Driftinformation samdriftad Multifråga

Relevanta dokument
Manual inloggning Svevac

Mobilt Efos och ny metod för stark autentisering

Mobilt Efos och ny metod för stark autentisering

Multifråga Kort sammanfattning säkerhet och juridik

Mobila metoder för inloggning VÅRD OCH OMSORG SVENSK E-IDENTITET

Mobilt Efos och ny metod för stark autentisering

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Checklista. För åtkomst till Svevac

Sentrion och GDPR Information och rekommendationer

Systemkrav. Artvise Kundtjänst

Utkast/Version (8) Användarhandledning - inrapportering maskin-till-maskin

Användarguide för anslutning till MCSS

Systemrekommendation. Artvise Contact Center

Innehåll. Dokumentet gäller från och med version

Mjukvarudokumentation Sambruks eansökan Bistånd

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Vad är molnet? Vad är NAV i molnet? Vem passar NAV i molnet för? Fördelar med NAV i molnet Kom igång snabbt...

1. Revisionsinformation

Datum INNEHÅLLSFÖRTECKNING

Manual - Inloggning. Webbadress: Webbadress demoversion: (användarnamn: demo / lösenord: demo)

Filleveranser till VINN och KRITA

Snabbintroduktion till Öppen Teknisk Plattform (ÖTP) för medborgare

Inloggning till Winst och installation av Java för användare med Mac

Manual för fjärrinloggning

Per Rasck Tjänsteansvarig. Tobias Ljunggren IAM Arkitekt

Manual - Inloggning. Svevac

Version Namn Datum Beskrivning 1.0 Förutsättningar Vitec Ekonomi 1.1 Marie Justering för krav på Windows Server

Infrastruktur med möjligheter E-identitet för offentlig sektor (Efos)

Att koppla FB till AD-inloggning


TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.6.0

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.7

Framtagande av mobil tjänst inom Region Skåne

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Installationsguide Junos Pulse för iphone/ipad

Leveranssedel fo r EasyDisplay

Systemkrav Bilflytt 1.4

Instruktion för integration mot CAS

Systemkrav Tekis-Bilflytt 1.3

Konfigurering av inloggning via Active Directory

Tekis-FB Systemkrav

Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

Checklista IT Artvise Kundtjänst

Systemkrav Bilflytt 1.3

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.3.1

Systemkrav WinServ II Edition Release 2 (R2)

Quick Start CABAS. Generella systemkrav CABAS / CAB Plan. Kommunikation. Säkerhet

Innehållsförteckning Förutsättningar... 2 Installation av Google Authenticator på iphone... 3 Installation av Google Authenticator på Android...

VI SI CLOSETALK AB SYSTEMKRAV

Handbok för användare

Installation/uppdatering av Hogia Personal fr.o.m. version 13.1

Manual Sportident Onlinekontroll via GPRS

Teknisk plattform för version 3.7

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med OTP och SITHS-kort mot Landstinget Västmanland

Snabbguide. Version

Installera och konfigurera. Monitor ERP System AB

Krav på säker autentisering över öppna nät

Uppstart Agda PS Hosting

Uppstart. Agda Drift

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2013.Q3

Teknisk spec Flex Lön och Flex API

Installationsanvisningar

Bilaga 1. Teknisk kravspecifikation

2-faktor autentisering

Molntjänster -- vad är molnet?

LEX INSTRUKTION LEX LDAP

Utkast/Version (7) Användarhandledning - inrapportering i Indataportalen

Presentation Pulsen combine

LITE KUNSKAP GÖR MYCKET NYTTA

Guide för kunder med Nordea e-legitimation

Praktisk hantering av certifikat

Åtkomst till Landstingets nät via Internet

Data Sheet - Secure Remote Access

Självbetjäning för arbetsgivare. Användarhandledning Kom igång med Arbetsgivartjänsten Behörighetsadministration

tisdag 8 november 11

DGC IT Manual Citrix Desktop - Fjärrskrivbord

eid Support Version

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2015.Q1

EVRY One Outsourcing Linköping AB. Erfaranheter av daglig drift och nyttjande av IFS Applications 8.

Extern åtkomst till Sociala system

Daniel Akenine, Teknikchef, Microsoft Sverige

Integrationstjänsten - Anslutningstjänsten Version 1.0

Instruktion för Handelsbankens kortläsare

Installationsanvisning - Kopplingen mellan GK96 och golf.se -

Vägledning för implementering av AD-inloggning med SITHS-kort

OBS! Figuren visar inte alla aspekter och objekt som är inblandade i säkerhetssystemet.

