Administration af brugere vha. sammenhængende log-in



Relaterede dokumenter
Administration af brugere vha. sammenhængende log-in

Baggrundsbeskrivelse for installation af føderation i partnerorganisationer til Danmarks Miljøportal. Baggrund. 1. Hvad er føderation

Føderal brugerstyring og SSO

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)... 2

Indhold Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)...

Kommunernes it-arkitekturråd

Single sign-on til statens systemer. April 2019 version 5

SSO - FAQ - Kendte problemer med opsætninger

Single sign-on cases. SolutionsDay Morten Strunge Nielsen Globeteam Virumgårdsvej 17A 2830 Virum

Guide til NemLog-in Security Token Service

Lokal implementering af Identity Provider

ADFS Opsætning til MODST SSO Moderniseringsstyrelsen

OISAML Workshop Århus 31. marts 2009 Kontor for It-infrastruktur og implementering IT og Telestyrelsen IT Arkitekt Søren Peter Nielsen -

Kravspecification IdP løsning

Sådan fungerer Danmarks Miljøportal. en pixibog om infrastrukturen bag Danmarks Miljøportal

Adgang og rettigheder i GeoDK (GeoDanmark-systemet)

Introduktion til UNI-Login for udbydere

Brugervejledning Partnerorganisationsbruger

Bilag 2 Kundens IT-miljø

Brugeradministrationsaftale

Notat Konceptmodel for SSO ØSY/JESBO/TG

EasyIQ ConnectAnywhere Release note

Det kommunale systemlandskab

BEC. NetScaler Unmanaged VPN. Installation. Bruger Vejledning. Version

NemRolle. KOMBIT adgangsstyring med sikkerhed og overblik. Beskrivelse af funktioner og anvendelse

(Bilag til dagsordenpunkt 7, Føderative sikkerhedsmodeller til Sårjournalen og andre nationale it-løsninger på sundhedsområdet)

OS2faktor. Windows Credential Providers. Version: Date: Author: BSG

SPØRGSMÅL OG SVAR TIL

SIMS Active Directory Service 2.5 Quick Guide

WEB-DIRECT Brugerguide Installation

Sammenhængende log-in - SSO til applikationer i et andet sikkerhedsdomæne

Sårjournal. Fødereret sikkerhedsløsning Møde i koordinationsgruppen for MedCom 10

Velkomstmappe ectrl. Deloitte Birkerød Kongevej 25C 3460 Birkerød Telefon

EasyIQ ConnectAnywhere Release note

Brugervejledning i Selvoprettelse & Anmodning om adgang til fagsystemer

GLOBETEAM. Danmarks Miljøportal (DMP) Vejledning til fagsystemejere omkring tilkobling af.net-baseret web service. Version 1.3

FACTSHEET TIL MICROSOFT DYNAMICS NAV CONTINIA E FAKTURA

Opsætning af VPN (ikke svært!!)

Copyright 2018 Netcompany. Alle rettigheder forbeholdes.

Lokal implementering af Identity Provider

FORSKERSERVICE Sikkerhed på Forskermaskinen

Få mere ud af dine ITløsninger. SolutionsDay Morten Strunge Nielsen Globeteam Virumgårdsvej 17A 2830 Virum

Oprettelse af nye brugere og roller til brug i PULS

Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere

Adgangsstyring er en forudsætning for at benytte en i den fælleskommunale infrastruktur, da brugere og systemer ellers ikke vil få adgang.

Opdatering af startprogrammet til Ø90 Online

Timeout-politik for den fællesoffentlige føderation

SUP-specifikation, version 2.0. Bilag 9. SUP-Styregruppen. Sikkerhed og samtykke. Udkast af 12. juni Udarbejdet for

Brugervejledning i aktivering og fornyelse af Passwords

Installation. Aesiras Internet hjemmeside og webshop. Aesiras -integreret Regnskab, Handel og Internet

LAKESIDE. Sårjournalen. Ændring af sikkerhedsarkitekturen. Version marts 2015

De fællesoffentlige komponenter: Federativa identitetslösningar, Erfarenheter från Danmark

Office365. Tilgå dine vigtigste filer online. - adgang via PC, Tablet eller SmartPhone. Online adgang til den nyeste version af Officepakken

23. maj 2013Klik her for at angive tekst. HHK/KMJ. Vejledning til brug af Støttesystemet Adgangsstyring

LAKESIDE. Sårjournalen. Afslutningsrapport for ændring af. sikkerhedsarkitekturen. Version juni 2016

Introduktion til Digital Post. Februar 2016

Version 1.0. Vilkår for brug af Støttesystemet Adgangsstyring

Vejledning om e-arkivet - sagsområderne Teknik, Vej og Miljø

STS NETVÆRKSDAGE ADGANGSSTYRING. Brian Storm Graversen April 2016

Hurtig og sikker adgang til sundhedsfaglige data. Esben Dalsgaard, chef it-arkitekt, Digital Sundhed

Session oprettet hos egen serviceudbyder Varianter

Opsætning af Outlook til Hosted Exchange 2003

Opsætning af Outlook til Hosted Exchange 2007

ectrl vejledning ectrl Velkomstmappe

Vejledning til Teknisk opsætning

Introduktion til Digital Post. Digitaliseringsstyrelsen August 2019

Guide til integration med NemLog-in / Brugeradministration

AU Webshop brugeradministration

Civilstyrelsen. Lex Dania klient. Installationsvejledning. Version: 2.0

Reviewrapport for: Brugerstyring i Danmarks Miljøportal

Brugerstyring i Digital Post

OPSÆTNING AF KOMMUNAL IDENTITY PROVIDER TIL AULA

Kundevejledning. AD FS opsætning til Reindex. Version: 1.0. Dato: 19. april Forfatter: Lasse Balsvad (XPERION)

ANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER

Digitaliseringsstyrelsen

Brugeradministrationssystemet

Sundhedsstyrelsens Elektroniske Indberetningssystem (SEI) Vejledning til indberetning via Citrix-løsning

SmartSignatur. Forenkler hverdagen.

Sådan logger du ind... 2 Hvilke mapper kan du tilgå... 3 Visning af eksempel af en fil... 5 Sådan deler du en fil... 7 Se hvad du deler med andre...

Generelt om støttesystemerne

MSI pakke til distribution af AutoPilot komponenter.

Om projektet afprøvning af MOX-konceptet

Dan Rolsted PIT. Side 1

Installationsvejledning til LMeSmartClient

Installationsmanual IP-Kamera Integration

Understøttelse af LSS til NemID i organisationen

Adgang til kundeportalen

Version Udkast

Brugerstyring i Digital Post. Digitaliseringsstyrelsen August 2019

STIL BETINGELSER! Med Conditional Access

Civilstyrelsen. Lex Dania editor Installationsvejledning. Version:

Den samlede erhvervsløsning i næste generation af NemID og NemLog-in3

Underbilag A Administrationsmodul

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april J.nr.: 4004 V

Danmarks Miljøportal

Digital Sundhed. Brugerstyringsattributter - Introduktion. - Specificering af nye og ændrede attributter i id-kortet

eid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019

Bilag 2A: IT-status i Ikast-Brande Kommune. Januar 2014

Transkript:

Hvad er sammenhængende log-in? Danmarks Miljøportal Ref.: jejnb 21. august 2012 Formål Formålet med beskrivelsen er at skabe et overblik over sammenhængende log-in, som en nem og enkel måde at administrere brugere på. Denne pjece er henvendt til de partnere af Danmarks Miljøportal, som har brug for viden om sammenhængende log-in. Der vil være information om produktet, fordelene ved at benytte sammenhængende log-in, økonomien i det samt en opsamlende konklusion. Administration af brugere vha. sammenhængende log-in Danmarks Miljøportal er indgangen til mange forskellige fagsystemer på miljøområdet. Fagsystemerne benyttes af myndighederne og andre miljømedarbejdere. For at administrere de mange forskellige brugere, benytter Danmarks Miljøportal et brugeradministrationssystem. Danmarks Miljøportals brugeradministration kaldes sammenhængende log-in og bygger på metoden føderation. Den føderation som benyttes er Microsofts ADFS 2 (Active Directory Federation Services), som er en indbygget komponent i Microsoft Windows 2008 R2 Server. Sammenhængende login bygger på gensidig tillid mellem de tilmeldte partnere og Danmarks Miljøportal. Valget af Microsoft betyder ikke, at partnere skal vælge den samme løsning. Eneste krav til partnerne er, at der vælges en løsning, der leverer et token (dvs. en identitets-beskrivende billet), som overholder OIO SAML-specifikationen. Et partnerskab der bygger på gensidig tillid En føderation eller forbundsstat er en statsdannelse, som består af en sammenslutning af flere delstater. Her fastlægger en fælles grundlov, hvilke beføjelser det fælles parlament og de nationale parlamenter har. Eksempler på føderationer er Tyskland, Rusland og USA. I it-termer vil dette kunne oversættes til et partnerskab mellem to uafhængige partnere (sikkerhedsdomæner), som bygger på gensidig tillid og ubegrænset godkendelse af hinandens brugere i forhold til de beskyttede fagsystemer, som er omfattet af løsningen.

Fordelene ved sammenhængende log-in Hvad koster det? For at implementere sammenhængende log-in skal partneren investere i følgende: 1 stk. Windows 2008-server R2 standard edition. Løsningen kan fungere på et virtuelt miljø. Det vurderes, at en server er i stand til at gennemføre 25 logins pr. sekund, hvilket betyder at langt de fleste organisationer kan nøjes med én server. Partneren kan vælge at foretage installationen selv ud fra installationsvejledninger, som leveres af Danmarks Miljøportal eller der kan anmodes om ekstern konsulentbistand. Det vurderes ud fra tilbud, som Danmarks Miljøportal har modtaget, at konsulentbistand til installationen vil koste maks. 15.000 kr. ekskl. moms, og at selve installationen kan udføres på én arbejdsdag. Nedenstående skema viser en estimeret pris på implementeringsudgifterne i forbindelse med indgåelse af sammenhængende log-in med Danmarks Miljøportal. Emne Estimeret pris 1 stk. Windows 2008-server R2 Standard edition Kr. 5.000 ekskl. moms 1 stk. Hardware-server Kr. 25.000 ekskl. moms Opsætning (kan udelades) Kr. 15.000 ekskl. moms I alt Kr. 45.000 ekskl. moms Hvis der anvendes en virtuel server, minimeres udgifterne til hardwaren. Danmarks Miljøportal 2

Årlige driftsomkostninger vil derfor kun udgøre en standard serverdriftudgift, samt en eventuel opgraderingsbeskyttelse af softwaren. Forudsætningerne for ovenstående estimat er, at partneren anvender Microsoft Active Directory som brugerkatalog. Føderation med partnere der ikke anvender ADFS 2 Det er, som tidligere beskrevet, muligt at anvende en anden føderationsserver end ADFS-serveren. Partnerne skal blot levere et OIO SAML-token ud fra de specifikationer, som er udgivet af Digitaliseringsstyrelsen. Sammenhængende log-in i teknisk forstand Sammenhængende log-in virker på den måde, at en partner via en CP (Claim provider/føderationsserver) udsteder et token 1 til en bruger i egen organisation/domæne. Det udstedte token kan anvendes som adgangsbillet til udvalgte fagsystemer hos den anden partner i føderationen. Denne partner leverer fagsystemerne og kaldes en SP (serviceprovider). Når tokenet er modtaget af serviceprovideren, vil den pågældende bruger have netop den adgang, som det udstedte token foreskriver. I tilfældet Danmarks Miljøportals er CP erne partnere, der via en føderationsserver anvender DMPs fagsystemer. Danmarks Miljøportal og dets fagsystemer er SP ere. Attributterne og grupperne er i et token beskrevet som claims 2. Claims anvendes til autorisation i det fagsystem, som brugeren benytter. Vejledninger til brug for partnerens installation Der er udgivet en række vejledninger til til brug for partnernes installation herunder vedr. IDP- Automatiseringskomponenten. De kan rekvireres ved at kontakte Danmarks Miljøportal på miljoeportal@miljoeportal.dk Kontaktinformation Kontakt Danmarks Miljøportal på telefon 72 54 54 54 eller skriv til miljoeportal@miljoeportal.dk 1 Et token er et krypteret XML- dokument, som via forskellige former for attributter og grupper beskriver brugeren og de rettigheder, som brugeren har ved tilgangen til den anden partners fagsystem. 2 Claims af typen DMP Roles er roller, som indeholder en eller flere rettigheder i et system. Danmarks Miljøportal 3

Bilag 1 Hvordan får en bruger adgang til fagsystemer med sammenhængende log-in? teknisk beskrivelse I det følgende beskrives, hvordan en bruger får adgang til fagsystemer mellem en CP 3 og en SP 4 Autentificeringen og autorisationen mellem partnere forløber. Kommunikationen foregår via brugerens browser som beskrevet neden for. Fagsystem Slutbruger 2 3 8 9 1 7 4 Active Directory 4 3 8 7 Central brugerstyring 5 6 ADFS 2-server Sikkerhedsdomæne Figur 1 Ad. 1. Brugeren logger på sit eget netværk, som normalt ved arbejdsdagens start, hvor denne bliver autentificeret af sit lokale brugerkatalog (Active Directory). Ad. 2. Brugeren åbner et fagsystem ved at tilgå den pågældende URL via fx link. Ad. 3. Fagsystemet anmoder brugeren om at få et token, der indeholder de nødvendige attributter og roller. Hvis brugerens browser ikke kan præstere en sådan, omstilles brugeren til Central brugerstyring. Ad. 4. Central brugerstyring undersøger brugerens cookies for at finde en persistent cookie, som indeholder brugerens homerealm-forhold, dvs. angivelse af hvilket domæne, som brugeren kommer fra. Såfremt den centrale brugerstyring finder den pågældende information, vil den centrale brugerstyring for at få udstedt et token, sende brugeren til ADFS 2-serveren i brugerens eget hjemmedomæne. I de tilfælde hvor den centrale brugerstyring ikke finder den pågældende cookie, bliver brugeren bedt om at angive homerealm (domæne) ud fra en dropdownmenu. Herefter sendes brugeren til den valgte ADFS 2-server. Ad. 5. ADFS 2-serveren anmoder brugerkataloget (Active Directory) om de nødvendige informationer om brugerens rolle og attributforhold. 3 CP er en claim provider/føderationsserver 4 SP er en serviceprovider Danmarks Miljøportal 4

Ad. 6. Brugerkataloget (Active Directory) leverer de ønskede informationer om brugeren - og ADFS2- serveren sammensætter på basis heraf et token. Ad. 7. ADFS 2-serveren leverer det ønskede token til brugerens browser, og sender brugeren videre til Central brugerstyring. Ad. 8. Den centrale brugerstyring modtager brugerens udstedte token og gennemgår det for at kontrollere, om brugerens token indeholder rettigheder, som er i overensstemmelse med partnerorganisationens rettigheder til det pågældende fagsystem. Den centrale brugerstyring mapper og tilskærer desuden det udformede token, således at det kun er dé roller, som fagsystemet skal anvende, der kommer med i fagsystemet. Evt. sker der nødvendige konverteringer til roller og data som fagsystemet forstår. Når dette er gjort, viderestilles brugerens browser til fagsystemet. Ad 9. Fagsystemet modtager tokenet og tildeler brugeren rettigheder i overensstemmelser med de rettigheder, som er beskrevet i det modtagne token. Herefter åbner fagsystemet for en autentificeret og autoriseret session. Danmarks Miljøportal 5

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback