RF Kalmar SYSTEMDOKUMENTATION IDP HULTSFRED. Beställare: RF Kalmar. Version:

Transkript

1 RF Kalmar SYSTEMDOKUMENTATION IDP HULTSFRED Beställare: RF Kalmar Version:

2 INNEHÅLLSFÖRTECKNING 1 DOKUMENTINFORMATION DOKUMENTETS SYFTE DOKUMENTETS MÅLGRUPP VERSIONSHANTERING BILAGOR DEFINITIONSTABELL ÖVERSIKT AV AUTENTISERINGSMETODER SAMT SIGNERING MED CERTIFIKAT NEIDP MODULER EXEMPEL SCENARIO SPÅRBARHET STATISTIK TEKNIK FÖR IDP HULTSFRED ÖVERSIKTSBILD ÖVER INGÅENDE KOMPONENTER EXEMPEL MENU FÖR IDP HULTSFRED FRAMTIDA SCENARIO IMPLEMENTATION AV NEIDP I HULTSFRED NEIDP BACKEND SERVER ÖVRIG INFORMATION OCH IPADRESSER FOLDRAR APPLIKATIONER SERVICEKONTO BACKUP NEIDP FRONTEND SERVER SERVERINFORMATION ÖVRIG INFORMATION OCH IPADRESSER CERTIFIKAT FOLDRAR APPLIKATIONER SERVICEKONTO BACKUP KOMMUNIKATION MELLAN SERVRAR KOMMUNIKATION MELLAN KLIENT OCH NEIDP FRONTEND SERVER KOMMUNIKATION MELLAN NEIDP FRONTEND SERVER OCH NEIDP BACKEND ÖVRIGT av 17

3 4.4.1 NEIDP MANAGER APPLIKATION MICROSOFT ADLDS FÖR NEIDP SERVERINFORMATION... FEL! BOKMÄRKET ÄR INTE DEFINIERAT. 5.2 MICROSOFT ADLDS KONFIGURATION... FEL! BOKMÄRKET ÄR INTE DEFINIERAT. 5.3 SERVICEKONTO... FEL! BOKMÄRKET ÄR INTE DEFINIERAT. 5.4 FOLDRAR... FEL! BOKMÄRKET ÄR INTE DEFINIERAT. 5.5 BACKUP... FEL! BOKMÄRKET ÄR INTE DEFINIERAT. 5.6 ADLDS STRUKTUR... FEL! BOKMÄRKET ÄR INTE DEFINIERAT. 5.7 ADMINISTRATION AV ADLDS... FEL! BOKMÄRKET ÄR INTE DEFINIERAT. 3 av 17

4 1 DOKUMENTINFORMATION 1.1 DOKUMENTETS SYFTE Denna dokumentation beskriver konceptet NordicEdge Identity Provider i Hultsfreds kommun. 1.2 DOKUMENTETS MÅLGRUPP Dokumentets primära målgrupp är driftleverantörens ansvariga mottagare samt personalen inom dess serviceorganisation. 1.3 VERSIONSHANTERING Version Datum Utfärdare Kommentar Tommy Almström Första utkast och struktur Tommy Almström Uppdaterat information Tommy Almström Kompletterat med menysidor för test av tjänster 1.4 BILAGOR Dokumentnamn Kommentar 4 av 17

5 1.5 DEFINITIONSTABELL Förkortning/uttryck NEIDP SAML OCSP CRL IDP SP Navet Infratjänsten AD SSO OTP SITHS FE BE Förklaring NordicEdge Identity Provider Security Assertion Markup Language (SAML) är ett XMLbaserat ramverk för att kommunicera mellan två olika parter som har stöd för att utbyta autentisering samt egenskaper mellan dessa parter. Online Certificate Status Protocol (OCSP) är ett internet protokoll för att kontrollera ett certifikats giltighet samt att det inte är revokerat. Certificate Revocation List. CRL är e fil som kan användas för att kontrolera om certifikat är revokerade. Identity Provider Service Provider Skatteverkets tjänst för offentliga verksamheter att bl.a. hämta personinformation En upphandlad tjänst genom Kammarkollegiet. Avtalen ger tillgång till funktioner i form av tjänster, som behövs för att utveckla och driva e-tjänster. Microsoft Active Directory Single Sign On One Time Password Med hjälp av SITHS kan en vårdgivare/tjänsteleverantör identifiera sig och ge bevis för sin behörighet, oberoende av organisatoriska och geografiska gränser. SITHS är en nationell säkerhetslösning. Frontend Server Backend Server 5 av 17

6 2 ÖVERSIKT AV AUTENTISERINGSMETODER SAMT SIGNERING MED CERTIFIKAT NEIDP är en produkt som integrerar sig med lösningar som kräver säker autentisering baserat på olika metoder. Exempel på sådana är t.ex. x509 certifikat såsom SITHS, engångslösenord. Många företag och organisationer har idag applikationer som kräver stark autentisering. Det kan vara applikationer som används av kommuner och landsting där autentiseringen ska ske med e- legitimation av kommunens medborgare. Det kan vara en anställd i en kommun/landsting som ska kunna förändra något i en applikation och behöver autentisera sig med ett tjänstecertifikat utfördat av den PKI-lösningen som kommunen erbjuder. 2.1 NEIDP MODULER NEIDP består av ett antal moduler varav fyra beskrivs här; autentisering, digitala signaturer, registrering och integration. Autentisering - Certifikat. Denna modul kontrollerar att ett uppgivet certifikat och utfärdare är giltiga. En kontroll av giltighet görs även via en CRL-lista eller OCSP-transaktion. - Engånslösenord. Denna modul skickar ut ett engångslösenord för att stärka upp en autentisering. - Active Directory Single Sign On. Om användaren är korrekt autenticerad mot en AD domän kan SSO uppnås. Digitala signaturer Denna modul skapar och verifierar digitala signaturer. PKCS#7, S/MIME and XML-signaturer stöds genom ett enkelt Web Services API eller JAVA API. Verifiering kan göras internt eller genom anrop till extern tjänst för verifiering. I denna modul finns även funktioner för samman- ställning och skapande av rapportmeddelanden. Sammanställningarna i standardprodukten är: SHA-1, MD-5, RIPE-MD160. Andra sammanställningar kan fås på begäran. Registrering Denna modul kontrollerar om den autentiserade användaren existerar i en katalogtjänst för applikationen eller i en SQL-databas. Om användaren inte existerar, kan modulen skapa en användare utifrån information i certifikatet, till exempel förnamn, efternamn och en unik identifierare (personnummer i vissa fall). En registrering kan sedan kompletteras med att hämta ytterligare uppgifter från t.ex. Skatteverkets tjänst Navet. 6 av 17

7 Integration Integration med alla vanligt förekommande autentiseringsystem såsom Computer Associates SiteMinder (tidigare Netegrity) Microsoft ISA server ingår som standard. De flesta webbservrar stöds, däribland Apache och Microsoft IIS. Andra integrationer kan göras på begäran. För egenutvecklade säkerhetslösningar finns ett API tillgängligt för integration. 2.2 EXEMPEL SCENARIO Nedan beskrivs ett exempel på hur dessa moduler kan användas för att lösa ett behov i en kommun. Lösning är ett exempel men baserad på erfarenhet av likande implementeringar av NordicEdge. Det kan finnas x antal applikationer i en kommun som medborgare behov av att använda, en av dessa är för att godkänna plats i kommunens barnomsorg. Applikationen är tillgänglig via en webblänk som kräver att användare identifierar sig med sin e- legitimation. Applikationen är sannolikt skyddad bakom en brandvägg samt publicerad via en tjänst typ Microsoft ISA Server. ISA servern omdirigerar trafiken till NEIDP. NEIDP tar del av certifikatet och kan sedan utföra en mängd saker med informationen. Det första NEIDP gör är att kontrollera certifikatet med Infratjänsten (se bilaga för mer information). Om certifikatet är giltigt kan NEIDP använda informationen i e-legitimationen för att registrera användaren i en datakälla, t.ex. Microsoft ADLDS. När användaren registreras kan NEIDP kontrollera användaren mot externt befolkningsregister för att även hämta ytterligare information om medborgaren. NEIDP kan även genom ett webbformulär låta användaren själv ska fylla på med information, t.ex. önskat område. I vissa fall behöver medborgaren göra vissa godkännanden (underskrift) i applikationen, det som krävs är då en signering vilket också är något som NEIDP hanterar. Den datakälla som innehåller information om medborgarna, t.ex. Microsoft ADLDS, kan behövas administreras. Dels av någon handläggare (administratör) och dels av användaren själv (självadministration). För detta kan NordicEdge Identity Manager (NEIM) användas. Denna produkt ger ett webb gränssnitt som användare kan använda för att utföra administrativa göromål på användarobjekt. Produkten arbetar med ett rollkoncept vilket betyder att olika användare kan se olika saker beroende på vem man är. En handläggare ser alla medborgare eller en de medborgare den hanterar. En medborgare ser endast information om sig själv. 2.3 SPÅRBARHET NEIDP har goda loggningsmöjligheter så länge det är inom det som NEIDP hanterar. Det som sker i de olika applikationerna måste dessa logga själv. Det NEIDP loggar är autentisering samt signering. I signerings fallet kan NEIDP även läsa den information som finns i signeringspaketet. Loggning kan ske mot fil eller databas (typ SQL). 7 av 17

8 2.4 STATISTIK NEIDP innehåller en modul som ger en administratör möjlighet att få statistik om hur många autentiseringar som sker, hur många autentiseringar som misslyckats, vilken typ av certifikat som används etc. 8 av 17

9 3 TEKNIK FÖR IDP HULTSFRED Detta avsnitt beskriver de funktioner och den teknologi som IDP Hultsfred är uppbygg kring idag. 3.1 ÖVERSIKTSBILD ÖVER INGÅENDE KOMPONENTER IDP Hultsfred sp.lk.se Server skall vara nåbar från Internet. Sp.lk.se skall i detta fall representera service provider hos Landstinget i Kalmar. BE= Backend Server FE= Frontend Server Extern adress idp.hultsfred.se Intern adress TCP 8009 TCP 443 Extern Frontend server TCP 389, 636, 443, 80 Server placerad i DMZ, är installerad som standalone (ej med i AD domän). Extern DNS adress idp.hultsfred.se Server har ett publikt certifikat installerat, utfärdat från Digicert. Måste kunna kommunicera med Internet+Intranät -> FE 443/TCP FE -> BE TCP Intern adress TCP 80, 443 Backend server samt Intern Frontend Server TCP 389, 636, SQL?? Server ASRV0076 placerad på internt nät. Medlem i AD domän samt har IIS installerat. Måste kunna kommunicera med BE -> Internet 389,636,443,80/TCP BE -> Intranät 389,636,/TCP Intranät -> BE 80,443/TCP Intern DNS adress idp.hultsfred.se 9 av 17

10 3.2 EXEMPEL MENU FÖR IDP HULTSFRED Syftet är att kunna visa ett scenario där en person som är intern användare från kommunen skall kunna autentisera sig mot en tänkt publicerad service provider. Exempel menu för test av olika publicerade tjänster finns på url: När användaren valt tjänst kommer webbläsare skickas vidare till en sida som visar upp olika inloggningsmetoder. Inloggningsmetoderna finns idag på url: 10 av 17

11 Obs! Alla metoder är idag ( ) inte implementerade utan skall ses som ett exempel under projektet. Dessutom bör vi för logikens skull se till att dessa sidor byter plats med varandra. Vi har valt att vänta med detta till efter testfaser är över. Logiken borde vara att man på kommer till publicerade tjänster och på kommer till inloggningsmetoder. 3.3 FRAMTIDA SCENARIO Ett framtida scenario är t.ex. att kommunen skapar sig en portal där ett antal tjänster kräver en säker identifiering av inblandade partner. Kommun bestämmer vilka olika nivåer av autentisering som måste uppfyllas för respektive tjänst. När identifiering utförts, och denna validerats, så finns det sedan möjlighet att med övrig infrastruktur få användaren att ha en Single Singe On upplevelse mellan flera tjänster. NEIDP har även stöd för SAML2 vilket är en av grundpelarna för federation mellan olika parter t.ex. kommun, landsting och statlig förvaltning. NEIDP inkluderar en standard SAML2 identitetsleverantörsmodul för att tillåta identitetsfederation mellan sajter och domäner. Ett flertal metoder kan användas för att identifiera användaren, till exempel: Active Directory Certifikat eller Smart Card LDAP One Time Password 11 av 17

12 4 IMPLEMENTATION AV NEIDP I HULTSFRED Nedan följer en dokumentation av NEIDP implementationen i Hultsfred. 4.1 NEIDP BACKEND SERVER Serverinformation Namn ASRV0076 DNS Asrv0076.hultsfred.se IPadress NEIDP roll Backend Server Zone ADM nät ÖVRIG INFORMATION OCH IPADRESSER Server ASRV0076 placerad på internt nät. Medlem i AD domän samt har IIS installerat. Administratörskonto: idpadmin Password: Fås av lokal personal på kommunen Måste kunna kommunicera med BE -> Internet 389,636,443,80/TCP BE -> Intranät 389,636,SQL??/TCP Intranät -> BE 80,443/TCP FOLDRAR C:\Programs Files\NordicEdge\IDP\tomcat-neidp C:\Programs Files\NordicEdge\IDP\jdk APPLIKATIONER Java JDK 6 Apache TomCat Nordic Edge Identity Provider (se Övrigt och Manager) 12 av 17

13 4.1.4 SERVICEKONTO NEIDP tjänsten startas som en service. Namn på tjänst: Nordic Edge IDP Starttyp: Automatic Kontonamn för start av tjänst: Local System account Lösenord: - Beroende (dependencies): BACKUP Följande foldrar ska tas backup på: C:\Program Files\NordicEdge 4.2 NEIDP FRONTEND SERVER SERVERINFORMATION Serverinformation Namn DNS Ipadress extern Ipadress extern NEIDP roll Zone Idp.hultsfred.se Idp.hultsfred.se Frontend Server DMZ ÖVRIG INFORMATION OCH IPADRESSER Server placerad i DMZ, är installerad som standalone (ej med I AD domän). Extern DNS adress idp.hultsfred.se Server skall ha ett certifikat, för test kan vi skapa ett selfsigned om inte Hultsfred har ett tillgängligt. Måste kunna kommunicera med Internet+Intranät -> FE 443/TCP FE -> BE TCP av 17

14 4.2.3 CERTIFIKAT Certifikat finns i folder: C:\Program Files\Apache Software Foundation\Apache2.2\conf\SSL star_hultsfred_se.crt intermediates.crt FOLDRAR C:\Program Files\Apache Software Foundation\Apache2.2\ APPLIKATIONER Apache HTTP Server (win32-x86-openssl-0.9.8i) SERVICEKONTO Apache2.2 tjänsten startas som en service. Namn på tjänst: Apache2.2 Starttyp: Automatic Kontonamn för start av tjänst: Local System account Lösenord: - Beroende (dependencies): Ancillary Function Driver for Winsock TCP/IP Protocol Driver BACKUP Följande foldrar ska tas backup på: C:\Program Files\Apache Software Foundation\Apache2.2\ 14 av 17

15 4.3 KOMMUNIKATION MELLAN SERVRAR KOMMUNIKATION MELLAN KLIENT OCH NEIDP FRONTEND SERVER Klient i detta avseende menar Internet Explorer, Mozilla Firefox eller Apple Safari. Protokoll mellan Klient NEIDP Frontend Server: https (port 443). Detta måste vara av typen Passthrough authenticering KOMMUNIKATION MELLAN NEIDP FRONTEND SERVER OCH NEIDP BACKEND Protokoll mellan NEIDP Frontend NEIDP Backend: AJP13 (port 8009). 15 av 17

16 4.4 ÖVRIGT NEIDP MANAGER APPLIKATION NEIDP manager applikation består av fem delkomponenter Status Visar status för vilka tjänster som är konfigurerade Sessions Visar aktiva sessioner Statistics Visar dagens statistik Configuration Ger möjlighet att aktivera/inaktivera de olika tjänsterna. 16 av 17

17 5 MICROSOFT AD SSO GENOM NEIDP På servern ASRV0076 har konfiguration utförts så att en användare skall kunna få SingelSignOn upplevelse. Förutsättningarna är att användare samt datorn är autentiserad till Active Directory. Funktionaliteten uppnås genom att använda IIS som är installerat på server ASRV0076. Genom att installera en Tomcat konnektor på IIS så skickas användarens session vidare till NEIDP applikationen 5.1 IIS KONFIGURATION Följande konfiguration har utförts för att IIS skall vidarebefodra användaren till NEIDP applikationen. Vi har installerat isapi_redirect exe. - I IIS Manager, Välj egenskaparna på defult web site, välj Directory Security, se till att Authentication and access control är avmarkerat. Markera sedan att Integrated Windows authentication är aktivt. Spara informationen. - Addera Tomcat konnektor till Web Service Extension. Välj filen isapi_redirect.dll från katalogen C:\Program Files\Apache Software Foundation\Jakarta Isapi Redirector\bin Viktigt! Se till att Extension status är satt till Allowed! Efter konfiguration måste kommandot iisreset utöras från en kommandotolk. Mer information kan läsas här: e+identity+manager+with+microsoft+iis+webserver 17 av 17