STS NETVÆRKSDAGE ADGANGSSTYRING. Brian Storm Graversen April 2016

Relaterede dokumenter
ADGANGSSTYRING. 26. Februar 2019

IDENTITY PROVIDER. Klar til produktion

OS2 Rollekatalog i Horsens Kommune. Tanker om ibrugtagning

NemRolle. KOMBIT adgangsstyring med sikkerhed og overblik. Beskrivelse af funktioner og anvendelse

SPOR 2 ADGANGSSTYRING. Netværksdage Støttesystemer 11. og 12. marts 2015

Vejledning til udarbejdelse af jobfunktionsroller og tilknytning til brugersystemroller

Udarbejdelse af jobfunktionsroller

SPOR 2: STØTTESYSTEMER

Administrationsmodul, Adgangsstyring for systemer og Adgangsstyring for brugere

Opbygning af jobfunktionsroller i Aarhus. SOCIALE FORHOLD OG BESKÆFTIGELSE It & Digitalisering Aarhus Kommune

STØTTESYSTEMERNE - FRA TANKE TIL HANDLING. Kenneth Møller Johansen Peter Hansen Martin Scheil Corneliussen

OS2rollekatalog Det tekniske fundament og dets muligheder

STØTTESYSTEMER. STS Organisering i kommunerne. V/ Peter Hansen implementeringskonsulent på STS

STS ARBEJDSGRUPPEMØDE VEJLE

SPOR 1: ADGANGSSTYRING

NETVÆRKSDAGE MARTS Michel Sassene

Det kommunale systemlandskab

Støttesystemerne. Det er tid til

STS ORGANISATION. 26. februar 2019

SPOR 4. Projektlederens rolle, opgaver og estimering. København 11. marts og Horsens 12. marts 2015

STS-KOMMUNENETVÆRK. 5. og 7. april 2016 Kenneth Møller Johansen

Oplæg om Rollekataloget i praksis v / Hanne Juul-Naber. 30. maj 2018

Underbilag A Administrationsmodul

Overblik over roller og kompetencer i forhold til Støttesystemerne

SPOR 7: IBRUGTAGNING OG ANVENDELSE

SAGS-, DOKUMENT- OG YDELSESINDEKS. v. Christian Buss Wennemose og Klaus Rasmussen Leverandørdag 26. februar 2019

Trin-for-trin guide: Tilslutning af web service til NemLog-in

Møde med leverandører om vejledning til anvendelse af kommende fælleskommunale støttesystemer. KL-huset, tirsdag d. 4. juni 2013

23. maj 2013Klik her for at angive tekst. HHK/KMJ. Vejledning til brug af Støttesystemet Adgangsstyring

STATUS PÅ KIGO. Netværksmøde maj 2015 KY og KSD v. Sidsel Skovborg

Guide til NemLog-in Security Token Service

Version 1.0. Vilkår for brug af Støttesystemet Adgangsstyring

Vilkår vedrørende brug af Støttesystemet Adgangsstyring

KLASSIFIKATION OG ORGANISATION SPOR Netværksdage Støttesystemer og

Introduktion til Klassifikation

Acadre-integration til SAPA

SPOR 2. Opgaveoverblik på Støttesystemerne

Compliance-test, STS Sags- og Dokument indekset

Bilag 21. Præsentation til dagsordenspunkt 10: Kommunernes digitale sikkerhedsmodel. Sikkerhed i RA. Gennemgang af Review

OS2Opgavefordeler. Workshop, KL-Huset,

Bilag 2. Vilkår for anvendelse af sikkerhedsmodellen i den fælleskommunale Rammearkitektur Version 2.0

Generelt om støttesystemerne

FAGCHEFSEMINAR OKTOBER Gruppearbejde - Monopolbrud

Introduktion til Støttesystem Organisation

OS2autoproces. Vejledning til implementering

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

ER I KLAR TIL MONOPOLBRUDDET?

Vejledning i tildeling af rettigheder i NemLogin til STS Administrationsmodulet

VELKOMMEN Kommunernes data- og infrastrukturdag 2019

Introduktion til Støttesystem Sags- og Dokumentindeks

Tilslutningsaftale til videndelingsløsningen. autoproces

DEN FÆLLESKOMMUNALE INFRASTRUKTUR. Overblik, indblik og anvendelse

(Bilag til dagsordenspunkt 8, Kommunale anvenderkrav til støttesystemerne)

OS2rollekatalog Det tekniske fundament og dets muligheder

AutoProces Tværkommunal procesdeling. Løsningsbeskrivelse og tilbud om udvikling

SAPA S BETYDNING FOR ESDH. IMPULS 2015, 17. september 2015 Kenneth Møller Johansen

Scope dokument for Advisservice

ORGANISATION. Et overblik og indblik i Støttesystemet Organisation v. Peter Hansen og Henrik Mynderup

SPOR 4: SAG-, DOKUMENT- OG YDELSESINDEKS

SAPA OG STØTTESYSTEMERNE. V/ projektleder Kenneth Møller Johansen

Adgangsstyring er en forudsætning for at benytte en i den fælleskommunale infrastruktur, da brugere og systemer ellers ikke vil få adgang.

OPSÆTNING AF KOMMUNAL IDENTITY PROVIDER TIL AULA

SAPA KRAVSPECIFIKATION v Overordnede reviewkommentarer fra Kommuneprojektgruppen, ATP, Københavns Kommunes Koncernservice og KL

Lokal implementering af Identity Provider

AFREGNINGSMODEL FOR ANVENDELSE AF DEN FÆLLESKOMMUNALE INFRASTRUKTUR

Copyright 2018 Netcompany. Alle rettigheder forbeholdes.

Læsevejledning til review af støttesystemer, marts 2013

OS2faktor. AD FS Connector Vejledning. Version: Date: Author: BSG

Introduktion til Støttesystem Ydelsesindeks

Opgaveoverblik i forbindelse med ibrugtagning af de fælleskommunale Støttesystemer

Støttesystemet Klassifikation. Klassifikation. Et af de otte Støttesystemer

KOMMUNERNES IMPLEMENTERING AF MONOPOLBRUDDET. V/ Flemming Engstrøm og Nils Thor Rosted

Integration Generelle vilkår og forudsætninger Integrationsbeskrivelse - version 0.1

Bilag 2A Beskrivelse af sikkerhedsmodellen i Rammearkitekturen

SAPA Kommunenetværk Øst & Vest. KMJ 28. august 2013, Værløse 29. August 2013, Middelfart

Lokal implementering af Identity Provider

Installations- og konfigurationsvejledning

STØTTESYSTEMET KLASSIFIKATION

SAPAs forretningsmæssige behov i relation til Dialogintegration. SAPAs behov for Dialogintegration. Fordele ved brug af dialogintegration i SAPA

Installations- og konfigurationsvejledning

OS2MO 2.0 Fugl Fønix

DPSD2 Guide: Sådan sikrer du at du kan logge ind i DPSD2.

Afregningsmodel for brug af Serviceplatformen

Serviceplatformen Vejledning til tilslutning af OS2MO som anvendersystem

Fælleskommunal infrastruktur - SAPA-seminar, marts Michel Sassene, KOMBIT

Status på projekt støttesystemerne

Installations- og konfigurationsvejledning

Guide til integration med NemLog-in / Brugeradministration

Brugervejledning til Administrationsmodulet for leverandører

Digitaliseringsstyrelsen

Vejledning til brug Administrationsmodulet som leverandør med rollerne Leverandøradministrator og Organisationsadministrator

ØKONOMIEN I MONOPOLBRUDDET HOLDER DEN STADIG?

DECEMBER Vejledning til kommunens snitfladestrategi

Udvidet brug af personligt NemID i erhvervssammenhæng

Solrød Kommunes supplerende kravspecifikation, som uddyber og præciserer kraven

Baggrundsbeskrivelse for installation af føderation i partnerorganisationer til Danmarks Miljøportal. Baggrund. 1. Hvad er føderation

BESKEDFORDELER -ET AF DE OTTE STØTTESYSTEMER. Version 2.0

Opsamling på kommunal høring. Vejle & Roskilde Den 18. Juni 2013

MedCom sygehus-kommune møde. Torsdag d. 27. april 2017 kl

SNITFLADER TIL INDEKSER. Præsentation af de fælleskommunale støttesystemernes snitflader til indekser

Transkript:

STS NETVÆRKSDAGE ADGANGSSTYRING Brian Storm Graversen April 2016

Emner Motivation og baggrund Introduktion til jobfunktionsrollebegrebet Hvad er en jobfunktionsrolle Typer af brugersystemroller Dataafgrænsninger som et redskab Eksempler på jobfunktionsroller Teknisk understøttelse / Identity Provider Scenarie 1 statiske dataafgrænsninger Scenarie 2 dynamiske dataafgrænsninger Hvordan man får sin Identity Provider tilsluttet

Motivation og baggrund For at ibrugtage KY, KSD, SAPA, E&E, DAR samt BBR skal kommunerne være klar med følgende 1. Tilslutte en Identity Provider til støttesystemet Adgangsstyring for brugere 2. Registrere sine Jobfunktionsroller i støttesystemet Administrationsmodulet 3. Registrere sine organisationsdata i støttesystemet Organisation

INTRODUKTION TIL JOBFUNKTIONSROLLE- BEGREBET

Hvad er en Jobfunktionsrolle? En jobfunktionsrolle er et sæt af rettigheder, der tilsammen gør det muligt for en medarbejder at udføre en funktion. En jobfunktionsrolle kunne være Økonomimedarbejder, Sagsbehandler eller Leder. Teknisk består en jobfunktionsrolle af et sæt af brugersystemroller, hvor disse brugersystemroller kan komme fra forskellige it-systemer.

Hvad er en Brugersystemrolle? En Brugersystemrolle er et sæt af rettigheder i et bestemt itsystem (fx SAPA). En Brugersystemrolle kan være aktør-baseret (fx Sagsbehandler i ydelsescenter, Leder eller Lokal administrator ) handlings-baseret (fx Opret Sag, Godkend Udbetaling eller Tværkommunalt Opslag ). En Brugersystemrolle kan dataafgrænses på udvalgte områder (fx KLE emneområde eller Organisatorisk Enhed). Ikke alle systemer anvender dataafgrænsninger, fx har KSD og E&E ikke nogen dataafgrænsninger!

Hvorfor dataafgrænsninger? Dataafgrænsninger er et modelleringsværktøj, der gør det muligt at adskille den handling der udføres, fra de data handlingen udføres på. Fx har SAPA en brugersystemrolle der giver adgang til at se sager og dokumenter. Vha. dataafgrænsning kan denne brugersystemrolle anvendes til at se sager vedr. kontante ydelser (KLE 32.*) se sager vedr. særlig støtte til børn og unge (KLE 27.24.*) Dataafgrænsninger er optionelle, og hvis de ikke udfyldes, giver brugersystemrollen adgang til alle data!

Datamodel Administreres af kommunen Administreres af it-leverandør Fx 27.18.* Fx KLE

EKSEMPEL PÅ EN JOBFUNKTIONSROLLE

SAPA Brugersystemroller (lille uddrag) Brugersystemrolle Begrænset visning af sager Begrænset visning af sager og ydelser Fuld visning af sager, ydelser og dokumenter Opret journalnotater på part Opret bemærkninger Visning af adviser i Overblik Dataafgrænsninger KLE, Følsomhed, Organisatorisk Enhed KLE, Følsomhed, Organisatorisk Enhed KLE, Følsomhed, Organisatorisk Enhed KLE KLE, Følsomhed, Organisatorisk Enhed

En SAPA Jobfunktionsroller Jobfunktionsrolle Brugersystemrolle Dataafgrænsning Sagsbehandler Fuld visning af sager, ydelser og dokumenter KLE Følsomhed Organisatorisk Enhed Opret Journalnotat på part KLE Visning af adviser i overblik KLE Følsomhed Organisatorisk Enhed

Anvendelse En medarbejder i Ydelsescenter Vest tildeles Jobfunktionsrollen Sagsbehandler, og medarbejderen dataafgrænses til KLE: 32.* Organisatorisk Enhed: Ydelsescenter Vest Medarbejderen har nu adgang til de 3 operationer i SAPA nævnt i Jobfunktionsrollen, afgrænset til at kunne udføres på data, der er opmærket med KLE 32.xx.xx, og ejet af Ydelsescenter Vest

LIDT PRAKTISK INFO OM DATAAFGRÆNSNINGER

Praktisk info om dataafgrænsningsværdier Dataafgrænsningsværdier kan tildeles den enkelte bruger på login tidspunkt (dynamisk) eller registreres direkte på jobfunktionsrollen (statisk) Dynamiske værdier har den fordel, at jobfunktionsroller kan genbruges i forskellige sammenhæng Fx en læse-rolle der tildeles mange medarbejdere, men dataafgrænses individuelt Dynamiske værdier stiller dog større tekniske krav til den kommunale implementering af Identity Provider

HVORDAN VIL EN KSD JOBFUNKTIONSROLLE SE UD?

En KSD Jobfunktionsrolle KSD har 5 Brugersystemroller, der alle er aktør-baserede KSD anvender ikke dataafgrænsninger Jobfunktionsrolle Brugersystemrolle Dataafgrænsning Sagsbehandler i ydelsescenter Sagsbehandler i ydelsescenter -

KSD & SAPA to yderpunkter KSD SAPA # Brugersystemroller 5 30+ Typen af Brugersystemroller Aktør-baserede Handlings-baserede Dataafgrænsninger - KLE Organisatorisk Enhed Følsomhed KY og E&E vil også anvende aktør-baserede roller KY vil anvende dataafgrænsninger, mens E&E ikke vil DAR & BBR anvendelsesmønster kendes pt ikke, men forvent det ligner KSD/E&E mere end SAPA/KY

HVORDAN SER DET UD I ADMINISTRATIONSMODULET? (PROTOTYPE SKÆRMBILLEDE)

HVAD GØR MAN FØR ADMINISTRATIONSMODULET FRIGIVES?

Word bestillings-blanketten

Bestillings-blanketten er relevant Hvis man vil tidligt i gang med at anvende støttesystemerne fordi man er pilot kommune fordi man ønsker at anvende test-miljøet, fx i samarbejde med en af sine leverandører Vi er ved at undersøge muligheden for at bedre interim værktøj Understøttelse af input validering Dropdown menuer med valgmuligheder m.m.

JOBFUNKTIONSROLLER TEKNISK UNDERSTØTTELSE I STS

Baggrund Et samarbejde med Vallensbæk Kommune har belyst en række spændende valg og overvejelser i forbindelse med implementering af Adgangsstyring. Renset for blod og tårer, vil vi præsentere de 2 (ud af 4) scenarier som vi sammen fik udarbejdet i vores søgen efter den rette løsningsmodel for Vallensbæk.

VALLENSBÆKS MÅL MEDARBEJDERNE SKAL HAVE (KORREKT) ADGANG TIL MONOPOLBRUDSSYSTEMERNE

Værktøjer til at nå målet en lokal Identity Provider Et stykke standard software et brugerkatalog med de brugere der skal have adgang til fagsystemerne Typisk jeres AD et rollekatalog over de Jobfunktionsroller, der afspejler medarbejdernes adgangsbehov Uden for scope af denne arbejdsgruppe noget der kobler Jobfunktionsroller til medarbejdere Her gemmer der sig nogle interessante designvalg

Identity Providerens ansvarsområde Dækket af standard programmel med lidt konfiguration Autentificere brugeren, og fremsøge dennes unikke ID Sikre at udstedt token følger form-krav fra KOMBIT Udvidelser Afgøre hvilke Jobfunktionsroller en medarbejder er tildelt Afgøre hvilke parameterstyrede dataafgrænsningsværdier der er relevante for medarbejderen

KOMBITs sikkerhedsinfrastruktur Komponentlandskab - produktneutralt Brugerkatalog Identity Provider Brugervendt System Støttesystemet Administrationsmodul Medarbejdere

KOMBITs sikkerhedsinfrastruktur Vallensbæk casen integration til SAPA AD AD FS SAPA Støttesystemet Administrationsmodul Sagsbehandleren Gitte

IDENTITY PROVIDER & STATISKE DATAAFGRÆNSNINGSVÆRDIER

2 Jobfunktionsroller Jobfunktionsrolle Brugersystemrolle Dataafgrænsning Sagsbehandler i ydelsescenter vest Fuld visning af sager, ydelser og dokumenter KLE = 32.* Org.Enhed = Ydelsescenter Vest Opret Journalnotat på part KLE = 32.* Visning af adviser i overblik KLE = 32.* Org.Enhed = Ydelsescenter Vest

Hvad er det forventede output fra IdP en? <Assertion> <Issuer>https://vallensbaek.dk/</Issuer> <Signature>... </signature> <Subject> Liste af jobfunktionsroller <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName"> C=DK,O=19583910,CN=Gitte Jensen,Serial=e8a0f8a6-2393-4c46-b96c-214afebaa616 <bpp:privilegelist </NameID> xmlns:bpp="http://itst.dk/oiosaml/basic_privilege_profile"> Statiske værdier <SubjectConfirmation> <PrivilegeGroup Scope="urn:dk:gov:saml:cvrNumberIdentifier:19583910">... </SubjectConfirmation> </Subject> <Privilege>http://vallensbaek.dk/roles/jobrole/sagsbehandler/1</Privilege> <Conditions>... </Conditions> </PrivilegeGroup> <AttributeStatement> <Attribute <PrivilegeGroup Name="dk:gov:saml:attribute:CvrNumberIdentifier"> Scope="urn:dk:gov:saml:cvrNumberIdentifier:19583910"> <AttributeValue>19583910</AttributeValue> <Privilege>http://vallensbaek.dk/roles/jobrole/leder/1</Privilege> </Attribute> </PrivilegeGroup> </bpp:privilegelist> <Attribute Name="dk:gov:saml:attribute:AssuranceLevel"> <AttributeValue>3</AttributeValue> </Attribute> <Attribute Name="dk:gov:saml:attribute:SpecVer"> <AttributeValue>DK-SAML-2.0</AttributeValue> </Attribute> <Attribute Name="dk:gov:saml:attribute:KombitSpecVer"> <AttributeValue>1.0</AttributeValue> </Attribute> <Attribute Name="dk:gov:saml:attribute:Privileges_intermediate"> <AttributeValue>PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNvZGluZz0...</AttributeValue> </Attribute> </AttributeStatement> </Assertion> Standard formatering, Serial skal være unik!

IDENTITY PROVIDER & DYNAMISKE DATAAFGRÆNSNINGSVÆRDIER

2 Jobfunktionsroller Jobfunktionsrolle Brugersystemrolle Dataafgrænsning Sagsbehandler Fuld visning af sager, ydelser og dokumenter Opret Journalnotat på part Visning af adviser i overblik KLE = http://vallensbaek.dk/kle/1/parametric Org.Enhed = http://vallensbaek.dk/organizationunit/1/p arametric KLE = http://vallensbaek.dk/kle/1/parametric KLE = http://vallensbaek.dk/kle/1/parametric Org.Enhed = http://vallensbaek.dk/organizationunit/1/p arametric

Hvad er det forventede output fra IdP en? <Assertion>... snip... <AttributeStatement> <Attribute Name="dk:gov:saml:attribute:CvrNumberIdentifier"> <AttributeValue>19583910</AttributeValue> </Attribute> <Attribute Name="dk:gov:saml:attribute:AssuranceLevel"> <AttributeValue>3</AttributeValue> </Attribute> <Attribute Name="dk:gov:saml:attribute:SpecVer"> <AttributeValue>DK-SAML-2.0</AttributeValue> </Attribute> Dynamiske <Attribute Name="dk:gov:saml:attribute:KombitSpecVer"> <AttributeValue>1.0</AttributeValue> dataafgrænsningsværdier </Attribute> <Attribute Name="dk:gov:saml:attribute:Privileges_intermediate"> <AttributeValue>PGJwcDpQcml2aWxlZ...</AttributeValue> </Attribute> <Attribute Name="http://vallensbaek.dk/KLE/1/parametric"> <AttributeValue>32.*</AttributeValue> </Attribute> <Attribute Name="http://vallensbaek.dk/organizationalUnit/1/parametric"> <AttributeValue>Ydelsescenter Vest</AttributeValue> Samme som før </Attribute> </AttributeStatement> </Assertion>

2 (AF 4) SCENARIER BASERET PÅ DIALOG MED VALLENSBÆK

Kommunale implementeringsscenarier 1. Anvend alene rene AD Grupper til at understøtte AD FS (AD Gruppe == Jobfunktionsrolle) 2. Kombiner ovenstående med supplerende oplysninger for at understøtte parameterstyrede dataafgrænsningsværdier 3. Modellering af rettigheder vha Organisationskomponenten 4. Anvendelse af identitetsstyring til at skabe et autoritativt datagrundlag

SCENARIE 1 JOBFUNKTIONSROLLER SOM AD-GRUPPER

Scenarie 1 - Overblikket I Administrationsmodulet oprettes de Jobfunktionsroller der skal bruges til SAPA dataafgrænsningsværdierne angives direkte ingen anvendelse af parameterstyringsværdier I Active Directory oprettes en AD Gruppe for hver Jobfunktionsrolle medarbejdere meldes ind i de AD Grupper der matcher de Jobfunktionsroller der skal tildeles I AD FS laver et gruppemedlemsskabs-opslag ved login token udstedes indeholdende Jobfunktionsroller, der matcher de AD Grupper som medarbejderen er medlem af

Scenarie 1 - Overvejelser Forholdsvist stort rollekatalog Anvendelse af Organisatorisk Enhed som dataafgrænsning kan betyde at man må oprette den samme Jobfunktionsrolle flere gange, fx én Jobfunktionsrolle for hver Organisatorisk Enhed man ønsker at afgrænse til Meget simpel teknisk løsning Baseres på eksisterende AD setup, og eksisterende processer for tildeling af rettigheder via gruppemedlemskab Løbende vedligehold i Administrationsmodulet Når dataafgrænsninger skal tilpasses (fx ved organisatoriske ændringer), skal sættet af dataafgrænsningsværdier vedligeholdes i Administrationsmodulet.

Scenarie 1 Tilpasninger i AD FS AD FS har ikke indbygget understøttelse for OIO-BPP, der er den XML struktur som Jobfunktionsroller skal angives i. AD FS kan udvides med et såkaldt Custom Attribute Store, der kan anvendes til at danne OIO-BPP strukturen (oplagt tværkommunalt projekt). AD FS skal alene lave opslag i AD, hvilket der er indbygget support for.

SCENARIE 2 UDBYGGE SCENARIE 1 MED SIMPEL UNDERSTØTTELSE AF PARAMETERSTYREDE DATAAFGRÆNSNINGSVÆRDIER

Scenarie 2 Forskelle fra Scenarie 1 I Administrationsmodulet dataafgrænsningsværdierne angives fortrinsvist direkte hvor det let kan understøttes, anvendes parameterstyringsværdier Komponent til dynamiske dataafgrænsningsværdier Active Directory, Løn, LOS, I AD FS laver et gruppemedlemsskabs-opslag ved login (som i scenarie 1) laves yderligere opslag i ovenstående komponent for at hente dynamiske dataafgrænsningsværdier token udstedes indeholdende Jobfunktionsroller og dataafgrænsningsværdier

Scenarie 2 - Overvejelser Reduceret rollekatalog Muligheden for at parameterstyre udvalgte dataafgrænsningsværdier kan være med til at reducere antallet af Jobfunktionsroller i rollekataloget Øget kompleksitet i løsningen Kræver opslag i en yderligere komponent, og muligvis et kvalitetsløft af datagrundlaget i komponenten, da data nu anvendes til adgangsstyring Reduceret vedligehold i Administrationsmodulet Da visse dataafgrænsningsværdier vedligeholdes i lokale komponenter, er der et reduceret behov for at vedligeholde dataafgrænsningsværdier i Administrationsmodulet fx ved organisatoriske ændringer

Scenarie 2 Tilpasninger i AD FS Det Custom Attribute Store, der skal udvikles for at danne OIO- BPP strukturen, skal udvides så det kan lave opslag i den lokale komponent der holder de parameterstyrede dataafgrænsningsværdier. Ovenstående udvidelse er knap så tværkommunal en opgave som det, da udviklingsopgaven afhænger af hvilken lokal komponent, der skal laves opslag i.

Opsummering fra Vallensbæk casen Model Teknisk kompleksitet Vedligehold af rettigheder Scenarie 1 Scenarie 2 Lav Standard brug af AD og udvikling af simpelt plugin til AD FS Mellem Yderligere opmærkning af dataafgrænsningsværdier (fx i AD). Mere komplekst plugin til AD FS. Mellem - Høj Nyt system (Administrationsmodulet) hvor rettigheder nu også skal vedligeholdes Mellem Stadig vedligeholdelsesopgaver der skal udføres i Administrationsmodulet (dog færre end i scenarie 1)

Opsummering fra Vallensbæk casen Model Teknisk kompleksitet Vedligehold af rettigheder Scenarie 1 Scenarie 2 Lav Standard brug af AD og udvikling af simpelt plugin til AD FS Mellem Yderligere opmærkning af dataafgrænsningsværdier (fx i AD). Mere komplekst plugin til AD FS. Mellem - Høj Nyt system (Administrationsmodulet) hvor rettigheder nu også skal vedligeholdes Mellem Stadig vedligeholdelsesopgaver der skal udføres i Administrationsmodulet (dog færre end i scenarie 1) Scenarie 3 Høj Udvidet anvendelse af Organisation. Betydeligt mere komplekst plugin til AD FS. Lav Høj Afhænger af hvor meget automatik der er til vedligehold af Organisation Scenarie 4 Høj(ere) Opbygge et autoritativt datagrundlag. Plugin til AD FS (potentielt simplere end det i scenarie 3) Lav - Mellem Fokus på automatiske vedligehold

HVORDAN MAN FÅR SIN IDENTITY PROVIDER TILSLUTTET

Overblik 1. Støttesystemet adgangsstyring for brugere registreres i kommunens Identity Provider som en Service Provider / Relying Party. Processen er ikke KOMBIT specifik 2. Metadata udtrækkes af Kommunens Identity Provider, og registreres i støttesystemet Administrationsmodulet Der er en bestillings-blanket til formålet hvis opgaven udføres inden Administrationsmodulet er frigivet 3. For at teste at integrationen er korrekt udført, kan man gennemføre et login mod et demo-system opsat af KOMBIT

Registrering af metadata i kommunal Identity Provider Metadata (en XML fil) for adgangsstyring for brugere kan downloades direkte fra støttesystemerne Test-miljø https://adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2auth/metadata.idp Produktions-miljø https://adgangsstyring.stoettesystemerne.dk/runtime/saml2auth/metadata.idp Typisk er registrering af metadata en del af oprettelsesprocessen når man opretter en ny Service Provider i sit Identity Provider produkt

Registrering af Identity Provider (metadata) i støttesystemet Administrationsmodulet

Test mod demo-system I test-miljøet stiller KOMBIT et demo system til rådighed, hvor man kan foretage et login. Systemet har ingen anden funktionalitet end login. Efter succesfuld login, vises et skærmbillede der viser det token som demo systemet har modtaget. I produktion er der ikke et demo-system!

Test mod demo-system

Test mod demo-system

SPØRGSMÅL?

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback