Projekter

Projekt: NSIS (National Standard for Identiteters Sikkerhedsniveauer) – Overgang fra MOCES3 til Lokal IDP løsning  

(November 2023 – Marts 2025) 

Formål 

NSIS står for National Standard for Identiteters Sikringsniveauer og har til formål at etablere en fælles ramme for tillid til digitale identiteter og identitetstjenester. Dette sker gennem en række tekniske og organisatoriske krav, der skal sikre ensartethed og høj sikkerhed. 

MOCES3-løsningen (NDIS) skal senest den 31. december 2024 udfases og erstattes af en NSIS-kompatibel Lokal IDP-løsning. Dette er et nationalt krav for at sikre adgang til fællesoffentlige tjenester som eksempelvis FMK og Sundhed.dk. Som konsekvens heraf skal Region Hovedstaden implementere en ny Lokal IDP-løsning til håndtering af erhvervsidentiteter, som opfylder NSIS-kravene. Dette indebærer samtidig en overgang til et mere sikkert medarbejderkort baseret på FIDO2-teknologi. Ud over etablering af en NSIS Lokal IDP løsningen skal denne også revideres af eksterne revisorer, hvorefter den skal anmeldes og godkendes hos Digitaliseringsstyrelsens NSIS Tilsyn. 

Regionens eksisterende MOCES3-løsning var leveret af Signaturgruppen, og man har valgt at fortsætte samarbejdet med samme leverandør i forbindelse med overgangen til en ny løsning.  

Løsning 

Brugeroprettelse og identifikation 

  • Medarbejdere som har fået tildelt MitID Erhverv adgang i Region Hovedstadens Centrale Bruger Administrations System (CBAS – Gott-IT Aps) kan registreres og valideres vha. Privat MitID i Signaturgruppens Erhvervs ID Portal, hvorefter de oprettes i Digitaliseringsstyrelsens MitID Erhvervs Identitet Administration (EIA). 
  • Identifikationsmidler til MitID Erhverv kan være Privat MitID, MitID App og MitID Kodeviser. 
    Privat MitID er valgt som default for medarbejderen, men kan ændres via selvbetjening fra CBAS Min Side. 
  • Identifikationsmidler til Lokal IDP kan være et medarbejderkort med FIDO2 eller en SoloID App, hvilket administreres gennem Signaturgruppens Erhvervs ID Portal. 
    Et nyt medarbejderkort med FIDO2 kræver Imprivata ConfirmID, hvilket har betydning for konfigurationen af både Imprivata, Erhvervs ID Portalen og ADFS. 

Adgang til tjenester via SEB’s landingpage samt oprettelse af SOSI-billetter kan ske med et nyt medarbejderkort(FIDO2) eller en SoloID app som identifikationsmidler.  

  • Når ovenstående er gennemført har medarbejderen fået MitID Erhverv identitet med Lokal IDP identifikationsmidler af sikringsniveau betydelig (NSIS). 

Login 

  • Medarbejdere logger sikkert ind med deres Lokal IDP identifikationsmidler på SEB’s landingsside via knap eller Lokal IDP. 
  • Medarbejdere kan logge ind med deres MitID Erhverv identifikationsmidler via NemLog-IN. 
  • Løsningen understøtter login til nationale tjenester, som eksempelvis Fælles Medicin Kortet (FMK) og Sundhed.dk. 

Administration og vedligeholdelse 

  • IT-administratorer kan administrere Digitale Identiteter og medarbejdersignaturer i hhv.  
    – CBAS (Gott-IT Aps) 
    – Erhvervs ID Admin Portal (Signaturgruppen)  
    – Erhvervs Identitet Administration (Digitaliseringsstyrelsen) 

Mine roller og ansvarsområder i projektet 

Tester 

  • Udarbejdelse af Use Cases, Test Cases og Defects i OpenText Application Lifecycle Management (ALM). 
  • Gennemførelse af funktionstest og integrationstest: 
    – CBAS/Aktiveringsmails 
    – Imprivata/Nyt Medarbejderkort/kortlæsere/Indbyggede kortlæsere 
    – Erhvervs ID Portal (EID) 
    – Erhvervs ID Admin Portal (EIDADMIN) 
    – ID2S Klient (Udgår, men benyttes i overgangsfasen) 
    – ID2SOSI (SOSI-Billetter med/uden  autorisation, SBO fra EPIC, integration til SOSI Gateway og Secure-Token-Service)  
    – IDMSync (CBAS/EIA) 
    – Signaturcentralen (Digitale Signaturer udgår, men benyttes i overgangsfasen) 
    – SOSI-Kanon (Automatisk udstedelse af SOSI-Billetter til test og træning) 
    – SEB tjenester og spejlapplikationer (Claims og adgang) 
    – Erhvervs Identitet Administrationen (Oprettelses-, spærrings- og nedlæggelses-flow for erhvervs identiteter. Tilføjelser og fjernelser af identifikationsmidler.)  
  • Gennemførelse af Compliancetest til Pre-Audit og Audit i forbindelse med NSIS revision og anmeldelse. 
  • Assistance til anvendertest: 
    – Klargøring af testbrugere og test PC’er  
    – Vidensoverdragelse og test skabeloner til Forvaltere med ansvar for anvendersystemer, således at de selv kan teste adgang via Lokal IDP. 
  • Fejlrapportering til interne og eksterne leverandører samt koordinering af gentest og godkendelse af leverancer ved fejlrettelser. 

Testmiljø og testbrugeroprettelse 

  • Miljøansvarlig for etablering af et nyt produktionslignende NSIS Pre-Prod testmiljø i Region Hovedstaden – herunder  
    – Loadbalancering af duplikerede servere 
    – Bestilling af servere, servicebrugere, DNS navne, Portåbninger 
    – Databaseoprettelser og adgange 
    – Oprettelse, bestilling og installation af certifikater 
    – Whitelisting 
    – Integreret med Digitaliseringsstyrelsens DevTest4-miljø og Sundhedsdatastyrelsens testsystem T-SEB 
  • Enabling af Lokal IDP. 
  • Oprettelse af testbrugere med relevante roller og rettigheder, herunder læger, sygeplejersker, jordemødre, lægesekretærer, farmaceuter og studerende
  • Adgang for testbrugere til EPIC testmiljø’er (Inklusiv Citrix/Imprivata konfiguration til ConfirmID og nyt medarbejderkort). 
  • Opsætning og adgang fra EPIC testmiljø’er til NSIS Pre-Prod miljø’ets ID2SOSI komponent. 
  • Opsætning af test PC’ere

Teknisk Koordinering og Implementering 

  • Forbindelsesled mellem eksterne leverandører og Region Hovedstadens interne interessenter, herunder Signaturgruppen, Digitaliseringsstyrelsen, Sundhedsdatastyrelsen, Imprivata og Epic (Sundhedsplatformen)
  • Præsentation og vidensdeling om løsningen til Region Hovedstadens NSIS Projekt tovholdere, Service Desk, Sagsløsning, Brugerstyring og ny NSIS Forvaltning. 
  • Design og dokumentation af brugeres indrullerings- og aktiverings-flow. 
  • Onsite implementering og udrulning af løsningen på regionens hospitaler
  • Leverance af materiale og manuskript om løsningen til oprettelse af Bruger Video Guide (E-Learning). 

Support og Fejlhåndtering 

  • 3rd Level support med ansvar for fejlanalyse og eskalering til leverandører. 

Teknologier og applikationer som jeg har arbejdet med i projektet 

NSIS-løsningen omfatter en bred vifte af komponenter og applikationer, der er placeret både internt i Region Hovedstaden og eksternt. Under etableringen af løsningen samt i fejlsøgningsprocesser har det været afgørende at opnå en dyb forståelse af samtlige led i systemet. Denne indsigt har bidraget til at skabe en integreret løsning og har samtidig gjort det muligt hurtigt at identificere fejlbehæftede komponenter eller kommunikationsproblemer mellem dem. 

Centralt Bruger Administrations System (CBAS – Gott-IT Aps) 

  • CBAS Brugerportal  
    Oprettelse og nedlæggelse af arbejdssituationer, samt tildeling og fjernelse af rettigheder 
  • CBAS Klient 
  • SQL Server Management Studio 

Signaturgruppens Erhvervs ID Løsning 

  • Erhvervs ID-Portalen (EID) 
  • Admin Erhvervs ID-Portal (EIDADMIN) 
  • IDMSynk (Synkronisering af MitID Erhverv bruger identiteter mellem CBAS og EIA) 
  • Signaturcentralen (Certifikater) 
  • ID2S (SOSI-billet ved tap-in med ID-kort) 
  • ADFS MFA Plug-In 
  • SoloID App 

Imprivata 

  • User Policies 
  • Computer Policies 
  • ConfirmID 
  • ID Kortlæsere  
    – Imprivata MiFare Reader (MFR75A) 
    – HID OmniKey 5022 
    – Indbyggede kortlæsere i Onyx Healthcare skærme 
  • Nyt Medarbejderkort 
    FIDO2 + Desfire EV2 8k 

Digitaliseringsstyrelsen – Erhvervs Identitet Administration (EIA) 

  • Oprettelse og nedlæggelse af brugeres MitID Erhverv Identiteter 
  • Tilføjelse og fjernelse af identifikationsmidler 
    – Privat MitID 
    – MitID Erhverv App 
    – MitID Erhverv Kodeviser 
  • Oprettelse, spærring og fornyelse af certifikater 
  • Organisationsadministrator, Brugeradministrator og Rettighedsadministrator 
  • Enabling af Lokal IDP 

Sundhedsdatastyrelsen 

  • Sundhedsvæsenets Elektroniske Brugerstyring (SEB) 
  • SEB Landingpage (Tilslutning med Lokal IDP, Claim regler og OIOSAML-H-3.0) 
  • Nationale Service Platform (NSP) 
  • NSP Services (DDV, FMK, etc.) 
  • Stamdataregistre (Autorisation, LPR, SOR, etc.)  
  • Infrastrukturservices 
    – Gateway service til caching af SOSI-billetter (SOSI-GW) 
    – DeCoupling Component eller SOSI afkoblingskomponent (DCC) 
    – Security Token Services (STS) til omveksling fra Boot-Strap-Token (BST) til SOSI-billet 

OpenText – Application Lifecycle Management (ALM) 

  • Dashboards 
  • Release Management 
  • Test Plan, Test Lab og Test Runs 
  • Defects 

AD/ADFS 

  • Password synkronisering mellem relaterede brugerkonti (Lokale og Regionale Brugere) 
  • AltSecurityIdentities Attribut (Opmærkning af Ene-kontrol, identifikationsmidler, NL3UUID, etc)  
  • Relying Party Trust (SEB, ID Portal, ID Admin Portal, Moces2Sosi, id2silent, etc) 
  • Claim Attributter, som skal sendes til Relying Party 

F5 Loadbalancer og Firewall 

  • Portåbninger 
  • SSL Certifikater 

EPIC Sundhedsplatformen 

  • SOSI-Billet status til advarsler om udløb i SP 
  • FMK: Anmodning om adgang til at ’arbejde på vegne af’ 
  • FMK: Brugergodkendelse 
  • FMK: Synkroniserings status 
  • DDV adgang 
  • Sundhedsjournalen adgang 

Projekt: NDIS (Ny Digital Identitet og Signatur) – Overgang fra MOCES2 til MOCES3 løsning  

(August 2022 – Oktober 2023) 

Formål 

NemID medarbejdersignatur var planlagt til at lukke den 31. oktober 2023, hvilket nødvendiggjorde, at Region Hovedstaden skulle etablere en ny løsning til håndtering af medarbejdersignaturer og erhvervsidentiteter. Regionens eksisterende MOCES2-løsning blev leveret af Signaturgruppen, og de valgte at fortsætte samarbejdet med samme leverandør til den nye MOCES3-løsning. Den nye løsning skulle understøtte oprettelse af en ny digital identitet og 2-faktor godkendelse gennem kodevisere, apps og ID-kort. 

Løsning 

Brugeroprettelse og identifikation 

  • Medarbejdere som har fået tildelt MitID Erhverv adgang i Region Hovedstadens Centrale Bruger Administrations System (CBAS – Gott-IT Aps) kan registreres og valideres vha. Privat MitID i Signaturgruppens Erhvervs ID Portal, hvorefter de oprettes i Digitaliseringsstyrelsens MitID Erhvervs Identitet Administration (EIA). 
  • Certifikater udstedes i EIA for den enkelte bruger og gemmes i Signaturgruppens Signaturcentral hos Region Hovedstaden. 
  • Identifikationsmidler til MitID Erhverv kan være Privat MitID, MitID App og MitID Kodeviser. 
    Privat MitID er valgt som default for medarbejderen, men kan ændres via selvbetjening fra CBAS Min Side. 
  • Adgang til tjenester via SEB’s landingpage samt oprettelse af SOSI-billetter kan ske med ID-kort, SoloID app eller Thales nummerviser som identifikationsmidler. Valget af disse identifikationsmidler administreres gennem Signaturgruppens Erhvervs ID Portal. 
  • Når ovenstående er gennemført har medarbejderen fået en Ny Digital Identitet og Signatur (NDIS). 

Login 

  • Medarbejdere logger sikkert ind med deres MOCES3-identitet ved hjælp af 2-faktorautentifikation, enten gennem MitID eller via SEB’s landingsside. 
  • Løsningen understøtter login til nationale tjenester, som eksempelvis Fælles Medicin Kortet (FMK) og Sundhed.dk. 

Administration og vedligeholdelse 

  • IT-administratorer kan administrere Digitale Identiteter og medarbejdersignaturer i hhv.  
    – CBAS (Gott-IT Aps) 
    – Erhvervs ID Admin Portal (Signaturgruppen)  
    – Erhvervs Identitet Administration (Digitaliseringsstyrelsen) 
    – Signaturcentralen (Signaturgruppen) 

Automatisk fornyelse og vedligeholdelse af certifikater 

  • Certifikater fornyes og vedligeholdes automatisk, hvilket minimerer administration og reducerer risikoen for nedetid pga. udløbne certifikater. 

Mine roller og ansvarsområder i projektet 

Testmanager 

  • Udarbejdelse af teststrategi, testplaner, testrapporter samt dokumentation og opsætning af test i OpenText Application Lifecycle Management (ALM)
  • Fejlrapportering til interne og eksterne leverandører samt koordinering af gentest og godkendelse af leverancer ved fejlrettelser. 
  • Deltagelse i en tværregional testmanager-gruppe med Region Syd, Region Nord og Region Sjælland

Tester 

  • Udarbejdelse af Use Cases, Test Cases og Defects
  • Gennemførelse af funktionstest og integrationstest

Testmiljø og testbrugeroprettelse 

  • Etablering af et testmiljø i Region Hovedstaden, integreret med Digitaliseringsstyrelsens DevTest4-miljøet og Sundhedsdatastyrelsens testsystem T-SEB
  • Oprettelse af testbrugere med relevante roller og rettigheder, herunder læger, sygeplejersker, jordemødre, lægesekretærer, farmaceuter og studerende
  • Adgang for testbrugere til EPIC testmiljø’er 
  • Opsætning og adgang fra EPIC testmiljø’er til NDIS Testmiljø’ets ID2SOSI komponent 
  • Opsætning af test PC’ere

Teknisk Koordinering og Implementering 

  • Forbindelsesled mellem eksterne leverandører og Region Hovedstadens interne interessenter, herunder Signaturgruppen, Digitaliseringsstyrelsen, Sundhedsdatastyrelsen, Imprivata, DanOffice og Epic (Sundhedsplatformen)
  • Præsentation og vidensdeling om løsningen til Region Hovedstadens Service Desk, Sagsløsning og Brugerstyring
  • Design og dokumentation af brugeres indrullerings- og aktiverings-flow. 
  • Onsite implementering og udrulning af løsningen på regionens hospitaler
  • Leverance af materiale og manuskript om løsningen til oprettelse af Bruger Video Guide (E-Learning). 

Support og Fejlhåndtering 

  • 3rd Level support med ansvar for fejlanalyse og eskalering til leverandører. 

Teknologier og applikationer som jeg har arbejdet med i projektet 

NDIS-løsningen omfatter en bred vifte af komponenter og applikationer, der er placeret både internt i Region Hovedstaden og eksternt. Under etableringen af løsningen samt i fejlsøgningsprocesser har det været afgørende at opnå en dyb forståelse af samtlige led i systemet. Denne indsigt har bidraget til at skabe en integreret løsning og har samtidig gjort det muligt hurtigt at identificere fejlbehæftede komponenter eller kommunikationsproblemer mellem dem. 

Centralt Bruger Administrations System (CBAS – Gott-IT Aps) 

  • CBAS Brugerportal  
    Oprettelse og nedlæggelse af arbejdssituationer, samt tildeling og fjernelse af rettigheder 
  • CBAS Klient 
  • SQL Server Management Studio 

Signaturgruppens Erhvervs ID Løsning 

  • Erhvervs ID-Portalen (SIB) 
  • Admin Erhvervs ID-Portal (FED) 
  • IDMSynk (Synkronisering af MitID Erhverv bruger identiteter mellem CBAS og EIA) 
  • Signaturcentralen (Certifikater) 
  • ID2S (SOSI-billet ved tap-in med ID-kort) 
  • SoloID App 
  • Thales Nummerviser 

Imprivata 

  • User Policies 
  • Computer Policies 
  • SSO single sign-on application profiles (ADFS, Erhvervs ID Portal) 
  • Extensions (DanOffice/Conecto) 
    Logning til ekstern Database 
  • Grace periode for tap-in 
  • ID Kortlæsere  
    Imprivata MiFare Reader (MFR75A) 
    HID OmniKey 5021 og 5022 
  • ID Kort 
    MIFARE Classic Proximity Kort 

Digitaliseringsstyrelsen – Erhvervs Identitet Administration (EIA) 

  • Oprettelse, deaktivering og nedlæggelse af brugeres MitID Erhverv Identiteter 
  • Tilføjelse og fjernelse af identifikationsmidler 
    – Privat MitID 
    – MitID Erhverv App 
    – MitID Erhverv Kodeviser 
  • Oprettelse, spærring og fornyelse af certifikater 

Sundhedsdatastyrelsen 

  • Sundhedsvæsenets Elektroniske Brugerstyring (SEB) 
  • SEB Landingpage (Tilslutning med MOCES3, Claim regler og SAML-2.0) 
  • Nationale Service Platform (NSP) 
  • NSP Services (DDV, FMK, etc.) 
  • Stamdataregistre (Autorisation, LPR, SOR, etc.)  
  • Infrastrukturservices 
    – Gateway service til caching af SOSI-billetter 
    – DeCoupling Component eller SOSI afkoblingskomponent (DCC) 
    – Security Token Services til omveksling fra MOCES3 til SOSI-billet (STS) 

OpenText – Application Lifecycle Management (ALM) 

  • Dashboards 
  • Release Management 
  • Test Plan, Test Lab og Test Runs 
  • Defects 

AD/ADFS 

  • Password synkronisering mellem relaterede brugerkonti (Lokale og Regionale Brugere) 
  • AltSecurityIdentities Attribut (Opmærkning af Ene-kontrol, identifikationsmidler, NL3UUID, etc)  
  • Relying Party Trust (SEB, ID Portal, ID Admin Portal, Moces2Sosi, id2silent, etc) 
  • Claim Attributter, som skal sendes til Relying Party 

F5 Loadbalancer og Firewall 

  • Portåbninger 
  • SSL Certifikater 

EPIC Sundhedsplatformen 

  • SOSI-Billet status til advarsler om udløb i SP 
  • FMK: Anmodning om adgang til at ’arbejde på vegne af’ 
  • FMK: Brugergodkendelse 
  • FMK: Synkroniserings status 
  • DDV adgang 
  • Sundhedsjournalen adgang