OS2sofd

- Om OS2sofd: https://www.sofd.io/
- Brugervejledning: https://www.sofd.io/brugervejledning/
- Arkitektur: https://www.sofd.io/arkitektur/
- Implementeringsdrejebøger: https://www.sofd.io/implementation-guides/
- Drejebog: OPUS-kommune: https://www.sofd.io/implementation-guides/opus-loen-integration/
- Drejebog: SD-kommune: https://www.sofd.io/implementation-guides/sd-loen-integration/
- Brugerstyring: https://www.sofd.io/idm/
- Forudsætninger og forberedelse: https://www.sofd.io/idm/prerequisites/
- Processer og hændelser: https://www.sofd.io/idm/processes/
- Personinaktivering: https://www.sofd.io/idm/person-inactivation/
- Konfiguration: https://www.sofd.io/idm/configuration/
- Login og SAML: https://www.sofd.io/login/
- API: https://www.sofd.io/api/
- OData (læsning): https://www.sofd.io/api/odata/
- REST-API: https://www.sofd.io/api/rest/
- Fremtidig API-udvikling: https://www.sofd.io/api/strategi/
- Integrationer: https://www.sofd.io/integrationer/
- On-premise agenter: https://www.sofd.io/agents/
- Brugerkonto Agent: https://www.sofd.io/agents/user-account-agent/
- AD Writeback Agent: https://www.sofd.io/agents/ad-writeback-agent/
- AD Replikator Agent: https://www.sofd.io/agents/ad-replikator/
- AD indlæsningsintegration: https://www.sofd.io/agents/ad-indlaesningsintegration/
- OPUS indlæsningsintegration: https://www.sofd.io/agents/opus-indlaesningsintegration/
- Indlæsning af skoleelever: https://www.sofd.io/agents/skoleelev-indlaesning/
- OS2vikar - Brugerkonto Agent: https://www.sofd.io/agents/os2vikar-agent/
- Download: https://www.sofd.io/downloads/
- Ændringslog: https://www.sofd.io/changelog/
- Support og kontakt: https://www.sofd.io/support/


Login til OS2sofd sker via SAML. Kommunen opsætter OS2sofd som en Relying Party hos
sin Identity Provider (typisk AD FS, OS2faktor eller en tilsvarende SAML Identity
Provider) og sender brugerens identitet og roller med i SAML-token'et.

## Nødvendige oplysninger

OS2sofd skal bruge følgende om brugeren ved login:

- Brugerens identitet (sAMAccountName fra AD), sendt som NameID.
- Brugerens roller i OS2sofd, angivet ved rolle-identifikatoren (fx `admin`,
  `edit`, `read`). Se [Roller i OS2sofd](#roller-i-os2sofd) for den fulde liste.

Eksempel på de relevante elementer i et SAML-token. Bruger I en anden Identity
Provider end AD FS, kan dette bruges som målbillede for, hvad der skal konfigureres:

```xml
<Subject>
  <NameID>bsg</NameID>
</Subject>
<AttributeStatement>
  <Attribute Name="roles">
    <AttributeValue>admin</AttributeValue>
    <AttributeValue>edit</AttributeValue>
    <AttributeValue>read</AttributeValue>
  </Attribute>
</AttributeStatement>
```

## Roller i OS2sofd

Roller administreres i OS2rollekatalog og sendes med i SAML-token'et som
rolle-identifikatoren (kolonnen Identifier nedenfor). En bruger kan have flere
roller. Nogle roller hører til valgfrie moduler og har kun effekt, hvis modulet
er aktiveret.

| Rolle | Identifier | Beskrivelse |
| --- | --- | --- |
| Administrator | `admin` | Adgang til alt, inkl. opsætning og konfiguration af løsningen. |
| Læseadgang | `read` | Se organisationsdata, men ikke redigere dem. |
| Skriveadgang | `edit` | Fuld skriveadgang til data. Kan dog ikke redigere indstillinger; det kræver Administrator. |
| Organisationsadministrator | `losadmin` | Bruges sammen med LOS-modulet: administrér enheder (opret, nedlæg, redigér og flyt enheder i enhedshierarkiet). |
| Kontaktinforedaktør | `edit_contact_info` | Redigér kontaktinformationer for brugere og enheder. Har implicit læseadgang til alle organisationsdata. |
| Telefonadministrator | `telephonyadmin` | Bruges sammen med Telefoni-modulet: adgang til telefonisystemet. |
| Kommunikationsadgang | `sms` | Bruges sammen med SMS-modulet: adgang til kommunikations-funktionerne. |
| CPR-adgang | `cpr_access` | Tillægsrolle uden funktion alene. Giver adgang til at se CPR-numre på brugerne. Ingen anden rolle (heller ikke Administrator) giver denne adgang; den vælges til som ekstra rolle. |
| Hasteopretter | `person_creater` | Læseadgang til organisationsdata plus mulighed for haste-oprettelse af personer. |
| Organisationsdiagramredaktør | `chart_editor` | Læseadgang til organisationsdata plus mulighed for at vedligeholde organisationsdiagrammer. |

## Opsætning af Relying Party i AD FS

Opret en ny Relying Party i AD FS på normal vis. Metadatafilen hentes her (udskift
`kommune` med kommunens navn):

```
https://kommune.sofd.io/saml/metadata
```

Opsæt derefter de nødvendige Claim Rules.

### Claim Rule for NameID

1. Højreklik på din Relying Party og vælg "Edit Claim rules...".
2. Tryk "Add Rule" og vælg "Send LDAP Attribute as Claims".
3. Map "SAM-Account-Name" til "Name ID", og gem.

### Claim Rule for roller

Tilføj en "custom" claim rule, der henter brugerens roller fra OS2rollekatalog,
hvor de administreres:

```
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
 => issue(store = "RoleCatalogueAttributeStore",
          Types = ("roles"),
          query = "getSystemRoles",
          param = c.Value, param = "sofdcore");
```

> [!NOTE]
> Det forudsættes, at I har kendskab til konfiguration af AD FS (eller tilsvarende
> SAML Identity Provider).