OS2sofd - Om OS2sofd: https://www.sofd.io/ - Brugervejledning: https://www.sofd.io/brugervejledning/ - Implementeringsdrejebøger: https://www.sofd.io/implementation-guides/ - Drejebog: OPUS-kommune: https://www.sofd.io/implementation-guides/opus-loen-integration/ - Drejebog: SD-kommune: https://www.sofd.io/implementation-guides/sd-loen-integration/ - Drejebog: Opgradering til 2026R2 (IDM): https://www.sofd.io/implementation-guides/opgradering-2026r2-idm/ - Brugerstyring: https://www.sofd.io/idm/ - Forudsætninger og forberedelse: https://www.sofd.io/idm/prerequisites/ - Processer og hændelser: https://www.sofd.io/idm/processes/ - Personinaktivering: https://www.sofd.io/idm/person-inactivation/ - Konfiguration: https://www.sofd.io/idm/configuration/ - Teknik: https://www.sofd.io/teknik/ - Arkitektur: https://www.sofd.io/teknik/arkitektur/ - Datamodel: https://www.sofd.io/teknik/datamodel/ - Login og SAML: https://www.sofd.io/teknik/login/ - API: https://www.sofd.io/teknik/api/ - OData (læsning): https://www.sofd.io/teknik/api/odata/ - REST-API: https://www.sofd.io/teknik/api/rest/ - Fremtidig API-udvikling: https://www.sofd.io/teknik/api/strategi/ - Batchkørsler: https://www.sofd.io/teknik/batchkoersler/ - Integrationer: https://www.sofd.io/integrationer/ - On-premise agenter: https://www.sofd.io/agents/ - Brugerkonto Agent: https://www.sofd.io/agents/user-account-agent/ - AD Writeback Agent: https://www.sofd.io/agents/ad-writeback-agent/ - AD Replikator Agent: https://www.sofd.io/agents/ad-replikator/ - AD indlæsningsintegration: https://www.sofd.io/agents/ad-indlaesningsintegration/ - OPUS indlæsningsintegration: https://www.sofd.io/agents/opus-indlaesningsintegration/ - Indlæsning af skoleelever: https://www.sofd.io/agents/skoleelev-indlaesning/ - OS2vikar - Brugerkonto Agent: https://www.sofd.io/agents/os2vikar-agent/ - Download: https://www.sofd.io/downloads/ - Ændringslog: https://www.sofd.io/changelog/ - Support og kontakt: https://www.sofd.io/support/ OS2sofd 2026R2 indeholder større ændringer i IDM-motoren. Kommuner der anvender IDM skal opgradere **både OS2sofd og deres on-premise Brugerkonto Agent** samtidig og gennemgå en række indstillinger. Denne drejebog beskriver rækkefølgen og hvad der skal tjekkes. > [!WARNING] > Opgraderingen af IDM-kommuner sker ikke automatisk ved denne release. Tidspunkt og > plan aftales med Digital Identity, fordi den kræver samtidig opdatering af > Brugerkonto Agent og eventuelle tilpasninger hertil. ## Kompatibilitet og planlægning - **Brugerkonto Agent 3.x virker kun med OS2sofd 2026R2 eller nyere.** OS2sofd opgraderes til 2026R2, og agenten opgraderes til 3.x i samme ombæring. - Selve opgraderingen af OS2sofd og den bagvedliggende driftskonfiguration håndteres af Digital Identity. Hvor meget kommunen selv står for i de øvrige trin, aftales fra kommune til kommune: Digital Identity kan udføre det meste eller assistere undervejs. ## Nyheder i IDM-motoren (kort) - **REACTIVATE-ordretype:** en eksisterende, deaktiveret konto genaktiveres nu via en særskilt REACTIVATE-ordre i stedet for at en CREATE-ordre genbruges. - **Udskudt aktivering:** en AD-konto kan oprettes i deaktiveret tilstand et antal dage før ansættelsesstart og først aktiveres tæt på første arbejdsdag. - **Cleanup-trin:** et nyt trin, der kan køre PowerShell et antal dage efter en konto er deaktiveret (fx arkivering af postkasse eller flytning af konto i AD). - **Per-afdeling konfiguration** af, hvor mange dage før ansættelsesstart konti oprettes/aktiveres. - Desuden: bedre håndtering af personinaktivering, mindre risiko for utilsigtet genbrug af gamle konti, og oprettelse af AD-konti fra flere tilhørsforholdskilder. ## Fremgangsmåde > [!NOTE] > Fra agenten stoppes (trin 1) til den er startet igen (trin 5) afvikles der ingen > kontoordrer lokalt. Bestillinger, der dannes i OS2sofd i mellemtiden, ligger som > afventende og afvikles, når agenten kører igen (der går ikke ordrer tabt). Selve > vinduet er kortvarigt. Det vigtigste ved planlægningen er, at de rette personer hos > kommunen (og eventuelt Digital Identity) er til rådighed til at gennemføre og efterse > opgraderingen, da der er tale om en stor ændring. Tidspunktet aftales med Digital > Identity. ### 1. Stop og deaktivér Brugerkonto Agent Stop Windows-servicen for Brugerkonto Agent og sæt den til deaktiveret (disabled), så den ikke behandler ordrer, mens OS2sofd opgraderes. ### 2. Digital Identity opgraderer OS2sofd til 2026R2 Aftal tidspunktet. Vent med de næste trin til OS2sofd er oppe på 2026R2. ### 3. Gennemgå IDM-indstillinger i OS2sofd I brugergrænsefladen som administrator: - **Brugerkontotyper (Administration → Brugerkontotyper):** - Frister: gennemgå Aktivering, Deaktiver og Slet. **Nyt:** en Oprydning-frist (cleanup), der angiver hvor mange dage efter deaktivering cleanup-trinnet kører. - **Udskudt aktivering (nyt):** hvis I vil oprette AD-konti i deaktiveret tilstand før ansættelsesstart, aktiveres det her. Antal dage før reaktivering skal være **mindre** end antal dage før oprettelse. - Bekræft at "Kan bestilles" samt oprettelse/deaktivering/sletning/oprydning er slået til som ønsket pr. kontotype. - **Bestillingsregler (på enhederne):** - **Per-afdeling dage (nyt):** en enhed kan nu overstyre antal dage før oprettelse og før udskudt aktivering via lokale regler. Gennemgå de enheder, hvor I vil afvige fra standarden. - Verificér "Regel for kontooprettelse" og "Regel for deaktivering og sletning" pr. enhed (valgmulighederne er uændrede, men bør bekræftes). ### 4. Installér ny Brugerkonto Agent (3.x) og gennemgå opsætningen - Installér Brugerkonto Agent **3.x**. Bekræft at `version.txt` i installationsmappen viser 3.x. - **Scripts efter installation:** scripts som ikke fandtes i forvejen (fx det nye `reactivateUser.ps1` og cleanup-scripts) lægges direkte i `ActiveDirectory`- og `Exchange`-mapperne. Jeres eksisterende scripts røres ikke. Den nyeste udgave af **alle** scripts lægges desuden i `Templates`-undermappen, så I kan sammenligne og flette ændringer ind. > [!IMPORTANT] > **Flyt jeres reaktiverings-logik.** Tidligere blev genaktivering af en eksisterende > konto håndteret som en del af oprettelsen, så mange kommuner har lagt reaktiverings- > logik i `createUser.ps1`. Med 2026R2 er reaktivering en selvstændig REACTIVATE-ordre, > og CREATE udløser ikke længere genaktivering. Gennemgå derfor `createUser.ps1` og > **flyt den logik, der handler om at genaktivere en eksisterende konto, over i > `reactivateUser.ps1`.** Dette er en af de vigtigste ting at få tjekket ved > opgraderingen. - **Konfiguration:** sammenlign jeres konfiguration med den medfølgende `...config.original` og tilføj de nye nøgler efter behov. De væsentligste: - `ActiveDirectoryEnableAccountCleanup` (+ `ActiveDirectoryCleanupPowershell`) - `ExchangeCleanupEnabled` (+ `ExchangeCleanupPowershell`) - `ActiveDirectoryReactivatePowershell` - gennemgå desuden `ActiveDirectoryExpirePasswordOnCreate`. - **Øvrige scripts:** `expireUser.ps1` har fået nye parametre. Flet jeres tilpasninger med skabelonen fra `Templates`. Cleanup-scripts (`cleanupUser.ps1`, `cleanupExchange.ps1`) er minimale skabeloner, der skal udfyldes, hvis I bruger cleanup-trinnet. - Beslut om **Cleanup** og **udskudt aktivering** skal anvendes. Hvis ja: slå dem til i konfigurationen og udfyld de tilhørende scripts. Hvis nej: lad dem være slået fra (standard). ### 5. Aktivér og start Brugerkonto Agent Sæt servicen tilbage til automatisk start, og start den. Tjek logfilen for at agenten starter uden fejl, viser den rigtige version og har forbindelse til OS2sofd. ## Efter opgradering: verifikation - I OS2sofd: gå til **Rapporter og adviser → Ordrestatus** og bekræft, at bestillinger (oprettelse, reaktivering, deaktivering, cleanup) dannes og afvikles korrekt. - Test gerne med et testtilhørsforhold: bekræft at en konto oprettes (eventuelt i deaktiveret tilstand) og reaktiveres omkring ansættelsesstart.