Single sign-on til statens systemer

Med Moderniseringsstyrelsens Single sign-on-løsning (MODST SSO) er det brugernavn og kodeord, som brugeren anvender i det daglige til at logge ind på sin PC, automatisk adgangsgivende til alle fællesstatslige systemer.

Hvad er single sign-on?

Single sign-on (SSO) er en løsning, der som et ”omstillingsbord” formidler login til de fagsystemer, der er koblet på løsningen (MODST SSO) på baggrund af brugerens domænelogin. Bemærk, at linket til fagsystemet skal være et særligt single sign-on-link; det link brugeren hidtil har klikket på vil føre til loginsiden.

Selvom der er single sign-on til et system, skal institutionen foretage brugeradministration i fagsystemet som hidtil. Men brugerne skal ikke skifte password til fagsystemet længere.

I gang med single sign-on

Der er to roller ift. en single sign-on-løsning

  1. Institutionen, der leverer valideringen af sine brugere på baggrund af sit brugerkatalog. Denne rolle kaldes identity provider (IDP). 
  2. Fagsystemet, der leverer adgangen til den funktionalitet, som fagsystemet indeholder. Denne rolle kaldes service provider (SP).

For at koble sig på MODST SSO skal man konfigurere sin integration med den rigtige rolle.

Tilkoble en institution til MODST SSO

Hvis man skal tilkoble en institution til MODST SSO har man rollen identity provider.

Man skal derfor vælge Vejledning institutioner på MODST SSO (Link er under opbygning)

Institutionens ansvar

Single sign-on bygger på tillid mellem institutionen og fagsystemet. Fagsystemet stoler på at en bruger er valid, hvis institutionens AD giver dette svar. Derfor har institutionen ansvar for sine brugere i AD’et.

Statens It har ansvaret for integrationen til MODST SSO for en stor del af statsinstitutionerne.

Institutionens ansvar, når den er tilkoblet MODST SSO er følgende:

  • Institutionen skal føre kontrol med deres domænebrugere og sikre at de bliver nedlagt, når de ikke skal have adgang mere.
  • Institutionen skal ligeledes foretage brugeradministration af sine brugere i fagsystemerne og føre kontrol med disse brugeres adgange og rettigheder.
  • Institutionen/Statens It skal overholde snitfladebeskrivelserne jf. nedenstående vejledning.
  • Institutionen/Statens It skal sikre at integrationen til MODST SSO fungerer og svarer på forespørgsler ellers vil institutionens brugere ikke kunne logge på fagsystemerne.
  • Institutionen/Statens It skal opdatere certifikatet fra MODST SSO, når det udløber.

Hvis du skal tilkoble et fagsystem

Hvis man skal tilkoble et fagsystem til MODST SSO har man rollen service provider.

Man skal derfor vælge Vejledning fagsystemer på MODST SSO (Link er under opbygning)

Loginprocessen med single sign-on

Hvis brugeren sidder foran sin computer på sin arbejdsplads, vil brugeren få direkte adgang til fagsystemet, når brugeren klikker på fagsystemets link. Dette gælder også, hvis brugeren er logget på sit domæne hjemmefra fx via VPN.

Hvis brugeren sidder udenfor sit domæne, fx på en fremmed computer eller på en mobil enhed, skal brugeren ligeledes klikke på fagsystemets link. Men brugeren vil blive bedt om at identificere sig med sit domænenavn og password – ikke med brugernavn og password til fagsystemet - inden brugeren bliver logget ind i fagsystemet.

Login-processen er som følger:

  • Brugeren får adgang til et fagsystem på løsningen ved at klikke på et nyt link til fagsystemerne.
  • Fagsystemet sender en forespørgsel til MODST SSO for at få valideret brugeren.
  • MODST SSO sender forespørgslen videre til det AD, som brugeren er registreret i.
  • AD’et svarer tilbage, om brugeren er kendt i AD’et. Hvis brugeren findes i AD’et sender AD’et besked til fagsystemet om at brugeren er valid og brugeren bliver lukket ind i fagsystemet uden at skulle angive brugernavn og password til fagsystemet.
  • Hvis brugeren ikke er kendt – fx, hvis brugeren ikke sidder på domænet og/eller anvender en mobil enhed - bliver brugeren ikke lukket ind, men præsenteret for et skærmbillede, hvor brugeren skal vælge hvilket AD, brugeren kommer fra og angive sit brugernavn og password til domænet.

Spørgsmål og Svar

Her kan du se svar på nogle af de typiske spørgsmål, der kan være ift. Single sign-on.

Spørgsmål

Svar

Hvad hedder det nye link til systemer, der er koblet på SSO, og hvordan logger jeg ind med SSO?

Brugerne vil få oplyst de nye single sign-on-links efterhånden som fagsystemerne bliver koblet til MODST SSO.

Se links nedenfor
Jeg har gemt det nye single sign-on-link som favorit i min browser – men når jeg klikker på favoritten, får jeg et skærmbillede med login. Hvorfor

Årsagen er typisk, at du har gemt linket til det skærmbillede, som du ser, når du er logget ind i fagsystemet.

Single sign-on linket viderestiller din forespørgsel om at logge ind og står ikke længere i din browser, når du er logget ind.

Løsning: I Explorer kan du højreklikke på din favorit og vælge Egenskaber og kopiere single sign-on-linket ind i feltet URL-adresse under fanebladet Webdokument
Hvad er account linking? Hvis systemet ikke understøtter mailadresser som brugernavn, vil der i stedet blive brugt account linking. Dette betyder, at første gang en bruger logger på systemet efter SSO er tilsluttet, skal brugeren knytte brugernavn og SSO sammen. Brugeren vil blive guidet i denne proces.
Bliver mit password gemt i løsningen? Første gang du logger på et fagsystem med SSO og bruger account linking, bliver du bedt om at angive dit brugernavn og password til fagsystemet, så det kan blive valideret, at du er ejeren af adgangen. Men passwordet bliver ikke gemt i MODST SSO. 
Hvorfor skal jeg skrive mit brugerID og password til mit domæne, når jeg logger på uden for netværket fx med min mobiltelefon?  Dette skal du gøre, da SSO ikke kender dine brugeroplysninger, når du ikke er logget ind via dit netværk, dermed kan SSO heller ikke validere, om du er den, som du udgiver dig for at være. 
Hvorfor er det gamle link til systemet stadig aktivt? Det gamle link til IndFak og RejsUd er indtil videre åbent, fordi, der er brugere, der ikke er koblet til SSO-løsningen endnu. Du vil kunne logge dig på IndFak og RejsUd som hidtil, men der er ikke single sign-on på dette link, så du skal som før angive dit brugerID og password til IndFak og RejsUd.
Hvorfor kan jeg ikke klikke på linket til single sign-on i MS Word, MS Excel eller MS Power Point? Det er ikke muligt at klikke på linket i MS Word, MS Excel eller MS Power Point i visse versioner af MS Office. Fejlen er rettet i MS Office 2016. Hvis du har linket i et af disse programmer, skal du blot kopiere det ind i en browser for at få adgang.
Hvad hvis jeg ikke har en konto i fagsystemet eller på mit domæne? Så skal du kontakte din lokale (dvs. din institutions) systemadministrator
 Firefox: Hvorfor skal jeg angive brugernavn og password til mit domæne, når jeg bruger Firefox? Dette skyldes en mangel i Firefox. Brug en anden browser.


Systemer implementering af MODST SSO

System

Login

Plan/Status

IndFak og RejsUd

Der er to muligheder for at logge ind:

  1. https://indfak2.dk, her vil du se den normale loginside, men i stedet for at skrive dit brugernavn/mailadresse og kodeord, skal du blot klikke på linket "Single Sign On", som du finder under den grønne "Log ind" knap.
  2. https://sso.indfak2.dk/adfs/ (Husk den sidste skråstreg i url’en), ved brug af dette link, bliver du sendt direkte ind i løsning, uden at se den normale loginside.
Tilsluttet
Statens Budgetsystem Pt. ingen ændringer 1. kvartal 2019
Campus Pt. ingen ændringer 1. kvartal 2019
eRekruttering Pt. ingen ændringer 2. kvartal 2019
Statens HR Pt. ingen ændringer 3. kvartal 2019
Navision Stat og LDV hos KMD Pt. ingen ændringer 4. kvartal 2019

 

Institutioner implementering af MODST SSO

Institutioner

Plan/Status

Moderniseringsstyrelsen

Tilsluttet

Alle institutioner hos Statens It

I test.

Forventes tilsluttet i 1. kvartal 2019
Statsinstitutioner, som ikke har deres brugerkatalog (AD) hos Statens It 2. og 3. kvartal 2019
Selvejende institutioner 2. og 3. kvartal 2019