Nyheder
Identity Stack Full-service Lokal IdP tilbyder integration til OS2rollekatalog. Det giver mulighed for udstedelse af jobfunktionsroller og dataafgrænsninger ved anvendelse af KOMBIT Context Handler som identitetsbroker. Integrationen anvender rollekatalogets API-snitflade og fungerer på samme måde som OS2rollekatalog Attribute Store til ADFS – dog uden manuel installation og vedligeholdelse af DLL-filer på den lokale server.
Figuren herunder illustrerer flowet for autentifikation og autorisation med integrationen til OS2rollekatalog.
Når en bruger forsøger at logge ind på et system på KOMBIT Context Handler sker følgende:
- Autentifikation af bruger i Microsoft Entra ID
- Associering af bruger til medarbejder i FK organisation
- Udstedelse af jobfunktionsroller og dataafgrænsninger vha. OS2rollekatalog API
OS2rollekatalog er ansvarlig for udstedelse af jobfunktionsroller og dataafgrænsninger efter associering og autentifikation af brugeren fra Microsoft Entra ID. Identity Stack sørger for at udstede et token til KOMBIT Context Handler på baggrund af ovenstående med følgende claims (OIOSAML attributter):
| OIOSAML Attribut | Kilde | Beskrivelse |
| NameID (Serial) | Identity Stack (FK organisation) | Brugerens UUID fra FK organisation |
| CVR | Identity Stack | Organisationens CVR-nummer |
| Level of Assurance | Microsoft Entra ID Identity Stack | NIST- eller NSIS-sikringsniveau Brugerens sikringsniveau beregnes dynamisk baseret på graden af tillid til den autentificerede identitet |
| Privileges intermediate | OS2rollekatalog | Jobfunktionsroller og dataafgrænsinger i Base64-format iht. OIO-BPP-strukturen |
Den lokale IdP understøtter KOMBIT Context Handler 1 med NIST-sikringsniveau og KOMBIT Context Handler 2 med NSIS-sikringsniveau.
Identity Stack Admin
Jobfunktionsroller som er oprettet i OS2rollekatalog bliver automatisk tilgængelige i Identity Stack Admin ved hjælp af synkronisering fra det Fælleskommunale (FK) Administrationsmodul.
Det er muligt at administrere jobfunktionsroller i Identity Stack Admin, men vi anbefaler som udgangspunkt at denne funktions sættes i “read-only mode”. I forhold til fejlsøgning kan der være stor værdi i at have adgang til opsætningen.
Opsætning af integration til OS2rollekatalog
For at komme igang med integrationen til kommunens OS2rollekatalog, skal der oprettes en “klient” i OS2rollekataloget Administrations.
Opret klient i kommunens rollekatalog (kommune.rollekatalog.dk) med nedenstående felter. Klientens API-nøgle skal sendes til Identity Stack support med sikker post på sikkerpost@identitystack.dk.
| Felt | Værdi |
| Navn | Identity Stack |
| API-nøgle | Genereres automatisk |
| Rolle | Læseadgang |
Læs mere om opsætning af klienter i OS2rollekatalog Brugermanual.
Integrationen anvender OS2rollekatalog API-metoden “Get Roles as OIO-BPP” til at hente jobfunktionsroller og dynamiske dataafgrænsninger i Base64-format iht. OIO-BPP-strukturen.
GET /api/user/{username}/roles?system=KOMBIT
Eksempel på svar fra OS2rollekatalog:
{
"nameID": "C=DK,O=12345678,CN=Bente Børgesen,Serial=93171e0a-7b1a-4642-8611-d5c8cae73a29",
"oioBPP": "PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNvZGluZz0iVVRGLTgiPz48YnB...",
"roleMap": {
"http://kommune.dk/roles/jobrole/KOMBIT_2/1": "KOMBIT System role"
}
}
