Med etableringen af den fælles europæiske identitetsstandard eIDAS (electronic IDentification, Authentication and trust Services), som på dansk hedder NSIS (National Standard for Identiteters Sikringsniveauer), kan vi nu bruge vores digitale identiteter på tværs af EU, lige som borgere fra resten af EU kan bruge deres digitale identiteter til at tilgå danske services. I Danmark vil vi se denne standard i de nye NemLog-in3 og MitID identitetsmidler til henholdsvis ansatte i organisationer og virksomheder og private borgere.
For den offentlige sektor og en række private virksomheder betyder den nye standard og de nye identitetsmidler, at der skal overvejes, hvorledes overgangen skal håndteres. NSIS introducerer en række nye begreber for, hvilket “niveau” offentlige applikationer skal sikres på, hvordan virksomhederne skal “indrullere” deres medarbejdere og hvilke services kommuner og især borgerservice skal tilbyde lokale virksomheder.
I denne artikel forsøger Globeteams konsulent Bjarne B. Dollerup at kaste lys på en praktisk problematik, nemlig, hvor meget f.eks. en kommune kan genbruge af sin eksisterende infrastruktur og processer. I en senere artikel vil Bjarne gennemgå, hvad det betyder for både virksomheder, ansatte og borgere.
Som nævnt handler NSIS om en standardisering af, hvorledes vi kan bruge vores digitale identitet både på arbejde og privat. Det betyder, at kommuner og virksomheder skal vurdere, om deres nuværende infrastruktur lever op til de krav som NSIS stiller, og dermed om infrastrukturen kan genbruges.
Der er en række overvejelser, der trænger sig på:
- Hvordan styrer virksomheden brugernes adgange til de fællesoffentlige applikationer og deres rettigheder?
- Skal virksomheden flytte håndteringen af adgangen til eksterne applikationer og services til en helt ny platform?
- Hvordan skal virksomheden styre denne nye platform?
- Og sidst men ikke mindst: Hvad med de krav, der følger med i forhold til godkendelse af brugen af den nye platform?
Lad mig kort besvare ovenstående spørgsmål.
Hvad med styring af brugerne og deres rettigheder?
Langt de fleste virksomheder i Danmark, offentlige som private, bruger Microsoft Windows Server og deres Active Directory (AD) til styring af deres brugere samt brugernes adgang til både applikationer, dokumenter, printere og meget andet. De fleste bruger også Active Directory Federation Services (AD FS) som bindeleddet mellem styringen af brugerne og adgangen til eksterne applikationer. Oftest omtales AD FS som en lokal Identity Provider (IdP).
Globeteams NSIS-løsning erstatter hverken AD eller AD FS. Vores løsning benytter AD FS som bindeled til brugerstyringen i AD, hvilket betyder, at virksomheden kan forsætte med at styre brugernes adgang ved hjælp af grupper i AD. Disse grupper kan – via vores NSIS-løsning – bruges til at styre brugernes rettigheder i eksterne applikationer på præcis samme måde som i dag.
Løsningen giver også mulighed for, at brugerne fortsat kan logge ind med den samme brugerkonto, som de hele tiden har brugt og “binde” denne sammen med deres nye eksterne officielle Id: NemLog-in3. Når en ny medarbejder “indrulles” i virksomheden, kan Globeteams løsning hjælpe med at skabe binding og dermed reducere antallet af logins, medarbejderne skal bruge for at udføre deres arbejde.
Alt i alt betyder det, at AD og AD FS stadig kan bruges i en NSIS-løsning, og at værdien af AD/AD FS bliver forøget ved hjælp af Globeteams NSIS-løsning.
Enkelte virksomheder er skiftet over til at bruge Microsofts online AD kaldet Azure AD eller blot AAD. Globeteams NSIS-løsning understøtter naturligvis også denne service.
Du kan læse mere om styring af brugere og deres adgange her
Hvad med vores øvrige applikationer og services?
I dag bruger langt de fleste virksomheder AD FS eller en anden lokal IdP til at give deres brugere adgang til at logge ind til eksterne applikationer som f.eks. Office 365, KY, KSD og SAPA. Med vores løsning kan virksomhederne vælge at administrere alle deres applikationer fra én og samme platform. Men virksomheden kan også vælge at lade deres eksisterende applikationer blive på deres eksisterende lokal IdP og så udelukkende bruge den nye NSIS-platform til de systemer, der kræver det.
Hvad med vores eksisterende styringsværktøjer?
Langt de fleste virksomheder har etableret processer for styring af deres infrastruktur baseret på veletablerede standardværktøjer. Globeteams NSIS-løsning kører på Windows Server, benytter sig af Internet Information Server (IIS) og gemmer sine data i SQL Server. Dette betyder, at eksisterende arbejdsrutiner og politikker fortsat kan bruges. Adgangen til at administrere Globeteams NSIS-løsning kan naturligvis også styres ved hjælp af AD.
Hvad med de nye NSIS-krav?
Med NSIS-standarden, NemLog-in3 og MitID følger også potentielt en række krav til:
- Hvordan virksomheden styrer og administrerer adgangen til at logge ind ved hjælp af den nye platform
- Hvorledes platformen administreres
- Hvordan virksomhedens administrative processer er “skruet” sammen
Det betyder, at virksomheden potentielt skal certificeres i forhold til ISO 27001 og løbende skal gennemføre revision og dokumentere dette med revisorerklæringer.
Dette kan være en tung byrde at løfte. Derfor tilbyder Globeteam at drive NSIS-løsningen. Og vi tilbyder dette uden at gå på kompromis med integration mod AD og AD FS eller administrationen af eksisterende applikationer og services.
Har du spørgsmål til NSIS eller brug for rådgivning, er du meget velkommen til at kontakte Peter Langvad på e-mail pl@globeteam.com
Artikelserie: NSIS-compliance – Hvorfor NSIS og hvordan overholder I NSIS-standarden
Som en del af temarækken ”Stay safe, start smart” dykker Globeteams konsulent Bjarne B. Dollerup ned i NSIS-standarden. Hvad betyder den nye standard, hvilke krav skal overholdes, hvad er vigtigt at have med i jeres overvejelser, og hvordan kommer I videre og sikkert i mål med NSIS-opgaven.
I de kommende uger kan du læse følgende artikler om NSIS, sikkerhed og compliance:
