Om Globeteam

Introduktion til føderation

Kommunerne skal inden d. 12 august tilslutte sig Rammearkitekturens testmiljø via en såkaldt føderationsløsning, og derfor er føderation et område, som kommunen ikke kan undgå at forholde sig til. Føderation er en kompleks teknologi, men de grundlæggende elementer og de forretningsfordele, der medfølger, er til at forstå – også for ikke-teknikere. I denne artikel giver vi en kort introduktion til føderation og opridser de muligheder, kommunen kan opnå med teknologien.

Helt overordnet handler føderation om, hvordan man administrerer it-brugere og deres adgangsrettigheder til kommunens forskellige it-systemer på en sikker og effektiv måde.

Kort fortalt trækker en føderationsløsning al bruger- og adgangsstyring ud af de enkelte it-systemer og centraliserer den lokalt i kommunen i en server komponent – en såkaldt Identity Provider (IdP). Det betyder, at kommunen ikke længere skal bruge tid på at oprette, vedligeholde og nedlægge brugere i hvert enkelt system, men kan nøjes med at gøre det et sted.

Med føderation har hver bruger således kun én digital identitet, som dokumenterer, hvem de er, og hvilke roller og adgangsrettigheder de har. Brugerne opnår derfor single sign-on til alle de systemer, der er tilkoblet IdP’en. Det gælder både systemer, der er placeret på kommunens eget netværk og systemer, der er placeret i skyen, hos samarbejdspartnere m.m.

Sådan fungerer en IdP-løsning

Når en bruger forsøger at logge på et af kommunens systemer, sender systemet anmodningen om login videre til IdP’en. IdP’en verificerer brugerens identitet baseret på de oplysninger, som brugeren er oprettet med i kommunens interne brugerkatalog (typisk Active Directory) og udsteder en digital ”billet”, som den sender retur til systemet. Billetten dokumenterer, hvem brugeren er, og hvilke adgangsrettigheder brugeren har i det pågældende system. Hele denne proces tager ikke mere end et par sekunder i alt, og brugeren opdager slet ikke, at den finder sted.

Hvilken IdP skal kommunen vælge?

I forhold til Rammearkitekturen skal hver kommune tage stilling til, hvilken IdP-løsning de vil anvende. KOMBIT peger på to IdP-løsninger, der som standard opfylder kravene til Rammearkitekturen:

  • En simpel IdP (ADFS) – kan udelukkende håndtere it-brugere, der er oprettede i kommunens interne brugerkatalog (Active Directory) og giver mulighed for login med AD brugernavn/password.
  • En avanceret IdP (Safewhere Identify) – kan håndtere alle medarbejdere samt eksterne brugere som borgere og partnere og giver mulighed for at vælge mellem en lang række af login-metoder samt yderligere services som bl.a. selvbetjent password reset med NemID.

Valget af løsning afhænger af, hvad kommunens ambitionsniveau med føderation er, og om det rækker udover blot at kunne opnå adgang til Rammearkitekturen. Vi har tidligere i vores føljeton om føderation skrevet en artikel om, hvorfor det er vigtigt, at kommunen gør sig overvejelser om sit ambitionsniveau. Læs den her

Som beskrevet i de to seneste indlæg i vores føljeton om føderation, som du kan se her og her, har Ballerup Kommune i samarbejde med Egedal og Furesø Kommune etableret en fælles føderationsløsning med et højt ambitionsniveau, som er baseret på Safewhere Identify.

Figuren nedenfor illustrerer det samlede billede af de features, som kommunen kan få adgang til via føderation, hvis I vælger at anvende Safewhere Identify:

Identify har sin egen brugerdatabase, hvor kommunen kan oprette alle typer af it-brugere, der har brug for at tilgå kommunens systemer. Det gælder både ansatte som varme hænder og lærere, der ikke er oprettede i kommunens Active Directory, og eksterne brugere som borgere og samarbejdspartnere. Med Identify har I samtidig mulighed for at vælge mellem et stort antal metoder til login, såsom NemID, Uni-Login, to-faktor login og forskellige sociale logins, alt efter hvad der passer bedst til forskellige brugertyper og systemer.

Som figuren også viser, kan Identify integrere med kommunens øvrige brugerdatabaser. Dvs. at Identify kan verificere en bruger på baggrund af oplysninger, som den trækker fra en anden datakilde som ADFS, kommunens lønsystem eller en organisationskomponent som APOS. På den måde får kommunen mulighed for selv at bestemme, hvilken database der skal fungere som master for brugerstyringen, så alle ændringer, der foretages her, automatisk opdateres i de øvrige databaser.

Det betyder, at brugerdata ikke længere skal indtastes i mange forskellige systemer, ligesom det giver sikkerhed for, at der ikke er ophørte brugere, som har uautoriseret adgang til kommunens systemer, fordi de ikke er blevet slettet alle steder.

Vi vil komme nærmere ind på forretningsfordelene ved føderation i næste indlæg i føljetonen, så følg med på Kommunal Digitalisering her

Få vores nyhedsbrev

Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler

Tilmeld

Globeteam tilbyder ydelser inden for og på tværs af tre hovedområder

Business model

skab sammenhæng mellem it og forretning

Globeteam hjælper dig med at optimere værdien af dine it-løsninger ved at sikre, at de understøtter forretningens

strategi og vision

Optimer og moderniser din
IT-INFRASTRUKTUR 

Globeteam sikrer dig en velfungerende it-infrastruktur, så du opnår en mere stabil drift og øget medarbejdereffektivitet

understøt forretningen med en skræddersyet it-løsning

Globeteam tilbyder assistance til at udvikle eller tilpasse it-løsninger, som møder forretningens specifikke behov

Optimer din forretning og dine it-investeringer

Er du interesseret i at vide mere om Globeteams ydelser, og hvordan vi kan hjælpe netop din forretning?