Välkomna till introduktionskurs i Sambi

Relevanta dokument
Internetstiftelsen i Sverige.

BILAGA 1 Definitioner

Sambi och Sambis roll Håkan Josefsson Service Manager, Apotekens Service AB

BILAGA 1 Definitioner Version: 2.02

Välkomna till introduktionskurs i Sambi

BILAGA 1 Definitioner Version: 2.01

BILAGA 1 Definitioner

E-legitimationsdagen

Agenda Bakgrunden till Sambi Vad Sambi är Krav som ställs på medlemmarna Erfarenheter från pågående arbeten

Introduktion. September 2018

Frågor och svar. Frågor kring åtkomstlösning

Regionalt samarbete. Tillit Federativ lösning för identitets och behörighetshantering

ehälsomyndighetens nya säkerhetskrav

PhenixID & Inera referensarkitektur. Product Manager

BILAGA 2 Tekniska krav Version 0.81

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

En workshop om anpassning av e-tjänster och IdP-lösningar för Sambi den 6 feb 2014

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Målgrupper för Sambi ... Privata omsorgsgivare Apoteksaktörer. Kommuner. Veterinärer Landsting. Tandläkare Privata vårdgivare.

Tekniskt ramverk för Svensk e-legitimation

Apotekens Service. federationsmodell

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

BILAGA 3 Tillitsramverk

Tekniskt ramverk för Svensk e- legitimation

BILAGA 3 Tillitsramverk Version: 2.1

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

Sambis tillitsarbete Staffan Hagnell, Internetstiftelsen

BILAGA 3 Tillitsramverk Version: 2.02

Anteckningar från möte om Sambis testbädd och pilotverksamhet

Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS?

BILAGA 4 - Fo reskrifter fo r Sambis Federationsoperato r

TJÄNSTEBESKRIVNING FÖR SAMBIS FEDERATIONSTJÄNST

Anteckningar från Sambis arbetsgruppsmöte

Mobilt Efos och ny metod för stark autentisering

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Anteckningar från möte om Sambis testbädd och pilotverksamhet

ehälsomyndighetens nya säkerhetslösning

BILAGA 4 - Fö reskrifter fö r Sambis Federatiönsöperatö r Versiön: 2.0.1

Underlag till möte om Sambis testbädd och pilotverksamhet

Tillitsdeklaration Version: 2.1 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.1

Federering i praktiken

Anteckningar från Sambis arbetsgruppsmöte

Mötesantecknignar - Sambidemo

Mobilt Efos och ny metod för stark autentisering

Tillitsgranskningsavtal

Mötesanteckningar - Sambidemo

Mötesanteckningar från Sambis arbetsgruppsmöte

Tillitsgranskningsavtal

Hur många standarder har du använt idag?

Svensk e-legitimation

Elevlegitimation ett konkret initiativ.

Säkerhetsgranskning

Anteckningar från möte om Sambis testbädd och pilotverksamhet

Skolfederation.se. KommITS

Introduktion till Skolfederation

Mobilt Efos och ny metod för stark autentisering

Mötesantecknignar - Sambidemo

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

Anteckningar från Sambis arbetsgrupp

Tillitsramverk och granskning April 2014

torsdag 17 oktober 13 IT's a promise

Referensarkitektur för Identitet och åtkomst Per Mützell, Inera

ehälsomyndighetens nya åtkomstlösning och Sambi

E-legitimationsutredningen SOU 2010:104

Anteckningar från Sambis arbetsgruppsmöte

BILAGA 1 Tekniska krav Version 1.0

Version: 2.0 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.01

Referensarkitekturen för Identitet och Åtkomst och hur det fungerar i praktiken. Per Mützell, Inera Tomas Fransson, Inera

Sambiombudsavtal. 1 Inledning

Anslutningsavtal för medlemskap i Sambi

Tillit och användbarhet med Skolfederation

E-legitimationsdagen dag 2. En översikt av eidas-arkitekturen och E-legitimationsnämndens erbjudande

Anvisningar e-tjänster. Anvisningar och rekommendationer för e-tjänster i samverkan SAML & SSO

Anslutningsavtal för medlemskap i Sambi

Mötesunderlag till Sambis arbetsgrupp

Utveckling av Skolfederations tillitshantering

BILAGA 3 Tillitsramverk Version: 1.3

TJÄNSTEBESKRIVNING FÖR SAMBIS TILLITSGRANSKNINGSTJÄNST

INTEGRATIONER, INLOGGNING, SÄKERHETSASPEKTER RUNT LADOK

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

De 16 principerna för samverkan II Karin Bengtsson

ehälsomyndigheten Kristina Fridensköld & Stephen Dorch

Hur kan medborgaren få bättre vård?

Hantering av tillitsnivåer

Anvisningar e-tjänster. Anvisningar och rekommendationer för e-tjänster i samverkan SAML & SSO

Nationell Tjänsteplattform och säkerhetsarkitektur. Per Brantberg, område arkitektur/infrastruktur

ehälsomyndighetens nya åtkomstlösning och Sambi

Instruktion för integration mot CAS

Krav på federationstjänst

Bilaga 2. Säkerhetslösning för Mina intyg

Introduktion till SAML federation

Vad innebär Skolfederation.se för en kommun?

BILAGA 2 Tekniska krav Version 1.3

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Lennart Beckmanä Beckman Security.

Mö tesanteckningar fra n Sambis arbetsgrupp

BILAGA 1 Tekniska krav

De 16 principerna för elektronisk samverkan mellan organisationer

Transkript:

Välkomna till introduktionskurs i Sambi

IIS är federationsoperatör

Vad är IIS? Internetstiftelsen i Sverige https://www.youtube.com/watch?v=jkeioxrmcny

Sambis styrgrupp Från vänster Carina Landberg, IT-forum Stockholms län, Danny Aerts, IIS (styrgruppens ordförande) Petter Könberg, Inera Saknas på bilden Stefan Leonardsson, ehälsomyndigheten Sara Meunier, SKL

Dagens agenda 09.00 Varför Sambi? 10.00 Fika 10.15 Vad är Sambi och hur fungerar Sambi? 12.00 Lunch 12.45 Teknik, SSO, SAML, Metadata 14.15 Fika 14.30 Status, pågående arbeten, komma igång, sammanfattning, examensprov! 16.00 SLUT

Kort presentation av deltagarna Vilka är ni och varför ni är intresserade av Sambi?

Förmiddagens agenda 09.00 12.00 Fikapaus ca kl 10.00 10.15 Lunch kl 12.00 VARFÖR SAMBI Bakgrund och historia Förstudie och 16 principer Målsättning, målgrupper VAD ÄR SAMBI Federation och identitetsfederation SAML Tillitsramverk LOA Behörighetsstyrning genom attribut HUR FUNGERAR SAMBI Organisation, arbetsformer Arkitektur och identitetshantering

Varför Sambi?

Bakgrund & Historia 2007 Swamid - Den tekniska förebilden 2011 SIS/TK450 - Skolfederation 2012 De 16 principerna för samverkan IT-forum, Kommunförbundet Stockholms län, KSL 2012 Förstudie Sambi, för sektorn vård, omsorg och e-hälsa Ett samarbete mellan ehälsomyndigheten, Inera och IIS Värd att läsa!

De 16 principerna för samverkan (KSL) Informationssäkerhet 1. att ha en antagen informationssäkerhetspolicy, eller motsvarande, med tillhörande styrande dokument 2. att ha minst en utsedd person som leder och samordnar informationssäkerhetsarbetet 3. att tillämpa en likvärdig metod och jämförbara nivåer för informationsklassning 4. att utifrån återkommande riskanalyser och inträffade incidenter vidta nödvändiga åtgärder för att upprätthålla rätt skyddsnivåer Tillit 5. att tillämpa gemensamma tillitsramverk för att skapa tillit över huvudmannagränser 6. att koppla informationstillgångar till relevanta tillitsnivåer

De 16 principerna för samverkan, forts. Federering 7. att ha förmågan att utfärda och/eller konsumera elektroniska identitets- och behörighetsintyg. 8. att säkerställa att alla delar i det elektroniska identitets- och behörighetsintyget följer aktuella tillitsramverk. 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används i samverkan. Signering 11. att medverka till teknik- och leverantörsneutrala lösningar för elektroniska underskrifter. Grundläggande infrastruktur 12. att tillse att all gränsöverskridande kommunikation kan ske över internet. 13. att verka för att kommunikation över öppen infrastruktur signeras och krypteras. 14. att säkerställa robusthet i för samverkan vitala infrastrukturkomponenter. 15. att den egna källan för tid är spårbar till den svenska nationella tidsskalan. 16. att kravställning bör bygga på nationellt framtagna informationsstrukturer.

Förstudie Sambi, för sektorn vård, omsorg och e-hälsa Ett samarbete mellan ehälsomyndigheten, CeHis, Inera och IIS. Rapporten kom 2012-06-15 Uppdraget var att ta fram en tjänstebeskrivning avseende en identitets- och behörighetsfederation för vård och omsorg Visionen: Federationen skall fungera som en nationell mötesplats för säkra e-tjänster genom att vara det infrastrukturella navet som sammanlänkar e-tjänster och användarorganisationer i en lösning som bygger på tillit och skydd för den personliga integriteten Rapporten blev en kravställning och underlag till projektdirektiv för hur Sambi skulle byggas upp

Mål för Sambi 90% av medarbetarna kan år 2016 nå sina professionella verksamhetssystem med en samordnad, enkel och säker inloggning (single-sign-on) Ref: CeHis Handlingsplan 2013-2018?

Mål för Sambi Tillhandahålla en infrastrukturlösning för säker åtkomst av e-tjänster för hela sektorn ehälsa. Vara det självklara valet för organisationer som vill uppnå en optimerad nivå på hanteringen av identiteter och behörigheter samt skyddet av den personliga integriteten i sina verksamheter. Underlätta för informationsägare att fullgöra de skyldigheter som bland annat följer av personuppgiftsansvaret. Ur förstudierapporten Identitets- och behörighetsfederation för ehälsa

Mål för Sambi, forts. Vara ett självklart alternativ till att utforma separata lösningar för hanteringen av identiteter och behörigheter, separat för varje enskilt system, i varje enskild organisation. Tillhandahålla en gemensam och tydlig infrastruktur, baserad på standard, som erbjuder marknaden en tydlig bas för tillhandahållande av effektiva e-tjänster. Fungera som ett forum som verkar för medlemmarnas gemensamma intressen, verkar för samverkan, kunskapsutveckling, erfarenhetsutbyte och där spridning av goda exempel möjliggörs. Ur förstudierapporten Identitets- och behörighetsfederation för ehälsa

SEKTORN Ökad säkerhet Stimulera utveckling ANVÄNDARORGANISATION Valfrihet att välja sin egen lösning Enklare tjänsteintegration Enhetlig administration av användare TJÄNSTELEVERANTÖR Slippa administration av användare Enklare integration av skolhuvudmän ANVÄNDARE SSO, en inloggning till alla tjänster

Målgrupper för Sambi enligt förstudierapporten Kommuner Privata omsorgsgivare Apoteksaktörer Veterinärer Landsting Tandläkare Privata vårdgivare Regionförbund... Myndigheter Invånare Informationsinfrastruktur

Tänkbara medlemmar? 4 departement, 20 statliga myndigheter och 20 forskningsinstitutioner 21 landsting 291 kommuner 1 284 apoteksaktörer 1 933 tandläkarmottagningar

Tänkbara medlemmar? 15 000 privata vård- och omsorgsgivare 1000-tals offentliga vård- och omsorgsgivare 1 185 företag med veterinärverksamhet Leverantörer, färdtjänst, varor, journalsystem, läkemedel, etc. Patienter, exempel: diabetes appar för barn

Underlätta realisering av SSO Hösten/vintern 2015 genomförde Inera en SSO-förstudie på uppdrag av SLIT Landstingsrepresentanter utsedda av SLIT Region Skåne, VG region, Östergötland, Västmanland, Örebro, Uppsala, SLL, Region Gotland, Gävleborg, Jämtland-Härjedalen, Dalarna. Inom Strategi, Arkitektur, Klient, Katalog, Identitet och åtkomsthantering, SSO-projekt, SITHS, och så vidare. Enkäter, intervjuer/diskussioner, insamling material.

Underlätta realisering av SSO, forts. Avstämningar och möten Delrapport (nulägesanalys och inriktning) och en Slutrapport Presentationer av rapporten i olika forum (SLIT, olika program/projekt, etcetera).

SSO-rapporten Innehåll i rapporten Orienterande beskrivning av området Identitets-och åtkomsthantering (IAM) Nuläget i regioner och landsting och pågående initiativ Problemställningar och hinder Strategiska vägval Beslutsunderlag med styrande principer och åtgärdsförslag

Nuläge SSO Applikationer som saknar stöd (ingen SSO) Enkelriktade uthoppslösningar funktionalitet AD-integrerad inloggning Direkt kortinloggning i applikationen Klientbaserad SSO-agent, Enterprise SSO Klientbaserad applikationsportal - Navigator Biljettbaserad standardiserad SSO (med federationsstöd) Antal anslutna applikationer

Övningsuppgift 3-3 * 6 + 2 = -13 Eller?

Fika 10.00 10.15

Vad är Sambi?

Vad är en federation? Federation kommer från det latinska ordet för fördrag, fœdus, som in sin tur kommer från latinets fidere, att lita på, och betyder heller inte mycket mer än så; ett fördrag mellan parter som litar på varandra. Vilka som sluter fördraget, vad det går ut på, hur omfattande det är, vad som ska avgöras gemensamt och vad som ska avgöras av parterna var för sig, det vill säga vad slags stat som krävs, varierar från federation till federation. /Göran Rosenberg

Vad är en identitetsfederation? En identitetsfederation är en sammanslutning av organisationer som har kommit överens om att lita på varandras elektroniska identiteter och behörighetsstyrande attribut för att underlätta användarnas åtkomst till elektroniska tjänster och skydda den personliga integriteten. Sambifederationen blir vad federationens medlemmar vill att Sambi ska bli!

Vad är identitetshantering? I denna kontext: Den hantering som krävs för att en användare ska få erforderlig behörighet till ett IT-system IT-system DB

Hur sker vanlig identitetshantering? Ett vanligt scenario för en användare är behov av åtkomst till flera IT-system Journalsystem DB Labsystem DB Röntgensys DB I varje enskilt system administreras användaren och användarens behörighet separat Adm.system DB

Undvik olika integrationer Användar- Organisation A IdP SP Tjänsteleverantör e-tjänst Användar- Organisation B IdP SP Tjänsteleverantör e-tjänst Användar- Organisation C IdP SP Tjänsteleverantör e-tjänst Detta problem vill Sambi adressera

En standard för integrationen FEDERATION Gemensam regler, standard och infrastruktur ANVÄNDARORGANISATIONER TJÄNSTELEVERANTÖRER

Samma identitet och attribut Användarorganisation Inloggning SITHS E-LEG ID IdP INTYG E-TJÄNST SP Användaruppgifter Användaradministration och kontohantering hos användarorganisationen IdP - Identity Provider SP - Service Provider

SAML 2.0 är den tekniska standarden ANVÄNDARORGANISATION TJÄNSTELEVERANTÖR INTYGSUTGIVARE INTYG pseudonym + attribut E-TJÄNST Intyget innehåller uppgifter för att E-tjänsten ska kunna fatta beslut om åtkomst

Distribuerat ansvar ANVÄNDARORGANISATION TJÄNSTELEVERANTÖR INTYGSUTGIVARE INTYG pseudonym + attribut E-TJÄNST ATTRIBUTS- REGISTER Varje Användarorganisation ansvarar för att dess kataloguppgifter är korrekta

Distribuerat ansvar ANVÄNDARORGANISATION TJÄNSTELEVERANTÖR INTYGSUTGIVARE SITHS E-LEG ID ATTRIBUTS- REGISTER INTYG pseudonym + attribut E-TJÄNST Varje användarorganisation ansvarar för sin e-legitimationslösning och användarhantering

Behov av en federationsoperatör ANVÄNDARORGANISATION TJÄNSTELEVERANTÖR INTYGSUTGIVARE SITHS E-LEG ID ATTRIBUTS- REGISTER INTYG pseudonym + attribut E-TJÄNST MEDLEMSREGISTER

Sambi SAMVERKAN Teknisk standard Gemensam infrastruktur Krav på säkerhet Behörighetsstyrande attribut

Tillit SAMVERKAN Teknisk standard Gemensam infrastruktur Krav på säkerhet Behörighetsstyrande attribut

Tillit - Sambi Federationen skall fungera som en nationell mötesplats för säkra e-tjänster genom en lösning som bygger på tillit och skydd för den personliga integriteten Skydd av verksamheternas information är också centralt! Åtkomst ska kunna ske av endast behöriga

Tillit? Vi kan ha tillit till någon utan att ha fullständig information om denna Inte bara en tro på människors goda avsikter, utan en välgrundad tro att vissa principer är uppfyllda

Tillitsnivåer - ett koncept för identiteter i federationer LoA, Level of Assurance LoA 1 LoA 2 LoA 3 LoA 4 OBS! Ingen eller liten tillit till identiteten Typ Facebook, Google, Hotmail Begränsad tillit till identiteten AD-identitet, företagsinternt, domänspecifikt Hög tillit till identiteten Svensk e-legitimation, SITHS, Pass, körkort Mycket hög tillit till identiteten Klassningen gäller endast för identiteter, inte för de behörighetsstyrande attributen.

Sambis Tillitsramverk Syftet är att medlemmarna ska känna tillit till varandra eftersom de vet att medlemmarna uppnår en känd säkerhetsnivå. Ramverket är uppdelat i följande delar Generella krav E-legitimationsutfärdare Attributsutgivare Identitetsintygsutgivare Tjänsteleverantör

Sambis Tillitsramverk och granskning Syftet med granskning och godkännande: Ge förlitande parter en försäkran om att vissa principer är uppfyllda utan att alla behöver ha direkt insyn

Rätt avtalspart är en viktig del i Sambis förtroendekedja Lagar och föreskrifter Riktlinjer för medlemskap i Sambi Godkänna medlemskap i Sambi Federationsoperatörens ansvar Garant för att endast behöriga Användarorganisation blir medlemmar i federationen Kontroll av att rätt organisationsuppgifter för medlemmen läggs in i federationens metadata Användarorganisationens ansvar Utfärdare av korrekt SAML-intyg Tjänsteleverantörens ansvar Kontroll av organisationsuppgiften i SAML-intyget stämmer överens med metadata för Användarorganisationen Kontroll av övriga behörighetsstyrande attribut Beslut om åtkomst till E-tjänsten

Bensträckare 5 minuter

Attributsförvaltning SAMVERKAN Teknisk standard Gemensam infrastruktur Krav på säkerhet Behörighetsstyrande attribut

Omfattning för Sambi attributshantering De attribut för behörighetsstyrning som sänds i intyget från Användarorganisationen Inte förbjudet för tjänsten att använda ytterligare attribut T.ex. efter inloggningen hämta attribut från annan lämplig katalog 48

Statusrapport för attributförvaltningen

Statusrapport för attributförvaltningen

Statusrapport för attributförvaltningen

Stöd för versionshantering Namngivningen för attribut i Sambi stödjer versionshantering genom att major-version av attributet ingår i dess namn. Exempel där major-versionen är 1 : http://sambi.se/attributes/1/personalidentitynumber Exempel på användning Nedan är ett exempel på användning av attributen i SAML2.0 intyg: <saml2:attribute Name="http://sambi.se/attributes/1/personalIdentityNumber" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" FriendlyName="personalIdentityNumber"> <saml2:attributevalue xmlns:xsi="http://www.w3.org/2001/xmlschema-instance" xsi:type="xs:string">191212121212</saml2:attributevalue> </saml2:attribute>

Samverkan mellan Sambi och katalogtjänster Sambi står för en gemensam standard och regler, inte en attributkatalog HSA, EK etc är viktiga attributkataloger för Sambi Gemensamt intresse av attributkvalité

Vad Sambi inte är!

Sambi är en standard, INTE en central meddelandeväxel Ej central inloggning ANVÄNDARORGANISATIONER TJÄNSTELEVERANTÖRER

Sambi förändrar inte ansvaret för åtkomstkontroll Användarorganisation Tjänsteleverantör Avtal Intyg med attribut Sambi

Övningsuppgift Vem ansvarar för utfärdande av identitet? A. Intygsutgivaren (IdP:n) B. Användarorganisationen C. Sambi

Övningsuppgift Vem ansvarar för att avgöra behörighets-beslutet? A. Intygsutgivaren (IdP:n) B. Användarorganisationen C. e-tjänsten

Övningsuppgift Vilken LOA-nivå krävs det för hantering av patientinformation? A. 1 B. 4 C. 3

Övningsuppgift Vilka attribut är obligatoriska i Sambi? A. HSAid-medarbetare, LOA-nivå, organisationstillhörighet B. PNR-medarbetare, LOA-nivå C. Inga alls

Dags för lunch kl 12.00-13.00 Kontakt info@sambi.se www.sambi.se

Hur fungerar Sambi? (hur arbetar man i Sambi?)

Sambis styrgrupp Från vänster Carina Landberg, IT-forum Stockholms län, Danny Aerts, IIS (styrgruppens ordförande) Petter Könberg, Inera Saknas på bilden Stefan Leonardsson, ehälsomyndigheten Sara Meunier, SKL

Sambis arbetsgrupp Syftet Att tjäna som en grupp inom Sambi för utbyte av information och kunskaper Tjäna som en referensgrupp för gemensamma frågor inom Sambi Samverka kring och bidraga till vidareutveckling av Sambi Består av deltagare till exempel från: Inera, SLL, IIS, Migrationsverket, ehm, kommuner, landsting Leverantörer: Tieto, Nexus, Svensk e-identitet, Pulsen, med flera. Träffas regelbundet.

Sambis arbetsgrupp

Sambis ändringsråd Syftet Att hantera och kommunicera planerade förändringar inom infrastruktur och gemensamma objekt inom federationen Tjäna som en CAB inom Sambi Kommer ev även att hantera incident & problem Består bl.a med deltagare från Inera, SLL, IIS, ehm Träffas vid behov, oftast i samband med arbetsgruppsmöten

Infrastruktur - ändringar

Sambi attributsförvaltning Förvaltningen är organisatoriskt placerad på Inera, som en del av Säkerhetstjänsternas förvaltning, men uppdraget är att förvalta för Sambi Uppdraget omfattar att etablera och underhålla standard för federationens attribut Omfattar inte lagring av attributen Att ta fram och kommunicera en ensad bruttolista på i Sambi överenskomna attribut

Samverkan Samverkan utgående från olika kulturer och förutsättningar Landsting, kommunal, apoteksaktörer, Internet och akademiska federationer Offentlig och privata aktörer Regionala samarbeten Nationella initiativ som Svensk e-legitimation EU, Electronic identification and trust services (eidas)

Federationsoperatören Internetstiftelsen, IIS är federationsoperatören för Sambi; Att stötta och bidraga till förvaltningen och utvecklingen av Sambi Att tjäna som federationsoperatör

Federationsdrift Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Attributförvaltning Information

Sambis federationsdrift idag Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Attributförvaltning Information

Tillitsgranskningsprocessen

Vad granskas? De generella kraven i Sambis Tillitsramverk, vilka utgörs av generella krav på verksamheten, säkerhetsarbetet, kryptografiska säkerhet, ansvar för underleverantörer, handlingars bevarande och tillhandahållande av information För användarorganisationer och deras underleverantörer granskas Tillitsramverkets specifika krav på hanteringen av deras funktioner för e- legitimationsutfärdare, attribututgivare och identitetsintygsutgivare För tjänsteleverantör och deras underleverantörer granskas hur de uppfyller Tillitsramverkets specifika krav för tjänsteleverantörer

Standardiserat infrastruktur Vi har kommit långt 60-talet: En terminal för varje applikation 90-talet: Ett nät, webb, Återstår att lösa identitets- och behörighetshanteringen mellan organisationer

Bensträckare 5 minut

Övningsuppgift? 6 * 7 = 42? 5 * 6 = 30? 4 * 5 = 20? 2 * 3 = X6

Teknik https://www.sambi.se/teknik/

Agenda, teknik SAML 2.0 SSO, SLO Metadata Anvisningstjänst/Discovery Service Profiler Tekniska miljöer Därefter fika!

