Tekniska möjligheter att förenhetliga inloggning med öppna standarder och gränssnitt UBISECURE SOLUTIONS, INC.
Agenda Ubisecure vem vi är Allmänna problembeskrivningar varför federera? Lösningar och nyttor med en federationstjänst vad är det? Om integritetsskydd hur gör man det rätt? Demo federerad access till e-läromedel hur gör man det enkelt?
Company Profile IAM solutions for the business ecosystem HQ in Finland, with sales office in Sweden 100+ installations at corporations and public organizations Revenues 2012: EUR 1,5 million and profitable 20+ internal professionals plus network of 150 integrators Strong IPR portfolio and active standardization in IAM-industry 78% of all companies and 40% of all citizens in Finland use Ubisecure every month 123 million authentications cumulatively
Kunder och referenser i olika segment Offentliga sektorn Industri, handel och service Finans och försäkring Folkpensionsanstalten
Svenska motsvarigheter till nyckelreferenserna Finance/ Insurance Retail Services Energy Authorities Municipalities Gaming Facility Services
Agenda Ubisecure vem vi är Allmänna problembeskrivningar varför federera? Lösningar och nyttor med en federationstjänst vad är det? Om integritetsskydd hur gör man det rätt? Demo federerad access till e-läromedel hur gör man det enkelt?
Varför federera 21 landsting 290 kommuner (11 186 företag) Stockholm 96 721 integrationer 21 landsting 290 kommuner (11 186 företag) Uppsala Skåne SMI Västra Götaland Östergötaland Kommuner och landsting har interna portaler och externa tjänster Interna portaler nås med användarkonton som kommuner och landsting själva administrerar Externa tjänsterna nås med konton som andra kommuner och landsting, eller tjänsteleverantör administrerar, tom. 30 olika Extranät Användarhanteringen hakar upp sig, det uppstår dolda kostnader, informationen blir opålitlig, integriteten kan lida
En federation användervänlig, kostnadseffektiv, säker 21 landsting 290 kommuner (11 186 företag) Stockholm Skåne 311 integrationer Federation 21 landsting 290 kommuner (11 186 företag) Uppsala SMI Västra Götaland Östergötaland En federation som ger kommuner och landsting åtkomst till tjänster med deras egna användarkonton Färdiga tekniska standarder, federationsavtal och regelverk av SIS.SE sköter löpande verksamhet som drift, kundtjänst, metadata Exempel Skolfederationen, SAMBI, SWAMID, etc.
Problembeskrivning: Anslutning till en federation 21 landsting 290 kommuner (11 186 företag) IdP 21 landsting 290 kommuner (11 186 företag) Läkare, skötare Lärare, elever IDP? Patientjournal E-läromedel Register Register Katalog Kommunen vill ansluta sig till SAMBI och Skolfederationen Federationerna kräver stöd för saml2int profilen samt mappning av attribut och kontinuerlig uppdatering av metadata Kräver inställningar, konfigurering, Powershell scripting och anpassningar, vilket kan vara arbetsdrygt som projekt och i drift Kommuner vill dessutom begränsa tillgången till attribut per tjänsteleverantör enligt avtal
Agenda Ubisecure vem vi är Allmänna problembeskrivningar varför federera? Lösningar och nyttor med en federationstjänst vad är det? Om integritetsskydd hur gör man det rätt? Demo federerad access till e-läromedel hur gör man det enkelt?
Lösning: Federation som tjänst 21 landsting 290 kommuner (11 186 företag) IdP 21 landsting 290 kommuner (11 186 företag) Läkare, skötare Lärare, elever IDP Federationsanslutning som tjänst Patientjournal E-läromedel Register Register Katalog Kommunen kan ansluta sitt existerande system till federationerna över en tjänst, ingen ny programvara behövs Kommunen utbyter endast metadata med tjänsten och beaktar federationens avtal i sin katalog Tjänsten sköter om konvertering av profiler och attribut samt uppdatering av metadata Kommunen får automatiskt tillgång till federationens nya egenskaper som tillitsnivåer, anvisning, single-log-out, mm.
Nyttorna med en federationstjänst 21 landsting 290 kommuner (11 186 företag) IdP SP 21 landsting 290 kommuner (11 186 företag) Stockholm Skåne Västra Götaland Win SSO SAML AAD Federationsanslutning som tjänst WSF SAML IIS Filter Uppsala SMI Östergötaland Kommuner och landsting kan ansluta sig den teknologi de har och behärskar - IdP Tjänsteleverantörerna ansluter sig med sin befintliga teknologi - SP
Ubisecure Identity Broker Engine i centrum av tjänsten Autentiseringskällor Identity Broker Engine Validering Mapping av attribut Berikning av attribut Identitetskapning Sessionshantering Mapping till grupp Auktorisering Ålder över 16 Kön Personnummer SQL SQL Active Directory Active Directory REST Metakataloger
Ubisecure Identity Broker Engine i centrum av tjänsten Exempel på mapping av SWAMID och SAMBI attribut T.ex. en forskare som ska ha access till en databas
Nyttorna med en federationstjänst Utan federation Federationsprojekt Federationstjänst Olika användarkonton Nya lösenord Nya grupper Tjänsteleverantörers policyn Dolda kostnader HEAVY Konsulteringsdagar Servrar och programvara Metadata Profiler Uppdateringar Drift Teknik som tjänst Enkel anslutning Alltid upp-to-date 400 tkr per år HEAVY 140 tkr projekt 50 tkr per år Tjänst 59 tkr per år
Agenda Ubisecure vem vi är Allmänna problembeskrivningar varför federera? Lösningar och nyttor med en federationstjänst vad är det? Om integritetsskydd hur gör man det rätt? Demo federerad access till e-läromedel hur gör man det enkelt?
Integritetsfråga: Anslutning till Skolfederationen Användargrupper Intern IdP Skolfederation.se Lärare Elever Elevregister IDP Katalog Vilka attribut? Liber Online Kräver inte ålder Gleerups Kräver ålder Learnify Kommunen vill ansluta sig till Skolfederationen för single-sign-on till olika e-läromedel Vill begränsa tillgången till attribut per tjänsteleverantör enligt avtal med tjänsteleverantör
Skolfederationens attribut Basattribut name-id Utökade attribut adress, box, postnummer, postort, land organisation årskurs Standardattribut persistent id förnamn efternamn visat namn telefon mobil födelsedatum kön personnummer vårdnadshavare skolhuvudman (orgnummer) skolenhet (SCB-kod) kursgrupper och klass roll
Lösning 1: Minimum attribut och queries Användargrupper Extern IdP Skolfederation.se Lärare Elever IDP Minimum attribut Liber Online Gleerups Elevregister Katalog Query Learnify En minimimängd attribut skickas till tjänsteleverantören, som ber om attribut via en AD/SQL/LDAP/REST query Kräver integrationer mellan tjänsteleverantörer och kataloger Kommunerna borde enas om ett standardgränssnitt Kan kräva personnummer som nyckel till kataloger
Lösning 2: SAML-biljett editering Användargrupper Extern IdP Skolfederation.se Lärare Elever IDP Olika attribut Liber Online Gleerups Elevregister Katalog Learnify SAML-biljett editering: kommunen definierar per tjänsteleverantör vilka attribut skickas ut med SAML-biljetten Editeringen av SAML-biljetter kan ske med en del IDP lösningar Kräver ingen integrationer mellan tjänsteleverantörer och kataloger Single-sign-on lider inte, vid behov återvänder sessionen till IdP:n för att hämta nya attribut utan att användren ens ser det
Lösning 2: Exempel på SAML-ticket editering Kommunen ser en lista med tjänsteleverantörer
Lösning 2: Exempel på SAML-ticket editering Kommunen kan editera attributen som går ut till Gleerups
Agenda Ubisecure vem vi är Allmänna problembeskrivningar varför federera? Lösningar och nyttor med en federationstjänst vad är det? Om integritetsskydd hur gör man det rätt? Demo federerad access till e-läromedel hur gör man det enkelt?
Lösning: Skolfederationstjänst i Azure Skolhuvudman Extern IdP Azure tjänst Skolfederation.se Lärare Elever O365 AAD Azure tjänst Liber Online Kräver inte ålder Gleerups Kräver ålder Learnify Kommunens lärare och elever med O365 konton får automatiskt tillgång till Skolfederationens tjänster över en Azure tjänst Kommunens O365 admin aktiverar tjänsten i Azure, ingen programvara krävs Tjänsten sköter om konvertering av profiler och attribut samt uppdatering av metadata Kommunen får automatiskt tillgång till federationens nya egenskaper som tillitsnivåer, anvisning, single-log-out, mm.
Demonstratörer: Skolfederation.se tjänst i Azure 1. Anslutning till Skolfederationen 2. Inloggning på Liber Online Anna Admin ansluter Kulskola till Skolfederationen Sven loggar in på Liber Online hemifrån för att göra sin matteläxa Anslutningen sker automatiskt med Ubisecures Skolfederation.se tjänst (hade Sven varit på skolan hade ingen autentisering krävts)
Demo 1: Inbjudan till Anna Admin Inbjudan per e-mail, QR kod eller länk på webben http://g.microsoftonline.com/0ax00en/172? ClientID=4ede6426-4912-405d-a576-97793113826c (kräver Azure AD admin konto)
Demo 1: Aktivering som Anna Admin Anna Admin är kommunens Azure AD admin Hon loggar in på sitt admin konto för Azure
Demo 1: Aktivering som Anna Admin Anna Admin aktiverar Ubisecures tjänst för Skolfederation.se Tjänsten kan läsa användaruppgifter på AAD och kan skicka dem vidare i Skolfederationens format Kan vi ändra på default disclaimern?
Demo 1: Välkomstsida för Anna Admin Anna Admin välkomnas till tjänsten Anna kan använda färdig länkar för att bjuda in elever Anna kan testa att allt fungerar
Demo 1: Verifiering av Anna Admin Anna Admin kan verifiera att tjänsten fungerar på Azure AD
Demo 1: Sammanfattning Skolhuvudman Tjänsteleverantör Klickar länken 2 1 Sänder inbjudan Accepterar tjänsten 3 1 2 3 och kommunen är med i Skolfderation.se
Demo 2: Inloggning på Liber Online Sven ska in på Liber Online och göra sin matteläxa Sven väljer att logga in med sitt O365 konto
Demo 2: Inloggning på Liber Online Sven omdirigeras automatiskt till O365 för inloggning
Demo 2: Inloggning på Liber Online Sven loggar in på O365
Demo 2: Inloggning på Liber Online Sven skickas automatiskt vidare och får tillgång till Liber Online Sven gör sin matteläxa
Demo 2: Sammanfattning Elev Tjänsteleverantör Går på Liber 1 Väljer 2 inloggning 3 Loggar in på O365 1 2 3 och Sven är inloggad på Liber Online
THANK YOU FOR YOUR INTEREST. THANK YOU! PLEASE CONTACT US AT: Ubisecure Solutions, Inc. www.ubisecure.com <firstname.lastname>@ubisecure.com FINLAND: SWEDEN: Tekniikantie 14 WTC, Klarabergsviadukten 70, Box 70396 FIN-02150 Espoo S-10724 Stockholm tel. +358-9-2517 7250 fax +358-9-2517 7070 Registered in Espoo, Finland reg. nr. FI1748721-4 Ubisecure paves the way for a smoother and safer Internet. Ubisecure software products enable new online business concepts and speed the growth of existing web-based operations by joining separate sites and services into larger trusted areas. The innovative products allow internet users to flexibly and securely move between online services without encountering repeated login prompts. Ubisecure maintains an extensive network of partners that offer organizations advice, consulting and technical services; and provides high-level training in secure online business through the widely appreciated Ubisecure IAM Academy. Founded in 2002 in Finland, Ubisecure Solutions Inc. is a pioneering provider of standardized identity and access management solutions. For more information, please visit www.ubisecure.com. Identify and Authorize. Enable secure business. www.ubisecure.com Copyright Ubisecure Solutions, Inc. All rights reserved.
UBISECURE SSO Authentication Methods UBISECURE SSO UBISECURE Trust Username + password One-Time Passwords Operator services, SMSauthentication and others Certificates, smartcards and tokens Banks ID-services Federated and other OTP Printout 2316 5387 9899 4278 3320 8987 6539 8498 9848 2456 SMS SAML Mobile OTP *) WS-Federation Active Directory *) *) *) *) LDAP Biometric *) *) SQL CallSign RFID *) *) *) Possible to use. Not readily available as Ubisecure SSO option.
Ubisecure SSO Out-of-the-box Integration to Your Services * *) Examples of existing integrations, not an all inclusive list
The CustomerID external identity lifecycle process UBISECURE CustomerID WebServices Active Directory SQL 1 2 3 Initial registration: Self-service and/or Delegated entry of basic info Identity verification against selected Id-provider Identity enrichment using internal or external attribute services/silos Identity life-cycle management: Self-service and/or Delegated
Case: Federated Access to Insurance Company THE CHALLENGES THE SOLUTION THE BENEFITS How to improve the customer experience and satisfaction Facilitate strong user auth. to Microsoft SharePoint based portal Easier new customer acquisition Ubisecure SSO to deliver standards based end user authentication linking to the local user identity providers Ubisecure Trust to build a federation link to Etera (resale) partner, Danske Bank Etera can offer all the relevant authentication methods for end users Switch on configuration of new authentication methods Single sign-on from Danske Bank network to Eteral services PENSION INSURANCE & INVESTMENT Online Services UBISECURE SSO UBISECURE Trust IDENTITY FEDERATION EXTERNAL AUTHENTICATION SERVICES: PKI AND BANK ID Already customers New accounts Strong authentication for end users
Case Retail: The Largest Retail Chain in Finland THE CHALLENGES THE SOLUTION THE BENEFITS User authentication Security with Ease of use Identity provisioning and role-based access Authentication, SSO and Federation w External AuthN Delegated Identity management Role-Based Access Control Centralized deployment of Strong Authentication alternatives Low threshold to use secure services New business concepts multiplying inflow of users RETAIL COMPANY CORPORATE IDP EXTERNAL AUTHENTICATION SERVICES MULTIPLE CORPORATE PORTALS AND SERVICES Loyalty Portal Intranet Portal Extranet Portal UBISECURE SSO Thousands of external identities Millions of end-users (customers)
Case Energy: Major Municipal Energy Company in Finland THE CHALLENGES THE SOLUTION THE BENEFITS User authentication Security with Ease of use Identity provisioning and role-based access Authentication and SSO w External AuthN Automated Identity provisioning Role-Based Access Control Easy self-registration and self-management Efficient deployment of Strong Authentication alternatives Low threshold to use secure services MULTIPLE CORPORATE PORTALS AND SERVICES ENERGY COMPANY Subcontractor s Intranet Portal Extranet Portal CORPORATE IDP UBISECURE SSO UBISECURE CustomerID Thousands of external identities 100 000 end-users (customers) EXTERNAL AUTHENTICATION SERVICES
Case Insurance: Leading Insurance Company in Finland THE CHALLENGES THE SOLUTION THE BENEFITS User authentication Security with Ease of use Identity provisioning and role-based access Corporate Authentication and Federation w External AuthN Automated Identity provisioning Delegated and automated Identity provisioning Fast deployment of Strong Authentication alternatives Low threshold to use secure services New business concepts multiplying inflow of users MULTIPLE CORPORATE PORTALS AND SERVICES INSURANCE COMPANY Main Customer Portal Extranet Portal CORPORATE IDP UBISECURE SSO UBISECURE CustomerID Thousands of external identities A million end-users (customers) EXTERNAL AUTHENTICATION SERVICES
Go-to-Market Strategy UBISECURE IAM Academy Partner Program Sales & Value Add Partners Technology & Content Partners Medium to large Enterprises and Government Organizations
The Competitive Offering Landscape Business focused IAM UBISECURE Focused on internal users identities Focused on Customer and partner IAM IT and security focused IAM