Brugerstyring i Digital Post

Brugerstyring i Digital Post Denne vejledning beskriver roller og rettigheder i Digital Post Administrationsportalen. Den berører også kort sammenhængen med de roller og rettigheder, der er knyttet til myndighedens modtagelse af digital post på Virk.dk. Version: 4 Udarbejdet: Juli 2013 Udarbejdet af: Digitaliseringsstyrelsen Vejledningen ligger på: http://www.digst.dk/loesninger-og-infrastruktur/digital- Post/Kom-godt-i-gang/Loesninger-og-teknik/Digitalpost/Vejledninger

Indholdsfortegnelse 1. Indledning og læsevejledning... 3 1.1. Målgruppe for vejledningen... 3 1.2. Yderligere hjælp... 3 2. Introduktion til roller og rettigheder i Digital Post... 4 3. Roller og rettigheder i Administrationsportalen... 6 3.1. Myndighedens brug af Digital Post... 6 3.1.1. Postadministrator... 6 3.1.2. Myndighedsmedarbejder... 7 3.2. Myndighedens administration af Digital Post... 8 3.2.1. NemID administrator (tidligere LRA)... 8 3.2.2. Administrator... 9 3.2.3. Systemadministrator... 10 3.2.4. Superadministrator... 11 4. Brugeroprettelse og tildeling af rolle... 13 4.1. Administrationsportalen... 13 4.2. Opret bruger... 14 5. Medarbejdersignaturer og eksport til Base64-kodet X.509... 17 5.1. Medarbejdersignatur... 17 5.2. Eksport af medarbejdersignatur til Base64-kodet X.509... 17 S i d e 2

1. Indledning og læsevejledning Denne vejledning beskriver de roller og rettigheder som myndigheder kan anvende i deres brug og administration af Digital Post. Fokus for vejledningen er roller og rettigheder i Digital Post Administrationsportalen, men roller og rettigheder i Digital Post på Virk.dk berøres også kort. Vejledningen er opdelt i følgende afsnit: Introduktion til roller og rettigheder i Digital Post: Beskriver de forskellige roller og rettigheder der anvendes i Digital Post, i hvilken kontekst de anvendes og hvordan de hænger sammen. Roller og rettigheder i Administrationsportalen: giver en nærmere beskrivelse af de Digital Post-roller og rettigheder der oprettes og anvendes i Digital Post Administrationsportalen. Brugeroprettelse og tildeling af rolle: beskriver, hvordan man tildeler en rolle til en bruger i Administrationsportalen. Medarbejdersignaturer og eksport til Base64-kodet X.509: beskriver, hvordan man finder en medarbejdersignatur (certifikat) og eksportere dette til det rette format for at certifikatet kan uploades til Digital Post. 1.1. Målgruppe for vejledningen Vejledningen er målrettet ansatte: Der har behov for at danne sig et overblik over de forskellige roller og rettigheder, der findes i Digital Post. Der har ansvaret for at vedligeholde myndighedens digitale postløsning primært administratorer og superadministratorer. 1.2. Yderligere hjælp Der findes vejledninger direkte i Administrationsportalen, som du med fordel kan benytte dig af. Yderligere har Digitaliseringsstyrelsen oprettet en række vejledninger, som du finder på www.digst.dk. Direkte link: http://www.digst.dk/loesninger-og-infrastruktur/digital-post/kom-godt-igang/loesninger-og-teknik/digital-post/vejledninger S i d e 3

2. Introduktion til roller og rettigheder i Digital Post Myndighedernes håndtering og administration af Digital Post foregår primært via en række roller og rettigheder i Digital Post Administrationsportalen. Imidlertid har introduktionen af obligatorisk Digital Post for virksomheder betydet, at der er blevet oprettet en række nye roller og rettigheder, som både private og offentlige virksomheder kan benytte i Digital Post på Virk.dk. Da der samtidig, fra tid til anden, sniger sig en NemID administrator rolle ind i håndteringen af Digital Post, kan man let blive en smule forvirret. Vi har derfor valgt at indlede denne vejledning med en oversigt over af de forskellige roller og rettigheder, der benyttes af Digital Post i forskellig kontekst, og i hvilket system de har relevans, oprettes og vedligeholdes. NemID Rolle Rettighed Oprettelse og vedligehold NemID administrator (tidligere LRA) Figur 1. Det er kun medarbejdere med denne rolle/rettighed, der kan oprette myndigheden i Digital Post Administrationsportalen og myndighedens digital postkasse på Virk.dk. Medarbejdere der har denne rettighed tildeles automatisk administrator rettigheder i Administrationsportalen og i Digital Post på Virk.dk. www.nets.dk NemID administration. Selv om denne rolle ikke er en decideret Digital Post-rolle, er den så central for administrationen af Digital Post, at den er beskrevet yderligere i afsnit: 3.2.1. Digital Post på Virk.dk Rolle Rettighed Oprettelse og vedligehold Administrator med adgang til alle Kan alt i løsningen. Digital Post på Virk.dk mapper Administrator uden mappeadgang Kan opsætte og administrere løsningen, men ikke læse og sende meddelelser. Almindelig postbruger med adgang til alle mapper Almindelig postbruger med adgang til udvalgte mapper Postfordeler med læseadgang Postfordeler uden læseadgang Figur 2. Kan læse alle meddelelser og sende meddelelser. Kan læse meddelelser i udvalgte mapper og sende meddelelser. Kan fordele post til mapper og læse post. Kan fordele posten til mapper, men ikke læse den (kan kun se afsender og emne på meddelelse). S i d e 4

Figur 3. Figur 3 viser det modul i Digital Post på Virk.dk, hvor din myndighed kan vedligeholde de roller og rettigheder, som I ønsker at anvende i forbindelse med håndteringen af den digitale post i modtager som virksomhed. Erhvervsstyrelsen har udarbejdet en række vejledninger, der adresserer administrationen af Digital Post på Virk.dk. Du kan finde dem på www.virk.dk eller via dette link: http://www.virk.dk/sites/digitalpost/forside.html Digital Post Administrationsportalen Rolle Rettighed Oprettelse og vedligehold Postadministrator Se afsnit: 3.1.1 Administrationsportalen Myndighedsmedarbejder Se afsnit: 3.1.2 Administrator Se afsnit: 3.2.2 Systemadministrator Se afsnit: 3.2.3 Superadministrator Se afsnit: 3.2.4 Figur 4. I resten af denne vejledning vil vi koncentrere os om de roller og rettigheder, der oprettes i Administrationsportalen, og som benytter Administrationsportalen som brugerinterface for de opgaver, de skal løse. S i d e 5

3. Roller og rettigheder i Administrationsportalen I dette afsnit beskrives de roller som myndigheden kan oprette i Digital Post Administrationsportalen. Det er nyttigt at dele disse roller op i: Myndighedens brug af Digital Post: Roller, der understøtter myndighedens brug af Digital Post i det daglige arbejde. Myndighedens administration af Digital Post: Roller, der benyttes i forbindelse med opsætning og vedligehold af Digital Post samt oprettelse af nye brugere i Administrationsportalen. 3.1. Myndighedens brug af Digital Post Til at håndtere brugen af Digital Post findes to roller: 1. Postadministrator 2. Myndighedsmedarbejder 3.1.1. Postadministrator En Postadministrator rolle har følgende rettigheder Rolle Postadministrator Figur 5. Rettigheder Fremsøge og se egne afsendelser til borgere eller virksomheder. Postadministrator rollen bruges ikke, som man kunne tro, i forbindelse med myndighedens modtagelse af post (hverken som virksomhed eller myndighed) men til at overvåge, hvad der er sendt fra myndigheden til borgerne/virksomhederne. Figur 6. I figur 6 er den del af Administrationsportalen, som postadministratoren får adgang til vist. Det er herfra, postadministratoren kan fremfinde sendte dokumenter. S i d e 6

Det anbefales at: I det omfang det vurderes, at postadministratorer er relevante for myndigheden, udpeges der postadministratorer i et sådant antal, at organisationen er dækket godt ind. Dette kunne være mindst én pr. afdeling. Postadministratorerne er ansatte, der i forvejen har superbrugeransvar. 3.1.2. Myndighedsmedarbejder En myndighedsmedarbejder rolle har følgende rettigheder Rolle Myndighedsmedarbejder Rettigheder Oprettelse af alle servicebeskedmodtagere. Oprettelse af alle sikre bokse til at modtage meddelelser (foreløbig oprettelse der skal godkendes af slutbruger). Oprette og slette tilmeldinger for alle slutbrugere til myndighedens egne tilmeldingsgrupper. Registrere slutbrugere der har opnået fritagelse for obligatorisk Digital Post. Figur 7. Give læseadgang til slutbrugeres digitale postkasse. Myndighedsmedarbejderne rolle har traditionelt været at hjælper borgerne med at blive tilsluttet servicebeskeder og brevkommunikation. Det er ikke en rolle der har været meget anvendt i myndighederne. Dette kan selvfølgelig skyldes manglende kendskab til rollen, men det er nok snarer udtryk for at disse har vurderet, at det var langt lettere at hjælpe borgerne til selv at tilmelde sig Digital Post via borger PCer. Hvor denne rolle altså tidligere ikke var vital for administrationen af myndigheden i Administrationsportalen er den blevet det for kommunerne, i forbindelse med ikrafttrædelsen af obligatorisk Digital Post, fordi det er den rolle der skal anvendes når opgaven med at registrere fritagelse for obligatorisk Digital Post skal løses. Ligeledes kan det forudses at rollen vil blive anvendt til at give borgere læseadgang til andre borgers digitale postkasse. Eksempel på tildeling af læseadgang: En borger Jens Jensen får oprettet sin Digitale postkasse i forbindelse med ikrafttrædelse af obligatorisk Digital Post for borgere. Jens har i forvejen en aftale med sin datter Belinda Jensen om at Belinda læser Jens officielle breve igennem. Jens er ikke digital stærk, men i stedet for at søge om fritagelse for Digital Post bliver Jens og Belinda enige om, at Belinda får adgang til Jens Digitale postkasse. Men da Jens jo ikke er digital stærk, kan han ikke selv give læseadgang til Belinda. Jens og Belinda møder derfor op i deres kommunes Borgerservice og får her en sagsbehandler til at etableret læseadgang for Belinda. Det anbefales at: S i d e 7

Hvis myndigheden anser det for relevant, udpeges et antal myndighedsmedarbejdere. For kommuner gælder særligt, at der skal udpeges et antal myndighedsmedarbejdere der kan varetage fritagelsesopgaven. Disse medarbejdere skal selvsagt være fysisk placeret på de adresser, hvor kommunen vælger at virksomheder og borgere kan anmode om fritagelse. Myndighedsmedarbejderne bør være ansatte med hyppig borger og virksomhedskontakt. Dette vil typisk være ansatte i borgerservice-centre, jobcentre, biblioteker etc. Hvis myndigheden i forvejen har udpeget ansatte, der har ansvaret for at hjælpe borgerne med NemID udstedelse, vil det være praktisk, at der er tale om samme medarbejdere. 3.2. Myndighedens administration af Digital Post Til at håndtere administrationen af Digital Post findes der en række administrationsroller. Disse er: 1. NemID administrator (tidligere LRA) 2. Administrator 3. Systemadministrator 4. Superadministrator 3.2.1. NemID administrator (tidligere LRA) En NemID administrator rolle har følgende rettigheder i Digital Post Administrationsportalen Rolle NemID administrator Rettigheder Tilslutte myndigheden til Digital Post / NemSMS og angive administrator eller superadministratorer. Figur 8. Oprette nye brugere i Administrationsportalen. NemID administratoren er den eller de personer (normalt placeret i myndighedens ITfunktion), der har bemyndigelse til at udstede medarbejdersignaturer. Som nævnet i afsnit 2 er NemID administratoren ikke en rolle, der kan oprettes i Digital Post Administrationsportalen, da det i princippet slet ikke er en Digital Post, men en NemID rolle. Imidlertid er NemID administratoren helt central i opsætningen af din myndighed i Administrationsportalen da det kun er NemID administratoren, der vil kunne få initial adgang til Administrationsportalen og basisoprette myndigheden som bruger af Digital Post. 1 De trin NemID administratoren skal igennem for at tilslutte myndigheden til Digital Post Administrationsmodulet er beskrevet i vejledningen: Tilslutning til Digital Post Administrationsportalen 1 Dette gælder også for adgang til myndighedens digitale postkasse på Virk.dk. Se afsnit: 2. S i d e 8

Du kan finde en henvisning til hvor denne vejledning ligger i afsnit: 1.2. Ud over rettigheden til at basisoprette myndighed har NemID administratoren også rettigheder til løbende at oprette nye brugere. Dette skyldes at NemID administratoren fødes med Administrator rettigheder, når myndigheden får adgang til Administrationsmodulet. Dette er en nødvendighed fordi der selvsagt fra start skal være en medarbejder, der kan oprette andre medarbejdere med forskellige roller. Denne rettighed kan imidlertid også være nyttigt senere, hvis det skulle vise sig at myndigheden ved en fejl, ikke har nogen administratorer eller superadministratorer (f.eks. fordi medarbejderen(erne) er fratrådt) der kan oprette nye brugere eller ændre eksisterendes roller. Bemærk! Det er ikke kun den medarbejder der oprettede myndigheden i Administrationsportalen der har denne rettighed. Alle medarbejdere med NemID administrator rettigheder, har automatisk administrator rettigheder i Digital Post Administrationsportalen. 3.2.2. Administrator En administrator rolle har følgende rettigheder Rolle Administrator Rettigheder Se, oprette, redigere og slette myndighedens postkasser. Tilslutte afsendersystem, register, portal og afhentningssystem (dvs. oprette men ikke opsætte). Se statistik forbrug for myndighedens anvendelse. Brugeradministration: se, oprette, opdatere og slette Figur 9. Bemærk at administrator-rollen også har administrator rettigheder i Digital Post på Virk.dk (det er den samme rolle). Administrator rollen har været helt central i administrationen af både brug og opsætning af myndighedens Digital Post men er lang hen af vejen blevet overflødiggjort af superadministrator rollen se afsnit 3.2.4. Ud over at kunne oprette nye brugere, er administratorens vigtigste opgave at kunne oprette og vedligeholde myndighedens postkasser. Se: vejledningen: Opret postkasser i Digital Post Du kan finde en henvisning til hvor denne vejledning ligger i afsnit: 1.2. Det anbefales, at: Myndigheden benytter superadministratorer i stedet for administratorer. Der udpeges mindst to administratorer eller superadministratorer. Administratorerne er ansatte med et stort kendskab til systemadministration. S i d e 9

Der er personsammenfald mellem mindst én af de ansatte, der vedligeholder myndighedens sikre postkasser og mindst én af administratorerne i Digital Post. Dette er vigtigt, at der altid finder en tæt koordinering sted mellem oprettelse og (især) nedlæggelse af sikre postkasser postkasserne i Digital Post. 3.2.3. Systemadministrator En systemadministrator rolle har følgende rettigheder Rolle Systemadministrator Rettigheder Oprette, redigere og slette myndighedens egne tilmeldingsgrupper Uploade bilag. Figur 8. Opsætning af afsendersystem, register, portal og afhentningssystem (ikke oprettelse). Systemadministrator rollen har været helt central i administrationen af Digital Post. Systemadministratorer rollen er en meget teknisk rolle, hvis primære funktion er at oprette, redigere og slette myndighedernes egne tilmeldingsgrupper. Rollen er lang hen af vejen blevet overflødiggjort af superadministrator rollen se afsnit 3.2.4. Figur 9. I figur 9 er en af systemadministratorens rettigheder vist. Systemadministratoren kan tilføje en svarpostkasse og emne til de forskellige materialer i det omfang, det ønskes. Systemadministratorens væsentligste funktion er at oprette, redigere og slette myndighedens egne tilmeldingsgrupper. Det vil føre for vidt, at beskrive systemadministratorens rolle i større detaljer her og i stedet henvises til vejledningen: Skriv til Digital Post Du kan finde en henvisning til hvor denne vejledning ligger i afsnit: 1.2. S i d e 10

Det anbefales, at: Myndigheden benytter superadministratorer i stedet for systemadministratorer. Der udpeges mindst to systemadministratorer eller superadministratorer, Systemadministratorerne er ansatte med et stort kendskab til systemadministration. 3.2.4. Superadministrator En superadministrator rolle har følgende rettigheder Rolle Systemadministrator Rettigheder Se, oprette, redigere og slette myndighedens postkasser. Tilslutte afsendersystem, register, portal og afhentningssystem (dvs. oprette men ikke opsætte). Se statistik forbrug for myndighedens anvendelse. Brugeradministration: se, oprette, opdatere og slette Bemærk at superadministrator rollen også har rettigheder i myndighedens egen sikre boks (det er den samme rolle). Oprette, redigere og slette myndighedens egne tilmeldingsgrupper Uploade bilag. Figur 10. Opsætning af afsendersystem, register, portal og afhentningssystem (ikke oprettelse). Superadministratoren en ny rolle, der ikke fandtes da Digital Post blev lanceret. Som det fremgår af figur 10, har superadministratoren administrator og systemadministratorens rettigheder samlet på én rolle. Rollen er oprettet som følge af en konstatering af, at det i mange tilfælde er uhensigtsmæssigt med opdelingen af rettigheder på administrator og systemadministrator. Det anbefales, at: Myndigheden erstatter rollerne administrator og systemadministrator med superadministratorrollen. Hvis ovennævnte roller erstattes af superadministratorrollen anbefales det at der udpeges mindst to superadministratorer. Superadministrator rollen tildeles ansatte, der arbejder med test og udvikling af Digital Post. Hvis myndigheden vælger at lade rollerne administrator og systemadministrator erstattes af superadministratorrollen, bør der være personsammenfald mellem mindst én af de ansatte, der vedligeholder myndighedens sikre postkasser, og mindst én super- S i d e 11

administrator. Det er vigtigt, at der altid finder en tæt koordinering sted mellem oprettelse og (især) nedlæggelse af sikre postkasser postkasserne i Digital Post. S i d e 12

4. Brugeroprettelse og tildeling af rolle 4.1. Administrationsportalen Det sted man vedligeholder roller og rettigheder, og administrerer de øvrige dele af Digital Post, hedder Administrationsportalen. Du finder Administrationsportalen her: https://ekstranet.e-boks.dk Du logger på Administrationsportalen og møder her en velkomstside. Dette er vist i figur 11. Her det også markeret med rødt, hvor du finder vejledninger til oprettelse og indhold af roller i Administrationsportalen. Figur 11. Når du står på velkomstsiden, går du ind i det faneblad, der hedder Brugerstyring, og kommer her ind i den del af Administrationsportalen, der benyttes, når du skal oprette brugere og roller. Dette er vist i figur 12. S i d e 13

Figur 12. Som det fremgår af figur 12, finder du under Brugerstyring linket Opret ny bruger. Du klikker på dette link og åbner nu en side Opret brugere. 4.2. Opret bruger Figur 13. Når du kommer ind på Opret bruger skal du tage stilling til tre ting: 1. Brugeren skal defineres. S i d e 14

2. Brugerens rolle skal defineres. 3. Det skal afklares om brugeren skal aktiveres med det samme. I figur 13 er der indrammet fire områder. Disse forklares ét for ét nedenfor. Rød indramning i figur 13: Måden man styrer adgangen til Administrationsportalen, er ved at identificere en bruger ud fra vedkommendes medarbejdersignatur (certifikat) 2. Det betyder også, at alle der skal have adgang til Administrationsportalen, skal have en medarbejdersignatur. Det vil ofte være en medarbejder i IT-funktionen i din myndighed, der vil have beføjelser til at udstede sådanne certifikater (NemID administrator rollen). Medarbejdercertifikatet, til den medarbejder der skal have tildelt en rolle, skal uploades via knappen Vælg fil i et bestemt format Base64-kodet X.509(.CER)-fil. Da konverteringen af et certifikat til dette format er et sidespring i forhold til opgaven at oprette en bruger, beskrives denne opgave i et særskilt afsnit. Se afsnit: 5. Når du klikker på Vælg fil, får du adgang til dine drev, og kan finde det relevante certifikat i den mappe, hvor det er gemt. Figur 14. 2 Du vil møde betegnelserne medarbejdersignatur, medarbejdercertifikat eller blot certifikat i flæng. For en nærmere beskrivelse af den sikkerhedsarkitektur PKI der benytter certifikater se vejledningen Skriv til Digitalt Post. S i d e 15

Figur 14 viser processen med at finde et medarbejdercertifikat. Her er det gemt i en mappe Certifikat til Digital Post. Marker certifikatet og tryk på knappen Åbn du har nu uploadet certifikatet til Administrationsportalen. Grøn indramning i figur 13: Feltet Brugers e-mail-adresse er næsten selvforklarende. Her skriver du brugerens e-mail-adresse. Blå indramning i figur 13: I området Brugerens rolle defineres brugerens rolle og rettigheder. Dette sker ved at klikke af i ét af de runde afkrydsningsfelter ud for den rolle, du ønsker at tildele brugeren. En bruger kan kun have én rolle. Turkis indramning i figur 13: I feltet Status kan man sætte flueben, hvis man ønsker, at brugeren skal have adgang med det samme. Når du har udfyldt alt på siden, trykker du på knappen OK og brugeren er oprettet. Du kan se en liste over brugere og deres rettigheder ved at gå ind i Vis brugere. Oversigten er vist i figur 15. Figur 15. S i d e 16

5. Medarbejdersignaturer og eksport til Base64-kodet X.509 5.1. Medarbejdersignatur Forudsætningen for at blive oprettet som bruger i Administrationsportalen er, at man har en medarbejdersignatur. Hvis man ikke allerede har en sådan kan man få det via myndighedens NemID administrator. Læs mere om NemID administrator rollen i afsnit: 3.2.1. Når en bruger har fået tildelt en medarbejdersignatur, vil den blive installeret i brugerens browser. For at medarbejdersignaturen kan benyttes i Administrationsportalen, skal den være på formen Base64-kodet X.509. I det følgende beskrives, hvordan du eksporterer en medarbejdersignatur til Base64-kodet X.509. De fleste myndigheder benytter Microsoft Explorer som standardbrowser, og det vil være denne browsertype, der er beskrevet i nedenstående vejledning. Fra andre browsere kan du via hjælpefunktionen se, hvordan du eksportere certifikater. 5.2. Eksport af medarbejdersignatur til Base64-kodet X.509 Figur 16. Først skridt i at eksportere en medarbejder signatur er at: Åbne Internet Explorer på den pc, hvor du har installeret certifikatet. Klik på Funktioner i Internet Explorer og klik derefter på Internetindstillinger. Dette er vist i figur 16. S i d e 17

Figur 17. Der kommer nu en dialogboks frem. Klik på Certifikater under fanen Indhold. Dette er vist i figur 17. Figur 18. Marker det relevante certifikat og klik på Eksporter. Som det fremgår af figur 18, kan der være mere end et certifikat. Her er der ét udløbet og ét aktivt certifikat. Vær sikker på at du vælger det rigtige, før du klikker på eksporter. S i d e 18

Figur 19. Du kommer nu ind i certifikat eksportguiden, som er vist i figur 19. Du klikker på Næste > Figur 20. Du vælger Nej, eksporter ikke privatnøglen og klik Næste >. Dette er vist i figur 20. S i d e 19

Figur 21. Vælg Base64-kodet X.509(.CER)-fil og klik Næste >. Dette er vist i figur 21. Figur 22. Klik på Gennemse for at vælge den mappe du ønsker at eksportere certifikatet til. Dette er vist i figur 22. S i d e 20

Figur 23. Giv certifikatet et navn efter eget valg og klik derefter på Gem. Dette er vist i Figur 23. BEMÆRK! Det er vigtigt, du gemmer filen på enten: Et fællesdrev som NemID administratoren eller administratoren/superadministratoren kan få adgang til, og at du giver NemID administratoren eller administratoren/superadministratoren rettigheder til at få adgang til den mappe, du gemmer certifikatet i. På et USB stik og selv medbringe det. Det vil have den fordel, at der ikke kan opstå problemer med adgang til drev og mapper. Du kommer nu tilbage til den dialogboks, der er vist i figur 22. Blot er stien nu skrevet ind i feltet Filnavn. Du klikker Næste >. Figur 24. S i d e 21

Du har nu næsten gennemført eksporten og kan afslutte forløbet ved at klikke på Udfør for at gemme certifikat-filen. Dette er vist i figur 24. S i d e 22