Anteckningar från Sambis arbetsgruppsmöte

Relevanta dokument
Anteckningar från Sambis arbetsgruppsmöte

Anteckningar från Sambis arbetsgruppsmöte

Mötesanteckningar från Sambis arbetsgruppsmöte

Anteckningar från möte om Sambis testbädd och pilotverksamhet

Mötesunderlag till Sambis arbetsgrupp

Anteckningar från möte om Sambis testbädd och pilotverksamhet

Anteckningar från möte om Sambis testbädd och pilotverksamhet

Anteckningar från Sambis arbetsgrupp

Mötesanteckningar - Sambidemo

Underlag till möte om Sambis testbädd och pilotverksamhet

Mötesantecknignar - Sambidemo

Mötesantecknignar - Sambidemo

Anteckningar från referensgruppens möte

Mo tesanteckningar Sambis arbetsgrupp

Underlag till referensgruppens möte

BILAGA 3 Tillitsramverk Version: 2.02

BILAGA 3 Tillitsramverk

BILAGA 1 Definitioner Version: 2.01

BILAGA 1 Definitioner Version: 2.02

Mö tesanteckningar fra n Sambis arbetsgrupp

BILAGA 3 Tillitsramverk Version: 1.3

Anteckningar från referensgruppens möte

BILAGA 1 Definitioner

Sambi och Sambis roll Håkan Josefsson Service Manager, Apotekens Service AB

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Introduktion. September 2018

Anteckningar från referensgruppens möte

BILAGA 1 Definitioner

En workshop om anpassning av e-tjänster och IdP-lösningar för Sambi den 6 feb 2014

Tillitsramverk och granskning April 2014

Agenda Bakgrunden till Sambi Vad Sambi är Krav som ställs på medlemmarna Erfarenheter från pågående arbeten

Anteckningar från referensgruppens möte

Regionalt samarbete. Tillit Federativ lösning för identitets och behörighetshantering

Sambis tillitsarbete Staffan Hagnell, Internetstiftelsen

BILAGA 3 Tillitsramverk Version: 2.1

Utveckling av Skolfederations tillitshantering

Anteckningar från referensgruppens möte

Sammansta llning av remissvar och rekommendation till nytt Tillitsramverk fo r Sambi

Underlag till referensgruppens möte

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS?

Version: 2.0 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.01

Målgrupper för Sambi ... Privata omsorgsgivare Apoteksaktörer. Kommuner. Veterinärer Landsting. Tandläkare Privata vårdgivare.

ehälsomyndighetens nya säkerhetslösning

Anteckningar referensgruppens möte

E-legitimationsdagen

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

BILAGA 4 - Fo reskrifter fo r Sambis Federationsoperato r

Anteckningar från referensgruppens möte

Internetstiftelsen i Sverige.

Frågor och svar. Frågor kring åtkomstlösning

Granskningsinstruktion och checklista för Tillitsdeklaration

Tillitsgranskningsavtal

Elevlegitimation ett konkret initiativ.

Tillitsdeklaration Version: 2.1 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.1

ehälsomyndighetens nya säkerhetskrav

Anslutningsavtal för medlemskap i Sambi

Anteckningar från referensgruppens möte

BILAGA 4 - Fö reskrifter fö r Sambis Federatiönsöperatö r Versiön: 2.0.1

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

Lennart Beckmanä Beckman Security.

Lennart Beckmanä Beckman Security.

Anslutningsavtal för medlemskap i Sambi

Skolfederation.se. Workshop 29 maj 2012

ehälsomyndighetens nya åtkomstlösning och Sambi

Svenskt federationsforum

Referensarkitektur för Identitet och åtkomst Per Mützell, Inera

Lennart Beckmanä Beckman Security.

Skolfederation. Staffan Hagnell, tjänsteägare.se

Anteckningar från referensgruppens möte

PhenixID & Inera referensarkitektur. Product Manager

Välkomna till introduktionskurs i Sambi

ehälsomyndighetens nya åtkomstlösning och Sambi

Tillitsgranskningsavtal

Skolfederation.se. KommITS

Granskningsinstruktioner och checklista för Tillitsgranskare

BILAGA 3 Tillitsramverk Version: 1.2

Sambiombudsavtal. 1 Inledning

Skolfederation. Staffan Hagnell,.SE

BILAGA 2 Tekniska krav Version 0.81

TJÄNSTEBESKRIVNING FÖR SAMBIS FEDERATIONSTJÄNST

TJÄNSTEBESKRIVNING FÖR SAMBIS TILLITSGRANSKNINGSTJÄNST

Apotekens Service. federationsmodell

Modell fo r ä ndringshäntering äv Sämbis gemensämmä tekniskä infrästruktur Version 1.0

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Granskning av e-legitimationer och kvalitetsmärket Svensk e-legitimation. Varför och för vem?

