker tildelingen indirekte via jobfunktionsroller, mens tildelingen for systemer er direkte. Adgang til it-systemer håndhæves af systemet på baggrund af hvilke systemroller, der er tildelt den bruger eller det system, der ønsker adgang til it-systemet. Mange it-systemer har en indbygget rettighedsmodel, der gør det muligt at detailstyre rettighedstildelinger i forbindelse med rettighedsadministration i it-systemet. Eksempelvis kan det være muligt at tildele rettigheder for specifikke objekter og specifikke handlinger i itsystemet. En systemrolle er tænkt som en gruppering af disse detailrettigheder. Mange eksisterende it-systemer opererer allerede med begreber, der giveren sådan gruppering af detailrettigheder i systemroller. I begrebsmodellen specialiseres systemroller til brugersystemroller og servicesystemroller. Denne specialisering er introduceret for at klart kunne beskrive de sammenhænge, en systemrolle optræder i for henholdsvis brugervendte systemer og serviceudbydere. I praksis behøver der dog ikke at være forskel på brugersystemroller og servicesystemroller. Eksempelvis vil et givet it-system, der både optræder som et brugervendt system og som en serviceudbyder, kunne håndhæve den samme systemrolle både når en bruger tilgår systemet og når et anvender system tilgår det. Eksempler på en systemrolle er: Administrator for systemet Organisation Udbetaler (omkostningsenhed) Læs sagsindeks (sagstype)

15 hvor termerne i parentes er eksempler på dataafgrænsninger, der kan instantieres for at begrænse systemrollens virkefelt. Tilslutningsaftale Administrationsmodulbegreb tilslutningsaftale en godkendelse af, at et identificeret system har rettigheder til (fysisk) adgang til rammearkitekturen, men giver ikke adgang til at anvende data eller funktionalitet i andre tilsluttede systemer En tilslutningsaftale indgås mellem Leverandøren af systemet og Forvalteren af rammearkitekturen og de vilkår som Forvalteren udstikker for at systemer må tilsluttes rammearkitekturen. En tilslutningsaftale identificerer altid Leverandøren og det tilsluttede system, samt hvor vidt det tilsluttede system er af typen Identity Provider, brugervendt system, serviceudbyder eller anvendersystem. Det samme fysiske system vil kunne optræde som forskellige typer af tilsluttet system. I det tilfælde skal der oprettes en særskilt tilslutningsaftale for hver type af tilsluttet system. En tilslutningsaftale en række systemtekniske parametre, der identificerer det tilsluttede system eksempelvis systemnavn, url, certifikater, nøgler. I praksis initieres tilslutningsaftalen af Leverandøren og godkendes/afvises af Forvalteren. Tilslutningspart Administrationsmodulbegreb Tilslutningspart en juridisk enhed, der kan være part i en tilslutningsaftale, føderationsaftale og/eller serviceaftaler. En tilslutningspart er en organisation, har en konkret, praktisk interesse i de it-systemer, der er tilsluttet den fælleskommunale rammearkitektur. En tilslutningspart anvender Administrationsmodulet for indgåelse og administration af aftaler. Repræsentanter for tilslutningsparten oprettes som brugere af Administrationsmodulet på vegne af tilslutningsparten. En tilslutningspart kan være en af følgende typer: en Myndighed, en

16 Leverandør, en Forvalter eller en Supportleverandør. Tilsluttet system Administrationsmodulbegreb tilsluttet system Et it-system, der er tilsluttet rammearkitekturen og administreres via Administrationsmodulet Et tilsluttet system kan tilsluttes som følgende typer: Identity Provider Brugervendt system Serviceudbyder Anvendersystem Det er muligt at tilslutte et givet it-system, så det optræder som mere end en af disse systemtyper. Eksempelvis vil et fagsystem, der skal tilgås af brugere og anvende data fra en serviceudbyder både optræde som brugervendt system og som anvendersystem. Et tilsluttet system tilhører en Leverandør og oprettes i Administrationsmodulet på baggrund af en tilslutningsaftale

17 Appendiks B: Detaljeret informationsmodel [Her gives de konkrete definitioner af data i informationsmodellen for alle informationsmodellens elementer.] Herunder beskrives udvalgte entiteter i informationsmodellen. I beskrivelsen er der lagt vægt på at beskrive de dele af informationsmodellen, der adskiller sig fra begrebsmodellen. n herunder medtager derfor ikke nødvendigvis alle entiteter, attributter og relationer, hvis det vurderes at der ikke er væsentlige forskelle fra hvad begrebsmodellen allerede har beskrevet. Administrationsmodulbruger Det forretningsobjekt der er oprettet i Administrationsmodulet for en bruger, der administreres i Administrationsmodulets brugeradministrationsløsning. Dette objekt er en specialisering af forretningsobjektet Bruger. Nedarvede relationer er udeladt. Navn Obligatorisk Navn RID Er aktiv Advis-præferencer -adresse Relateret forretningsobjekt Bruger Brugerens navn Det ID, der anvendes som ressource identifikationsnummer (RID) i brugerens OCES medarbejdercertifikat. Hvor vidt brugeren er aktiv eller inaktiv. Hvis en bruger er inaktiv kan brugeren ikke logge ind i Adminstrationsmodulet. Indstillinger for hvordan brugeren ønsker at modtage adviser. Eksempelvis hvorvidt brugeren ønsker at modtage ved nogle typer af adviser. -adresse for brugeren, der kan anvendes ved advisering af brugeren For tilslutningsparter, der anvender fødereret brugeradministration, er Bruger den samme som der anvendes i brugertokens, der udstedes af tilslutningsparten Identity Providere. Aftalerelation En aftalerelation beskriver status for indgåelse af en serviceaftale for en specifik Myndighed. Navn Obligatorisk Aktiveringstidspunkter Start- og sluttidspunkter for Version Henvisning til version af standardtekst på serviceaftalen Indgåelsesstatus Hvorvidt aftalen er en anmodning fra Leverandøren, er godkendt af Myndigheden eller aftalen er opsagt. Relateret forretningsobjekt Myndighed En specifik Myndighed, der indgår serviceaftalen.

18 Anvenderkontekst Anvenderkontekst er det forretningsobjekt, som i praksis benyttes til entydigt at repræsentere en tilslutningspart, der anvender et af de tilsluttede systemer. En anvenderkontekst beskriver den tilslutningspart, en bruger tilgår de brugervendte systemer på vegne af. En anvenderkontekst beskriver ligeledes den tilslutningspart et anvendersystem tilgår en serviceudbyder på vegne af. Anvender af it-systemer i den fællekommunale rammearkitektur er som oftest Myndigheder, men kan også i enkelte tilfælde være andre typer at tilslutningsparter eksempelvis i forbindelse med administration eller support. Det bemærkes at begrebet Myndighed andre steder i rammearkitekturen kan være repræsenteret på andre måder end som forretningsobjektet anvenderkontekst; eksempelvis som en kommunekode eller lignende. Navn Obligatorisk CVR CVR nummer for den tilslutningspart, der er ansvarlig for brugere samt data i systemerne. Relateret forretningsobjekt Udeladt Anvendersystem Et forretningsobjekt, der repræsenter begrebet anvendersystem. Se begrebsdefinitionen af dette begreb for yderligere information. Navn Obligatorisk Nedarvede attributter Nedarvet fra Tilsluttet system ID Et ID som unikt identificerer anvendersystemet. OCES certifikat OCES funktions- eller virksomhedscertifikat med tilhørende privat nøgle, der anvendes til at autentificere anvendersystemet overfor Security Token Servicen. Relateret forretningsobjekt Serviceaftale Certifikatet kan efterfølgende anvendes til at autentificere serviceforespørgsler fra anvendersystemet overfor serviceudbyderen. Der kan være et antal serviceaftaler for et anvendersystem, der beskriver hvordan anvendersystemer må benytte de services, som forskellige serviceudbydere udstiller. Bruger Et forretningsobjekt, der repræsenter begrebet bruger. Se begrebsdefinitionen af dette begreb for yderligere information.

19 Navn Obligatorisk Bruger ID Et ID som unikt identificerer brugeren i en given anvenderkontekst. Bruger ID et kan fx repræsenteres som et LDAP distinguished name på formen: Relateret forretningsobjekt Identity Provider Jobfunktionsroller Anvenderkontekst cn=anvenderens unikke bruger ID, o=anvenderkontekst, c=dk Brugeren autentificeres af Identity Provideren. En bruger kan autentificeres af forskellige Identity Providere hvis der skal tilbydes forskellige former for autentifikation (fx via et Microsoft Active Directory, via NemLog-in, via særligt mobilvenlige IdP er) Brugeren tildeles et antal jobfunktionsroller, der beskriver hvad brugeren er autoriseret til i de brugervendte systemer. Brugeren tilgår det brugervendte system i en given anvenderkontekst Brugeren autentificeres altid af en Identity Provider i en given anvenderkontekst. Brugersystemrolle Et forretningsobjekt, der repræsenter begrebet brugersystemrolle. Se begrebsdefinitionen af dette begreb for yderligere information. Brugersystemrolle har ikke særskilte attributter, ud over hvad der nedarves fra systemrolle. Navn Obligatorisk Nedarvede attributter Nedarvet fra systemrolle Relateret forretningsobjekt Systemrolle En brugersystemrolle specialiserer en systemrolle og nedarver attributter herfra. Dataafgrænsningstype En brugersystemrolle kan indeholde et antal dataafgrænsningstyper, der beskriver hvilke dataafgrænsninger, brugersystemrollen understøtter. Jobfunktionsrolle En brugersystemrolle kan indgå i et antal jobfunktionsroller. Brugervendt system Anvenderkontekst Når en brugersystemrolle tildeles til en jobfunktionsrolle instantieres dataafgrænsningen med en dataafgrænsningsværdi. Denne værdi skal være af den dataafgrænsningstype, der er erklæret på brugersystemrollen. En brugersystemrolle er altid tilknyttet et specifikt brugervendt system. Det brugervendte systemer håndhæver brugeradgang ud fra brugersystemroller. Angiver synlighed for brugersystemrollen, altså hvilke tilslutningsparter, der kan se og anvende brugersystemrollen ved redigering af jobfunktionsroller.

20 For brugersystemrolle kan der angives en liste af anvenderkontekster, der henviser til de tilslutningsparter, der kan se rollen. Det er tillige muligt at angive at brugersystemrollen er synlig for alle tilslutningsparter. Brugervendt system Et forretningsobjekt, der repræsenter begrebet brugervendt system. Se begrebsdefinitionen af dette begreb for yderligere information. Navn Obligatorisk Nedarvede attributter Nedarvet fra Tilsluttet system ID Et ID som unikt identificerer det brugervendte system. SAML metadata SAML metadata (for SAML rollen SSO Service Provider), de blandt andet bindings og location for SAML sevices og IdP en offentlige nøgle baseret på et OCES funktions- eller virksomhedscertifikat. Relateret forretningsobjekt Brugersystemrolle De brugersystemroller med tilhørende dataafgrænsningsværdier, som den brugervendte system understøtter. Dataafgrænsningstype Begrebet dataafgrænsning består af to forretningsobjekter: dataafgrænsningstype og dataafgrænsningsværdi. En dataafgrænsningstype definerer en mulighed for at foretage en bestemt slags dataafgrænsning for en systemrolle. Dataafgrænsningstypen erklærer hvilken syntaks, der er for dataafgrænsningen og henviser til en valideringsservice, der gør det muligt at foretage yderligere valideringer af en dataafgrænsningsværdi. Det er muligt at definere forskellige former for datatyper for en dataafgrænsningstype. Det skal blandt andet være muligt at definere at en dataafgrænsningstype være Endelig mængde af værdier Værdier i et givet interval Strukturerede værdier Dataafgrænsningstypen instantieres med en dataafgrænsningsværdi, når en systemrolle tildeles til en jobfunktionsrolle, eller når en systemrolle tildeles til et anvendersystem. Navn Obligatorisk ID Et ID som unikt identificerer både it-system og rolle. Syntaksdefinition En syntaksdefinition for tilladte værdier af dataafgrænsningen. (fx et XML skema,

21 Valideringsservice regulært udtryk, Schematron eller lignende) Et service endpoint hvor Administrationsmodulet kan validere om en given værdi er tilladt for denne dataafgrænsningstype. Endpointet eventuelle SSL/TLS certifikater, der er nødvendige for at oprette en sikker forbindelse til valideringsservicen. Valideringsservices implementeres ved brug af dataafgrænsningssnitflade. Præsentationsnavn Relateret forretningsobjekt Brugersystemrolle Dette kan udelades. I så fald accepteres alle værdier, der er tilladte i henhold til synstaksdefinitionen. Et sigende navn for rollen som eksempelvis kan vises i Administrationsmodulets brugergrænseflade. En sigende beskrivelse af systemets formål som fx kan vises i Administrationsmodulets brugergrænseflade for andre tilslutningsparter. En brugersystemrolle kan indeholde en eller flere dataafgrænsningstyper. Dataafgrænsningsværdi Begrebet dataafgrænsning er beskrevet af to forretningsobjekter: dataafgrænsningstype og dataafgrænsningsværdi. En dataafgrænsningsværdi indsnævrer en systemrolles virkefelt (scope). Ved tildeling af en systemrolle angives dataafgrænsningsværdier for de dataafgrænsningstyper, som systemrollen understøtter. Med andre ord er en dataafgrænsningsværdi en instantiering af dataafgrænsningstypen. I forbindelse med adgangsstyring for de brugervendte systemer fastsættes dataafgrænsningsværdier for en systemrolle, idet systemrollen tildeles til en jobfunktionsrolle. Denne tildeling foretages i praksis af en Jobfunktionsrolleadministrator via Administrationsmodulet. I forbindelse med adgangsstyring for serviceudbyderene fastsættes dataafgrænsningsværdier for en systemrolle, når systemrollen tildeles til et anvendersystem gennem en afsendersystemaftale eller en serviceaftale. Disse aftaler oprettes via Administrationsmodulet. Navn Obligatorisk Værdi En værdi for dataafgræsningen. Denne værdi skal overholde syntaksdefinitionen defineret på den

22 tilsvarende dataafgrænsningstype. Relateret forretningsobjekt Udeladt Værdien kan valideres ved at kalde den valideringsservice, der er defineret på den tilsvarende dataafgrænsningstype. Føderationsaftale Et forretningsobjekt, der repræsenter begrebet føderationsaftale. Se begrebsdefinitionen af dette begreb for yderligere information. Navn Obligatorisk Standardbetingelser Tekst der beskriver aftaleforholdet ved en føderationsaftale, altså at Identity Provideren må udstede tokens på vegne af en tilslutningspart. Version Versionsnummer, der entydigt identificerer standardbetingelserne. Aktiveringstidspunkter Start- og sluttidspunkter for aftalen. Relateret forretningsobjekt Identity Provider Aftalen nævnelse af den specifikke Identity Provider som aftalen omhandler. Leverandør Aftalen nævnelse af den Leverandør, der leverer Identity Provideren. Tilslutningspart Aftalen nævnelse af den tilslutningspart, der udsteder tokens på vegne af. Identity provider Et forretningsobjekt, der repræsenter begrebet Identity Provider. Se begrebsdefinitionen af dette begreb for yderligere information. Navn Obligatorisk Nedarvede attributter Nedarvet fra Tilsluttet system ID Et ID som unikt identificerer Identity Provideren. Assurance Level Angiver graden af tillid til den identitet, der er i de tokens, som Identity Provideren udsteder. Dette skal angives i henhold til [OIO-A-LEVEL] SAML metadata SAML metadata (for SAML rollen SSO Identity Provider), der blandt andet bindings og location for SAML sevices og IdP en offentlige nøgle baseret på et OCES funktions- eller virksomhedscertifikat. Mobilvenlig Hvorvidt IdP en kan håndtere login via forskellige typer af mobileenheder.

23 Kan autentificere Kender roller Hvorvidt IdP en kan autentificere brugere og udstede brugertokens for brugerens identitet. En IdP, der ikke kan autentificer brugere vil alene optræde som en attributservice, men kan ikke udstede tokens. Hvorvidt IdP en kender tilslutningspartens jobfunktionsrolle. En IdP, der kender rolle vil optræde som attributservice, hvor brugerens roller kan hentes. En IdP, der både kender roller og kan autentificere vil kunne udsted brugertokens, der både brugerens identitet og brugerens jobfunktionsroller. Visse IdP er, der anvendes på tværs af tilslutningsparter, kender ikke jobfunktionsroller og udsteder derfor kun tokens, der bevidner brugerens identitet. Nem-Login er et eksempel på en IdP, der ikke kender jobfunktionsroller. Relateret forretningsobjekt Føderationsaftaler Det skal ikke være muligt at tilslutte en IdP, der hverken kan autentificere eller kender rolle. Aftaler, der beskriver hvilke tilslutningsparter Identity Provideren må udstede tokens på vegne af. Herunder beskrives aktiveringstidspunkter for aftalen. Forvalter Et forretningsobjekt, der repræsenter begrebet forvalter. Se begrebsdefinitionen af dette begreb for yderligere information. et er specialisering af Tilslutningspart, og ikke yderligere attributter. Navn Obligatorisk Nedarvede attributter Nedarvet fra Tilslutningspart Relateret forretningsobjekt Udeladt Jobfunktionsrolle Et forretningsobjekt, der repræsenter begrebet jobfunktionsrolle. Se begrebsdefinitionen af dette begreb for yderligere information. Navn Obligatorisk ID Et ID som unikt identificerer jobfunktionsrolle. Præsentationsnavn Et sigende navn for rollen som fx kan vises i Administrationsmodulets brugergrænseflade.

24 Version Aktiveringstidspunkter Delegeret til Relateret forretningsobjekt Bruger Brugersystemrolle Jobfunktionsrolle Anvenderkontekst En sigende beskrivelse af rollen som fx kan vises i Administrationsmodulets brugergrænseflade. Et versionsnummer, der muliggøre at der kan henvises til forskellige versioner af objektet. Et start- og sluttidspunkter for hvornår en given version af rollen er aktiv. En mængde af Anvenderkontekster, som rollen er delegeret til. En jobfunktionsrolle kan tildeles til et antal forskellig brugere og en bruger kan tildeles et antal forskellige jobfunktionsroller. Denne tildeling beskriver hvad brugeren er autoriseret til i de brugervendte systemer. En jobfunktionsrolle kan indeholde et antal brugersystemroller fra forskellige brugervendte systemer. En jobfunktionsrolle kan indeholde andre jobfunktionsroller. Jobfunktionsroller er hierarkisk opbygget, så henvisninger til andre jobfunktionsroller må ikke være cykliske. Tildeles en bruger en jobfunktionsrolle autoriseres brugeren ligeledes til alle de underliggende jobfunktionsroller. Beskriver den Myndighed, som jobfunktionsrollen er oprettet på vegne af. Leverandør Et forretningsobjekt, der repræsenter begrebet leverandør. Se begrebsdefinitionen af dette begreb for yderligere information. et er specialisering af Tilslutningspart, og ikke yderligere attributter. Navn Obligatorisk Nedarvede attributter Nedarvet fra Tilslutningspart Relateret forretningsobjekt Udeladt Myndighed Et forretningsobjekt, der repræsenter begrebet myndighed. Se begrebsdefinitionen af dette begreb for yderligere information. et er specialisering af Tilslutningspart, og ikke yderligere attributter. Navn Obligatorisk Nedarvede attributter Nedarvet fra Tilslutningspart Relateret forretningsobjekt Udeladt

25 Serviceaftale Et forretningsobjekt, der repræsenter begrebet serviceudbyder. Se begrebsdefinitionen af dette begreb for yderligere information. En serviceaftale indgås mellem Leverandøren af et anvendersystem og den Myndighed, der er ansvarlig for data i en serviceudbyder. Der kan ofte være behov for at indgå enslydende serviceaftaler med mange forskellige Myndigheder. Derfor er begrebet serviceaftaler i informationsmodellen opsplittet i to dele: Selve serviceaftalen, der beskriver hvilke typer af data og funktionalitet anvendersystemet får adgang til, og En aftalerelation med hver enkelt Myndighed, der beskriver aftalens specifikke forhold og status med hver enkelt Myndighed. Navn Obligatorisk Standardbetingelser En tekst der beskriver det aftaleforhold en serviceaftale udgør. Version Et versionsnummer, der entydigt angiverversionen af standardbetingelserne. Begrundelse En tekst, hvori Leverandøren skal skrive begrundelsen for at anmode om oprettelsen af serviceaftalen. Relateret forretningsobjekt Anvendersystem Det anvendersystem, som aftalen omhandler. Leverandør Leverandøren af anvendersystemet, der er part i aftalen. Servicesystemroller De servicesystemroller med tilhørende dataafgrænsningsværdier, som serviceaftalen autoriserer anvendersystemet til. Aftaleindgåelse Aftale indgåelser for serviceaftalen. Servicesystemrolle Et forretningsobjekt, der repræsenter begrebet servicesystemrolle. Se begrebsdefinitionen af dette begreb for yderligere information. Servicesystemrolle har ikke særskilte attributter, ud over hvad der nedarves fra systemrolle. Navn Obligatorisk Nedarvede attributter Nedarvet fra systemrolle Relateret forretningsobjekt Systemrolle En servicesystemrolle specialiserer en systemrolle og nedarver attributter herfra. Dataafgrænsningstype En servicesystemrolle kan indeholde et antal dataafgrænsningstyper, der beskriver hvilke dataafgrænsninger servicesystemrollen understøtter. Anvendersystem En servicesystemrolle kan tildeles et anvendersystem. Når en servicesystemrolle tildeles til et anvendersystem instantieres dataafgrænsningen med en dataafgrænsningsværdi. Denne værdi skal være af den

26 Serviceudbyder dataafgrænsningstype, der er erklæret på servicesystemrollen. En servicesystemrolle er altid tilknyttet en specifik serviceudbyder. Serviceudbyderen håndhæver system adgang ud fra servicesystemrollerne. Serviceudbyder Et forretningsobjekt, der repræsenter begrebet serviceudbyder. Se begrebsdefinitionen af dette begreb for yderligere information. Navn Obligatorisk Nedarvede attributter Nedarvet fra Tilsluttet system ID Et ID som unikt identificerer serviceudbyderen. URL Peger til serviceudbyderens servicegrænseflader eksempelvis i form af en eller flere Unified Resource Locators. Relateret forretningsobjekt Servicesystemrolle De servicesystemroller med tilhørende dataafgrænsningsværdier, som serviceudbyder understøtter. Serviceaftale Der kan være et antal serviceaftaler for en serviceudbyder, der beskriver hvordan anvendersystemer må benytte de services, som serviceudbyderen udstiller. Supportleverandør Et forretningsobjekt, der repræsenter begrebet supportleverandør. Se begrebsdefinitionen af dette begreb for yderligere information. et er specialisering af Tilslutningspart, og ikke yderligere attributter. Navn Obligatorisk Nedarvede attributter Nedarvet fra Tilslutningspart Relateret forretningsobjekt Udeladt Systemrolle Et forretningsobjekt, der repræsenter begrebet systemrolle. Se begrebsdefinitionen af dette begreb for yderligere information. En systemrolle er en fælles begreb, for systemroller i både de brugervendte systemer og i serviceudbyderene. et benyttes til at udarbejde en fælles liste af attributter for både brugersystemroller og servicesystemroller. Navn Obligatorisk ID Et ID som unikt identificerer både rollen og det systems, som rollen håndhæves af. Version Et versionsnummer, der muliggør at der kan

27 Præsentationsnavn Aktiveringstidspunkter Relateret forretningsobjekt Brugersystemrolle Servicesystemrolle henvises til forskellige versioner af systemrollen. Et sigende navn for rollen som fx kan vises i Administrationsmodulets brugergrænseflade. En sigende beskrivelse af rollen som fx kan vises i Administrationsmodulets brugergrænseflade. Et start- og sluttidspunkter for hvornår en given version af rollen er aktiv. En brugersystemrolle nedarver systemrollens attributter En servicesystemrolle nedarver systemrollens attributter Tilslutningsaftale Et forretningsobjekt, der repræsenter begrebet tilslutningsaftale. Se begrebsdefinitionen af dette begreb for yderligere information. Navn Obligatorisk Standardbetingelser Tekst, der beskriver kommercielle og juridiske betingelser for tilslutning af et system. Version Versionsnummer, der entydigt identificerer standardbetingelserne. Aktiveringstidspunkter Start- og sluttidspunkter for tilslutningsaftalen. Relateret forretningsobjekt Leverandør Tilslutningsaftalen en henvisning til den tilslutningspart der leverer systemet Tilsluttet system Tilslutningsaftalen informationer om det tilsluttede system. Tilslutningspart Et forretningsobjekt, der repræsenter begrebet Tilslutningspart. Se begrebsdefinitionen af dette begreb for yderligere information. Navn Obligatorisk Præsentationsnavn Et sigende navn som fx kan vises i Administrationsmodulets brugergrænseflade for andre tilslutningsparter. En sigende beskrivelse som fx kan vises i Administrationsmodulets brugergrænseflade for andre tilslutningsparter. Har fødereret brugeradministration Hvorvidt tilslutningsparten anvender fødereret brugeradministration til tilslutningspartens brugere af Administrationsmodulet.

28 Ved fravalg af fødereret brugeradministration anvender tilslutningsparten alene den brugeradministrationsløsning, der er indbygget i Administrationsmodulet. Brugerinaktiveringsperiode Relateret forretningsobjekt Anvenderkontekst Myndighed Leverandør Forvalter Supportleverandør Vælges fødereret brugeradministration kan tilslutningspartens brugere logge ind i Administrationsmodulet via en af de Identity Providere, som tilslutningsparten har en føderationsaftale med. Tilslutningspartens brugere kan dog også være oprettet i Administrationsmodulets brugeradministrationsløsning og logge ind med de roller, som brugerne er tildelt der igennem. Brugere, der ikke har været logget ind i Administrationsmodulet i den tidsperiode, der er angivet i denne attribut, inaktiveres automatiske. Det skal være muligt at angive at brugere aldrig inaktiveres automatisk. Den anvenderkontekst, der repræsenterer tilslutningsparten ved Adgangsstyring i Rammearkitekturen. En type af tilslutningspart En type af tilslutningspart En type af tilslutningspart En type af tilslutningspart Tilsluttet system Et forretningsobjekt, der repræsenter begrebet tilsluttet system. Se begrebsdefinitionen af dette begreb for yderligere information. Navn Obligatorisk Præsentationsnavn Et sigende navn som fx kan vises i Administrationsmodulets brugergrænseflade for andre tilslutningsparter. En sigende beskrivelse af systemets formål som fx kan vises i Administrationsmodulets brugergrænseflade for andre tilslutningsparter. Relateret forretningsobjekt Tilslutningsaftale Aftale om at systemet er tilsluttet. Her igennem knyttes systemet til en Leverandør, der er ansvarlig for systemet. Identity Provider En type af tilsluttet system. Et tilsluttet system kan have flere systemtyper. Brugervendt system En type af tilsluttet system. Et tilsluttet system kan have flere systemtyper. Anvendersystem En type af tilsluttet system. Et tilsluttet system kan have flere

29 Serviceudbyder systemtyper. En type af tilsluttet system. Et tilsluttet system kan have flere systemtyper.