START FINNS DET EN LÖSNING FÖR MIN VERKSAMHET HOS HANS TØRSLEFF MANAGEMENT SYSTEM? Behöver du ett enda system för tidsregistrering?

Uppgradering till DentalEye 3.2

Integrationstjänsten - Meddelandetjänsten Version 1.0

Krav på webbläsare. Manual för arbetslöshetkassorna. De webbläsare som är kompatibla med portalen är minst Internet Explorer 6.x och Firefox 2.

Behörighetssystem. Ska kontrollera att ingen läser, skriver, ändrar och/eller på annat sätt använder data utan rätt att göra det

Installationsanvisningar VISI Klient

Bilagan innehåller beskrivning av de åtaganden rörande IT som gäller för

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

Manual - Inloggning. Svevac

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

sjalvservice.skelleftea.se

Transkript:

SPECIFIKATION Version Se filnamn i sidfot 1(7) Utfärdare Sven-Håkan Olsson Driftinformation samdriftad Multifråga Historik: Ver Beskrivning Ändrad av 2016-03-24 1 Dokumentet etablerat Sven-Håkan Olsson 2016-08-21 2 Några småjusteringar Sven-Håkan Olsson Bilagor: Nr Beteckning Identitet - Innehållsförteckning 1. Inledning 2 2. Checklista 3 3. Driftsinformation 4 3.1. Servermiljö 4 3.2. Multi-tenancy 4 3.3. Autentiseringsalternativ 5 3.3.1. Engångskoder 5 3.3.2. Liten inloggningskomponent 5 3.3.3. Autenticering i verksamhetsapplikation 6 3.4. Integritet, PuL mm 6 4. Framtid 7

2(7) 1. Inledning s Biståndsprojekt ser det som rationellt att ha möjlighet att köra Multifråga samdriftat, istället för som idag alltid kräva installation i varje kommuns egna IT-miljö. Flera fördelar finns, t ex mycket enklare och billigare versionsuppdateringar av applikationen, liksom då anpassningar till myndigheter som Multifråga kommunicerar med behövs, samt att driften totalt sett torde bli mycket billigare än med en omgång resurser på varje ställe. Även den rena kalendertidsåtgång som krävs för installation/uppgradering i många separata servermiljöer riskerar annars stjäla tid från vidareutvecklingsarbete mm. Fördelarna har ytterligare betonats i och med att ett antal nya kommuner har tillkommit (och verkar fortsätta tillkomma) som användare av Multifråga. Multifråga förbrukar mycket små resurser (såsom beräkningskraft och primärminne) vilket också gör den lämplig för samdriftning. Multifråga några drifts- och autentiseringsalternativ Alt. 1 Kommun Webbläsare Multifråga Interndriftning eller traditionell outsourcing Alt. 2 Kommun Webbläsare SSO till AD Engångs SMS-kod för tvåfaktorsautentisering Svensk samdriftning i gemensamt projekt inom Sambruk Multifråga Myndighetsinfo: SSBTEK Populus Infotorg... Alt. 3 Kommun Webbläsare MM Sender Token för autentisering SSO till AD Liten inloggningskomponent Kryptering med https

3(7) 2. Checklista Här följer en extremt kort checklista för en ny kommun som vill börja använda samdriftad Multifråga. För mer kött på benen hänvisas till resten av dokumentet. 1. Det behövs ett kommuncertifikat från Steria. a. Om ni redan har ett befintligt för någon annan användning i kommunen så går det bra att använda det. b. Annars, köp via eid.steria.se > Beställning av e-legitimationer > Serverlegitimation c. Common name som ibland efterfrågas är inte så noga för denna användning, [kommunnamnet].se går bra (det viktiga är istället kommunens organisationsnummer). 2. Teckna SSBTEK-avtal med Försäkringskassan a. Se www.forsakringskassan.se/myndigheter/etjanster/ssbtek/anslutning 3. Teckna personuppgiftsbiträdesavtal med Sambruk. 4. Bestäm vilken autentisering ni vill använda: a. Engångskoder: Absolut snabbast att komma igång med, men mindre bekvämt för användarna. Går att gå över till inloggningskomponenten senare. i. Meddela Sambruk vilka handläggare som får köra Multifråga. b. Inloggningskomponent: Bekvämast för användarna eftersom de slipper logga in extra (single-signon), men kräver en liten installation i kommunens IT-miljö. i. Peka ut en befintlig Windows Server (alla versioner går utom minimala såsom Core) där en mycket liten ASP.NETapplikation kan läggas in. Eller lägg upp en ny, pytteliten virtualserver. ii. Sätt upp en AD-grupp för handläggarna som får köra Multifråga. iii. Få programvaran av oss samt (enkel) installationsanvisning, installera. iv. Alternativt, sätt upp fjärrinloggning till servern, så kan Sambruk installera. c. Verksamhetssystemsintegration: För de som använder integrationen med ISOX eller Viva är det endast en konfigurationsändring för att gå över till samdriftad Multifråga Se eventuellt även checklistan och installationsanvisningen som finns för kompletta, kommuninstallerade Multifråga: > Våra uppdrag > Ekonomiskt bistånd > Projektdokument > Utgåvor.

4(7) 3. Driftsinformation 3.1. Servermiljö Webbapplikationen Multifråga är utvecklad för ASP.NET, varför målmiljön är Windows Server. Sambruk har redan sedan flera år köpt driftning av en sådan virtuell server, iof.sambruk.se, som har använts för eansökan EkBist. Eftersom socialsekretess gäller för eansökan har möda redan lagts på säkerhetsfrågor mm, varför Multifråga som också hanterar socialsekretess passar in i samma server. Dessutom finns här en provversion redan installerad av eansökan för självbetjäning som i sig inkluderar moduler ur Multifråga. Servern iof.sambruk.se har idag goda prestanda. Skulle införandet av många Multifrågekommuner i samma miljö i framtiden göra lasten för hög får man förstås utvärdera om uppgradering av servern bör anordnas (eller en till). Dock har Multifråga under de många år den körts visat sig dra mycket små serverresurser. Iof.sambruk.se driftas hos ipeer (Cygate-koncernen) i Karlstad, helt och hållet i Sverige. Servern är idag en virtuell 2008 R2 Datacenter vilket duger gott - Multifråga är utprovad att driftas på allt från Windows Server 2003 till 2012 och vi förväntar oss att kommande Windows Server 2016 torde fungera lika bra eftersom inga specialfinesser används. Servermiljön har idag inte aktiv fail-over. Visserligen är både eansökan och Multifråga viktiga applikationer, men det finns samtidigt beprövade manuella alternativ, så vi har inte velat ta den kostnad och komplexitet som aktiv fail-over skulle ge. Skulle hårdvaran gå sönder har ipeer resurser att flytta virtualmiljön till en ny hårdvara. Redundant internetanslutning finns. Disklagring sker i redundant Raid 5. Daglig backup tas (Multifråga har för övrigt inget behov av databas, det är endast Multifrågas loggar som kräver backup, samt användarregistret). 3.2. Multi-tenancy Multifråga är inte skriven som en s.k. äkta multi-tenant-lösning (och det vore rättså dyrt att skriva om). Det innebär att inom en och samma server behöver en separat IIS-delsajt för varje kommun skapas för att hålla isär allt. Vid versionsuppdatering måste alltså den nya applikationen läggas in på flera ställen, men tidsfördelen blir ändå mycket stor eftersom alla inläggningarna kan göras samtidigt inom en och samma server, inte som idag i varje kommuns driftmiljö. Enkla scripts kan användas för sådan applikationsuppgradering - alla kommuner förutsätts köra samma version. De parallella IIS-delsajterna ger dock högre RAMförbrukning än multi-tenancy skulle ha gett, men å andra sidan är det lätt att addera RAM i virtualmiljön och RAM-åtgången per Multifråga-instans är i sig låg.

5(7) 3.3. Autentiseringsalternativ Normal inloggning till samdriftad Multifråga sker över öppna Internet (om än skyddat av https-kryptering), varför Datainspektionen kräver tvåfaktorsautentisering eftersom känsliga personuppgifter och socialsekretess hanteras. 3.3.1. Engångskoder Ett enkelt alternativ för tvåfaktorsautentiseringen är den beprövade och bekymmerslösa rutin som finns inom eansökan för att använda SMS-engångskod (förutom användarnamn och starkt lösenord). Som reserv finns även en rutin med förutdelade engångskoder i de fall handläggarna inte skulle ha mobiltelefon. Multifråga installerad i kommunmiljö kan däremot använda single-signon mot AD vilket är mycket bekvämt, så engångskoder ger lite sämre bekvämlighet. Icke desto mindre kan denna lösning ge mycket kort startsträcka och noll kostnad/påverkan inom kommunens egna driftmiljö. 3.3.2. Liten inloggningskomponent Vi erbjuder också ett bekvämt alternativ för Multifråge-autentiseringen genom en liten inloggningskomponent som ger single-signon för användarna. Detta är en minimal ASP.NET-applikation som installeras inom kommunens IT-miljö och som i sig använder single-signon mot AD - en särskild AD-grupp sätts upp för dem som har rätt att köra Multifråga. Komponenten utfärdar en unik och tidsbegränsad "token" som samdrifts-multifråga litar på. Denna teknik är beprövad sedan många år, se nästa kapitel. Komponenten förbrukar knappt några CPU- eller RAM-resurser alls och kan mycket väl läggas in i någon existerande Windows-server i kommunen (version 2003 eller nyare). Om man ändå skulle vilja ha en dedicerad serverinstans räcker den minsta sortens virtualserver. Eftersom komponenten är så enkel är det troligt att den mycket sällan behöver uppgraderas. Jämfört med om hela Multifråga istället hade varit installerad i kommunen så hade ett antal uppgraderingar behöva ha skett. Komponentens konfigurering är också mycket simpel, medan Multifrågas har tämligen många parametrar. Själva autentiseringen sker alltså inte över Internet i detta fall och tvåfaktorsautentisering krävs således inte av Datainspektionen. För de kommuner som använder eansökanekbist så planerar vi anpassa även den så att denna "token" kan litas på, varvid inloggningskomponenten kan ge single-signon också åt eansökan.

6(7) Sekvens för autentisering: Inloggningskomponent (redan autentiserad & auktoriserad användare) Begäran SBAMultifragaAukt <anvandar-id...> (... se SBNMultifragaAuktBegar) Svar med start-url-inkl-token Inloggningskomponent <start-url-inkl-token> Multifråga startar i inloggat läge För fler detaljer, se även kap SBNMultifragaAuktBegar i dokumentet Multifråga_Nyttomedd_v14_2016-06-21 (eller nyare). 3.3.3. Autenticering i verksamhetsapplikation Kommuner som använder verksamhetsapplikationerna ISOX och VIVA har sedan flera år en möjlighet för användaren att automatiskt starta kommuninstallerad Multifråga. Därvid sker autentiseringen inne i de verksamhetsapplikationerna och via en "token" litar Multifråga på detta. Denna princip fungerar lika bra remote mot samdriftad Multifråga. Själva autentiseringen sker alltså inte över Internet i detta fall heller och tvåfaktorsautentisering krävs således inte av Datainspektionen. 3.4. Integritet, PuL mm Socialsekretess gäller och känsliga personuppgifter hanteras. För att använda samdriftad Multifråga behöver därför kommunen och Sambruk teckna personuppgiftsbiträdesavtal. I och med att den samdriftade eansökan EkBist har funnits ett antal år så har Sambruk förslag på avtalstext och har också redan på plats ett personuppgiftsunderbiträdesavtal med ipeer. I frågorna som Multifråga ställer till myndigheterna identifierar sig frågande kommun via ett Steria-certifikat (i vilket kommunens organisationsnummer ingår). Vad gäller juridisk status hos driftningen räknar vi det som "outsourcing" vilket innebär att kommunen deponerar en kopia av sitt Steria-certifikat i Sambruks samdriftmiljö. Multifråga har ambitiös loggning i enlighet med Datainspektionens riktlinjer. Bl a autenticeringar och ställda myndighetsfrågor framgår av loggarna. Det finns även en särskild logg som är lämpad för att socialtjänsten ska kunna göra stickprov på att myndighetsfrågorna sker på ett korrekt sätt inom handläggningen. Loggen kan enkelt laddas in i Excel och begärs vid behov ut från Sambruk av kommunen.

7(7) 4. Framtid Autenticeringsteknik och annat inom IT-världen utvecklas ständigt. Sambruks mångåriga projektgrupp för Bistånd har varit öppna inför att allteftersom anpassa sig till sådant, när det ger konkreta fördelar och är kostnadseffektivt. Exempel på framtida tekniker som projektgruppen kan tänkas ta upp är SITHS för handläggarinloggning, nuvarande BankID och framtida E-legitimation (främst för medborgare i samband med eansökan, men kanske i något fall även för handläggare), samt olika sorters användning av SAML2 och OAuth2.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss