SPECIFIKATION Version Se filnamn i sidfot 1(7) Utfärdare Sven-Håkan Olsson Driftinformation samdriftad Multifråga Historik: Ver Beskrivning Ändrad av 2016-03-24 1 Dokumentet etablerat Sven-Håkan Olsson 2016-08-21 2 Några småjusteringar Sven-Håkan Olsson Bilagor: Nr Beteckning Identitet - Innehållsförteckning 1. Inledning 2 2. Checklista 3 3. Driftsinformation 4 3.1. Servermiljö 4 3.2. Multi-tenancy 4 3.3. Autentiseringsalternativ 5 3.3.1. Engångskoder 5 3.3.2. Liten inloggningskomponent 5 3.3.3. Autenticering i verksamhetsapplikation 6 3.4. Integritet, PuL mm 6 4. Framtid 7
2(7) 1. Inledning s Biståndsprojekt ser det som rationellt att ha möjlighet att köra Multifråga samdriftat, istället för som idag alltid kräva installation i varje kommuns egna IT-miljö. Flera fördelar finns, t ex mycket enklare och billigare versionsuppdateringar av applikationen, liksom då anpassningar till myndigheter som Multifråga kommunicerar med behövs, samt att driften totalt sett torde bli mycket billigare än med en omgång resurser på varje ställe. Även den rena kalendertidsåtgång som krävs för installation/uppgradering i många separata servermiljöer riskerar annars stjäla tid från vidareutvecklingsarbete mm. Fördelarna har ytterligare betonats i och med att ett antal nya kommuner har tillkommit (och verkar fortsätta tillkomma) som användare av Multifråga. Multifråga förbrukar mycket små resurser (såsom beräkningskraft och primärminne) vilket också gör den lämplig för samdriftning. Multifråga några drifts- och autentiseringsalternativ Alt. 1 Kommun Webbläsare Multifråga Interndriftning eller traditionell outsourcing Alt. 2 Kommun Webbläsare SSO till AD Engångs SMS-kod för tvåfaktorsautentisering Svensk samdriftning i gemensamt projekt inom Sambruk Multifråga Myndighetsinfo: SSBTEK Populus Infotorg... Alt. 3 Kommun Webbläsare MM Sender Token för autentisering SSO till AD Liten inloggningskomponent Kryptering med https
3(7) 2. Checklista Här följer en extremt kort checklista för en ny kommun som vill börja använda samdriftad Multifråga. För mer kött på benen hänvisas till resten av dokumentet. 1. Det behövs ett kommuncertifikat från Steria. a. Om ni redan har ett befintligt för någon annan användning i kommunen så går det bra att använda det. b. Annars, köp via eid.steria.se > Beställning av e-legitimationer > Serverlegitimation c. Common name som ibland efterfrågas är inte så noga för denna användning, [kommunnamnet].se går bra (det viktiga är istället kommunens organisationsnummer). 2. Teckna SSBTEK-avtal med Försäkringskassan a. Se www.forsakringskassan.se/myndigheter/etjanster/ssbtek/anslutning 3. Teckna personuppgiftsbiträdesavtal med Sambruk. 4. Bestäm vilken autentisering ni vill använda: a. Engångskoder: Absolut snabbast att komma igång med, men mindre bekvämt för användarna. Går att gå över till inloggningskomponenten senare. i. Meddela Sambruk vilka handläggare som får köra Multifråga. b. Inloggningskomponent: Bekvämast för användarna eftersom de slipper logga in extra (single-signon), men kräver en liten installation i kommunens IT-miljö. i. Peka ut en befintlig Windows Server (alla versioner går utom minimala såsom Core) där en mycket liten ASP.NETapplikation kan läggas in. Eller lägg upp en ny, pytteliten virtualserver. ii. Sätt upp en AD-grupp för handläggarna som får köra Multifråga. iii. Få programvaran av oss samt (enkel) installationsanvisning, installera. iv. Alternativt, sätt upp fjärrinloggning till servern, så kan Sambruk installera. c. Verksamhetssystemsintegration: För de som använder integrationen med ISOX eller Viva är det endast en konfigurationsändring för att gå över till samdriftad Multifråga Se eventuellt även checklistan och installationsanvisningen som finns för kompletta, kommuninstallerade Multifråga: > Våra uppdrag > Ekonomiskt bistånd > Projektdokument > Utgåvor.
4(7) 3. Driftsinformation 3.1. Servermiljö Webbapplikationen Multifråga är utvecklad för ASP.NET, varför målmiljön är Windows Server. Sambruk har redan sedan flera år köpt driftning av en sådan virtuell server, iof.sambruk.se, som har använts för eansökan EkBist. Eftersom socialsekretess gäller för eansökan har möda redan lagts på säkerhetsfrågor mm, varför Multifråga som också hanterar socialsekretess passar in i samma server. Dessutom finns här en provversion redan installerad av eansökan för självbetjäning som i sig inkluderar moduler ur Multifråga. Servern iof.sambruk.se har idag goda prestanda. Skulle införandet av många Multifrågekommuner i samma miljö i framtiden göra lasten för hög får man förstås utvärdera om uppgradering av servern bör anordnas (eller en till). Dock har Multifråga under de många år den körts visat sig dra mycket små serverresurser. Iof.sambruk.se driftas hos ipeer (Cygate-koncernen) i Karlstad, helt och hållet i Sverige. Servern är idag en virtuell 2008 R2 Datacenter vilket duger gott - Multifråga är utprovad att driftas på allt från Windows Server 2003 till 2012 och vi förväntar oss att kommande Windows Server 2016 torde fungera lika bra eftersom inga specialfinesser används. Servermiljön har idag inte aktiv fail-over. Visserligen är både eansökan och Multifråga viktiga applikationer, men det finns samtidigt beprövade manuella alternativ, så vi har inte velat ta den kostnad och komplexitet som aktiv fail-over skulle ge. Skulle hårdvaran gå sönder har ipeer resurser att flytta virtualmiljön till en ny hårdvara. Redundant internetanslutning finns. Disklagring sker i redundant Raid 5. Daglig backup tas (Multifråga har för övrigt inget behov av databas, det är endast Multifrågas loggar som kräver backup, samt användarregistret). 3.2. Multi-tenancy Multifråga är inte skriven som en s.k. äkta multi-tenant-lösning (och det vore rättså dyrt att skriva om). Det innebär att inom en och samma server behöver en separat IIS-delsajt för varje kommun skapas för att hålla isär allt. Vid versionsuppdatering måste alltså den nya applikationen läggas in på flera ställen, men tidsfördelen blir ändå mycket stor eftersom alla inläggningarna kan göras samtidigt inom en och samma server, inte som idag i varje kommuns driftmiljö. Enkla scripts kan användas för sådan applikationsuppgradering - alla kommuner förutsätts köra samma version. De parallella IIS-delsajterna ger dock högre RAMförbrukning än multi-tenancy skulle ha gett, men å andra sidan är det lätt att addera RAM i virtualmiljön och RAM-åtgången per Multifråga-instans är i sig låg.
5(7) 3.3. Autentiseringsalternativ Normal inloggning till samdriftad Multifråga sker över öppna Internet (om än skyddat av https-kryptering), varför Datainspektionen kräver tvåfaktorsautentisering eftersom känsliga personuppgifter och socialsekretess hanteras. 3.3.1. Engångskoder Ett enkelt alternativ för tvåfaktorsautentiseringen är den beprövade och bekymmerslösa rutin som finns inom eansökan för att använda SMS-engångskod (förutom användarnamn och starkt lösenord). Som reserv finns även en rutin med förutdelade engångskoder i de fall handläggarna inte skulle ha mobiltelefon. Multifråga installerad i kommunmiljö kan däremot använda single-signon mot AD vilket är mycket bekvämt, så engångskoder ger lite sämre bekvämlighet. Icke desto mindre kan denna lösning ge mycket kort startsträcka och noll kostnad/påverkan inom kommunens egna driftmiljö. 3.3.2. Liten inloggningskomponent Vi erbjuder också ett bekvämt alternativ för Multifråge-autentiseringen genom en liten inloggningskomponent som ger single-signon för användarna. Detta är en minimal ASP.NET-applikation som installeras inom kommunens IT-miljö och som i sig använder single-signon mot AD - en särskild AD-grupp sätts upp för dem som har rätt att köra Multifråga. Komponenten utfärdar en unik och tidsbegränsad "token" som samdrifts-multifråga litar på. Denna teknik är beprövad sedan många år, se nästa kapitel. Komponenten förbrukar knappt några CPU- eller RAM-resurser alls och kan mycket väl läggas in i någon existerande Windows-server i kommunen (version 2003 eller nyare). Om man ändå skulle vilja ha en dedicerad serverinstans räcker den minsta sortens virtualserver. Eftersom komponenten är så enkel är det troligt att den mycket sällan behöver uppgraderas. Jämfört med om hela Multifråga istället hade varit installerad i kommunen så hade ett antal uppgraderingar behöva ha skett. Komponentens konfigurering är också mycket simpel, medan Multifrågas har tämligen många parametrar. Själva autentiseringen sker alltså inte över Internet i detta fall och tvåfaktorsautentisering krävs således inte av Datainspektionen. För de kommuner som använder eansökanekbist så planerar vi anpassa även den så att denna "token" kan litas på, varvid inloggningskomponenten kan ge single-signon också åt eansökan.
6(7) Sekvens för autentisering: Inloggningskomponent (redan autentiserad & auktoriserad användare) Begäran SBAMultifragaAukt <anvandar-id...> (... se SBNMultifragaAuktBegar) Svar med start-url-inkl-token Inloggningskomponent <start-url-inkl-token> Multifråga startar i inloggat läge För fler detaljer, se även kap SBNMultifragaAuktBegar i dokumentet Multifråga_Nyttomedd_v14_2016-06-21 (eller nyare). 3.3.3. Autenticering i verksamhetsapplikation Kommuner som använder verksamhetsapplikationerna ISOX och VIVA har sedan flera år en möjlighet för användaren att automatiskt starta kommuninstallerad Multifråga. Därvid sker autentiseringen inne i de verksamhetsapplikationerna och via en "token" litar Multifråga på detta. Denna princip fungerar lika bra remote mot samdriftad Multifråga. Själva autentiseringen sker alltså inte över Internet i detta fall heller och tvåfaktorsautentisering krävs således inte av Datainspektionen. 3.4. Integritet, PuL mm Socialsekretess gäller och känsliga personuppgifter hanteras. För att använda samdriftad Multifråga behöver därför kommunen och Sambruk teckna personuppgiftsbiträdesavtal. I och med att den samdriftade eansökan EkBist har funnits ett antal år så har Sambruk förslag på avtalstext och har också redan på plats ett personuppgiftsunderbiträdesavtal med ipeer. I frågorna som Multifråga ställer till myndigheterna identifierar sig frågande kommun via ett Steria-certifikat (i vilket kommunens organisationsnummer ingår). Vad gäller juridisk status hos driftningen räknar vi det som "outsourcing" vilket innebär att kommunen deponerar en kopia av sitt Steria-certifikat i Sambruks samdriftmiljö. Multifråga har ambitiös loggning i enlighet med Datainspektionens riktlinjer. Bl a autenticeringar och ställda myndighetsfrågor framgår av loggarna. Det finns även en särskild logg som är lämpad för att socialtjänsten ska kunna göra stickprov på att myndighetsfrågorna sker på ett korrekt sätt inom handläggningen. Loggen kan enkelt laddas in i Excel och begärs vid behov ut från Sambruk av kommunen.
7(7) 4. Framtid Autenticeringsteknik och annat inom IT-världen utvecklas ständigt. Sambruks mångåriga projektgrupp för Bistånd har varit öppna inför att allteftersom anpassa sig till sådant, när det ger konkreta fördelar och är kostnadseffektivt. Exempel på framtida tekniker som projektgruppen kan tänkas ta upp är SITHS för handläggarinloggning, nuvarande BankID och framtida E-legitimation (främst för medborgare i samband med eansökan, men kanske i något fall även för handläggare), samt olika sorters användning av SAML2 och OAuth2.