Guide til integration med NemLog-in / Brugeradministration



Relaterede dokumenter
Guide til integration med NemLog-in / Signering

Guide til integration med NemLog-in / Web SSO

Guide til NemLog-in Security Token Service

Certifikatpolitik for NemLog-in

23. maj 2013Klik her for at angive tekst. HHK/KMJ. Vejledning til brug af Støttesystemet Adgangsstyring

Udvidet brug af personligt NemID i erhvervssammenhæng

Version 1.0. Vilkår for brug af Støttesystemet Adgangsstyring

Bilag til standardaftale om delegering af brugerrettigheder mellem lokale identitetsudbydere og serviceudbydere ved anvendelse af SAML-billetter

Guide til kravspecifikation

De fællesoffentlige komponenter: Federativa identitetslösningar, Erfarenheter från Danmark

Digitaliseringsstyrelsen

Trin-for-trin guide: Tilslutning af web service til NemLog-in

Timeout-politik for den fællesoffentlige føderation

Den samlede erhvervsløsning i næste generation af NemID og NemLog-in3

(Bilag til dagsordenspunkt 8, Kommunale anvenderkrav til støttesystemerne)

Digitaliseringsstyrelsen

Dette dokument beskriver kort, hvorledes ansatte ved nationale myndigheder får tildelt adgang til BBR 1.8.

Vilkår for It-systemudbyderes tilslutning til og anvendelse af NemLog-in. Digitaliseringsstyrelsen 2013

Integration SF1920 NemLogin / Digital fuldmagt Integrationsbeskrivelse - version 1.0.0

Tilslutning af ny it-leverandør til NemLog-in

Tilslutning af ny myndighed til NemLog-in

End-to-end scenarier for fuldmagtsløsningen

Virksomheden har og anvender deres gamle digital signatur, som endnu ikke er udløbet.

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Tilføjelse af administrator for myndighed

Introduktion til UNI-Login for udbydere

Udvidet brug af personligt NemID i erhvervssammenhæng

NemLog-in. Kenneth Kruuse, projektleder og serviceansvarlig

Copyright 2018 Netcompany. Alle rettigheder forbeholdes.

Sammenhængende log-in - SSO til applikationer i et andet sikkerhedsdomæne

Version 1.4. Integrationstest ved tilslutning til NemLog-in. Side 1 af april 2013

Vejledning i tildeling af rettigheder til VandData. Vejledningen henvender sig til Vandselskabers Nem Log-in Administratorer og beskriver, hvordan

Vejledning til anvendelse af fuldmagt på virk.dk

Version 1.6. Integrationstest ved tilslutning til NemLog-in. Side 1 af marts 2014

Drift- og supportpolitik

NemID privat til erhverv

Vejledning i at give autorisation til Ejerbogen, Ejerregisteret eller andre indberetninger til det offentlige via Virk.dk

Vilkår vedrørende brug af Støttesystemet Adgangsstyring

DIADEM KOM GODT I GANG INTEGRATIONSVEJLEDNING IFT. SIKKERHED OG VERSIONERING AF WEBSERVICES VERSION: STATUS: FRIGIVET DATO: 22.

ADGANGSSTYRING. 26. Februar 2019

Bilag 1 - Fælles arkitekturramme for GD1-GD2-GD7. Forslag til fælles sikkerhedsmodel for Grunddataprogrammet

eid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019

Adgangsstyring er en forudsætning for at benytte en i den fælleskommunale infrastruktur, da brugere og systemer ellers ikke vil få adgang.

TILDELING AF RETTIGHEDER I NEMLOG-IN

Forslag vedrørende NemID til Finansministeriets område fra Regeringens Virksomhedsforum for Enklere Regler

Tildeling af rettigheder i NEMLOG-IN

Vejledning til NemLog-in

Vejledning om avanceret afhentning. i Digital Post på Virk.dk.

Tildeling af rettigheder. VandData. Vejledning

Brugerstyring i Digital Post

eidas artikel 6 Informationsmøde for offentlige tjenesteudbydere 21. november 2017

Certifikatpolitik. For den fællesoffentlige log-in-løsning. Side 1 af 9 2. december Version 1.1

Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere

Brugeroprettelse og -rettigheder

UDSNIT 8. februar 2008

Teknisk guide til integration med Digital Fuldmagt

Vejledning til udarbejdelse af jobfunktionsroller og tilknytning til brugersystemroller

Vejledning til Min side - Fødevarestyrelsen

Tilslutning til digital post og NemSMS

Sikker udstilling af data

Tilslutning til Digital Post Administrationsportalen

VITAS Tildel rettigheder Tildeling af rettigheder i NemLog-in

Underbilag 2O Beskedkuvert Version 2.0

Vejledning til NemLog-in for kommuner

Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3

DataHub Forbrugeradgangsløsning Spørgsmål og svar

Fra NemID til MitID og NemLog-in3. Kontorchef Charlotte Jacoby og it-arkitekt Christian Schmidt- Madsen giver et øjebliksbillede

SOSI Gateway Komponenten (SOSI GW)

Session oprettet hos egen serviceudbyder Varianter

Introduktion til Digital Post. Digitaliseringsstyrelsen August 2019

Brokere i Identitetsinfrastrukturen

NemLog-in administration. Brugermanual til Teknisk administrator, Administrator for IT-systemudbyder og Administrator for IT-leverandør

KOMBIT er ejet af KL og kommunerne. Det er kommunerne, der via KL har bedt om udvikling af Byg og Miljø, og som betaler for løsningen.

Vejledning til Køreprøvebooking. NemLog-in og fuldmagtsaftale

Tildeling af rettigheder i NemLog-in

Brugerstyring i Digital Post. Digitaliseringsstyrelsen August 2019

Vejledning i at anvende besvarelsesformular. Juli 2016

AuthorizationCodeService

Teknisk vejledning i system-til-system indberetning af landingserklæringer

Vejledning til tildeling af rettigheder i VandData

Støttesystemerne. Det er tid til

Version Udkast

Introduktion til brugeradministratorer i SEB v3

SmartFraming Et vindue til nationale sundhedssystemer. Version 3.0

B1.1 Forretningsobjekter beskrivelse. B1.2 Forretningsobjekters relationer. B1.3 Forretningsspørgsmål.

Styrelsen for Arbejdsmarked og Rekruttering STAR-VITAS. AD & ADFS opsætning til VITAS. Version 1.7. Dato 19. februar Reference [Reference]

MM Hul-Igennem-Test i Prod. Information til kunder

Adgang til NIV. Nyt system til indberetning af forventede ventetider. Version 1.2

Reviewrapport for: Brugerstyring i Danmarks Miljøportal

Brugeradministration på SKI.dk

ANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER

Vejledning for virksomhederne om adgang til Affaldsdatasystemet

Nyt om de kommende infrastrukturløsninger: MitID, NemLog-in og Næste generation Digital Post

Introduktion til MeMo

Denne vejledning beskriver hvordan en myndighed tilslutter

Overblik over egne sager og ydelser

Brugerstyring i digital post

Kom godt i gang med Digital Post og NemSMS

Velkommen til Virk.dk

Bilag 2. Vilkår for anvendelse af sikkerhedsmodellen i den fælleskommunale Rammearkitektur Version 2.0

Transkript:

Guide til integration med NemLog-in / Brugeradministration Side 1 af 9 21. januar 2013 TG Denne guide indeholder en kort beskrivelse af, hvorledes man som itsystemudbyder (myndighed eller it-leverandør) kan integrere en it-løsning til NemLog-in s brugeradministrationsløsning (herefter benævnt NemLogin/Brugeradministration eller FBRS for fællesoffentligt brugerrettighedsstyringssystem). Guiden er henvendt til teknisk-orienterede personer, der skal planlægge eller udføre integrationen, og den beskriver de snitflader, som anvendes. Læseren antages således at være bekendt med basal terminologi indenfor føderationer og brugerstyring. Guiden vil senere blive suppleret med den egentlige, tekniske dokumentation til NemLog-in/Brugeradministration, som offentliggøres i forbindelse med idriftsættelsen. Baggrund I januar 2013 blev første del af den nye NemLog-in-løsning sat i drift, og i andet halvår af 2013 er den nye brugeradministrationsløsning på NemLog-in planlagt til at følge efter. Løsningen vil erstatte og udbygge den nuværende brugerrettighedsløsning på virksomhedsportalen Virk.dk (Virk BRS), og eksisterende myndighedsløsninger tilsluttet Virk BRS vil blive migreret over på NemLog-in, hvorefter Virk BRS lukkes ned. Med andre ord vil al Virk s brugerstyring overgå til NemLog-in. Overblik over grænseflader Den nye FBRS løsning opererer med to forskellige grænsesnit til myndighedsløsninger: a) Der findes et legacy grænsesnit, som emulerer de nuværende snitflader på Virk BRS løsningen. Disse kan kun anvendes af de myndighedsløsninger, der på migreringstidspunktet er tilsluttet Virk BRS. b) FBRS løsningen kommer med en moderniseret grænseflade byggende på OIOSAML profilerne. Nye myndighedsløsninger, der tilsluttes efter migreringen, skal anvende denne grænseflade. Bemærk at løsninger, der i dag anvender legacy snitfladen (a), skal overgå til den moderniserede snitflade, når løsningen opdateres (eksempelvis ved ændringer i løsningens metadata, skift af certifikat etc.). Dermed vil legacy-snitfladen kunne udfases i fremtiden (tidspunkt ikke fastlagt), når alle myndighedsløsninger er overgået til det nye grænsesnit.

Side 2 af 9 Virk BRS legacy grænseflade Myndighedsløsninger, der i dag er tilsluttet Virk BRS, integrerer via en eller flere af følgende grænseflader: Der anvendes en OIOSAML-baseret snitflade til log-in af og log-out af brugerne (SAML AuthnRequest SAML LogoutRequest). Der anvendes et OIOSAML-baseret AttributeQuery til at hente attributter om brugeren, herunder evt. rettigheder som brugeren måtte være blevet tildelt af en brugeradministrator. Virk BRS udstiller en SOAP-baseret web service (LegalUnitService), som kan anvendes til specielle formål. Der henvises til Virk s systembeskrivelse [VIRK-SYS] og procesbeskrivelse [VIRK-PRO] for detaljer om disse snitflader. Den nye FBRS løsning på NemLog-in er bagudkompatibel og viderefører i al væsentlighed Virk s nuværende grænseflader med henblik på, at myndighedsløsninger ikke behøver at blive ændret i første omgang. Der er dog en enkelt undtagelse, idet brugen af SAML Artifact binding ikke understøttes i NemLog-in, da denne ikke er tilladt iflg. OIOSAML. Dette betyder samlet, at myndigheder som i dag har integreret med Virk BRS ikke forventes at få behov for kodeændringer i deres løsninger, såfremt man ikke anvender SAML Artifact Binding. Dermed er aktiviteterne forbundet med skiftet til NemLog-in reduceret til at importere NemLog-in s metadatafil (dvs. en konfigurationsændring) samt en mindre test af integrationen. Disse aktiviteter forventes at udgøre ganske få timers arbejde. Digitaliseringsstyrelsen vil i god tid inden migreringsdatoen informere nærmere om processen forbundet med skiftet fra Virk BRS til NemLog-in. Processen vil overordnet være en big-bang migrering, hvor alle myndigheder og Virk.dk portalen skal skifte samtidigt.

Integration til NemLog-in s brugeradministration Side 3 af 9 NemLog-in FBRS er som Virk BRS en rollebaseret brugeradministrationsløsning, hvormed virksomheder og myndigheder kan administrere deres medarbejderes rettigheder til offentlige selvbetjeningsløsninger, der er er tilsluttet. Man kan tænke på det som et fællesoffentligt brugerkatalog, hvor hver virksomhed kan udpege et antal brugeradministratorer, der så tildeler medarbejderne i virksomheden de relevante rettigheder. Der er endvidere muligheder for, at rettigheder kan delegeres til andre organisationer (såkaldte erhvervsfuldmagter eller koncernfuldmagter). Myndighedsløsningerne definerer selv de løsningsspecifikke rettigheder (kaldet privilegier), som ønskes administreret via FBRS. Derved slipper myndighedsløsningerne selv for at implementere en løsning til brugeradministration. Privilegierne tilføjes til roller i NemLog-in (af en NemLogin administrator), som brugeradministratorerne herefter kan tildele til medarbejdere. Det er også muligt at tildele en rolle til mange medarbejdere på én gang ved at samle medarbejderne i en gruppe, som herefter tildeles rollen. Administrationskonceptet er illustreret på figuren nedenfor: Integrationen fra myndighedsløsninger til NemLog-in FBRS sker via OIOSAML grænsefladen, som i forvejen anvendes til log-in. Når en medarbejder i en virksomhed er tildelt en eller flere roller af sin brugeradministrator, vil de tilhørende privilegier til løsningen fremgå af den SAML Assertion, som udstedes i forbindelse med log-in til løsningen. SAML billetten vil altså udover brugerens identitet være beriget med privilegierne. Den overordnede sammenhæng er illustreret på nedenstående figur:

Side 4 af 9 Dette betyder, at myndighedsløsninger som i forvejen anvender NemLog-in til log-in formål, ikke behøver at integrere til nogle nye snitflader for at begynde at anvende brugeradministrationsløsningen i NemLog-in (FBRS). For at benytte FBRS til administration af rettigheder skal myndigheden (eller dennes it-leverandør) først definere de (løsningsspecifikke) privilegier, som ønskes administreret (trin 1 på figuren). Disse defineres som et antal URI er, der indmeldes til FBRS via NemLog-in s tilslutningssystem. Når privilegierne er tildelt en bruger (via en rolle), (trin 2 på figuren) vil de tilhørende URI er som nævnt optræde i den SAML Assertion, som NemLog-in udsteder (trin 5). Herefter kan privilgierne anvendes i myndighedsløsningens adgangskontrol til at beslutte, hvilken adgang brugeren skal have (trin 6). Syntaksen for indlejring af privilegier i SAML Assertions er defineret i OIOSAML Basic Privilege Profile [OIO-BPP]. Brugerens privilegier angives i attributten dk:gov:saml:attribute:privileges_intermediate i den udstedte SAML Assertion. Et eksempel på denne er vist nedenfor:

Side 5 af 9 <saml:attribute FriendlyName="Privileges" Name="dk:gov:saml:attribute:Privileges_intermediate" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:attributevalue xsi:type="xs:string"> <base64 encoded value> </saml:attributevalue> </saml:attribute> Værdien af attributten er en base64 indkodet streng, der kan dekodes til en XML struktur, som indeholder en liste af privilegier som vist i eksemplet nedenfor: <?xml version="1.0" encoding="utf-8"?> <bpp:privilegelist xmlns:bpp="http://itst.dk/oiosaml/basic_privilege_profile" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance" > <PrivilegeGroup Scope="urn:dk:gov:saml:cvrNumberIdentifier:12345678"> <Privilege>urn:dk:some_domain:myPrivilege1A</Privilege> <Privilege>urn:dk:some_domain:myPrivilege1B</Privilege> </PrivilegeGroup> <PrivilegeGroup Scope="urn:dk:gov:saml:seNumberIdentifier:27384223"> <Privilege>urn:dk:some_domain:myPrivilege1C</Privilege> <Privilege>urn:dk:some_domain:myPrivilege1D</Privilege> </PrivilegeGroup> </bpp:privilegelist> Scope attributten på PrivilegeGroup elementet angiver den kontekst (afgrænsning), som gælder for de tildelte privilegier (repræsenteret ved Privilege elementer), der er indlejret. Disse vil typisk være organisatoriske enheder i form af et CVR nummer, et SE-nummer eller en P-enhed. Dette skal forstås således, at brugeradministratoren har begrænset rettigheden til kun at gælde for den angivne organisatoriske enhed. Til forskel fra modellen i Virk BRS kan brugeradministratorer i FBRS ved tildeling af alle rettigheder frit vælge scope dvs. myndighedsløsningerne skal være forberedt på at modtage disse. Hvis et konkret scope ikke understøttes af løsningen (f.eks. SE-enheder), kan man ignorere rettigheden og/eller give brugeren en fejlmeddelelse. Selve brugergrænsefladen til brugeradministratorer er ændret en del fra Virk BRS til NemLog-in FBRS men dette er helt uafhængigt af snitfladen til myndighedsløsningerne og beskrives derfor ikke yderligere i dette dokument. NemLog-in s Signeringstjeneste Samtidig med NemLog-in FBRS lanceres også en ny signeringstjeneste til NemLog-in. Modsat FBRS løsningen er denne af forskellige grunde ikke helt bagudkompatibel med den eksisterende signeringstjeneste på Virk.dk, og derfor

vil myndighederne som anvender denne have en opgave med (mindre) tilretning af integrationen. Det er dog tilstræbt, at den nye tjeneste genbruger en del af den gamle snitflade for at reducere tilretningsarbejdet mest muligt. Side 6 af 9 Snitfladen til den nye signeringstjeneste findes dokumenteret på NemLog-in s testportal 1, hvor der ligeledes findes en signeringsstub, man kan teste sin integration imod. Stubben er en service, der har samme snitflade som den rigtige signeringstjeneste, men som ikke foretager fuld validering af input og blot returnerer statisk output. Det er ikke nødvendigt at tilslutte sig stubben for at anvende den (da den ikke validerer indgående signaturer). Tilslutning til NemLogin s signeringstjeneste sker via NemLog-in s tilslutningssystem og involverer bl.a. upload af certifikater mm. Tilslutning til NemLog-in/Brugeradministration Eksisterende myndighedsløsninger tilsluttet Virk BRS skal ikke gentilsluttes, da de som nævnt migreres over på FBRS. Konkret vil alle tilslutninger, brugere, roller, privilegier og erhvervsfuldmagter blive migreret fra Virk BRS til NemLog-in FBRS. Nye myndighedsløsninger, som ikke i forvejen anvender Virk BRS, skal tilsluttes ved brug af NemLog-in s tilslutningssystem efter idriftsættelsen. Dette involverer upload af metadata, definition af privilegier etc. 1 https://test-nemlog-in.dk/testportal/

Eksempel på brug af NemLog-in/Brugeradministration Side 7 af 9 Herunder beskrives et (fiktivt) eksempel på anvendelse af FBRS, der viser sammenhængen mellem myndighedssiden (løsningen) på den ene side og brugerorganisationen (anvendersiden) på den anden side. Antag at myndigheden Acme har lanceret en ny selvbetjeningsløsning, hvor virksomheder kan indrapportere data deres Acme index for seneste kvartal. Myndigheden har defineret to privilegier for den nye tjeneste, hvor det ene giver adgang til at indberette, mens det andet kun giver mulighed for at se tidligere indberetninger for virksomheden: - http://acme.org/privileges/indrapporter_acme_index - http://acme.org/privileges/se_acme_index Efter disse privilegier er oprettet af Acme via NemLog-in s tilslutningssystem, kan NemLog-in administratoren tilknytte dem nye eller eksisterende roller i FBRS. Antag at FBRS allerede har defineret de to roller: IndberetFinansielleData SeFinansielleData NemLog-in administratoren beslutter, at privilegiet http://acme.org/privileges/ indrapporter_acme_index tilknyttes FBRS rollen IndberetFinansielleData og at privilegiet http://acme.org/privileges/se_tidligere_acme_index tilknyttes FBRS rollen SeFinansielleData. Antag nu at virksomheden Fabricam bliver tilsluttet NemLog-in som brugerorganisation via NemLog-in s tilslutningssystem. Fabricam beslutter, at definere tre brugergrupper for at lette brugeradministrationen. Grupperne er ledere, finansmedarbejdere og sekretærer. Fabricam tildeler FBRS rollerne IndberetFinansielleData og SeFinansielleData til brugergruppen finansmedarbejdere, og FBRS rollen SeFinansielleData til brugergrupperne ledere og sekretærer. Sluttelig udpeger en Fabricam brugeradministrator brugeren Bob som medlem af brugergruppen sekretærer, Alice udpeges som medlem af brugergruppen ledere, og Eva som medlem af brugergruppen finansmedarbejdere.

Nu vil Alice og Bob kun få privilegiet relateret til at se deres virksomhedens acme index, hvorimod Eva både kan se og indberette virksomhedens acme index (se illustration herunder). Side 8 af 9

Referencer Side 9 af 9 [OIO-SAML] OIO Web SSO Profile V2.0.9, Digitaliseringsstyrelsen. http://digitaliser.dk/resource/2377872 [OIO-BPP] OIO Basic Privilege Profile, Digitaliseringsstyrelsen. http://digitaliser.dk/resource/2377872 [VIRK-SYS] Systembeskrivelse - Brugerrettighedsstyringssystem VIRK, Cap Gemini, Version 2.2, 2011-08-05. http://myndighedsnet.virk.dk [VIRK-PRO] Procesbeskrivelse - Brugerrettighedsstyringssystem VIRK, Cap Gemini, Version 1.3.1, 4-5-2010. http://myndighedsnet.virk.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback