Federering i praktiken
IT-forum Stockholms län 26 kommuner + Gotland och Stockholms läns landsting 2,1 miljoner invånare
Byggstenar för samverkan Informationsklassning Autentisering Katalogsamverkan Identitetsfederering Signering Kryptering Åtkomst Spårbarhet Transport
Princip 1-3 Informationssäkerhet Princip 5-7 Stark autentisering Princip 8-11 Federationer Princip 12 Katalog Gemensamma metoder och mallar Spårbarhet 2 faktorsinloggning Vilka metoder CA Policy Att använda SAMLv2 Att kravställa SAMLv2 vid alla upphandlingar Att tillämpa ett regelverk för att ingå i federation Katalog Policy Finns idag mallar för policy Och klassning Finns policydokument Finns skall Kravs dokument Finns policydokument Princip 13-14 Signering Princip 15 och 16, Internet Att använda internet Att ha en eller få kontrollpunkter för trafik till och från den egna strukturen IT-forum ingår i SKL arbetsgrupp Rapport finns
Nationell ehälsa 2010 Nationell strategi för vård och omsorg: Säker och enkel tillgång till relevant information som rör en individ är nyckeln till att personalen inom hälso- och sjukvården och socialtjänsten ska kunna erbjuda insatser av hög kvalitet.
Utgångspunkt för elektronisk samverkan Det ska vara möjligt att med bibehållen säkerhet dela information mellan olika organisatoriska enheter. De federativa lösningarna kommer att vara en naturlig grund för elektronisk samverkan mellan kommuner, myndigheter, landsting, privata utförare och andra intressenter.
Ökat fokus på informationssäkerhet Skydd mot obehörig åtkomst av information ställer allt högre krav på att alla intressenter inom hälso- och sjukvården och socialtjänsten arbetar aktivt med informationssäkerhet. Detta gäller oavsett om federativa lösningar tillämpas eller ej.
?? Myndighet B Myndighet C? Myndighet A Behov av samverkan? Hur?? Företag A?? Kommun B Landsting A Kommun A
OK OK Myndighet B Myndighet C OK OK Myndighet A Internet Företag A OK Federation OK Kommun B Landsting A Kommun A
Federativ lösning för identifiering och behörighetshantering De federativa lösningarna baseras på den tekniska standarden SAML (Security Assertion Markup Language). Bärare av information för identifiering och behörighetshantering benämns även SAMLbiljett, identitetsintyg, behörighetsbevis.
Utgångspunkt för federationen I en fullt implementerad federation ska SAMLbiljetten innehålla information både för identifiering/autentisering (vem användaren är) behörighetshantering med åtkomstregler (vad användaren får göra).
Pilotprojekt för federativ lösning för identifiering och behörighetshantering Den organisation som ska ingå i en federation måste se till att etablera regelverk och infrastrukturella tjänster, som stödjer federationslösningen med rätt säkerhetsnivå för att uppnå tillit och förtroende från andra parter i federationen. verksamhetssystem och efterfrågade tjänster fungerar i en federativ lösning.
Projektets erfarenheter De kontakter som projektet haft med leverantörer av verksamhetssystem och IT-infrastruktur har verifierat att Det finns redan idag tekniska produkter och tjänster på marknaden för att etablera federativa lösningar. Dock är inte befintliga verksamhetssystem och standardsystem inom kommunsektorn, med några få undantag, anpassade för federativa lösningar.
Projektets erfarenheter Erfarenheterna från de tekniska piloterna visar också att Det är relativt enkelt att utbyta identitetsinformation. Det är mer komplext att utbyta behörighetsinformation. Det senare har avsevärt större påverkan på verksamhetssystem och den enskilda tjänsten.
Genomförd nyttoanalys Den kostnads-/nyttoanalys, PENG-analys, som genomförts bekräftar att Federativa lösningar innebär fördelar för den personal som arbetar inom hälso- och sjukvården och socialtjänsten. Cirka tre fjärdedelar av nyttan kan relateras till kommunerna.
Hur gå vidare? De styrande dokumenten ska kunna utgöra stöd vid etablering av federation underlag för kravställning vid upphandling. Allmänna råd, checklistor ska utformas i syfte att utveckla verksamhetsprocesser med IT-stöd, som klarar av att hantera säkerhet och integritet för olika aktörer och verksamheter.
Hur gå vidare? En testmiljö för federation bör etableras på regional eller nationell nivå. En djupare säkerhetsanalys bör genomföras för att säkerställa tillitsnivåer som kan införlivas inom ramen för lösningen.
Federativ lösning Användare User Agent (UA) Autentiseras hos en identitetsleverantör och tillåter att identiteten federeras till en tjänsteleverantör där användaren nyttjar en tjänst. SP Tjänsteleverantör Förlitande part Service Provider (SP) Har tjänster som nyttjas av användare och är skyddade och kräver inloggning och behörighetskontroll. En Service Provider är i federationen intressent till de identitetsbevis, personattribut och auktorisationsinformation som utfärdas av Identity Provider för respektive användare. IDP Identitetsleverantör Identitetsintygsgivare Identity Provider (IDP) Är källan till autentiseringar och ansvarar för autentisering av användare och utfärdar behörighetsbevis (SAML-biljett) för användaren till övriga intressenter i federationen. Källa: Sveriges kommuner och landsting
Vi inför federativ inloggning! Tillståndshantering färdtjänst WebCare
Federering i praktiken Lidingö stad
Tre federeringar genomförda Skoladministrativt system (Dexter/Extens från IST). Inloggning via eid, kort eller SMS Individuella utvecklingsplaner (Infomentor) Vård och omsorgssystem (Combine)
Hur svårt kan det vara Framtagande av styrande dokument Brist på färdiga lösningar Brist på erfarenhet om hur man egentligen gör Kompetens Hitta ändamålsenliga administrationsverktyg Interna diskussioner om ansvarsfördelning Tekniska utmaningar för säker inloggning som t. ex tillgång till webmail, mobilsync etc. Är det här rätt väg att gå?
Kontakt karin.bengtsson@ksl.se stefan.svensson@stockholm.se bjorn.soderlund@lidingo.se