Traditionell inloggning Användarorganisation Användare E-tjänst Vad är det för fel på det här då? www.e-service.se www.e-service.se Användarnamn ********** DB

Exempel på problem med traditionell inloggning som SAML angriper Administration av behörigheter/tjänst Inloggning per tjänst Lösenord per tjänst Säkerhetskrav Lösenordssupport www.e-service.se www.e-service.se Användarnamn ********** DB

Exempel på inloggning med SAML Intyg Välkommen! Intyg 2 3 1 www.e-service.se DB

Exemplet väcker några frågor Hur vet IdP:n vilken tjänst användaren vill ansluta till? Hur vet e-tjänsten att den kan lita på intyget från IdP:n? Vad är det för information i intyget?

Information i intyget (förenklat) Name ID Ex. transient / persistent ID (pseudonym) Iuerfn#y873yniuw%eyr847 Användarens attribut Namn: Kalle Karlsson E-post: kalle.karlsson@ronneby.se Organisation: Ronneby Vårdcentral Roll: Läkare Livslängd Giltig till och med 2016-02-25/13:54

<SAML Response> Exempel på hur ett SAML Response Message kan se ut i verkligheten

Hur vet tjänsten att den kan lita på intyget? Intyg www.e-service.se X.509 Certifikat Metadata Out of Band Certifikat Metadata

Hur vet IdP:n vilken tjänst användaren vill ansluta till? Exempel: IdP-initierad inloggning idp.iis.se/sso=www.e-service1.se* Intyg Iis.se/portal Välkommen! e-service1 e-service2 Intyg 2 3 1 e-service3 www.e-service.se

Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?

Initiering av SAML-inloggning IdP-initierad inloggning Inloggningen startar hos användarorganisationen som i det tidigare exemplet SP-initierad inloggning Inloggningen startar hos e-tjänsten.

SP-initierad inloggning www.e-service.se Intyg www.e-service.se Intyg DB 3 2 Välkommen! Logga in med skolfederation 4 Begäran Begäran 1

<SAML AuthnRequest> Exempel på hur en SAML Request kan se ut i verkligheten

Hur vet SP:n vilken IdP som kan ställa ut intyg för användaren? Anvisningstjänst Borås Gävle Krokom www.e-service.se

IdP-discovery (exempel) Tjänsten tillhandahåller en unik URL för respektive användarorganisation (www.iis.e-service.se, www.skatteverket.e-service.se) Tjänsten känner till användarorganisationens IP-adressrymd Tjänsten listar alla aktuella IdP:er i en anvisningstjänst och användaren får aktivt välja sin IdP E-tjänster kan använda flera smarta metoder i kombination för att underlätta autentiseringen av användaren

Anvisningstjänst OrganizationDisplayName 2 Anvisningstjänst Borås 4 E-tjänst SP 3 Borås Gävle 1 Krokom Gävle Allt informationsutbyte sker genom omdirigering av användarens webbläsare Krokom

Exempel på problem med traditionell inloggning som SAML angriper Administration av behörigheter Inloggning per tjänst Lösenord per tjänst Säkerhetskrav Lösenordssupport www.e-service.se www.e-service.se Användarnamn **********

Bensträckare 5 minut

Men Vi har nya problem i en annan dimension

Anslutning mellan parter Certifikat Metadata Out of Band Certifikat Metadata www.e-service.se Förutsätter att parterna enats om: Teknik/standard Tillämpning Information Format Tillit/säkerhet Rutiner

Användarorganisationens perspektiv Följ min standard! IdP

E-tjänstens perspektiv Följ min standard! IdP IdP IdP SP Följ min standard! Följ min standard!

Sektorns perspektiv En integration per anslutning IdP IdP SP SP IdP SP Hundratals eller tusentals organisationer

En standard för integrationen FEDERATION Gemensam standard och infrastruktur

Gemensam standard Sambis tekniska krav SAML 2.0 Implementationsprofil egov2 2.0 beskriver vilka delar av SAML som måste implementeras Deploymentprofilen saml2int beskriver vilka delar av SAML som måste vara i bruk samt hur dessa ska användas Namnstandard för anvisningstjänst Attributsprofiler

Gemensam infrastruktur Aggregerat metadataregister signerat med federationens nyckel Central anvisningstjänst Verktyg för validering av metadata Testmiljö

Aggregerat metadataregister Metadata Certifikat Metadata Certifikat Metadata Certifikat Aggregerad och publicerad metadata Metadata+certifikat 1 Metadata+certifikat 2 Metadata+certifikat 3 Metadata+certifikat 4 Metadata+certifikat 5 Metadata+certifikat 6 / / Aggregerat metadata Signera och publicera Metadata Certifikat Metadata Certifikat Metadata Certifikat Federationsoperatör

Aggregerad metadata Skolfederation

Anvisningstjänst - exempel

Övningsuppgift Vilka är federationsoperatörens 2 viktigaste uppgifter? A. Centralt & aggregerat metadataregister samt tekniskt & regulatoriskt ramverk B. Säkerställa identitetshanteringen samt centralt & aggregerat metadataregister C. Säkerställa identitetshanteringen samt tekniskt & regulatoriskt ramverk

FIKA! Kl 14.15 14.30

Agenda, fortsättning 14.30 Fortsättning 16:00 Avslut SAML 2.0 Övningsuppgifter SAML Status pågående arbeten Komma igång

SAML 2.0 Security Assertion Markup Language

Kort om SAML Öppen standard från OASIS XML-baserat ramverk för att kommunicera information för autentisering, behörighet och attribut för användare 2002 - SAML 1.0 2003 SAML 1.1 2005 SAML 2.0

SAML 2.0 Assertions Protocols Bindings Information om användaren Authentication statements (hur användaren har autentiserats) Attribute statements (användarens attribut) Authorization decision statements (information för att avgöra användarens rättigheter) Paketering och hantering av SAML-element Assertion Query and Request Protocol Authentication Request Protocol Artifact Resolution Protocol Mappar SAML-protokoll till andra protokoll SAML SOAP Binding (based on SOAP 1.1) Reverse SOAP (PAOS) Binding HTTP Redirect (GET) Binding HTTP POST Binding HTTP Artifact Binding SAML URI Binding Profiles Beskriver hur ovanstående kombineras SSO Profiles Artifact Resolution Profile för en specifik tillämpning Assertion Query/Request Profile Name Identifier Mapping Profile SAML Attribute Profiles

Övningsuppgift - korv 2 Homer äter korven 1 Den grillade korven förbereds för att ätas 3 Homer grillar en korv

Övningsuppgift - SAML Nisse har just kommit till jobbet och har ännu inte loggat in i någonstans. Innan han gör något annat vill han klara av ett ärende i tjänsten service.se. Tjänsten finns inte i portalen på Nisses företag. I vilken ordning händer nedanstående? idp.krokom.se Användarnamn Lösenord Logga in Välkommen! Logga in med: E-post lösenord www.service.se Välkommen Nisse! www.service.se Välj din intygsutfärdare Borås Gävle Krokom IdP:n har ställt ut ett intyg och dirigerar Nisse tillbaka till SP:n som skickade begäran. service.se har identifierat vilken IdP Nisse använder och dirigerar honom vidare med en AuthnRequest (begäran om intyg). Nisse vill till tjänsten service.se. Tjänsten finns inte i portalen på Nisses företag. Nisse vill logga in via en federation. Eftersom han gick direkt till tjänstens webbsida så känner den inte till vilken IdP Nisse använder, utan diririgerar honom till en anvisningstjänst. service.se har många olika typer av användare och erbjuder därför flera olika alternativ för inloggning.

Övningsuppgift - SAML SAML-implementationen i exemplet är inte ett föredöme avseende användarvänlighet. Användaren ställs inför flera val i olika sammanhang under inloggningsflödet. Överkurs: Hur skulle en mer användarvänlig implementation kunna se ut? 4 2 5 1 3 idp.krokom.se Användarnamn Lösenord Logga in Välkommen! Logga in med: E-post lösenord www.service.se Välkommen Nisse! www.service.se Välj din intygsutfärdare Borås Gävle Krokom IdP:n har ställt ut ett intyg och dirigerar Nisse tillbaka till SP:n som skickade begäran. service.se har identifierat vilken IdP Nisse använder och dirigerar honom vidare med en AuthnRequest (begäran om intyg). Nisse vill till tjänsten service.se. Tjänsten finns inte i portalen på Nisses företag. Nisse vill logga in via en federation. Eftersom han gick direkt till tjänstens webbsida så känner den inte till vilken IdP Nisse använder, utan diririgerar honom till en anvisningstjänst. service.se har många olika typer av användare och erbjuder därför flera olika alternativ för inloggning.

Kom ihåg det här Inloggning här! Intyg med användarinformation via omdirigering av webbläsare Intyg www.e-service.se Välkommen! Användarnamn Intyg 2 ********** 3 1 www.e-service.se DB

Flöde och inblandade system, repetition Användare vill logga in Vårdsystem Vårdsystemet begär autentisering av användaren IdP IdP n begär användarens inloggning Användaren loggar in IdP Kontrollerar certifikat SITHS IdP n skickar tillbaka användarens inloggningsbiljett till vårdsystemet Hämtar behörighetsstyrande uppgifter HSA AD etc Vårdsystem

Vad är SSO? Single sign-on (SSO) en användare behöver endast logga in en gång för att nå de system som är anpassade till tjänsten. Även Single sign-off brukar inkluderas i begreppet För att kunna sköta det dagliga arbetet handlar det ofta om att jaga information i 20 30 olika system och applikationer, förutom patientjournalsystemet. Man loggar in i och ut ur system hela tiden att informationsflödet inte hänger ihop. Spretigheten i IT-stödet har blivit en betydande arbetsmiljöfråga i vården!

Hur fungerar SSO? Applikation A Användaren vill logga in IdP= Identity Provider (intygsutfärdare) SP= Service Provider (e-tjänst)

Hur fungerar SSO? Applikation A SP:n ber användaren logga in

Hur fungerar SSO? Applikation A Användaren skickas till IdP:n och får där autentisera sig m.h.a exempelvis ett SITHS-kort och sin PIN-kod.

Hur fungerar SSO? Applikation A IdP:n verkställer autentiseringen och skapar och skickar en SAML-biljett till webläsaren

Hur fungerar SSO? Applikation A Webbläsaren skickar SAML-biljetten vidare till SP:n som använder SAML-biljetten för att logga in användaren i SP:n. Utifrån de behörighetsstyrande attributen i SAML-biljetten får användaren tillgång till de funktioner som användaren får nyttja i SP:n. (SP:n har egentligen inget beroende till autentiseringsmetoden, litar på intyget.)

Hur fungerar SSO? Applikation A All kommunikation sker nu bara mellan webbläsaren och SP:n. Användaren har dock en tidsbegränsad inloggningssession i IdP:n. IdP:n har hjälpt till med att upprätta en session mellan webbläsaren och SP:n och har nu inte längre något ansvar. SP:n håller sin session tills användaren loggar ut från SP:n

Hur fungerar SSO? Applikation A Applikation B Användaren vill nu även logga in i en annan tjänst

Hur fungerar SSO? Applikation A Applikation B Användaren anropar den andra SP:n

Hur fungerar SSO? Applikation A Applikation B SP:n ber användaren logga in och skickar en inloggningsbegäran via webbläsaren till IdP:n

Hur fungerar SSO? Applikation A Applikation B Webbläsaren gör en inloggningsbegäran. IdP:n upptäcker att användaren redan är inloggad och skapar en ny SAML-biljett till begärd SP - om inte sessionstiden har gått ut.

Hur fungerar SSO? Applikation A Applikation B IdP:n skickar SAML-biljetten via webbläsaren till SP:n SP:n använder SAML-biljetten för att logga in användaren i SP:n. Utifrån de behörighetsstyrande attributen i SAML-biljetten får användaren till gång till de funktioner som användaren får nyttja i SP:n.

Hur fungerar SSO? Applikation A Applikation B Användaren kan nu arbeta i bägge applikationerna, baserat på EN inloggning i IdP:n, det vill säga SSO.

Hur fungerar SSO? Applikation A Applikation B TLSsession TLSsession Sessionen ligger nu mellan webbläsaren och e-tjänsten, SP:n. När webbläsaren stängs så försvinner sessionen eller om man loggar ut ur e-tjänsten.

Gemensamt ansvar Användarens ansvar Är att följa lagar och föreskrifter som är applicerbara inom e-tjänstens användningsområde Tillse att ingen obehörig har åtkomst till inloggad e-tjänst. Vilket t ex innebär skyldighet att logga ut & stänga e-tjänsten då e-arbetsplatsen lämnas obevakad e-arbetsplatsens (PC:n) ansvar Är att tillse att kommunikationen med e-tjänsten samt med IdP:n sker med förväntad säkerhet. För att detta ska kunna uppfyllas krävs att den är rätt konfigurerad och har erforderlig programvara installerad och uppdaterad

Gemensamt ansvar, forts. IdP:n ansvar Är att identifiera och autentisera en användare och utställa ett identitetsintyg (SAML-biljett) till de applikationer som aktören avser att nyttja e-tjänstens ansvar Är att validera riktigheten i identitetsintyget (SAML-biljetten) och utifrån dess behörighetsstyrande attribut tilldela/neka tillgång till funktioner inom e- Tjänsten

Hur fungerar SLO (Single Logout)? SLO

Mer information på: www.sambi.se/teknik

Övningsuppgift Vilka 3 viktiga saker säkerställer SAML-biljettens riktighet? Signerad ID på inloggningsbegäran (AuthnRequest Id/InResponseTo) Utställd till (Recipient)

Status och pågående arbeten

Medlemmar Användarorganisationer Stockholms stad Stockholms Läns Landsting Danderyds kommun E-tjänster SLL Beställningsportalen

Status Piloten med SLL och Stockholms stad Skarp drift med användare av Beställningsportalen. Användning av Stockholms stads e-tjänstekort och SITHS Projektutvärderingen ska göras Planering av ytterligare användare ska påbörjas

Status, forts. Inera Anpassningsarbete av Ineras Säkerhetstjänster pågår för inträde i Sambi Pascal följer därefter ehälsomyndigheten Utveckling för federationsanpassning av tjänsteplattform och tjänster (planeras till Q4 2016)

Granskningar 2016-10-25

Inera Inera har nu publicerat metadata för Nationella säkerhetstjänster och Pascal i Sambis Trial-miljö.

Kommuner Danderyds kommun Medlemsantal med Sambi har tecknats och de önskar komma i gång med SLL:s beställningsportal via Sambi. Huddinge kommun Godkänd som utfärdare av Svensk e-legitimation (Den första!!!) De är nu intresserade att komma i gång med att testa lämplig tjänst i Sambi. Stockholms stad Godkänd

Status tillitsgranskningar 2016-11-10 SLL Vad Status Stockholm Stad Beställningsportalen Godkänd Godkänd Tieto Sweden AB Brokertjänst Godkänd Inera AB Katalogtjänst HSA Godkänd Inera AB Idp i Inera Nationella Säkerhetstjänster Godkänd SLL Danderyds kommun Lidingö stad Stockholmsläns Sjukvårdsområde IdP Godkänd med krav på komplettering Godkänd med förbehåll Godkänd med förbehåll Tre stycken pågående tillitsgranskningar

Deltagare testbädd Inera MobilityGuard Nexus Svensk e-identitet Tieto ehälsomyndigheten SLL Stockholms stad

Uppdatering av dokumentation och webbplats Kvalitetsprojekt för Sambis Tillitsgranskningstjänst har avslutats och följande dokumentation har gåtts igenom och publicerats: Anslutningsavtal Sambi Sambis Bilaga 1 - Definitioner för Sambi Sambis Bilaga 3- Tillitsramverk Sambis Bilaga 4 - Föreskrifter för Sambis Federationsoperatör Sambis Bilaga 5 - Avgifter Tjänstebeskrivning för Sambis Federationstjänst Tjänstebeskrivning för Sambis Tillitsgranskningstjänst Tillitsgranskningsavtal Tillitsgranskningsavtal Bilaga 1 Tillitsgranskningens omfattning Tillitsdeklarationsmall Granskningsinstruktion och Checklista för tillitsdeklaration Instruktioner för Sambis Granskare Sekretessförbindelse med Granskare samt ett stort antal interna rutindokument!

Produkter och lösningar Exempel Inera Nexus Svensk e-identitet

Inera Användarorganisation A WS-TRUST intyg E-legitimation SITHS annan ID? Intygsutgivare Lokala säkerhetstjänster STS Lokala system Lokalt system Användare Attributsregister HSA Annat? SAML intyg Lokala tjänster Lokal tjänst Inera E-legitimation SITHS Intygsutgivare Nationella säkerhetstjänster Nationella tjänster PASCAL NPÖ Attributsregister HSA SAML intyg Svevac

Inera Gemensamma tjänster INERA TJÄNSTER NYTTJARE Intygsutgivare gemensamma tjänster Nationella säkerhetstjänster Gemensamma e-tjänster Intygsutgivare lokala system Lokala säkerhetstjänster Lokala e-tjänster/system E-legitimation Attributsregister SITHS HSA Privata aktörer

Inera Lokala tjänster/system INERA TJÄNSTER NYTTJARE Intygsutgivare gemensamma tjänster Nationella säkerhetstjänster Gemensamma e-tjänster Intygsutgivare lokala system Lokala säkerhetstjänster Lokala e-tjänster/system E-legitimation Attributsregister SITHS HSA Privata aktörer

Inera Privata aktörer INERA TJÄNSTER NYTTJARE Intygsutgivare gemensamma tjänster Nationella säkerhetstjänster Gemensamma e-tjänster Intygsutgivare lokala system Lokala säkerhetstjänster Lokala e-tjänster/system E-legitimation Attributsregister SITHS HSA Privata aktörer

SAML 2.0 I begynnelsen så tog Inera fram en specifikation, SAMBI SAML Profile som specificerade användningen av SAML i Sambi. Bland annat redovisades eventuella avsteg från saml2int och egov2 Den innehåller en attributsspecifikation med 18 attribut som stödde de nationella tjänsternas behov (NPÖ, Pascal, med flera). Ineras säkerhetstjänster har lite utvecklarstöd under: https://confluence.cgiostersund.se/display/st/utvecklarinfo

nexus stöd för Sambi Federation SAML 2.0 / OAuth2 Attributsproxy IdP SP Smart kort med personligt certifikat som uppfyller LoA3 Säker inloggning och verifiering av behörighet Utfärdare av Identitetsintyg Mottagare av Identitetsintyg

Svensk e-identitet Användarorganisation Intyg Pseudonym + Attribut Tjänsteleverantör E-legitimation SITHS Sv. e-leg Intygsutgivare E-tjänst Användare annan ID Attributsregister Teknisk anslutning via enkelt API istället för SAML.

Komma igång

Komma igång förberedande Gör en analys hemma Vad ska vi börja med? Vilka vinster gör vi? Vilka förutsättningar har vi? Identifiera kompetensbehov SAML, Identitetshantering, ADFS, WS-Trust?, Informationssäkerhet Ta hjälp!

Komma igång förberedande, forts. Ta vara på andras erfarenheter SLL, Inera Ta del av Ineras SSO-förstudie Sätt upp mål och resurssätt Sätt realistiska mål. Saker tar tid

Bli medlem Intresseanmälan Använda Trial-miljö Tillitsdeklaration Avtal Produktion

Vad kostar medlemskap i Sambi?

Medlemsavtal Anslutningsavtal Bilaga 1 Definitioner Bilaga 2 - Tekniska krav Bilaga 3 Tillitsramverk Bilaga 4 - Föreskrifter för federationsoperatören Bilaga 5 - Avgifter Kontaktuppgifter (blankett) https://www.sambi.se/medlemskap/anslutningsavtal/

Kontaktblankett

Kontaktuppgifter Huvudkontakt övergripande, publiceras på Sambis webbplats Teknisk kontakt den person som blir motringd vid uppladdning av nytt metadata! Incidentansvarig kan vara en funktionsbrevlåda/-telefon, ska alltid bevakas Fakturakontakt

Metadatahantering Validering Sänd via formulär https://www.sambi.se/teknik/metadata/lamna-nytt-metadata/ Checksumma Kundtjänst motringer teknisk kontakt Publicering

Infrastruktur - miljöer

Information www.sambi.se Nyhetsbrev allmänna tekniska Seminarier och workshops Svenskt Federationsforum 21/11 Behörighetsmodeller 1/12 Kurser Arbetsgruppens möten

Vilka är de stora utmaningarna? Arvet, behov av att federationsanpassa tjänster och system Enas om gemensamma attribut för sektorn ett ledningssystem för informationssäkerhet (LIS) som baseras på ISO/IEC 27001 eller motsvarande Börja i tid! Se till att kravställa nya tjänster så att de är federationsanpassade.

Om Svensk e-legitimation och Sambi Från E-legitimationsnämnden (ELN) 28 april 2016: Annonsen om valfrihetssystemet för Svensk e-legitimation tas ner. E-legitimationsnämnden har beslutat att ta ner annonsen kring valfrihetssystemet för Svensk E-legitimation. De myndigheter och kommuner som ligger i avtal har informerats. E-legitimationsnämnden har arbetat intensivt för att valfrihetssystemet för Svensk E-legitimation skulle vara igång nu till 2016. Svensk e-legitimation blev dock aldrig till som det var tänkt. Flera aktörer som var centrala för federationen kom inte med. I och med eid 2016 Övergångstjänst finns nu tre alternativa lösningar på plats för att möta det kortsiktiga behovet av säker e-legitimering och e-underskrift hos de myndigheter som har avtal som löper ut vid halvårsskiftet. Övriga alternativ är att avropa på Kammarkollegiets ramavtal Programvaror och tjänster eller att upphandla själv. En förstudie är på gång för att se över spelplanen för Svensk e-legitimation med siktet inställt mot framtidens digitala behov. Så småningom kommer en ny idé kring samordningen av säker e-legitimering och e-underskrift att presenteras. Detta sammantaget gör att annonsen och valfrihetssystemet för Svensk e-legitimation spelat ut sin roll och därför tas ner. Däremot så fortsätter de med att granska Identitetsutfärdare som Sambi lutar sig mot!

Övrigt En Idebeskrivning Behörighetsmodeller för vård- och omsorg har tagits fram av Inera (Per Mützell). Den kommer att delges Sambis medlemmar för synpunkter och därefter tas vidare i Ineras programkontor.

Examensprov Vilka 3 viktiga saker säkerställer SAML-biljettens riktighet? Signerad ID på inloggningsbegäran (AuthnRequest Id/InResponseTo) Utställd till (Recipient)

Tack för visat intresse! Fyll gärna i utvärderingsformuläret.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss