Hur bygger vi SSO-lösningar utan att påverka IT-infrastrukturen? 2011-11-07 Tommy Almström Product Manager www.nordicedge.se/talmstrom
Dagens mest aktuella fråga: Hur många konton samt lösenord har du? 7 : 1 5 : 5 30 : 2 60 : 60
Kan vi ignorera verkligheten?
vs
Olika förutsättningar beroende på plats Användare Internet Single Sign On? Brandvägg Användare BYOD? (Bring Your Own Device)
Framtid som snart är här? Användare Gateway Nivå av Hllförlitlighet X Applikation
Var står vi? Vart är vi på väg? Bloggtoppen.se Webex Office 365 HR andcar19 #&$isbest ac192211 #&$isbest 192211-ac #&$isbest Firewall Internet? - - Fokus flysas utanför egen miljö - Olika användarnamn - Samma lösenord för flera tjänster? Vad skyddar brandväggen? ServiceDesk Username = carls + Password = #&$isbest Username = carlsson + Password = #&$isbest User Kerberos/ NTLM Outlook, SharePoint, IIS
Utmaningar Bloggtoppen.se andcar19 #&$isbest 2FA Utmaningar: Webex Office 365 ac192211 #&$isbest 192211-ac #&$isbest 2FA 2FA Internet - Säkerhet - AdministraHon - Single Sign On? Firewall 2FA HR ServiceDesk Username = carls + Password = #&$isbest Username = carlsson + Password = #&$isbest User Kerberos/ NTLM Outlook, SharePoint, IIS
Utmaningar som måste lösas Federation Autentisering mellan parter över Internet User Provisioning Automatisk användaradministration Secure Login Hög säkerhet vid inloggning 2FA Single Sign-On Enklare för slutanvändaren
Utmaningar som måste lösas Auktorisation (godkännande) är den funktionalitet som anger åtkomsträttigheter till resurser, vilket är relaterat till informationssäkerhet och datasäkerhet i allmänhet och åtkomstkontroll i synnerhet.
Exempel från verkligheten 12 till 1
Regionförbundet i Kalmar med Landstinget Dessa bilder beskriver federationslösningen hos Landstinget i Kalmar. För tillfället endast tillgängligt för medlemmar i Regionförbundet i Kalmar Lösningen möjliggör inloggning för externa användare till interna resurser som publiceras genom Citrix. Förenklar användaradministration kombinerat med hög säkerhet och automatiserade processer. 16
LandsHnget i Kalmar - Externa användare skall ha tillgång till system/applikationer internt hos landstinget t.ex. patientsystemet Cosmic Link. Lösningen skall stödja stark autentisering samt automatiserade processer för användaradministration så långt som möjligt. SP ex. Extern användare Kommun X Endast medlemmar från Regionförbundet Kalmar (12 kommuner) Cosmic Patientsystem Extern användare skall endast behöva ha tillgång till en webbläsare samt sitt SITHS kort!
LandsHnget i Kalmar Externa användare måste autentisera sig starkt med SITHS kort. ex. De två godkända inloggningsmetoderna är: - Federationsinloggning med SAML*, där landstinget agerar som en tjänsteleverantör (Service Provider) - Direkt med SITHS kort. SAML kräver att kommunen har infrastruktur som tillåter agerande som (Identity Provider) Nordic Edge Certifikat & Federationstjänst SAML/CerHfikat SP Extern användare Kommun X Endast medlemmar från Regionförbundet Kalmar (12 kommuner) *Security Assertion Markup Language
LandsHnget i Kalmar Cosmic Link publiceras genom en Citrix miljö. En användare måste existera i både Cosmic Link samt Active Directory med nödvändiga behörigheter. Citrix Netscaler Nordic Edge Certifikat & Federationstjänst SAML/Certifikat SP ex. Extern användare Kommun X Endast medlemmar från Regionförbundet Kalmar (12 kommuner) Citrix Cosmic Patientsystem AD
LandsHnget i Kalmar Vid inloggning kontrolleras att användare kommer från en medlem i Regionförbundet i Kalmar! ex. Extern användare SITHS kort verifieras att det är giltigt och sedan kontrolleras om användaren existerar i interna miljöer genom anrop till provisioneringstjänsten. Nordic Edge Certifikat & Federationstjänst SAML/Certifikat SP Kommun X Endast medlemmar från Regionförbundet Kalmar (12 kommuner) Web Service AD LDAPS Nordic Edge Automatic Account Manager
LandsHnget i Kalmar Om användaren inte existerar i landstingets interna miljöer så skapas ett unikt konto i AD med en kombination av information från SITHS kort samt att ytterligare information från HSA katalogen och adderas till det nyskapade kontot. Nordic Edge Certifikat & Federationstjänst SAML/Certifikat SP ex. Extern användare Kommun X Endast medlemmar från Regionförbundet Kalmar (12 kommuner) LDAPS AD LDAPS Nordic Edge Automatic Account Manager LDAPS HSA Katalogen Tillför ny information till konto i Active Directory Verifiera och hämta information från HSA
LandsHnget i Kalmar Kontot får ett antal behörigheter samt sätts till aktivt i 24 timmar vid varje inloggning. ex. När kontot är klart meddelas federationstjänsten och användaren skickas vidare till Citrix Netscaler som ger access med Single Sign On till den publicerade applikationen. Citrix Netscaler Nordic Edge Certifikat & Federationstjänst SAML/Certifikat SP Extern användare Kommun X Endast medlemmar från Regionförbundet Kalmar (12 kommuner) Citrix Web Service Cosmic Patientsystem AD LDAPS Nordic Edge Automatic Account Manager
Exempel från verkligheten många till många
Opacus Broker lösning - Översikt Salesforce Abc (Post) Xyz (Basic Auth) - Provisioning - AuthenHcaHon SAML SP NERP Broker BankID, Nordea, Telia, SITHS Central ID Store ID mapping User Provisioning Broker SP OTP UP Provisioning UP Provisioning Cust. X Cust. Y