Vad innebär Skolfederation.se för en kommun?

Manual - Inloggning. Svevac

Förvaltning av attribut och attributprofiler

BILAGA 3 Tillitsramverk Version 0.8

Skolfederation. Staffan Hagnell Forsknings och utvecklingschef,.se Skolfederationen

Manual - Inloggning. Webbadress: Webbadress demoversion: (användarnamn: demo / lösenord: demo)

ehälsomyndighetens nya säkerhetslösning

Svensk e-legitimation

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Förändringar i regelverket avseende införande av intygskonverteringstjänst och alternativt tekniskt anslutningsförfarande

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Transkript:

Anteckningar från Sambis arbetsgruppsmöte Datum: 18 aug 2015, 10.00-11.30 Plats: SE, Ringvägen 100, plan 9, Stockholm och via telefonkonferens tel. 08-999212, kod 322134 Närvarande Agneta Wistrand, IIS Björn Skeppner, Inera Joakim Sandberg, ehälsomyndigheten Lars Johansson, Stöttepelarna Robert Sundin, IIS Staffan Hagnell, IIS Stefan Halen, IIS Stefan Runneberger, Nexusgroup Tommy Almström, Stockholms stad Ulrika Ahlgren, IIS Urban Jarl, SLL Agenda 0 Agenda 1 Föregående protokoll och uppdragspunkter 2 Status 3 Pilotanvändarna 4 Tillitsgranskning 5 Nytt tillitsramverk för Sambi 6 Attributförvaltning 7 Övriga frågor 7.1 Appinloggning för Sambi 7.2 Innebörden av HSA-katalogen som attributkälla 8 Nästa möte 0 Agenda Godkännande av agendan. 1 Föregående protokoll och uppdragspunkter Protokollet från 15-06-16 finns publicerat på https:///?p=1049

Från datum Ansvarig Beskrivning Status 14-11-11 Robert Sundin Red ut med Anders Abel, Kentor, vad kravet är för SP att anger sin hantering av transient eller persistent pseudonym. Pågår 15-01-22 Ett arbetsmöte hölls 12 jan, väntar på uppdatering (slutversion?) 15-02-17 om det behövs, kalla till ett möte för att få det i mål. 15-03-19 inväntar synpunkter 15-06-16: Förhoppningar om att det 15-04-21 Robert Undersök status för Roland Hedbergs arbete med verktyget för conformance tester. 15-04-21 Staffan Utred ett ombudsavtal för de som ansluter kunder via den egna Intygsutgivaren. 15-06-16 Staffan Hagnell 15-06-16 Lars Johansso n 15-08-18 Robert Sundin 15-08-18 Staffan Hagnell Bevaka vad som händer ELNs tillitsgranskning av Huddinge Ta fram ett förslag på text för att förtydliga detta. Förtydliga på webbplatsen vilken krypteringsnyckel som gäller, CHA1 eller 2 vid motringning för att verifiera metadata. Fastställ vilken formalia som behövs för att etablera Förvaltningsforum. snart är klart Pågår 15-06-16: Möte bokat med Roland 25/6 15-08-18: Klar. Verktyget är inte färdigt att användas, men kan om kund finns vidareutvecklas. Klar 15-06-16: SLL (Urban) vill vara med när det kommit lite längre med Inera. 15-08-18: Frågan överlämnad till Sambis styrgrupp Pågår 15-08-18: Uppföljningsmöte hos Huddinge kommun med ELN hålls 25 aug. Klar: Texten finns nedan 15-08-18: Förslag till text har tagits fram, se nedan. Synpunkter uppmanas sändas till staffan.hagnell@iis.se. 15-08-18 Staffan Hagnell Bjud in Roland H och anordna en workshop.

2 Status 2.1 Federationsoperatören Den skarpa driften rullar på, inga avvikelser att rapportera. Utveckling: fokus på självbetjäningsgränssnittet för metadata och administration. Fråga Stockholm stad: vilken krypteringsnyckel är det som gäller, CHA1 eller 2? UP: Förtydligas på webbplatsen. Ändringsmodellen Nästa vecka är det möte med ändringsrådet. Meddelandeformatspecen kommer då att tas upp då. Avsikten är att den ska lyftas in i teknikbilagan när den klar, rådet beslutar exakt när det ska ske. Efter det väntar arbete med incident- och support-processen. 2.2 Förvaltningsforum Det är dags att etablera ett sådant. Vilka ska ingå? Vad gäller tillitsdelarna kommer man in på ett helt annat kompetensområde. Mötet ansåg dock att det bör hanteras av samma Förvaltningsforum. Det kan vid behov engagera specialister som täcker olika kompetensbehoven. Ändringsrådet tar sig an frågorna tills vidare i väntan på att ett Förvaltningsforum har etablerats. SLL Urban: Föreslog att Kerstin Rising bör kallas till gruppens första möte. AP, Fastställ vilken formalia som behövs för att etablera Förvaltningsforum. 2.3 Sambis styrgrupp Nästa möte hålls 9 sept, 13.00-14.30. Anmälda beslutspunkter på mötet är så långt: BP1 Nytt medlemsavtal BP2 Sambis tillitsramverk 1.3 Därpå följande möten hålls: 14 okt, 13.00-14.30 16 nov, 14.30-16.00 14 dec, 15.30-17.00 2.4 Utbildningstillfällen höstterminen 2015 Utbildningstillfällen är nu inplanerade för hösten 10 sep Sambi GK (förmiddag) + Tillitsgranskningskurs (eftermiddag) ** Fullbokad ** Blandade deltagare både funktioner och från olika delar i landet.

7 okt Sambi GK (heldag) + 8 okt förmiddag Sambi Tillitsgranskningskurs (förmiddag) 11 nov Sambi GK (heldag) + 12 nov förmiddag Sambi Tillitsgranskningskurs (förmiddag) SLLs och Stockholms stads projektrapport från pilotprojektet är bra input till kursen. 2.5 Nytt medlemsavtal Har tagits fram och sänts som underlag till Styrgruppens möte den 17 aug. Beslut ska ske på deras nästa möte den 9 september. 3 Pilotanvändarna Stockholms stad: Olika platser har testats, programvara bytt under sommaren och nytt metadata uppladdat. Feedback från användarna: kan idag inte gå tillbaka till att använda lösenord som tidigare om det skulle behövas (ska åtgärdas). Här näst hoppas vi kunna gå vidare med Webcare. SLL: instämmer med Tommys rapport. Urban och Kerstin ska träffa St Göran som ska börja använda Beställningsportalen. Fråga från EHM, ansvara för Nationella e-hälsodagen (6 okt) där Sambi har fått 30 minuter. Förslaget är att presentera resultatet från piloten. Eventuellt skulle vi även kunna be t.ex. Huddinge och Lidingö som är på gång in i Sambi. UP, bemanna seminariet på Nationella e-hälsodagen med deltagare från piloten. Vem är lämplig att hålla presentation från SLL? Inera: En statusrapport sammanställs nu och ska vara klar idag. EHM: inget nytt. Lidingö stad: Har hört av sig och vill ta sig igenom granskningen för att bli pilotanvändare. Pascal: inget nytt. Södertälje kommun: Har anmält sitt intresse för att bli medlem i Sambi (första steget) 4 Tillitsgranskning Sthlm stad: En uppdatering planeras till nästa vecka. Granskningstjänstens kvalitet behöver säkras, IIS har fått ok på att starta och driva projekt om 1300 timmar under hösten. Lidingö: Intresserad av att bli modell för användare med SITHS, HSA och Säkerhetstjänster Granskningstjänsten behövs nu och för stunden är det IIS som ansvarar för den. Frågan om tjänstens utveckling och framtid har väckts hos styrgruppen. Vilken roll ska EHM ha i detta?

5 Nytt tillitsramverk för Sambi Sammanställningen av remissen och förslaget till nytt Tillitsramverk för Sambi bifogas detta mötesunderlag. Fokus för förslaget på nytt tillitsramverk är på metoden för hur säkerhetsarbetet ska bedrivas, vilket enligt LIS ska bedrivas som ett normalt förbättringsarbete. Fundamentalt att det finns etablerade processen för säkerhetsarbete. Remissammanställning av Sambi tillitsramverk version 1 3 presenterades. Många (89 st) värdefulla kommentarer har erhålls på remissen. Inga kommentar var negativa till det nya tillitsramverket som sådant. Dock avsåg flera kommentarer behov av mer information och vägledning för den sökande. De kommentarer som inte direkt avsåg det föreslagna tillitsramverket utan snarare förbättringsförslag på granskningsarbetet har samlats i bilaga 4 Vidareutveckling av Sambis granskningsarbete. Några av kommenterarna avsåg förtydliganden eller förbättringar av det föreslagna tillitsramverket. I kapitel 5 Förslag till nytt Tillitsramverk för Sambi presenteras det från granskningsgruppen slutliga förslaget till Tillitsramverk, baserat på det remitterade förslaget men med ändringar utifrån de inkomna remissvaren. (Ändringsmarkeringen avser förändringar från det remitterade förslaget). Förslaget till nytt Tillitsramverk för Sambi har sänts till styrgruppen för beslut på deras möte den 9 sept. 6 Attributförvaltning Björn Skeppner är föredragande. Et första förslag på attribut att ensas om finns nu på Sambis webbplats. Härnäst behöver beslutas om förvaltning av detta. Det kan uppstå ett glapp, Björn slutar på Inera den 4 september, ännu ingen ersättare utsedd. Det kommer att blir någon form av överlämning. 7 Övriga frågor 7.1 Behov av Appinloggning för Sambi? Fråga från Tommy Sthlm stad: Sunet har publicerat en artikel om uppbyggnad av en ny parallell identitetsfederation med OAuth2. Roland Hedberg i Umeå driver detta. Staffan H: Vi har tittat på det för Skolfederations räkning och Skolfederation planeras att anlita Roland för att sätta upp en POC. Dock är min uppfattning är att det fortsatt är i ett utvecklingsskede och att vidare standardisering behövs. Nexus har jobbat med detta och implementerat under sommaren, länkar via SAMLimplementationen. Nexus bygger in stöd för OAuths autentiseringsprocess i sin plattform. Inera har fått ett uppdrag om att göra förstudie av autentisering via appar, kommer att pågår under sept-oktober. Landstingen har behov av att göra strategiska val.

Mötet fann det intressant att bevakas frågan för Sambi under hösten. UP, Staffan: Bjud in Roland H och anordna en workshop. Nexus erbjuder sig att köra en demo. 7.2 Innebörden av HSA-katalogen som attributkälla UP, Lars Johansson tar fram ett förslag på text för att förtydliga detta. Text från Lars: I Sambi, liksom i andra federationer, talas om tillitsnivåer (LoA) för identiteter dvs med vilken säkerhet man har fastställt identiteten hos en person/organisation. Sambi har f.n. beslut på att enbart tillämpa LoA 3. Definition av vad detta innebär är under framtagande i annat forum. Men eftersom Sambi inte enbart berör själva identiteten utan även användning av identiteten så vidgas problemet. Till exempel måste Sambi kunna bedöma med vilken LoA själva autentiseringen sker. Detta betyder granskning av fysisk installation av kortläsare, krypteringar, OTP-mekanismer, dosor och andra hjälpmedel. Inte nog med detta utan resultatet av autentiseringen blir (i de flesta fall) ett identitetsintyg (SAMLbiljett) som innehåller information om användaren. Därmed behöver intygsutfärdaren granskas liksom attributkällan/-orna där intygsutfärdaren hämtar uppgifter till intyget. Granskning av hela denna kedja ingår i tillitsdeklarationen för Sambi och granskas av granskningsgruppen innan medlemskapet godkänns. En utmaning är/blir att värdera kvaliteten på innehållet i attributkällan. HSA t.ex innehåller över 100 olika attribut som ofta är mer informativa än primära i SAML-sammanhang. Att välja rätt attribut att granska är en grannlaga uppgift då värdet av olika attribut kan växla över tiden. Till exempel mobiltefonnummer är relativt ofarligt som attribut om man inte använder det för OTP. När det gäller granskning av andra områden (identitetsutfärdare, intygsutfärdaren, tjänsteleverantör) sker granskning av processerna kring tjänsten och inte efterlevnaden. Detta skulle sträcka sig för långt just nu. Vid granskningen är Sambi noga med att varje aktör och tjänst genomför en riskanalys och vidtar åtgärder så att upptäckta risker minimeras. Sambi granskar också att uppföljning görs på vidtagna åtgärder så att de gett önskad effekt. Med motsvarande angreppssätt på attributkälla skulle Sambi granska ATT det finns processer för att hålla uppgifterna korrekta och uppdaterade men inte HUR och VILKA. Detta är någonting som respektive riskanalys skall identifiera och åtgärda samt följa upp. Lars kontaktar Patrik Munter för att diskutera vidare, specifikt för HSA men också generellt. 7.3 Nationella kvalitetsregister Tommy, Sthlm stad: Kontakter har tagits med nationella kvalitetsregister för att intressera dem för Sambi.

8 Nästa möte Mötestider bestämdes för ht 2015. 17 sept, kl 10.00-11.30 15 okt, kl 10.00-11.30 17 nov, kl 10.00-11.30 15 dec, kl 10.00-11.30

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss