Anvisningar e-tjänster. Anvisningar och rekommendationer för e-tjänster i samverkan SAML & SSO



Relevanta dokument
Anvisningar e-tjänster. Anvisningar och rekommendationer för e-tjänster i samverkan SAML & SSO

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Anvisningar för klientdator vid inloggning med certifikat på smarta kort

Apotekens Service. federationsmodell

Mobilt Efos och ny metod för stark autentisering

Mobilt Efos och ny metod för stark autentisering

Mobilt Efos och ny metod för stark autentisering

BILAGA 2 Tekniska krav Version 0.81

Cipher Suites. Rekommendationer om transportkryptering i e-tjänster

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

Tekniskt ramverk för Svensk e- legitimation

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Underlag till möte om Sambis testbädd och pilotverksamhet

Tekniskt ramverk för Svensk e-legitimation

PhenixID & Inera referensarkitektur. Product Manager

Vägledning för implementering av AD-inloggning med SITHS-kort

Instruktion för integration mot CAS

Systemkrav. Åtkomst till Pascal

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

BILAGA 1 Definitioner

Testning av Sambi. Testplan. Version PA5. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Datum: Version: Författare: Christina Danielsson Senast ändrad:

RIV Tekniska Anvisningar Kryptografi. Version ARK_

Användarhandbok. Nationella Säkerhetstjänster 2.2

Användarhandbok. Nationella Säkerhetstjänster 2.8

SAMBI SAML Profil. Samverkan för Behörighet och Identitet inom hälsa, vård och omsorg

BILAGA 1 Definitioner Version: 2.01

BILAGA 1 Tekniska krav Version 1.0

Kravunderlag inom området Identitet och Åtkomst

BILAGA 1 Definitioner

Systemadministration. Webcert Fråga/Svar

Checklista för tekniskt ansvarig

Sammanfattning och specifikationer för POT

Termer och begrepp. Identifieringstjänst SITHS

BILAGA 3 Tillitsramverk Version: 1.3

Kerberos baserad Single Sign On, tillämpningsexempel

BILAGA 1 Definitioner Version: 2.02

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Filleveranser till VINN och KRITA

Krav på säker autentisering över öppna nät

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

BILAGA 1 Tekniska krav

Manual inloggning Svevac

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

Termer och begrepp. Identifieringstjänst SITHS

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

tisdag 8 november 11

Federerad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation.

E-legitimationsnämndens legitimeringstjänster för test

E-legitimationsdagen dag 2. En översikt av eidas-arkitekturen och E-legitimationsnämndens erbjudande

Introduktion till SAML federation

Innehållsförteckning. Logga in med etjänstekort i Infektionsregistret 3. Installation av kortläsare till e-tjänstekort 3

till Säkerhetstjänster x

Policy Underskriftstjänst Svensk e-legitimation

Anvisning för att komma igång med Pascal på surfplatta

ehälsomyndighetens nya säkerhetslösning

Testa ditt SITHS-kort

Rekommendationer teknisk lösning_samsa_ ver

Införande av Skolfederation. Erfarenheter i Sundsvalls kommun

Manual - Inloggning. Svevac

PDL medarbetaruppdrag vårdgivare vårdenhet Organisation verksamhetschef. NetID drivrutiner kortläsare operativ browser

Elevlegitimation ett konkret initiativ.

Krav på identifiering för åtkomst till konfidentiell information

Att legitimera sig elektroniskt i tjänsten

Systemkrav och rekommendationer. Åtkomst till Pascal

RF Kalmar SYSTEMDOKUMENTATION IDP HULTSFRED. Beställare: RF Kalmar. Version:

Hur kan medborgaren få bättre vård?

Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS?

BILAGA 3 Tillitsramverk Version: 2.1

SITHS inloggning i AD

Referensarkitektur för Identitet och åtkomst Per Mützell, Inera

Instruktioner för inloggning med e-tjänstekort till 3C/Comporto samt installation av kortläsare till e- tjänstekort

Användarhandbok för Windows v6

Regionförbundet i Kalmar Län. Barnhälsodatapiloten - Slutrapport Bilaga

BILAGA 2 Tekniska krav Version 1.3

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

Teknisk guide för brevlådeoperatörer. Annika Melin Version: 1.1

Tillit och användbarhet med Skolfederation

Arkitekturella beslut Infektionsverktyget. Beslut som påverkar arkitekturens utformning

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

torsdag 17 oktober 13 IT's a promise

Byta bort SITHS-cert i frontend

Anteckningar från möte om Sambis testbädd och pilotverksamhet

BILAGA 3 Tillitsramverk

Mötesantecknignar - Sambidemo

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga A. Tekniska ramverk. Version: 1.0

Frågor och svar. Frågor kring åtkomstlösning

Finns SSO på riktigt?

E-legitimationsdagen

Manual - Inloggning. Webbadress: Webbadress demoversion: (användarnamn: demo / lösenord: demo)

Statistiska centralbyrån

Bilaga 2 utdrag urinförandehandbok

Anteckningar från möte om Sambis testbädd och pilotverksamhet

Manual - Inloggning. Svevac

Användarhandbok för Linux

Manual - Inloggning. Svevac

MVK SSO 2.0 Mina vårdkontakter

Checklista. För åtkomst till Svevac

Transkript:

Anvisningar och rekommendationer för e-tjänster i samverkan SAML & SSO

Innehåll Målgrupp... 2 Revisionshistorik... 2 Sammanfattning... 3 Användarens ansvar... 3 e-arbetsplatsens ansvar... 3 IdP n ansvar... 3 e-tjänstens ansvar... 3 Inledning... 4 Syfte... 4 Bakgrund... 4 Avgränsningar... 4 Förutsättningar... 5 Tillit... 5 SSO, Single Sign On... 5 SLO, Single Logout... 6 Övriga förutsättningar... 6 Krav på e-tjänsten... 8 Krav... 8 Användardialoger... 8 e-tjänsten... 8 Tester... 10 Referenslista... 10 Sid 1/11

Målgrupp Målgruppen för detta dokument är utvecklare och förvaltare av e-tjänster som samverkar i en SAML SSO-miljö. Primärt för Inera s e-tjänster som samverkar med Säkerhetstjänsternas SSO-miljö. Revisionshistorik Version Datum Författare Kommentar 0.1 2013-12-11 Första utgåva 0.2 2013-12-14 Justeringar & tillägg om bl.a SLO och dubbelriktad SSL 0.9 2013-12-15 Lagt till sammanfattning och justeringar efter synpunkter 0.9A 2013-12-23 Justerad och fastlagd efter kommentarer från Christoffer Johansson 0.91 2014-01-23 Justerad efter remissomgång 1.0 2014-02-03 Slutjusterad efter input från programstyrgrupp infrastruktur och Per Mützel 2.0 2014-03-19 Infört anvisningar för Single logout, Signed request samt timeout 2.1 Testjusteringar efter slutsatser i Arkitekturrådet 2014-03-26 Bidragande till detta dokument har varit (alfabetisk ordning): Namn Organisation/Företag Björn Gustavsson Christoffer Johansson Conny Balazs Jonas Öholm Magnus Hoflin Per Mützell Roger Öberg Ulf Palmgren Inera AB Inera AB Certezza AB SecMaker AB Truzzt AB Alcesys AB CGI Cesam Sid 2/11

Sammanfattning Den sammantagna säkerheten i en Single Sign On-miljö (SSO) hänger på att alla medverkande parter uppfyller kraven, så att tillit till ingående parter uppnås. Parterna är: Användaren (aktören) E-Arbetsplatsen (PC etc) Identitetsutfärdaren (IdP n) e-tjänsten (applikationen, SP n) Användarens ansvar Är att följa lagar & föreskrifter som är applicerbara inom e-tjänstens användningsområde Tillse att ingen obehörig har åtkomst till inloggad e-tjänsten. Vilket t.ex innebär skyldighet att logga ut & stänga e-tjänsten då e-arbetsplatsen lämnas obevakad. e-arbetsplatsens ansvar Är att tillse att kommunikationen med e-tjänsten och IdP n sker med förväntad säkerhet. För att detta ska kunna uppfyllas krävs att den är rätt konfigurerad och har erforderlig programvara installerad och uppdaterad IdP n ansvar Är att identifiera och autentisera en användare och utställa ett identitetsintyg (SAMLbiljett) till de applikationer som aktören avser att nyttja e-tjänstens ansvar Är att validera riktigheten i identitetsintyget (SAML-biljetten) och utifrån dess behörighetsstyrande attribut tilldela/neka tillgång till funktioner inom e-tjänsten. Sid 3/11

Inledning Syfte Syftet med detta dokument är att klargöra minimikrav på de e-tjänster som samverkar i en SAML SSO-miljö så att förväntad säkerhet uppnås i de samverkande miljöerna. Detta gäller både de e-tjänster som levereras från Inera och andra e-tjänster som nyttjar Inera s infrastrukturtjänster. Bakgrund Detta dokument är ett av tre dokument som levereras såsom en leverans av uppdraget: Uppdrag - Hantering av säkerhetsaspekter vid inloggning med SITHS-kort [R1] som i sin tur har sitt ursprung av de incidentrapporter Inera-INC-22948 och Inera-INC-22953 som inkom till Ineras servicedesk under september 2013 och resulterade i en rapport: Rapport Säkerhetsproblem - SSO 2013-09-12 [R2]. De två andra dokumenten som uppdraget levererar är: Anvisningar för e-arbetsplats som används vid inloggning med smarta kort/certifikat [R3] Anvisningar för användare vid användandet av e-tjänster [R4] Uppdraget skall således hantera anvisningar & krav på följande delar: e-arbetsplatsen användarens arbetsstation e-tjänsten den applikation som användaren nyttjar Användarens ansvar och skyldigheter Avgränsningar Detta dokument hanterar endast krav och riktlinjer på e-tjänster. Krav på e-arbetsplatsen och användare beskrivs i andra dokument [R3, R4]. Dokumentet har ej heller ambitionen att vara heltäckande vad gäller parametersättningar, konfigureringar etc utan det förutsetts att en leverantör av en e-tjänst (SP) har nödvändiga kunskaper i SAML, SSO, PKI & SSL, egov2 samt saml2int. Se referens [R5] (SAMBI SAML profile). Sid 4/11

Förutsättningar Ineras leverans Inera kommer inte att leverera en specifik klientprogramvara eller applikation för sina webbaserade e-tjänster. GUI:et realiseras i en web-läsare för de e-tjänster som Inera levererar. Dock ska de krav som ställs på en e-tjänst också kunna uppfyllas av en rik klient. Tillit I en SAML SSO-miljö förutsätts det att det finns en viss form av tillit mellan de samverkande parterna. Parterna är: e-arbetsplatsen (PC-klient etc), inklusive PKI-delen IdP n (Identity Provider) SP (Service Provider, e-tjänsten) Användaren Federationsoperatörer och dess metadata (aktuellt då tjänsterna är med i SAMBI) Varje part har ett beroende till de övriga parterna för att säkerhetskedjan ska fungera enligt förväntan. Brister/fel i en av parterna kan medföra att säkerhetskedjan inte är intakt. När en användare autentiserar sig till IdP n, ex med sitt SITHS-kort, så krävs det att e- Arbetsplatsen är relevant säkerhetspatchad både vad gäller OS, Net id samt webbläsaren för att förväntad funktionalitet och säkerhet ska uppnås. IdP n genomför autentiseringen genom att kräva klientcertifikatsbaserad TLS/SSL baserat på innehavet av certifikat från SITHS. IdP ns challenge signeras av e-arbetsplatsen om användaren kan ange rätt PIN-kod för sitt kort IdP n behöver även tillit till en spärrfunktion (OCSP-tjänst eller spärrlista) för att kontrollera att användarens certifikat (på t.ex SITHS-kort) är giltigt. För att autentiseringen skall bli fullbordad krävs att IdP n har tillgång och tillit till en identitetskälla (ex. HSA-katalogen) för att identifiera användaren och hämta ev behörighetsstyrande egenskaper för användaren. SSO, Single Sign On SSO förutsätter att man som användare har en inloggningssession i IdP n. Dvs har genomfört en godkänd autentisering till IdP n. Sessionstiden i IdP n (den tid man har på sig att logga in i e- Tjänster utan att behöva autentisera sig igen) är konfigurerbar och är i Säkerhetstjänster satt till 60 minuter. Är man inloggad i en IdP så behöver man således inom denna tidsperiod inte ange sin PIN-kod på kortet igen, utan IdP n utfärdar en SAML-biljett till e-tjänsten via webbläsaren. Webbläsaren upprättar då en unik session mellan webbläsaren och e-tjänsten. Denna session lever så länge som användaren är inloggad och aktiv i e-tjänsten. För att avsluta denna session måste användaren aktivt logga ut ur e-tjänsten (eller bli utloggad av e-tjänsten genom Sid 5/11

inaktivitet), alternativt stänga samtliga öppna webbläsare, vilket dock bara avslutar sessionen på klienten. Det är således webbläsaren som tillsammans med e-tjänsten samverkar kring en SSOsession. Det riktlinjer som finns i detta dokument ska inte påverka SSO. Dvs användaren ska inte behöva uppleva en försämring i en pågående arbetssession med krav på extra inloggningar och uppdragsval, SSO ska fungera som förväntat. SLO, Single Logout För att en användare på ett säkert sätt ska kunna avsluta sin användning av en e-tjänst så behöver e-tjänsten ha en logoutfunktion. Denna logoutfunktion skall avsluta användarens session i e-tjänsten samt till inloggningstjänsten (IdP n) skicka en utloggningsbegäran (SAML SLO request). e-tjänstens medverkan i SAML SSO deklareras via SAML metadata. För att SLO ska upplevas som intuitivt av användaren, förutsätts IdP n ge e-tjänsterna GUIstöd till användaren. GUI-stödet ska ge användaren en möjlighet att välja att enbart logga ut från önskad e-tjänst, istället för en fullständig utloggning. Vid en fullständig utloggning ska GUI-stödet ge användaren en samlad progress av utloggningen. Övriga förutsättningar Följsamhet till SAML2-standarden [R8] Följsamhet till SAMBI SAML profile [R5] Riktlinje för klientdator som används vid inloggning med smarta kort/certifikat [R3] Riktlinjer för användare vid användandet av e-tjänster [R4] Kompabilitet med egov2 samt saml2int (specificerat i SAMBI SAML profile [R5]) Att man möter upp de krav i aktuella tillitsramverk vilka är applicerbara på en SP. För Inera s tjänster kommer detta att innebära SAMBI s tillitsramverk Sid 6/11

Figur 1, SAML SSO (från Wikipedia) Figur 2, SAML SLO Sid 7/11

Krav på e-tjänsten Krav Användardialoger Vid inloggning till e-tjänsten bör tjänsten informera användaren om att den ska logga ut ur tjänsten när den avslutar arbetet Det ska i e-tjänstens grafiska gränssnitt tydligt framgå vem det är som är inloggad Det ska i e-tjänsten finnas en tydlig utloggningsfunktion (logoutknapp/meny). Denna funktion ska stänga sessionen och avsluta applikationen samt initiera en SLO-begäran till IdP n. Lämplig text på en sådan knapp/meny är: Logga ut När användaren loggar ut ska det tydligt visas att sessionen mot tjänsten är avslutad. Om det är en webbapplikation bör användaren även uppmanas om att stänga alla webbläsare. Exempel från Inera s e-post: Du har loggats ut från Outlook Web App. Skydda e- postkontot genom att stänga alla webbläsarfönster Exempel från MVK: Av tekniska skäl måste du stänga webbläsaren helt för att logga ut e-tjänsten Ska använda etablerade ramverk för SAML-implementation, ex Open SAML [R7] Ska använda standardbibliotek för SSL/TLS (Open SSL, RSA BSAFE, MS- CAPI/CryptoAPI etc) Ska använda de senaste versionerna av SSL/TSL (helst TLS 1.2 alternativt SSLv3) [R6], bl.a beroende på vilka webbläsare man vill supporta Ska säkerställa robusthet mot BREACH/CRIME. Exempelvis genom att undvika TLS & http-komprimering (gzip etc) Se ref [R9] Ska säkerställa att nyckelhanteringen (certifikaten) hanteras säkert och skyddat Bör stänga av dåliga kryptoalgoritmer och versioner av SSL som man inte bör använda. (För mer information, se bilaga 1, SSL/TLS Cipher suites) Se exempel nedan: Exempel på konfigurering i Apache Lägg till följande tre rader i httpd.conf: SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT:!MD5 SSLCompression off Sid 8/11

Exempel på inställningar i IIS Webserver HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\ SCHANNEL\Protocols\SSL 2.0\Server DWORD = 0 HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\ SCHANNEL\Protocols\SSL 3.0\Server DWORD = 1 HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\ SCHANNEL\Protocols\TLS 1.0\Server DWORD = 1 Ska tillse att klockorna är synkroniserade med IdP n. Bl.a viktigt för validering av SAML-biljettens giltighet. Exempelvis genom en publik NTP-referens SAML-biljetten ska valideras. Framförallt vad gäller giltighet och signatur Ska ha "replay detection" för att man inte ska kunna återanvända en SAML-biljett Ska ha en XML-parser som är säkerställd mot XML injection [R10] samt XML signature wrapping attack (XSW) [R11] Bör ha stöd för LoA-filtrering istället för enbart autentiseringscontext (dvs. att SP:n kräver en viss LoA-nivå i SAML respons istället för autentiseringsmetod) urn:sambi:names:attribute:levelofassurance Ska ha stöd för Single Logout (både IdP-initierad och SP-initierad) För de e-tjänster som av speciella undantagsskäl ej är lämpliga att medverka i SLO så ska detta hanteras genom explicit hantering via metadata. SLO förväntas hanteras via front channel. Not: I dagsläget () så kommer en SLO-request från en SP ej att generera en fullständig SAML SLO från IdP n. Säkerhetstjänsternas IdP kommer att ta emot SLO-requesten och logga ut IdP-sessionen men ej initiera SLO-request till övriga påloggade e-tjänster Bör ha stöd för Identity Provider Discovery Service Protocol Profile (IdPDisco) Ska ha stöd för subjectconfirmation method (bearer, sendervouches) samt den timer som kan sättas i detta element (tiden som en klient har på sig att etablera en SP-session med uppvisat intyg) Ska kontrollera att IdP ns <saml2:subjectconfirmationdata InResponseTo=> motsvarar SP:ns <samlp:authnrequest ID> Bör undvika beroende till funktioner i Net id som är beroende av programvarans konfiguration på klienten. Ett sådant exempel är Net id plugin. Eventuella avsteg ska godkännas genom ett AB av arkitekturledningen Bör ha automatisk avslut av e-tjänsten vid inaktivitet, ex >15 minuter. Ett sådant avslut ska ej resultera i en SLO request Sid 9/11

Ska minst utföra behörighetskontroll utifrån de behörighetsstyrande attribut som är specificerade i Sambi SAML-profile [R5] och relevanta för e-tjänsten Ska EJ signera inloggningsbegäran (signed request) till IdP n Ska föra logg över in- och utloggningar (minst: vem, när, inloggningsmetod, utloggning/avslut) Tester För att säkerställa e-tjänsten (SP) säkerhet så rekommenderas bl.a: https://kantarainitiative.org/confluence/display/certification/saml+2.0+full+matrix+test+eve nt Framförallt om e-tjänsten är en nyutvecklad SAML-implementation Validering, härdning och penetrationstest av SP-funktion och tillhörande applikation, utförs lämpligen genom en oberoende testpartner. Referenslista Ref Dokumentnamn Dokument R1 Uppdrag - Hantering av säkerhetsaspekter vid inloggning med SITHS-kort https://service.projectplace.com/pp/pp. cgi/r972092951 R2 Rapport Säkerhetsproblem - SSO 2013-09-12 https://service.projectplace.com/pp/pp. cgi/r972016424 R3 R4 Anvisningar för klientdator som används vid inloggning med smarta kort/certifikat Anvisnngar för användare vid användandet av e-tjänster https://service.projectplace.com/pp/pp. cgi/r972049979 https://service.projectplace.com/pp/pp. cgi/r972046595 R5 SAMBI SAML profile http:///documents/tjanster_ PROJEKT/Sakerhetstjanster/Autentisering /sakerhetstjanster_sambi_saml_profil_1. 03.pdf R6 SSL/TLS http://en.wikipedia.org/wiki/transport_ Layer_Security R7 Open SAML https://wiki.shibboleth.net/confluence/ display/opensaml/home R8 Security Assertion Markup Language (SAML) V2.0 Technical Overview https://www.oasisopen.org/committees/download.php/27819/ sstc-saml-tech-overview-2.0-cd-02.pdf R9 A BREACH beyond CRIME http://breachattack.com/ R10 Testing for XML Injection (OWASP-DV- 008) https://www.owasp.org/index.php/testing _for_xml_injection_(owasp-dv-008) R11 On Breaking SAML: Be Whoever You https://www.usenix.org/system/files/con ference/usenixsecurity12/sec12- Sid 10/11

Want to Be final91.pdf Sid 11/11

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss