Anvisningar e-tjänster. Anvisningar och rekommendationer för e-tjänster i samverkan SAML & SSO

Relevanta dokument
Anvisningar e-tjänster. Anvisningar och rekommendationer för e-tjänster i samverkan SAML & SSO

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Mobilt Efos och ny metod för stark autentisering

Mobilt Efos och ny metod för stark autentisering

Mobilt Efos och ny metod för stark autentisering

BILAGA 2 Tekniska krav Version 0.81

Anvisningar för klientdator vid inloggning med certifikat på smarta kort

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

Kravunderlag inom området Identitet och Åtkomst

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Tekniskt ramverk för Svensk e-legitimation

Apotekens Service. federationsmodell

Underlag till möte om Sambis testbädd och pilotverksamhet

PhenixID & Inera referensarkitektur. Product Manager

Tekniskt ramverk för Svensk e- legitimation

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

SAMBI SAML Profil. Samverkan för Behörighet och Identitet inom hälsa, vård och omsorg

Checklista för tekniskt ansvarig

Testning av Sambi. Testplan. Version PA5. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Instruktion för integration mot CAS

BILAGA 1 Definitioner

RIV Tekniska Anvisningar Kryptografi. Version ARK_

BILAGA 1 Tekniska krav Version 1.0

BILAGA 1 Definitioner

BILAGA 1 Definitioner Version: 2.01

Användarhandbok. Nationella Säkerhetstjänster 2.8

Cipher Suites. Rekommendationer om transportkryptering i e-tjänster

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Användarhandbok. Nationella Säkerhetstjänster 2.2

tisdag 8 november 11

Systemkrav. Åtkomst till Pascal

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Datum: Version: Författare: Christina Danielsson Senast ändrad:

Krav på säker autentisering över öppna nät

Termer och begrepp. Identifieringstjänst SITHS

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

BILAGA 1 Definitioner Version: 2.02

BILAGA 1 Tekniska krav

Termer och begrepp. Identifieringstjänst SITHS

Sammanfattning och specifikationer för POT

Systemadministration. Webcert Fråga/Svar

Filleveranser till VINN och KRITA

Byta bort SITHS-cert i frontend

BILAGA 3 Tillitsramverk Version: 2.1

Anteckningar från möte om Sambis testbädd och pilotverksamhet

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

Kerberos baserad Single Sign On, tillämpningsexempel

Manual inloggning Svevac

Elevlegitimation ett konkret initiativ.

Hur kan medborgaren få bättre vård?

Vägledning för implementering av AD-inloggning med SITHS-kort

Referensarkitektur för Identitet och åtkomst Per Mützell, Inera

BILAGA 3 Tillitsramverk Version: 1.3

Manual - Inloggning. Svevac

Introduktion till SAML federation

E-legitimationsdagen dag 2. En översikt av eidas-arkitekturen och E-legitimationsnämndens erbjudande

Systemkrav och rekommendationer. Åtkomst till Pascal

ehälsomyndighetens nya säkerhetslösning

till Säkerhetstjänster x

Manual - Inloggning. Svevac

Att legitimera sig elektroniskt i tjänsten

RF Kalmar SYSTEMDOKUMENTATION IDP HULTSFRED. Beställare: RF Kalmar. Version:

Tillit och användbarhet med Skolfederation

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

Portförändringar. Säkerhetstjänster 2.1 och framåt

Felmeddelande - inloggning till Pascal

torsdag 17 oktober 13 IT's a promise

Innehållsförteckning. Logga in med etjänstekort i Infektionsregistret 3. Installation av kortläsare till e-tjänstekort 3

Manual - Inloggning. Svevac

Instruktioner för inloggning med e-tjänstekort till 3C/Comporto samt installation av kortläsare till e- tjänstekort

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga A. Tekniska ramverk. Version: 1.0

Policy Underskriftstjänst Svensk e-legitimation

E-legitimationsnämndens legitimeringstjänster för test

Manual - Inloggning. Webbadress: Webbadress demoversion: (användarnamn: demo / lösenord: demo)

BILAGA 2 Tekniska krav Version 1.3

Teknisk Anslutningsguide Efos Server

Användarhandbok för Linux

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS?

BILAGA 3 Tillitsramverk

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Identitetsfederationer

Anteckningar från möte om Sambis testbädd och pilotverksamhet

Internetstiftelsen i Sverige.

MVK SSO 2.0 Mina vårdkontakter

Rekommendationer teknisk lösning_samsa_ ver

Federerad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation.

Finns SSO på riktigt?

E-legitimationsdagen

BILAGA 3 Tillitsramverk Version: 2.02

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga A. Tekniska ramverk. Version: 3.0

Frågor och svar. Frågor kring åtkomstlösning

SITHS inloggning i AD

EFOS-dagen, Lanseringsplan. 26 September 2018

Infrastruktur med möjligheter E-identitet för offentlig sektor (Efos)

Teknisk guide för brevlådeoperatörer. Annika Melin Version: 1.1

Regionförbundet i Kalmar Län. Barnhälsodatapiloten - Slutrapport Bilaga

XML-produkter. -Registret över verkliga huvudmän (RVH) Teknisk handledning för webbtjänst mot RVH (Web Services) Datum: Version: 1.

Transkript:

Anvisningar och rekommendationer för e-tjänster i samverkan SAML & SSO

Innehåll Målgrupp... 2 Revisionshistorik... 2 Sammanfattning... 4 Användarens ansvar... 4 e-arbetsplatsens ansvar... 4 IdP n ansvar... 4 e-tjänstens ansvar... 4 Inledning... 5 Syfte... 5 Bakgrund... 5 Avgränsningar... 5 Förutsättningar... 6 Tillit... 6 SSO, Single Sign On... 6 SLO, Single Logout... 7 Övriga förutsättningar... 7 Krav på e-tjänsten... 9 Krav... 9 Användardialoger... 9 e-tjänsten... 9 Tester... 11 Referenslista... 11 Sid 1/11

Målgrupp Målgruppen för detta dokument är utvecklare och förvaltare av e-tjänster som samverkar i en SAML SSO-miljö. Primärt för Inera s e-tjänster som samverkar med Säkerhetstjänsternas SSO-miljö. Revisionshistorik Version Datum Författare Kommentar 0.1 2013-12-11 Första utgåva 0.2 2013-12-14 Justeringar & tillägg om bl.a SLO och dubbelriktad SSL 0.9 2013-12-15 Lagt till sammanfattning och justeringar efter synpunkter 0.9A 2013-12-23 Justerad och fastlagd efter kommentarer från Christoffer Johansson 0.91 2014-01-23 Justerad efter remissomgång 1.0 2014-02-03 Slutjusterad efter input från programstyrgrupp infrastruktur och Per Mützel 2.0 2014-03-19 Infört anvisningar för Single logout, Signed request samt timeout 2.1 2014-03-28 Testjusteringar efter slutsatser i Arkitekturrådet 2014-03-26 2.2 Daniel Petersson Borttag av SSL och uppdatering av referenser Sid 2/11

Bidragande till detta dokument har varit (alfabetisk ordning): Namn Organisation/Företag Björn Gustavsson Christoffer Johansson Conny Balazs Jonas Öholm Magnus Hoflin Per Mützell Roger Öberg Ulf Palmgren Inera AB Inera AB Certezza AB SecMaker AB Truzzt AB Alcesys AB CGI Cesam Sid 3/11

Sammanfattning Den sammantagna säkerheten i en Single Sign On-miljö (SSO) hänger på att alla medverkande parter uppfyller kraven, så att tillit till ingående parter uppnås. Parterna är: Användaren (aktören) E-Arbetsplatsen (PC etc) Identitetsutfärdaren (IdP n) e-tjänsten (applikationen, SP n) Användarens ansvar Är att följa lagar & föreskrifter som är applicerbara inom e-tjänstens användningsområde Tillse att ingen obehörig har åtkomst till inloggad e-tjänsten. Vilket t.ex innebär skyldighet att logga ut & stänga e-tjänsten då e-arbetsplatsen lämnas obevakad. e-arbetsplatsens ansvar Är att tillse att kommunikationen med e-tjänsten samt IdP n sker med förväntad säkerhet. För att detta ska kunna uppfyllas krävs att den är rätt konfigurerad och har erforderlig programvara installerad och uppdaterad IdP n ansvar Är att identifiera och autentisera en användare och utställa ett identitetsintyg (SAMLbiljett) till de applikationer som aktören avser att nyttja e-tjänstens ansvar Är att validera riktigheten i identitetsintyget (SAML-biljetten) och utifrån dess behörighetsstyrande attribut tilldela/neka tillgång till funktioner inom e-tjänsten. Sid 4/11

Inledning Syfte Syftet med detta dokument är att klargöra minimikrav på de e-tjänster som samverkar i en SAML SSO-miljö så att förväntad säkerhet uppnås i de samverkande miljöerna. Detta gäller både de e-tjänster som levereras från Inera och andra e-tjänster som nyttjar Inera s infrastrukturtjänster. Bakgrund Detta dokument är ett av tre dokument som levereras såsom en leverans av uppdraget: Uppdrag - Hantering av säkerhetsaspekter vid inloggning med SITHS-kort som i sin tur har sitt ursprung av de incidentrapporter Inera-INC-22948 och Inera-INC-22953 som inkom till Ineras servicedesk under september 2013 och resulterade i en rapport: Rapport Säkerhetsproblem - SSO 2013-09-12. De två andra dokumenten som uppdraget levererar är: Anvisningar för e-arbetsplats som används vid inloggning med smarta kort/certifikat [R1] Anvisningar för användare vid användandet av e-tjänster [R2] Uppdraget skall således hantera anvisningar & krav på följande delar: e-arbetsplatsen användarens arbetsstation e-tjänsten den applikation som användaren nyttjar Användarens ansvar och skyldigheter Avgränsningar Detta dokument hanterar endast krav och riktlinjer på e-tjänster. Krav på e-arbetsplatsen och användare beskrivs i andra dokument [R1, R2]. Dokumentet har ej heller ambitionen att vara heltäckande vad gäller parametersättningar, konfigureringar etc utan det förutsetts att en leverantör av en e-tjänst (SP) har nödvändiga kunskaper i SAML, SSO, PKI & TLS/SSL, egov2 samt saml2int. Se referens [R3] (SAMBI SAML profile). Sid 5/11

Förutsättningar Ineras leverans Inera kommer inte att leverera en specifik klientprogramvara eller applikation för sina webbaserade e-tjänster. GUI:et realiseras i en web-läsare för de e-tjänster som Inera levererar. Dock ska de krav som ställs på en e-tjänst också kunna uppfyllas av en rik klient. Tillit I en SAML SSO-miljö förutsätts det att det finns en viss form av tillit mellan de samverkande parterna. Parterna är: e-arbetsplatsen (PC-klient etc), inklusive PKI-delen IdP n (Identity Provider) SP (Service Provider, e-tjänsten) Användaren Federationsoperatörer och dess metadata (aktuellt då tjänsterna är med i SAMBI) Varje part har ett beroende till de övriga parterna för att säkerhetskedjan ska fungera enligt förväntan. Brister/fel i en av parterna kan medföra att säkerhetskedjan inte är intakt. När en användare autentiserar sig till IdP n, ex med sitt SITHS-kort, så krävs det att e- Arbetsplatsen är relevant säkerhetspatchad både vad gäller OS, Net id samt webbläsaren för att förväntad funktionalitet och säkerhet ska uppnås. IdP n genomför autentiseringen genom att kräva klientcertifikatsbaserad TLS/SSL baserat på innehavet av certifikat från SITHS. IdP ns challenge signeras av e-arbetsplatsen om användaren kan ange rätt PIN-kod för sitt kort IdP n behöver även tillit till en spärrfunktion (OCSP-tjänst eller spärrlista) för att kontrollera att användarens certifikat (på t.ex SITHS-kort) är giltigt. För att autentiseringen skall bli fullbordad krävs att IdP n har tillgång och tillit till en identitetskälla (ex. HSA-katalogen) för att identifiera användaren och hämta ev behörighetsstyrande egenskaper för användaren. SSO, Single Sign On SSO förutsätter att man som användare har en inloggningssession i IdP n. Dvs har genomfört en godkänd autentisering till IdP n. Sessionstiden i IdP n (den tid man har på sig att logga in i e- Tjänster utan att behöva autentisera sig igen) är konfigurerbar och är i Säkerhetstjänster satt till 60 minuter. Är man inloggad i en IdP så behöver man således inom denna tidsperiod inte ange sin PIN-kod på kortet igen, utan IdP n utfärdar en SAML-biljett till e-tjänsten via webbläsaren. Webbläsaren upprättar då en unik session mellan webbläsaren och e-tjänsten. Denna session lever så länge som användaren är inloggad och aktiv i e-tjänsten. För att avsluta denna session måste användaren aktivt logga ut ur e-tjänsten (eller bli utloggad av e-tjänsten genom Sid 6/11

inaktivitet), alternativt stänga samtliga öppna webbläsare, vilket dock bara avslutar sessionen på klienten. Det är således webbläsaren som tillsammans med e-tjänsten samverkar kring en SSOsession. Det riktlinjer som finns i detta dokument ska inte påverka SSO. Dvs användaren ska inte behöva uppleva en försämring i en pågående arbetssession med krav på extra inloggningar och uppdragsval, SSO ska fungera som förväntat. SLO, Single Logout För att en användare på ett säkert sätt ska kunna avsluta sin användning av en e-tjänst så behöver e-tjänsten ha en logoutfunktion. Denna logoutfunktion skall avsluta användarens session i e-tjänsten samt till inloggningstjänsten (IdP n) skicka en utloggningsbegäran (SAML SLO request). e-tjänstens medverkan i SAML SSO deklareras via SAML metadata. Övriga förutsättningar Följsamhet till SAML2-standarden [R6] Följsamhet till SAMBI SAML profile [R3] Riktlinje för klientdator som används vid inloggning med smarta kort/certifikat [R1] Riktlinjer för användare vid användandet av e-tjänster [R2] Kompabilitet med egov2 samt saml2int (specificerat i SAMBI SAML profile [R3]) Att man möter upp de krav i aktuella tillitsramverk vilka är applicerbara på en SP. För Inera s tjänster kommer detta att innebära SAMBI s tillitsramverk Sid 7/11

Figur 1, SAML SSO (från Wikipedia) Figur 2, SAML SLO Sid 8/11

Krav på e-tjänsten Krav Användardialoger Vid inloggning till e-tjänsten bör tjänsten informera användaren om att den ska logga ut ur tjänsten när den avslutar arbetet Det ska i e-tjänstens grafiska gränssnitt tydligt framgå vem det är som är inloggad Det ska i e-tjänsten finnas en tydlig utloggningsfunktion (logoutknapp/meny). Denna funktion ska stänga sessionen och avsluta applikationen samt initiera en SLO-begäran till IdP n. Lämplig text på en sådan knapp/meny är: Logga ut När användaren loggar ut ska det tydligt visas att sessionen mot tjänsten är avslutad. Om det är en webbapplikation bör användaren även uppmanas om att stänga alla webbläsare. Exempel från Inera s e-post: Du har loggats ut från Outlook Web App. Skydda e- postkontot genom att stänga alla webbläsarfönster Exempel från MVK: Av tekniska skäl måste du stänga webbläsaren helt för att logga ut e-tjänsten Ska använda etablerade ramverk för SAML-implementation, ex Open SAML [R5] Ska använda standardbibliotek för SSL/TLS (Open SSL, RSA BSAFE, MS- CAPI/CryptoAPI etc) Ska använda de senaste versionerna av TLS (helst TLS 1.2) [R4], bl.a beroende på vilka webbläsare man vill supporta Ska säkerställa robusthet mot BREACH/CRIME. Exempelvis genom att undvika TLS & http-komprimering (gzip etc) Se ref [R7] Ska säkerställa att nyckelhanteringen (certifikaten) hanteras säkert och skyddat Bör stänga av dåliga kryptoalgoritmer och versioner av SSL som man inte bör använda. (För mer information, se bilaga 1, SSL/TLS Cipher suites) Se exempel nedan: Exempel på konfigurering i Apache Se: https://httpd.apache.org/docs/2.4/mod/mod_ssl.html Exempel på inställningar i IIS Webserver Se: https://msdn.microsoft.com/sv-se/library/dn786418(v=ws.11).aspx Sid 9/11

Ska tillse att klockorna är synkroniserade med IdP n. Bl.a viktigt för validering av SAML-biljettens giltighet. Exempelvis genom en publik NTP-referens SAML-biljetten ska valideras. Framförallt vad gäller giltighet och signatur Ska ha "replay detection" för att man inte ska kunna återanvända en SAML-biljett Ska ha en XML-parser som är säkerställd mot XML injection [R8] samt XML signature wrapping attack (XSW) [R9] Bör ha stöd för LoA-filtrering istället för enbart autentiseringscontext (dvs. att SP:n kräver en viss LoA-nivå i SAML respons istället för autentiseringsmetod) urn:sambi:names:attribute:levelofassurance Ska ha stöd för Single Logout (både IdP-initierad och SP-initierad) För de e-tjänster som av speciella undantagsskäl ej är lämpliga att medverka i SLO så ska detta hanteras genom explicit hantering via metadata. SLO förväntas hanteras via front channel. Bör ha stöd för Identity Provider Discovery Service Protocol Profile (IdPDisco) Ska ha stöd för subjectconfirmation method (bearer, sendervouches) samt den timer som kan sättas i detta element (tiden som en klient har på sig att etablera en SP-session med uppvisat intyg) Ska kontrollera att IdP ns <saml2:subjectconfirmationdata InResponseTo=> motsvarar SP:ns <samlp:authnrequest ID> Bör undvika beroende till funktioner i Net id som är beroende av programvarans konfiguration på klienten. Ett sådant exempel är Net id plugin. Eventuella avsteg ska godkännas genom ett AB av arkitekturledningen Bör ha automatisk avslut av e-tjänsten vid inaktivitet, ex >15 minuter. Ett sådant avslut ska ej resultera i en SLO request Ska minst utföra behörighetskontroll utifrån de behörighetsstyrande attribut som är specificerade i Sambi SAML-profile [R3] och relevanta för e-tjänsten Ska EJ signera inloggningsbegäran (signed request) till IdP n Ska föra logg över in- och utloggningar (minst: vem, när, inloggningsmetod, utloggning/avslut) Sid 10/11

Tester För att säkerställa e-tjänsten (SP) säkerhet så rekommenderas bl.a: https://kantarainitiative.org/confluence/display/certification/saml+2.0+full+matrix+test+eve nt Framförallt om e-tjänsten är en nyutvecklad SAML-implementation Validering, härdning och penetrationstest av SP-funktion och tillhörande applikation, utförs lämpligen genom en oberoende testpartner. Referenslista Ref Dokumentnamn Dokument R1 R2 Anvisningar för klientdator som används vid inloggning med smarta kort/certifikat Anvisnngar för användare vid användandet av e-tjänster https:///globalassets/tjans ter/sakerhetstjanster/dokument/anvisnin gar-single-signon/anvisningar_for_klientdator_vid_inlo ggning_med_certifikat_pa_smarta_kort_v_ 1_1.pdf https:///globalassets/tjans ter/sakerhetstjanster/dokument/anvisnin gar-single-signon/anvisningar_anvandare_av_e_tjanster_ v_1_0.pdf R3 SAMBI SAML profile https://confluence.cgiostersund.se/disp lay/st/saml+profil R4 SSL/TLS http://en.wikipedia.org/wiki/transport_ Layer_Security R5 Open SAML https://wiki.shibboleth.net/confluence/ display/opensaml/home R6 Security Assertion Markup Language (SAML) V2.0 Technical Overview https://www.oasisopen.org/committees/download.php/27819/ sstc-saml-tech-overview-2.0-cd-02.pdf R7 A BREACH beyond CRIME http://breachattack.com/ R8 R9 Testing for XML Injection (OWASP-DV- 008) On Breaking SAML: Be Whoever You Want to Be https://www.owasp.org/index.php/testing _for_xml_injection_(owasp-dv-008) https://www.usenix.org/system/files/con ference/usenixsecurity12/sec12- final91.pdf Sid 11/11

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss