Om Globeteam

KOMBIT har lanceret implementeringshåndbog for adgangsstyring – Hvad så nu?

Af Jacob Friis Pedersen, Safewhere. Globeteam er implementerings- og rådgivningspartner til Safewheres produktplatform for brugerstyring og føderation, og tilsammen har vi hjulpet over 40 kommuner i gang med føderation.  

Fredag d. 12. maj 2016 udsendte KOMBIT en officiel implementeringshåndbog, som opsummerer kommunernes opgaver i forbindelse med at tage Rammearkitekturen og de bagvedliggende støttesystemer i brug. Kommunerne skal frem mod d. 12. august 2016 gøre sig klar til at kunne anvende en føderationsløsning – en Identity Provider (IdP) op mod Rammearkitekturen. Læs mere om føderation her.
Det er nu op til den enkelte kommune at finde ud af, om I har en eksisterende IdP, der overholder kravene til Rammearkitekturen, eller om I skal anskaffe en ny.

Implementeringshåndbogen beskriver 4 modeller for valg af IdP-løsning og deres fordele og ulemper, men hvad betyder valget af løsning for kommunerne?

I denne artikel sætter vi fokus på vigtigheden af, at kommunen gør sig klart, hvad jeres ambitioner med føderation og adgangsstyring er, inden I vælger løsningsmodel, og vi beskriver ambitionsniveauet – eller rettere potentialet – for hver af de 4 løsningsmodeller.

Valget af IdP-løsning bør afspejle kommunens ambitionsniveau

Hvor løsningsmodel 1 til 4 i KOMBITs implementeringshåndbog af naturlige årsager tager udgangspunkt i Rammearkitekturen, anbefaler vi, at I fra start tænker føderation længere end Rammearkitekturen, da føderationsteknologien besidder et langt større potentiale i relation til adgangsstyring, og hvordan man går fra at arbejde med ”brugere” til at arbejde med ”identiteter”.
Rammearkitekturen er en trædesten til at få påbegyndt en standardiseret adgangsstyringsmodel, som både leverandører til det offentlige og kommunerne kan læne sig op af fremadrettet. Mange andre systemleverandører til det offentlige understøtter allerede føderation, og flere vil følge i fremtiden!

Med en udvidet føderationsløsning – som Safewhere Identify – er det muligt for kommunen at begynde at forholde sig til andre vigtige detaljer end hvem der må få adgang til Rammearkitekturen, og hvad de må få adgang til. F.eks. hvordan brugerne er logget på, hvilken kontekst de opererer i og ikke mindst, hvilke brugertyper I vil give adgang til.

I Safewhere har vi tidligere skrevet en guide om de overvejelser, som kommunen bør gøre sig i forbindelse med anskaffelsen af en IdP-løsning, som kan hjælpe jer til at finde jeres ambitionsniveau. Læs den her

Model 1: Den teknisk simpleste løsning

KOMBIT beskriver i implementeringshåndbogen model 1 som den ”teknisk simpleste løsning”. Denne model tager udgangspunkt i en infrastruktur (arkitektur) baseret på Microsoft Active Directory (AD) og en IdP, som udelukkende trækker brugeroplysninger og attributter fra AD. Dette kunne meget vel være en løsning, som baserer sig på Microsoft ADFS.

Man anvender en model, hvor dataafgrænsninger er ”statiske” fremfor ”dynamiske”. Dataafgrænsninger på f.eks. KLE (såfremt de anvendes) er fast defineret i Støttesystemernes Administrationsmodul. En afgrænsning af KLE kan således være den eneste afvigelse fra to vidt forskellige jobfunktionsroller.

Derfor er det relevant for kommunen at gøre sig tanker omkring, om statiske dataafgrænsninger passer til kommunens ønskede ambitionsniveau. Som KOMBIT beskriver det, vil fordelene ved model 1 være, at løsningen passer til kommuner, hvis eksisterende processer for rettighedstildeling og dermed de eksisterende arbejdsgange for brugeradministration sker i AD.

Kommentar: 

Model 1 gør det nemt at ”komme i gang” med Rammearkitekturen og nå i mål med test d. 12. august. Det kan være et fornuftigt sted at starte som led i en afklaring omkring kommunens ambitionsniveau, eller hvis det overordnede mål og potentiale med føderationsteknologien i kommunen endnu er uklart. Det er dog vigtigt at understrege, at mens model 1 er den mindst teknisk krævende løsning at realisere, så kan den på sigt medføre et stort manuelt arbejde med vedligehold af jobfunktionsroller og dataafgrænsninger.

Dette betyder mindre, hvis kommunen ikke har mange brugere, der anvender Rammearkitekturen, og er derfor ikke en hindring for at komme i gang, men det kan skabe udfordringer for kommunen fremadrettet.

model1

Model 2: Anvendelse af parameterstyrede dataafgrænsninger

Model 2 højner ambitionsniveauet en anelse og skaber en mindre administrationsbyrde, da oplysninger nu administreres lokalt og fjerner dobbeltadministrationen i både AD og i Administrationsmodulet Ved at afmærke en dataafgrænsning som værende parameterstyret i Administrationsmodulet, skal man ikke indtaste en specifik dataafgrænsningsværdi, men angive en såkaldt ”pladsholder” som den lokale IdP vil inkludere i det token (adgangsbillet), som IdP’en udsteder i tidspunktet for login.

Dette fordrer en opmærkning af ansvarsområder i enten Microsoft AD eller et andet eksisterende brugerkatalog/directory, som kommunen opbevarer brugeroplysninger i. Hvis kommunen allerede råder over et brugbart datagrundlag, som kan anvendes til afgrænsninger – f.eks. på KLE ansvarsområde eller en organisatorisk indplacering, bør man overveje at anvende parameterstyret dataafgrænsninger i Rammearkitekturen. Sidstnævnte er tæt på det løsningsdesign, som er beskrevet i model 3 med en lokal organisationskomponent.

Kommentar:
Det er vigtigt at nævne, at man godt kan anvende en kombination af både statiske og parameterstyrede dataafgrænsninger. Jeg tror dog, at de fleste kommuner på sigt vil anvende en model, som tager udgangspunkt i anvendelsen af parameterstyrede (dynamiske) dataafgrænsninger. Det vil både gøre det generelle arbejde omkring vedligehold og administration af data lettere, og vil også skabe et fornuftigt grundlag for, at kunne anvende det eksisterende datagrundlag mod andre systemer end udelukkende Rammearkitekturen.

Model2

Model 3: Modellering af jobfunktionsroller og dataafgrænsninger i en lokal organisationskomponent

Model 3, hvor en organisationskomponent som OS2 MO, APOS eller lign. tilsluttes føderationsløsningen, markerer et højere ambitionsniveau og et større potentiale med teknologien. Jobfunktionsrollerne skal stadig parres til brugersystemroller, som systemerne forstår, i Administrationsmodulet, men når dette arbejde er gjort, vil IdP’en i loginøjeblikket kunne samle alle data i et token (adgangsbillet) ud fra en kombination af oplysninger fra Microsoft AD og organisationskomponenten. Det er desuden muligt på sigt at give adgang til andet end AD-brugere med en organisationskomponent.

Kommentar:

Ved anskaffelsen af en organisationskomponent bør kommunen gøre sig andre tanker med føderationsteknologien end blot at kunne opnå adgang til Rammearkitekturen. Organisationsdata er levende og ændrer sig konstant, hvorfor det er vigtigt med understøttende processer for at sikre, at data altid er opdateret og opmærket korrekt. Det giver spændende muligheder for den generelle adgangstildeling, idet man fremadrettet kan begynde at give fundamentale adgangsrettigheder på baggrund af fx en brugers organisatoriske indplacering. Det kræver en integration mellem IdP’en og Organisationskomponenten, hvorfor valget af IdP er afgørende. Kommunen skal her være opmærksom på, at en løsning baseret på ren Microsoft ADFS teknologi kan begynde at være utilstrækkelig.

Model3

Model 4: Automatiserede processer til vedligehold af rettigheder

Model 4 bringer en stor grad af automatisering af processer i forbindelse med vedligehold af adgangsrettigheder og brugeroplysninger. Det er muligt at skabe automatiske flows, som på baggrund af en hændelse i et system automatisk igangsætter en proces f.eks. via kommunens IdP. Her går kommunen altså fra kun at arbejde med adgangsstyring til også at rumme mulighed for at arbejde med identitets- og adgangsstyring.

Det kan f.eks. være en brugers ophør i lønsystemet, som automatisk igangsætter en proces for, at brugeren nedlægges i AD og/eller organisationskomponenten. Det kan også være hændelser i organisationskomponenten, som herefter synkroniserer med og retter data i andre datakilder alt afhængig af, hvordan kommunen strukturerer sit datagrundlag, og hvordan den arbejder med autoritative datakilder frem for ét sted at placere ”master-data”.

Processer for brugeroprettelser og nedlæggelser er oplagte at automatisere, da det vil give en stor tidsmæssig besparelse, men også fordi det højner sikkerhedsniveauet markant. Ved at vælge en smart løsning til identitets- og adgangsstyring baseret på føderation, vil man samtidig give mulighed for uddelegering af administration til f.eks. en leder af en forvaltning. Det er desuden også muligt at lade brugerne opdatere deres egne oplysninger, når de logger ind, for at sikre at datagrundlaget altid er opdateret.

Model 4 er med andre ord en overbygning til model 3, hvor man har integreret sit lønsystem (f.eks. KMD Opus eller SD-løn), Organisationskomponent og AD til sin føderationsløsning og skabt en grad af automatisering af de manuelle processer på tværs af disse datakilder.

Mange kommuner har i dag flere forskellige brugere – eller AD konti – på den samme identitet. Det skyldes, at Active Directory mangler en forståelse for, at én bruger kan have flere engagementer. En bruger kan altså operere for kommunen i forskellige kontekster f.eks. både som ansat, borger eller som byrådsmedlem. Man kan med en smart IAM løsning allerede i login-øjeblikket bede brugeren om at tage stilling til, hvilken kontekst de opererer i.

Kommentar:
Ambitionsniveauet for model 4 er rigtig højt, og det kræver måske en rejse at nå her til, hvad end man som kommune rejser ”alene” eller i samarbejde med en leverandør. Man vil typisk starte med at automatisere enkelte flows, og mange starter ud med automatiserede processer for brugernedlæggelser og/eller oprettelser. Det er værd at bemærke, at man ikke kommer i mål med model 4 ved at anvende en ren ADFS-baseret løsning, her skal man kigge på overbygninger eller mere ambitiøse løsninger som f.eks. Safewhere Identify. Derfor er valget af den rette IdP-løsning vigtigt, da den skal understøtte mere end blot de fællesoffentlige standarder og internationale standarder som SAML 2 og WS-federation og også forstå fundamental logik og intelligens for login, adgang, brugerstyring og identiteter.

Model4

Afrunding

Afslutningsvis skal det nævnes, at kommunen bør være opmærksom på, at SAPA, KY og KSD fordrer et sikkerhedsniveau (assurance level) 3, som kun kan opfyldes med en to-faktor løsning, enten to-faktor SMS/e-mail eller ved login med NemID. Det er muligt at indsætte et ”3-tal” i det token, som afsendes til Rammearkitekturen, uden at kommunen nødvendigvis opfylder punktet korrekt.
Derfor er det vigtigt, at kommunens IdP løsning forstår, hvad der må gives adgang til på baggrund af, hvordan en bruger er logget på – og hvornår brugeren skal afkræves en højere faktor. Mulighederne for udnyttelse af forskellige login-metoder varierer efter den valgte IdP’s intelligens, herunder hvilke standarder den understøtter, og hvilken forståelse den har for forskellige protokoller.

Kommunen bør ligeledes være opmærksom på, at Microsoft ADFS ikke overholder logningskravene til login med NemID via NemLog-in.

Når kommunen har anskaffet en føderationsløsning, er det vigtigt, at kommunens IT-arkitekt fungerer som en intern ”vagthund” i kommunen. Den interne vagthund skal sørge for, at de fremtidige løsninger, der bliver indkøbt, understøtter elementerne i Rammearkitekturen og de bagvedliggende standarder. Sammen er de 98 kommuner stærke, og hvis alle kommuner stiller krav til understøttelse af standarderne, vil det offentlige opnå massive besparelser i relation til brugerstyring, adgangsstyring og udvikling af it-løsninger fremadrettet. Leverandørerne vil da simpelthen være nødsaget til at rette ind, men for leverandørerne er det også en god situation, da de oftest er eksperter i at bygge fagsystemer – og ikke loginsikkerhed og adgangsstyring.

Få vores nyhedsbrev

Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler

Tilmeld

Globeteam tilbyder ydelser inden for og på tværs af tre hovedområder

Business model

skab sammenhæng mellem it og forretning

Globeteam hjælper dig med at optimere værdien af dine it-løsninger ved at sikre, at de understøtter forretningens

strategi og vision

Optimer og moderniser din
IT-INFRASTRUKTUR 

Globeteam sikrer dig en velfungerende it-infrastruktur, så du opnår en mere stabil drift og øget medarbejdereffektivitet

understøt forretningen med en skræddersyet it-løsning

Globeteam tilbyder assistance til at udvikle eller tilpasse it-løsninger, som møder forretningens specifikke behov

Optimer din forretning og dine it-investeringer

Er du interesseret i at vide mere om Globeteams ydelser, og hvordan vi kan hjælpe netop din forretning?