Single sign-on til statens systemer. April 2019 version 5

Relaterede dokumenter
Indhold Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)...

ADFS Opsætning til MODST SSO Moderniseringsstyrelsen

SSO - FAQ - Kendte problemer med opsætninger

Baggrundsbeskrivelse for installation af føderation i partnerorganisationer til Danmarks Miljøportal. Baggrund. 1. Hvad er føderation

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

IDENTITY PROVIDER. Klar til produktion

BESTILLING AF NEMID. For at bestille ny NemID vælger du Vælg Bestil NemID medarbejdersignatur.

EasyIQ ConnectAnywhere Release note

Certifikatpolitik for NemLog-in

EasyIQ ConnectAnywhere Release note

Administration af brugere vha. sammenhængende log-in

Kundevejledning. AD FS opsætning til Reindex. Version: 1.0. Dato: 19. april Forfatter: Lasse Balsvad (XPERION)

NemID DataHub adgang. & Doc , sag 10/3365

Digitaliseringsstyrelsen

Guide til NemLog-in Security Token Service

Copyright 2018 Netcompany. Alle rettigheder forbeholdes.

Det kommunale systemlandskab

Bilag 3 Administration af brugeradgang

Certifikatpolitik. For den fællesoffentlige log-in-løsning. Side 1 af 9 2. december Version 1.1

SPOR 2 ADGANGSSTYRING. Netværksdage Støttesystemer 11. og 12. marts 2015

Føderal brugerstyring og SSO

Single sign-on cases. SolutionsDay Morten Strunge Nielsen Globeteam Virumgårdsvej 17A 2830 Virum

Version 1.0. Vilkår for brug af Støttesystemet Adgangsstyring

Introduktion til UNI-Login for udbydere

FairSSL Fair priser fair support

Kravspecification IdP løsning

Kommunernes it-arkitekturråd

VEJLEDNING ITS365. Gratis tilbud til alle kursister på Randers HF & VUC

FairSSL Fair priser fair support

Implementering af fælles systemer. April 2019

Fælles testmiljøer. Dato: Version: Vejledning til oprettelse og vedligehold af testcertifikater

KØBENHAVN 10. MARTS 2016

Introduktion til NemID og Tjenesteudbyderpakken

NemHandel registreringsvejledning. Navision Stat, INDFAK og Nemkonto. Introduktion. Overblik. Side 1 af 15. ØS/ØSY/CPS 7.

Opgraderingsvejledning: Fra LDV til LDV 2.4.0

Digital post er ikke det samme som almindelig . Digital post er modsat s en sikker digital forsendelsesform.

Teknisk vejledning i system-til-system indberetning af landingserklæringer

Nets - Medarbejder Signatur

Trin-for-trin guide: Tilslutning af web service til NemLog-in

Hvilke opgaver understøtter Navision Stat 5.1? Hvornår vil Navision Stat 5.1 blive implementeret?

Campus leveres af Moderniseringsstyrelsen

Introduktion til NemID og Tjenesteudbyderpakken

Lokal implementering af Identity Provider

Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3

Serviceplatformen Vejledning til tilslutning af OS2MO som anvendersystem

Anbefalede testprocedurer

Tilføjelse af administrator for myndighed

eid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019

WEB-DIRECT Brugerguide Installation

Workshop 2 Implementering af IndFak2. marts

Vigtig Release Information Udfasning af TLS 1.0 kryptering i Connect-løsningen

Hurtig og sikker adgang til sundhedsfaglige data. Esben Dalsgaard, chef it-arkitekt, Digital Sundhed

NemRolle. KOMBIT adgangsstyring med sikkerhed og overblik. Beskrivelse af funktioner og anvendelse

De fællesoffentlige komponenter: Federativa identitetslösningar, Erfarenheter från Danmark

Digitaliseringsstyrelsen

GLOBETEAM. Danmarks Miljøportal (DMP) Vejledning til fagsystemejere omkring tilkobling af Java Metrobaseret. Version 1.2

NOTAT. ITafdelingen. IT og sikkerhedsmæssige udbudskrav ved indkøb af fagsystemer

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april J.nr.: 4004 V

Guide til integration med NemLog-in / Web SSO

Nets Rettighedsstyring

DIADEM KOM GODT I GANG INTEGRATIONSVEJLEDNING IFT. SIKKERHED OG VERSIONERING AF WEBSERVICES VERSION: STATUS: FRIGIVET DATO: 22.

Introduktion til Digital Post. Februar 2016

e-conomic modul til Magento

Roadmap for VERA Q Q Q Q Rettighed. Klassifikation. Organisation. Beskedfordeler. Serviceplatform

Vejledning til brug af Y s Men s klubintranet administrator guide

Guide til Online tidsbestilling - en del af eportalen Revideret

SPOR 7: IBRUGTAGNING OG ANVENDELSE

Guide til integration med NemLog-in / Signering

Informationsmøde om Fælles Udbud af Telemedicin

DataHub Forbrugeradgangsløsning NemID Quick Guide

Vejledning. - Hvordan oprettes kreditor i Automatisk kortbetaling. Vejledning Customer Support. Formål. Oprettelse af kreditor

Vejledning, teknik, tips and tricks

Quick Guide Mit Plandent

Guide til Brugerstyring - Løn

Let i gang med NemRefusion for selvstændige

LUDUS Web Installations- og konfigurationsvejledning

1 Applications and functions. Brugervejledning til WEB HOME - Prisfølsomt Elforbrug

Transkript:

Single sign-on til statens systemer April 2019 version 5

Velkommen Formålet med i dag er, at I skal vide, hvad der kræves at tilslutte sig MODST SSO hvornår I bliver berørt af MODST SSO Agenda for dagen Hvad er MODST SSO Hvordan virker MODST SSO Hvilke systemer kommer på MODST SSO Hvornår bliver institutionerne tilsluttede Hvad skal institutionerne gøre for at tilslutte sig Hvem har ansvar for hvad Spørgsmål 2

Hvad er single sign-on (SSO)? Single sign-on (SSO) er en adgangskontrol, med den egenskab, at en bruger kan logge på én gang og få adgang til alle systemer uden at blive afkrævet login for hvert system/applikation. 3

Hvad er single sign-on (SSO)? Moderniseringsstyrelsens Single Sign-On-løsning (MODST SSO) er et omstillingsbord et klik og brugeren er inde i fagsystemet MODST SSO formidler tillid (trust) mellem institutionernes brugerkataloger (Identity Provider = IDP fx AD) og fagsystemer (Service Provider = SP fx IndFak/RejsUd) MODST SSO formidler identifikation af brugere til fagsystemer Brugerkatalog (IdP): institutionen varetager brugerstyring i deres AD Fagsystem (SP): fortsat bruger-/rettighedsadministration, men ikke passwords 4

Hvordan kædes brugeren og fagsystemet sammen? MODST SSO binder brugeren og fagsystemet sammen med e-mail eller UPN Kan kræve datavask/strømligning i AD og i fagsystemerne for at få en sammenhængende nøgle Andre brugerinformationer (Claims) medsendes i denne kommunikation Central brugerstyring Fagsystem IdP 5

MODST SSO i overblik Central brugerstyring Browser Interface Fagsystem 1 IdP IdP IdP Ekstra brugerkontrol Såfremt e-mail ikke stemmer overens med GUID nummeret, dvs. endte GUID og/eller IdPe-mail er ændret, vil adgangen for brugeren blive spærret. SSO-løsning 4. Option - 2-faktor godkendelse Fagsystem 2 Fagsystem 3 Fagsystem 4 6 SSO e-mail/upn kontrol 2-faktor

Hvordan virker den ekstra GUID kontrol? Institutionen (IdP) skal medsende GUID nummeret Kontrol af, om der er ændringer GUID og/eller e-mail/upn ift. tidligere login, dvs. er e-mail/upn blevet ændret ift. GUID nummer er GUID blevet ændret ift. e-mail/upn Såfremt e-mail/upn ikke stemmer overens med GUID nummeret, dvs. endte GUID og/eller e-mail er ændret, vil adgangen for brugeren blive spærret. SSO-løsning SSO e-mail/upn kontrol 7

Globeteam Hvordan tilslutter man sig MODST SSO?

Hvordan kobler du på MODST SSO? I skal have en SAML 2.0-compliant IdP i institutionen I skal forholde jer til lokal brugerstyring og forståelse af de attributter MODST skal modtage fra jeres IdP Tekniske detaljer i opsætningen på jeres IdP Testforløbet med MODST (to miljøer) 9

SAML 2.0 compliant IdP AD FS 2.x, 3.0, 4.0 SimpleSamlPhp Shibboleth ish PING The list goes on... 10

Lokal brugerstyring og MODST attributter MODST skal bruge: Brugerattributter (åbn og gennemgang liste af attributter fra vejledning) https://modst.dk/media/32804/vejledning-tilslutning-sso-institution.pdf Hvilke e-mail suffixes i bruger Vær præcis omkring attributterne, det er en meget ofte set kilde til smerte at der ikke er styr på disse 11

Tekniske detaljer i opsætningen på jeres IdP SHA-256 hashing er mandatory Regulær SAML 2.0-passive protokol Lidt anbefalinger omkring hvordan I styrer det på jeres IdP Attributter på brugerne vs. de attributter IdP en udsteder (claims) Metadata fra MODST og metadata fra jer (åbn vejledning) 12

Testforløbet med MODST (to miljøer) Der er 2 stk, et testmiljø og et produktionsmiljø På hvert miljø er der en testapplikation I bruger til at validere jeres føderationsopsætning med MODST Metadataudveksling sker med jeres IdP (eller IdP er) med hvert miljø separat Claimapp en validerer at tingene virker, det gælder attributter, Single Sign On og ikke mindst Single Log Out 13

Tidsplan for systemer og institutioner

Hovedtidsplan for institutioner og systemer 2019 2020 SIT (alle institutioner) Q1 + Q2 Prioriteret ift. SBS, HCM (og Atrium (BYGST)) Q2 + Q3 Øvrige statsinstitutioner Q3 + Q4 Selvejende institutioner Q4 + Q1 + Q2 IndFak og RejsUd Idrift Evt. konvertering af brugerid: Q3/Q4 Campus & erekruttering & HCM (& Atrium (BYGST)) Q2 + Q3 Statens Budgetsystem Q3/Q4 Navision Stat og LDV Q3/Q4 SLS & HR-løn Q1/Q2 15

Hvem er ansvarlig for hvad? Moderniseringsstyrelsens ansvar Opsætning/konfiguration af SSO Tilgængelighed Vejledninger og support Vedligehold og sikkerhed Institutionens ansvar Opkobling af AD mod SSO og sikre korrekte certifikater Overholde specifikationer for snitflader mod MODST SSO Brugeradministration (alle brugere skal have en e-mail) Brugerstyring og kontrol ift. brugerkatalog og fagsystemer Bruger-/rettighedsstyring 16

Flere information på modst.dk Moderniseringsstyrelsens hjemmeside modst.dk Systemer => Systemstandarder => Single sign-on Dybt link https://modst.dk/systemer/systemstandarder/single-sign-on/ Der vil være løbende opdateringer af Vejledning, tilslutning, præsentation mv. Tjekliste for tilslutning Tips og Tricks 17

Support og hjælp til tilslutning brug altid https://serviceportal.statens-adm.dk 1 3 2 18

Andre som gerne vil bruge MODST SSO Bygningsstyrelsen BYGST vil gerne have deres kommende Facility management system på MODST SSO BYGST har brug for nogen basale oplysninger, hvorefter BYGST Facility management system automatisk opretter brugerne Skal gå i luften 1. oktober 2019, forventer cirka 50.000 brugere i 2022. SKI For at få SKI på MODST SSO, skal der medsendes roller. Dvs. at MODST SSO vil medsende roller til SKI Har en forventning af, at SKI er MODST SSO i Q3-2019 19

Roadmap To-faktor email og sms NemID (medarbejdercertifikater) Rollestyring 20

Opsamling Hvad skal institutionen gøre? Institutioner, som har deres brugerkatalog (AD) hos Statens IT er teknisk set koblet på MODST SSO af Moderniseringsstyrelsen; bliver orienteret i Q2 2019. Øvrige institutioner skal sørge for følgende: Have egen føderationsserver (typisk Microsoft AD FS 2.0 eller højere) Anvende, https TLS 1.2 (transport), SHA-256 hashing til kryptering af token og SHA-256 signing Levere SAML 2.0-baserede metadata til Moderniseringsstyrelsen - helst en URL Modtage og opsætte metadata fra MODST SSO Sende token med claims som specificeret 21

Opsamling Hvad er processen for tilslutning? 1. Institutionen opretter MODST SSO testmiljø i deres IDP 2. Institutionen bestiller oprettelse af IdP på MODST SSO via https://serviceportal.statensadm.dk/tas/public/login/form a. Er institutionen ikke oprettet, som bruger af serviceportalen, kan information om oprettelse findes her: https://statens-adm.dk/portaler/serviceportalen/ 3. Institutionen sender metadata url til Moderniseringsstyrelsen sammen med bestillingen jf. pkt. 2 4. MODST kobler institutionen på testmiljøet 5. Institutionen afprøver forbindelsen via https://testsso.modst.dk/samlclaimapp/ a. Ved succesfuldt login forsættes til pkt 6 ellers fejlsøges i samarbejde med MODST eller Institutionens egen tekniker 6. Institutionen opretter MODST SSO produktionsmiljø i deres IDP 7. MODST opsætter Institutionens IdP i MODST SSO produktionsmiljø pba. metadata url fra pkt. 3 8. Institutionen afprøver forbindelsen via https://sso.modst.dk/samlclaimapp/ a. Ved succesfuldt login kan institutionen udrulle anvendelse af SSO til MODST systemer. 22

Opsamling De vigtigste informationer MODST SSO bliver obligatorisk for Statsinstitutioner Vejledninger, tjeklister mv. findes på modst.dk Support og henvendelser skal ske igennem SAMs serviceportal Brugerkontroller er institutionernes ansvar både for fagsystemer og brugerkatalog Tilslutning af institutioner sker ift. prioritering af fagsystemer MODST SSO er gratis, da det er en del af infrastrukturen for MODST systemer 23

24

Eksempler på mapningen 1. Brugerens e-mail Fagsystem 1 Brugernavn = email IdP Fx RejsUd/IndFak, Campus IdP 1. Brugerens e-mail Mapning (internt i fagsystemet) Bruger email = Brugernavn (ikke email) Fagsystem 2 Hvis Brugernavn ikke er email, så skal der ske en mapning Fx HCM, NS/LDV IdP 1. Brugerens e-mail Mapning (eksternt ift. fagsystemet) Bruger email = Brugernavn (ikke email) Fagsystem 3 Hvis Brugernavn ikke er email, så skal der ske en mapning Fx Budget 25

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback