OIO Web SSO Profile 2.0.6

SAML er en teknisk standard, der beskriver hvordan IT systemer kan udveksle oplysninger om en bruger. Standarden gør det muligt at koble IT systemer fra forskellige organisationer sammen på nye måder, hvilket skaber sammenhæng og mulighed for nye, digitale services. Endvidere opnås en forbedret brugeroplevelse, idet brugerne ikke konstant vil skulle logge sig på systemerne.

OIOSAML 2.0 er en dansk specialisering (profil) af SAML, som beskriver hvorledes standarden skal anvendes i dansk sammenhæng - herunder hvordan f.eks. CVR og CPR numre kan anvendes til at identificere virksomheder, borgere og medarbejdere.

OIOSAML 2.0 har status af ”anbefalet” i OIO kataloget.

 OIO Web SSO Profile 2.0.6

Introduktion til SAML 2.0

Aftalen mellem IT- og Telestyrelsen og Microsoft om delvis understøttelse af SAML 2.0 standarden

 Aftale mellem IT- og Telestyrelsen og Microsoft (på dansk)

 Agreement between the National IT and Telecom Agency and Microsoft (in English)

Begrebsmodeller

Efterhånden som digital forvaltning udbygges stiger behovet for integration mellem forskellige systemer. Denne integration betyder ofte øget interaktion i forholdet mellem offentlige myndigheder, i forhold til borgere osv.

Det er derfor en nødvendig forudsætning for god sammenhæng i mellem it-systemer, at der er enighed om hvilken basisinformation (hvilke attributter), der relevant knytter sig til personer og organisationer, og betydningen af de enkelte felter (eller attributter) som beskriver personen/organisationen.

Nedenstående er udkast til en konceptuel begrebsmodel for aktør (person, organisation) og adresse. Denne model har til hensigt at vise, hvorledes person og adresse mappes i forhold til hinanden på et konceptuelt niveau.

Modellen er endnu ikke valideret via en høring, og kan evt. undergå mindre ændringer. Det anbefales dog alligevel at ved oprettelse af nye logiske datamodeller, hvori personer/organisationer/interessefællesskaber og/eller adresser indgår, at der tages udgangspunkt i denne konceptuelle model.

Brugerstyringsanbefalinger, som er godkendt efter offentlig høring i 2005

Vejledning vedrørende niveauer af autenticitetssikring

Denne vejledning beskriver, hvorledes ejere af systemer til digital forvaltning kan bestemme det rette sikkerhedsniveau for autenticitetssikringsprocessen i deres systemer. Der defineres og beskrives fire niveauer af autenticitetssikring for elektroniske transaktioner. Vejledningen hjælper med at bestemme behovet for autenticitetssikring i systemer til digital forvaltning.

Anbefaling om fælles arkitektur for tværgående autenticitetssikring

Arkitekturbeskrivelsen i denne anbefaling er afløst af arkitekturbeskrivelsen i kapitel 2 i OIO Web SSO Profile V2.0

Anbefaling til unik Id-nøgle

At kunne identificere en bruger entydigt er af afgørende betydning for sikkerhed i it-systemer. Både mht. autentifikation, sporbarhed og kobling af data på tværs af systemer.

Der vil i mange situationer være behov for en såkaldt id-nøgle, som kan sammenknytte information om en given bruger i en given kontekst. Samtidig skal den samme person kunne optræde som it-bruger i forskellige sammenhænge med forskellige id-nøgler.

Denne anbefaling omhandler en sådan id-nøgle.

Anbefaling til Kerneattributter for Bruger

Der anbefales anvendelse af

• En navngivning, der følger LDAP schemaet inetOrgPerson, indenfor digital forvaltning med hensyn til registrering af brugerattributter.
• Et minimumssæt af attributter til overførsel af information om en it-bruger i forbindelse med tværgående autenticitetssikring (på tværs af organisatoriske skel, domæner etc.).

Anbefaling vedrørende brug af RBAC standard til rollebaseret adgangskontrol

Dette dokument indeholder følgende anbefalinger:

• Det anbefales, at adgangsrettigheder baseres på roller og regler, således at rettigheder kun behøver at blive administreret for individuelle brugere i situationer, hvor roller og regler ikke kan anvendes.
• Det anbefales, at der for systemer til administration af rollebaserede rettigheder stilles mindstekrav om, at de skal overholde RBAC1-kernens definitioner og krav i RBAC-standarden.
• Det anbefales, at der ved anskaffelse eller udvikling stilles et mindstekrav om, at it-systemer, hvor det er relevant, skal understøtte rollebaseret adgangskontrol som beskrevet i RBAC-kernen af RBAC-standarden.

Rettighedsstyring for eksterne brugere – Diskussion af scenarier

Dette dokument gennemgår forskellige scenarier for styring af eksterne brugeres rettigheder i forbindelse med digital forvaltning. Fordele og ulemper ved de forskellige scenerier diskuteres, men der konkluderes ikke til fordel for et specifikt scenarium i dette dokument, dels fordi der forventes en situation, som er en kombination af flere forskellige scenarier, dels fordi det forventes, at anvendelsen af forskellige scenarier vil gennemgå naturlige skift efterhånden som det tekniske og organisatoriske grundlag for digital forvaltning udvikler sig.

Brugerstyringsanbefalinger til kommunerne

På baggrund af nuværende og kommende behov til brugerstyring i kommunerne er der blevet udfærdiget en vejledning. Formålet med vejledningen, som er lavet i samarbejde med KL, er at hjælpe den enkelte kommune med området brugerstyring inden for en it-sammenlægning. Dette sker via anbefalinger om hvilke valg, der skal foretages, og hvilke aktiviteter man skal i gennem. Anbefalingerne er udarbejdet i dialog med kommunerne Egedal, Rudersdal samt en række andre kommuner.

Vejledningen opstiller en række krav til kommunernes fremtidige brugerstyringsløsninger og giver forslag til aktiviteter i forbindelse med sammenlægning af flere kommunernes brugerstyring og diskuterer i den sammenhæng, hvorledes en kommune kan planlægge at modne sine brugerstyringsprocesser og løsninger i en række faser.

Vejledningen indeholder også en række checklister vedrørende hvilken information, der skal indsamles til planlægning af brugerstyring, og hvilke ting der skal analyseres, vurderes og tages stilling til. 

 Anbefalinger til kommuner vedrørende brugerstyring i forbindelse med kommunalreformen