Sådan digitaliserer man hele rådhuset med NemID

It-udfordringen: Medarbejdere i Frederikshavn Kommune skal fremover bruge NemID til at få adgang til intranet og VPN-arbejdspladser. Det kræver integration med Microsoft Active Directory, og det er ikke altid lige nemt.

Frederikshavn Kommune er blevet digital. Løsningen er en intranet-platform, som er baseret på Microsoft SharePoint 2010. Med valget af NemID som login-løsning til intranettet vil kommunens medarbejdere få sikker adgang til intranet og enkel opgradering til en decideret hjemmearbejdsplads-løsning.

På sigt vil de også kunne underskrive dokumenter og formularer digitalt til elektronisk behandling i kommunen. Løsningen er implementeret af Signaturgruppen, og her fortæller Morten Storm Petersen direktør for Signaturgruppen om projektet:

Hvad går projektet ud på?

»Projektet går ud på, at Frederikshavn Kommune, ligesom alle andre kommuner, har en masse medarbejdere, som ikke er it-brugere. Men man har fået øje på, at der er nogle tjenester, der er vigtige - også for den slags medarbejdere - som for eksempel lønsedler og intranettet. Via den her løsning kan man give en stor del af sine medarbejdere it-adgang, uden at skulle supportere den med andre typer adgangskoder og løsninger. Så det er en billig måde at digitalisere en meget stor del af medarbejderne i kommunerne.«

Hvad er din rolle i projektet?

»Signaturgruppen leverer det software, der limer Microsoft netværket sammen med NemID inde hos kommunen. Vi er softwareleverandører, men har også hjulpet med at uddanne deres helpdesk- og driftsfolk.«

Hvad er målet med projektet?

»Målet er at flytte flere medarbejdere ind i digitaliseringen, og i takt med at de får brug for mere adgang, kan man opgradere deres adgangsniveau. Enten har man kun adgang på intranettet, eller også får folk en decideret VPN-forbindelse, og der styrer man brugerrettighederne via Microsoft Active Directory.«

»Det kortsigtede mål er jo at spare nogle penge. Der er en stor besparelse i forhold til tokens, vi snakker en tilbagebetaling på under et år, og det er jo noget, der er vigtigt for en kommune. Det her er en god business case og det er vigtigt i sparetider. Så skal man helst finde de områder, hvor man kan spare og effektivisere, og her tror vi at det her område bliver ret stort i forhold til det.«

»Det langsigtede mål kan også være, at man digitaliserer nogle arbejdsgange, som i dag er papirbaserede, hvor man også begynder at bruge signatur-egenskaben ved NemID til at tage blanketter og ’sætte strøm på dem’. NemID understøtter det i dag, så alle medarbejderne får det værktøj. Så det er et spørgsmål om, at kommunens workflow-systemer skal udnytte det.«

Hvilken teknologi kræver jeres software?

»Det fungerer på alle kendte teknologier i markedet. Sharepoint, Sitecore, Notes intranet, og så er det ofte med et Microsoft netværk omme bag ved. Vi møder aldrig to systemer, der er ens. Når vi kommer ud til kommunerne eller organisationerne, er det forskelligt hver gang, hvordan de har indrettet deres it. Derfor må vi tilpasse løsningen til dem.«

»Vores løsning er integreret ind i Microsofts netværksteknologi, så man kan give adgang til mail-servere, fildrev og andre applikationer, som bruger netværks-identiteten. Så man får en mere glidende overgang fra at se en intranet-browserside og så til at få en mere komplet netværksløsning som en VPN-løsning. Disse har jo ellers været forbeholdt få personer i kommunen, typisk driftsfolk, hvor de ofte har haft en fysisk token for at komme ind. Men nu har man mulighed for at bruge NemID.«

Virker løsningen på andet end Microsofts netværk?

»Hvis man kigger på NemLog-In, som vi kender fra Borger.dk og SKAT, så er det baseret på SAML-standarden, som vi også arbejder med i andre sammenhænge. Så ja, det virker også på andre teknologier end Microsoft.«

Hvilke problemer har I oplevet?

»I den her løsning bruger man CPR-nummeret fra NemID til at afgøre, om det er en medarbejder i kommunen eller ej, som logger ind. Og det medarbejderkatalog er ofte ikke så let at komme i nærheden af for it-systemerne. Så der er der nogle gange, at man må lave en webservice-grænseflade. Derudover kan man have indrettet sit Active Directory på mange forskellige måder. Det kan godt give lidt kompleksitet.«

Hvilke gode råd kan du give videre?

»Den samlede løsning er temmelig kompleks, dels fordi NemID er speciel og dels fordi Microsofts netværksteknologier internt i kommunerne generelt er svære at fejlsøge i. Den måde, som man opnår rettigheder på, kan konfigureres på mange forskellige måder og inducere forskellige problemer alt efter konfigurationen.«

»Vi har investeret meget tid i at produktudvikle løsningen i takt med, at vi samlede erfaringer hos kunderne. Vi har udviklet ’broer’ mellem NemID og Microsofts netværk, med anvendelse af ISA-servere og Forefront og andre serverkomponenter. Man skal have lidt "tilløb", hvis man starter helt forfra, fordi både NemID og Microsoft-netværk har en indbygget kompleksitet. Så det er noget, der kan tage tid.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Erik Jacobsen

... at hvis man har glemt sit nøglekort hjemme, så skal man køre hjem efter det, hvis man skal have lavet noget den dag? Og hvis man har et invalideret password (3 forsøg, eller nogen der driller), så må man vente et par dage på at komme på systemerne, til man får nyt password tilsendt?

Uanset hvad man ellers må mene om NemID, så virker ovenstående som noget helt unødvendigt bøvl. Hvis jeg ikke kan logge ind på min arbejdsplads, så går jeg ned til helpdesk, så griner vi lidt over at jeg ikke kan huske mit password, og så får jeg det ændret. 3 minutter.

  • 1
  • 1
#2 Maxx Frøstrup

Begynder vi så at nærme os en verden hvor en medarbejder i det offentlige bruger en digital signatur og at mails med videre bliver krypterede?

Det er måske lange skridt, men et eksempel jeg så nævnt et sted: Jeg sender en krypteret forespørgsel til kommunen. Modtageren af denne mail kan ikke hjælpe mig og ved ikke hvem der kan hjælpe, men sender den videre rundt i systemet (ukrypteret) før den ryger tilbage til mig igen. Dette er jo egentlig et rædsels scenarie: Kommunen nedbryder min fortrolighed pga uvidenhed. Jeg vil dog ikke lægge den enkelte medarbejder til last for dette da det jo et teknisk kompliceret og ikke fair at forvente den stakkels gut kan finde ud af. Jeg er dog sikker på at hvis jeg prikker ham på skulder og siger: Fortroligt: Bla bla bla. Signeret Mig.

Ja så vil han forholde sig til fortroligheden og lade beskeden cirkulere: 1. Med sporbarhed. 2. Krypteret (fortroligt). 3. Begrænset.

Udover det tror jeg det vil have effekten at folk vil tage sin password etik op til overvejelse så den almindelige mand har en fornuftig etik, da bøvlet med password rod pludselig ender i en vent 3 dage på nyt fremfor vent 3 minutter. Gid vide hvor lang tid det tager at skifte terminalen/desktoppen ud på kommunen?

En anden overvejelse kunne dog også være hvad gør man med folk der ikke vil have en NemID? Er det landet på niveau med at have en bank, hvilket jeg også er begyndt at overveje om man ikke bare kunne lade være med, mener ikke jeg har set noget krav om at man skal have en bankkonto?

Sorry Sidetrack.

Buttomline: Interressant udfordring, jeg ser muligheder for at mange brugere kan få et meget lettere liv.

  • 1
  • 1
#3 Michael Thomsen

Det vil jeg sandelig ikke håbe. Medarbejderne må da ikke bruge deres private login til arbejdsrelaterede opgaver. De skal have et separat virksomheds-ID til den slags opgaver.

Det kan så undre, at de har lavet løsningen allerede eftersom nemid ikke har rullet erhvervs-id'et ud endnu..

  • 2
  • 1
#4 Gert Madsen

Ja, der står i teksten at: "I den her løsning bruger man CPR-nummeret fra NemID til at afgøre, om det er en medarbejder i kommunen eller ej, som logger ind".

Det kan vel ikke betyde andet end at det er den personlige NEMID, der bruges.

Og med vanlig stil får man så tilføjet endnu en kilde til identitetstyveri :-(

  • 2
  • 1
#5 Christian Nobel

Nu har jeg undret mig et par dage, og kikket et par gange i kalenderen, men nej det er ikke den 1. april.

Det er da skingrende vanvittigt at benytte NemID til login på en arbejdsplads, af flere grunde:

  1. NemID er (burde være) personligt - hvad så i de tilfælde hvor medarbejderens computere befinder sig i et ikke aflukket kontor eller en institution, accepterer man der at medarbejderens personlige identitet er kompromitteret?

  2. Hvad havde man forestillet sig med frokostpause, og andre situationer hvor der skal være en låsning?

  3. Er det et ansaættelseskrav at medarbejderen skal tvinges til at have have NemID - hvad hvis medarbejderen ikke er tryg ved NemID, og ikke ønsker at spille hasard med egen identitet?

  4. Hvorledes vil man håndtere hvis medarbejderen har glemt sit nøglekort hjemme, eller hvis NemID af den ene eller anden grund er blevet spærret?

  5. Mener man seriøst at en person, karakteriseret ved et CPR nummer skal tegne en kommune, i stedet for at lave en rigtig signaturløsning, hvor det er kommunen der signerer (især i lyset af at NemID IKKE er en digital signatur)?

  6. Hvordan vil man forholde sig til signering lavet af personer der er holdt op i kommunen?

Dette er desværre et eksempel på en fuldstændig misforstået digitalisering, hvor man dels laver overgreb mod medarbejderene, dels reelt sætter hele sikkerheden over styr.

  • 2
  • 1
#6 Maxx Frøstrup

Jeg nægter at tage stilling til hvad NemID er og kan idag og tænker udelukkende teoretisk. Med disse forbehold vil jeg gerne gennemgå Nobel's liste og udvide min horisont lidt. Sobert please...

1.NemID er (burde være) personligt - hvad så i de tilfælde hvor medarbejderens computere befinder sig i et ikke aflukket kontor eller en institution, accepterer man der at medarbejderens personlige identitet er kompromitteret?

Burde en almindelig bruger ikke opdrages til aldrig at forlade computeren i åben tilstand, og på den måde sørge for at arbejdet der bliver udført i den login session brugeren er ansvarlig for (her ved NemID) udelukkende er udført af brugeren, eller brugerens support. Ja, jeg ved virkeligheden er en anden, men er det ikke god Credientials etik?

2.Hvad havde man forestillet sig med frokostpause, og andre situationer hvor der skal være en låsning?

Jeg forestiller mig at medmindre der står en aktiv bruger ved devicen, så er brugens login session låst (medmindre brugeren logger på et andet sted). Igen dette er ikke virkeligheden, men opdragelse kunne gøre det til virkelighed. Bare se sikkerhedsselens historie i danmark.

3.Er det et ansaættelseskrav at medarbejderen skal tvinges til at have have NemID - hvad hvis medarbejderen ikke er tryg ved NemID, og ikke ønsker at spille hasard med egen identitet?

Pas! lynhurtig ugennemtænkt tanke bliver: Hvad med de mennesker i danmark der ikke vil have dansk pas..... Men Seriøst pas! faktisk mit eget største problem...

4.Hvorledes vil man håndtere hvis medarbejderen har glemt sit nøglekort hjemme, eller hvis NemID af den ene eller anden grund er blevet spærret?

Hvad med at lade brugeren lave udelukkende anonymt arbejde til dette issue er væk? At glemme sit nøglekort er på niveau med at glemme sit nøglekort til say PET :) Har du glemt nøglen kommer du bare ikke ind på pladsen, så må du enten hjem og hente hvad du har glemt eller undlade at komme ind på arbejdspladsen. Med hensyn til at dit NemID bliver spærret f.eks. er det vil samme problematik som hvis du skal til forretningsmøde i london i morgen tidlig klokken 8, men dit pas og kørekort blev altså lige stjålet hertil morgen. Hvad så? Samme procedure????

5.Mener man seriøst at en person, karakteriseret ved et CPR nummer skal tegne en kommune, i stedet for at lave en rigtig signaturløsning, hvor det er kommunen der signerer (især i lyset af at NemID IKKE er en digital signatur)?

Det gør de vel. Måske den nye token løsning kan gøre det bedre / rigtigt. Tror netop signaturløsningen er hvad flest vil have virker, men færrest forstår hvordan. Jeg kan også udføre mange opgaver med en hammer, få af dem er at banke søm i.....

6.Hvordan vil man forholde sig til signering lavet af personer der er holdt op i kommunen?

Det vil de vel egentlig ikke? Igen, jeg glæder mig til den dag hvor signaturløsningen rent faktisk virker i praksis og det er noget lige så naturligt som at tjekke navn, addresse og telefonnummer.

Som jeg skrev længere oppe. Jeg er glad for der er nogen der har nosserne til at presse nytænkning ned over systemet. Jeg er dog lige så glad for det ikke er mig det gør ud over.

  • 0
  • 2
#7 Christian Nobel

"Jeg nægter at tage stilling til hvad NemID er og kan idag og tænker udelukkende teoretisk."

Desværre er man nødt til at forholde sig til den virkelige verden, og i den kontekst er det fatalt at bruge NemID til firmalogin.

"Burde en almindelig bruger ikke opdrages til aldrig at forlade computeren i åben tilstand, og på den måde sørge for at arbejdet der bliver udført i den login session brugeren er ansvarlig for (her ved NemID) udelukkende er udført af brugeren, eller brugerens support. Ja, jeg ved virkeligheden er en anden, men er det ikke god Credientials etik?"

Nu ser virkeligheden altså lidt anderledes ud, da der er mange der ikke lige sidder uforstyrret på deres flade foran en computer - f.eks. i en institution, hvor det er vigtigere at tage sig af det barn der slog sig end at logge ud, etc. Der er i den virkelige verden mange distraktionsmomenter!

"Jeg forestiller mig at medmindre der står en aktiv bruger ved devicen, så er brugens login session låst (medmindre brugeren logger på et andet sted). Igen dette er ikke virkeligheden, men opdragelse kunne gøre det til virkelighed. Bare se sikkerhedsselens historie i danmark."

Ja men det vil så kræve et nøglepar hver gang der låses, ellers er sikkerheden en illusion - og på den måde, så drænes NemID kortet hurtigt, og managementguruerne kan sikkert også beregne et uhyrligt tidsspilde på den konto.

"Hvad med at lade brugeren lave udelukkende anonymt arbejde til dette issue er væk?"

Det nævnes ikke som en option.

"At glemme sit nøglekort er på niveau med at glemme sit nøglekort til say PET"

Hvis jeg glemmer nøglen hjemme [b]til mit eget hus[/b], så kan jeg stadig godt passe mit arbejde - at jeg så skal have fat i en låsesmed når jeg kommer hjem er mit eget problem.

"Har du glemt nøglen kommer du bare ikke ind på pladsen, så må du enten hjem og hente hvad du har glemt eller undlade at komme ind på arbejdspladsen."

Og hvad med lige at sætte tingene i rette perspektiv! Det er jo helt til ude af proportion at en menig medarbejder skal sættes sådanne hindringer i vejen, plus det kommer til at koste kassen i tidsspilde.

"Med hensyn til at dit NemID bliver spærret f.eks. er det vil samme problematik som hvis du skal til forretningsmøde i london i morgen tidlig klokken 8, men dit pas og kørekort blev altså lige stjålet hertil morgen."

Nej. Jeg har en gang været så kvajet at jeg glemte mit pas - jeg kunne så købe et nyt hos politiet i lufthaven, som skulle returnes da jeg kom hjem. Det kostede mig godt nok fuld pris for et pas, men jeg kom afsted (og det var iøvrigt til London).

Herudover er det alstå ikke noget krav om at man skal have dansk pas, endsige medbringe det på arbejdet, for at arbejde i det offentlige.

"Måske den nye token løsning kan gøre det bedre / rigtigt."

Øh nej, det vil stadig være en løsning der har med individdets person at gøre, ikke arbejdspladsen.

"Det vil de vel egentlig ikke?"

Altså de vil ikke forholde sig til Epic Fail - hvordan skal f.eks. sagsstyring håndteres, hvis historiske dokumenter er bundet til en privat person?

"Jeg er glad for der er nogen der har nosserne til at presse nytænkning ned over systemet."

Jeg håber virkelig ikke du mener det seiøst - samme model har været prøvet f.eks. i Østtyskland, og det var ikke just nogen succes. Husk på at "nytænkning" bare for nytænkningens skyld, ikke nødvendigvis er en gevinst - slet ikke når gevinsten ikke er til at få øje på!

  • 2
  • 0
#11 Christian Nobel

Øh. Der står: "I den her løsning bruger man CPR-nummeret fra NemID til at afgøre, om det er en medarbejder i kommunen eller ej, som logger ind."

Så er vi vel ligevidt, eller hvad ?

Det indikerer vel bare at kommunen har er en (gud bedre det) mere eller mindre åben CPR database.

Det er ikke noget svar på Jettes one-liner.

Så hvordan "udstedes medarbejdersignatur i medarbejders cpr-nummer"?

Hvordan holdes dette adskildt fra medarbejderens private NemID?

Hvordan ageres hvis NemID spærres?

Osv, osv.

  • 0
  • 0
#12 Gert Madsen

"Hvordan holdes dette adskildt fra medarbejderens private NemID?"

Det var netop min pointe. Hvis man alligevel bare tjekker på CPR-nummer, så er det jo ligegyldigt om man bruger sin private eller medarbejder Nemid (som IKKE er nogen signatur). Man har alligevel ikke styr på hvordan der logges på.

  • 0
  • 0
#13 Morten Storm Petersen

Her lidt input til dialogen.

Løsningen anvendes kun til fjernadgang til kommunens netværk.

For flertallet af medarbejdere forventes adgang til intranettet at være det eneste behov, og Intranettet omfatter primært informationer om medarbejderens arbejdsgiver og ansættelsesforhold, som så kan læses med medarbejderens personlig NemID.

For adgang til systemer der indeholder forvaltningsdata gennemføres der en yderligere autentifikation med almindelig netværkslogon, administreret af kommunen, ligesom forvaltningsdata beskyttes yderligere, typisk ved anvendelse af en terminal session.

Løsningen understøtter både anvendelse af personlig NemID og den kommende NemID erhverv (medarbejdersignatur med nøglekort), som kommunen kan stille til rådighed for medarbejdere, der ikke måtte ønske at anvende deres personlige NemID.

  • 2
  • 0
#14 Erik Jacobsen

Så overskriften og under-overskriften (eller hvad det nu hedder) er helt misvisende. Helt ærligt, version2, det er simpelthen alt for dårligt! Ok, i artiklen kan man nok genkende hvad Morten Storm Petersen er så flink at fortælle os.

  • 0
  • 0
#15 Jette Hartmann

din personlige signatur/nemID som du bruger til private gøremål bruges selvfølgelig IKKE i arbejdsøjemed! Enhver arbejdsgiver kan udstyre sine ansatte med en medarbejdersignatur, som er knyttet til brugerens cpr-nummer, således at man til hver en tid kan se hvem der har indbrettet/brugt virksomhedens signatur. En ikke uvæsentlig faktor i det offentlige hvor alt jo skal dokumenteres i hoved og ... Det der adskiller den private fra medarbejdersiganturen er at sidstnævnte er knyttet til virksomheden via CVR-nummer.

  • 1
  • 1
Log ind eller Opret konto for at kommentere