Anteckningar från Sambis arbetsgruppsmöte

Relevanta dokument
Mötesanteckningar från Sambis arbetsgruppsmöte

Anteckningar från Sambis arbetsgruppsmöte

Anteckningar från möte om Sambis testbädd och pilotverksamhet

Anteckningar från möte om Sambis testbädd och pilotverksamhet

Anteckningar från Sambis arbetsgruppsmöte

Anteckningar från möte om Sambis testbädd och pilotverksamhet

Mötesantecknignar - Sambidemo

Mötesanteckningar - Sambidemo

Underlag till möte om Sambis testbädd och pilotverksamhet

Mötesantecknignar - Sambidemo

Mötesunderlag till Sambis arbetsgrupp

Anteckningar från Sambis arbetsgrupp

Agenda Bakgrunden till Sambi Vad Sambi är Krav som ställs på medlemmarna Erfarenheter från pågående arbeten

Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS?

En workshop om anpassning av e-tjänster och IdP-lösningar för Sambi den 6 feb 2014

Regionalt samarbete. Tillit Federativ lösning för identitets och behörighetshantering

BILAGA 1 Definitioner

Sambi och Sambis roll Håkan Josefsson Service Manager, Apotekens Service AB

BILAGA 3 Tillitsramverk Version: 1.3

E-legitimationsdagen

BILAGA 1 Definitioner Version: 2.01

Mo tesanteckningar Sambis arbetsgrupp

BILAGA 1 Definitioner

BILAGA 1 Definitioner Version: 2.02

Anteckningar från referensgruppens möte

Introduktion. September 2018

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Underlag till referensgruppens möte

BILAGA 3 Tillitsramverk Version: 2.02

Anteckningar från referensgruppens möte

ehälsomyndighetens nya säkerhetslösning

BILAGA 3 Tillitsramverk

Mö tesanteckningar fra n Sambis arbetsgrupp

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

Anteckningar från referensgruppens möte

Anteckningar referensgruppens möte

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Frågor och svar. Frågor kring åtkomstlösning

Sambis tillitsarbete Staffan Hagnell, Internetstiftelsen

ehälsomyndighetens nya säkerhetskrav

Anteckningar från referensgruppens möte

Tillitsramverk och granskning April 2014

Svensk e-legitimation

Anteckningar från referensgruppens möte

Underlag till referensgruppens möte

Utveckling av Skolfederations tillitshantering

Version: 2.0 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.01

Anteckningar från referensgruppens möte

torsdag 17 oktober 13 IT's a promise

Målgrupper för Sambi ... Privata omsorgsgivare Apoteksaktörer. Kommuner. Veterinärer Landsting. Tandläkare Privata vårdgivare.

Skolfederation. Staffan Hagnell,.SE

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

BILAGA 3 Tillitsramverk Version: 2.1

Elevlegitimation ett konkret initiativ.

Frågor i avslutande workshop Huvudtema. Identifikationsfederationer för vad och vilka? Rolf Lysell, rolf.lysell@innotiimi.se

PhenixID & Inera referensarkitektur. Product Manager

Granskningsinstruktion och checklista för Tillitsdeklaration

Mobilt Efos och ny metod för stark autentisering

Mobilt Efos och ny metod för stark autentisering

Tillitsgranskningsavtal

Tillitsgranskningsavtal

Referensarkitektur för Identitet och åtkomst Per Mützell, Inera

Att legitimera sig elektroniskt i tjänsten

Skolfederation.se. Workshop 29 maj 2012

Lennart Beckmanä Beckman Security.

Lennart Beckmanä Beckman Security.

Modell fo r ä ndringshäntering äv Sämbis gemensämmä tekniskä infrästruktur Version 1.0

ehälsomyndighetens nya åtkomstlösning och Sambi

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Skolfederation.se. KommITS

Mobilt Efos och ny metod för stark autentisering

Internetstiftelsen i Sverige.

SITHS PA Charter. Regelverk för SITHS PA

Anslutningsavtal för medlemskap i Sambi

Sammansta llning av remissvar och rekommendation till nytt Tillitsramverk fo r Sambi

ERFARENHETSUTBYTE KRING FEDERATIVA IDENTITETSLÖSNINGAR

Lennart Beckmanä Beckman Security.

BILAGA 4 - Fo reskrifter fo r Sambis Federationsoperato r

Tillitsdeklaration Version: 2.1 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.1

Apotekens Service. federationsmodell

Vad innebär Skolfederation.se för en kommun?

TJÄNSTEBESKRIVNING FÖR SAMBIS FEDERATIONSTJÄNST

Välkomna till introduktionskurs i Sambi

Bilaga 2. Säkerhetslösning för Mina intyg

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Svenskt federationsforum

Federering i praktiken

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Anteckningar från referensgruppens möte

Hantering av tillitsnivåer

BILAGA 2 Tekniska krav Version 0.81

ehälsomyndighetens nya åtkomstlösning och Sambi

Svensk e-legitimation. Internetdagarna Eva Ekenberg

Checklista. För åtkomst till Svevac

Tjänster med åtkomst till personer med skyddade personuppgifter från HSA. Version 1.2.2,

Anslutningsavtal för medlemskap i Sambi

Granskningsinstruktioner och checklista för Tillitsgranskare

Transkript:

Anteckningar från Sambis arbetsgruppsmöte Datum: 16 juni 2015, 10.00-11.30 Plats: SE, Ringvägen 100, plan 9, Stockholm och via telefonkonferens tel. 08-999212, kod 322134 Närvarande Agneta Wistrand,.SE Anders Björk, SLL Björn Skeppner, Inera Joakim Sandberg, ehälsomyndigheten Jörgen Hellgren, Svensk e-identitet Lars Johansson, Stöttepelarna Leif Gustafsson, Pulsen Robert Sundin,.SE Staffan Hagnell,.SE Stefan Halen,.SE Stefan Runneberger, Nexusgroup Urban Jarl, SLL Agenda 0 Agenda 1 Föregående protokoll 2 Status 3 Pilotanvändarna 4 Uppdragspunkter 5 Medlemsavtalet 6 Tillitsgranskning 7 Attribut 8 Övriga frågor 8.1 Innebörden av HSA-katalogen som attributkälla 8.2 Logiken för åtkomst 8.3 Common domain cookie 9 Nästa möte

0 Agenda 1 Föregående protokoll Finns publicerat på https:///?p=1049 2 Status 2.1 Federationsoperatören 2.1.1 Ändringsmodell Dokumentet Modell för ändringshantering av Sambis gemensamma tekniska infrastruktur har sänts på remiss inom arbetsgruppen. Det förvänts bli klart inom kort, förhoppningsvis nästa vecka. I samband med att Sambis medlemsavtal ska revideras ska det även tydliggöras att Ändringsrådet (CAB) ansvarar för förändringar av den tekniska avtalsbilagan (bilaga 2). 2.1.2 Meddelandeformatspec Ändringsspec, remissad i liten grupp samt av Anders Abel och nu klar. Resultatet kommer att sändas vidare till CABen för besluta om uppdatering av teknikbilagan. 2.1.3 Teknikbilagan Ny version av teknikbilagan på gång, bl a med auth-info. 2.2 Sambis styrgrupp Styrgruppens möte 18/5 avrapporterades på arbetsgruppens förra möte. Nya datum för styrgruppens möten för ht 2015 har bokats. De är: 17 aug 9 sep 14 okt 16 nov 14 dec 2.3 Utbildningstillfällen höstterminen 2015 Utbildningstillfällen är nu inplanerade för hösten 10 sep Sambi GK (förmiddag) + 10 sep Sambi Tillitsgranskningskurs (eftermiddag) 7 okt Sambi GK (heldag) + 8 okt förmiddag Sambi Tillitsgranskningskurs (förmiddag) 11 nov Sambi GK (heldag) + 12 nov förmiddag Sambi Tillitsgranskningskurs (förmiddag)

SLLs och Stockholms stads projektrapport från pilotprojektet kan förmodligen utgöra mycket bra input. 3 Pilotanvändarna 3.1 SLL och Stockholms stad Pilotprojektet håller nu på att avslutas och en slutrapport kommer att vara klar i september. Lösningen har använts på två äldreboenden och två vårdcentraler. Inloggning sker med SITHS kort resp Stockholms stads e-tjänstekort. Reaktion var typiskt: var så enkelt, var det inte mer att göra. En lathund har tagits fram och används vid introduktion för användare. Just nu är det bara idp-initierad inloggning som används. Lista över vilka nya tjänster som ska in i Sambi ska gås igenom och prioriteras. Det är troligt att Webcare kommer med bland de första. Även nya organisationer vill in Sambi. Känns positivt. Rätt väg att gå, kommer att vara ett krav i nya upphandlingar att federering ska fungera, helst via Sambi. Planerar att etablera rollen federationskoordinator för att underlätta fortsättningen. 3.2 Inera Arbetet med anpassning av säkerhetstjänsternas IdP pågår. Det är nu beslutat att Pascal ska gå med. Strategiskt beslut finns sedan tidigare om att alla Ieras tjänster ska anslutas. Pascal-förvaltningen initierar nu ett arbete för att gå med i Sambi. Som en del i arbetet behöver de verifiera i testmiljön. En fråga har ställts till SLL om de skulle kunna vara test- IdP. Målet är att innan semestern utreda vilka tekniska hinder de har. 3.3 EHM Förstudie klar, nu på granskningsvända internt. Designen består av en plattform (gemensamma delar för att enkelt ansluta nya tjänster) och de unika delarna för respektive tjänst. 3.4 Övriga Federationen måste ut i övriga landet, kräver nationella tjänster. Bra början med Pascal, volym kan dock byggas upp i Stockholmsregionen.

4 Uppdragspunkter (UP) Från Ansvarig Beskrivning Status datum 14-11-11 Robert Sundin Red ut med Anders Abel, Kentor, vad kravet är för SP att anger sin hantering av transient eller persistent pseudonym. 15-01-22 Ett arbetsmöte hölls 12 jan, väntar på uppdatering (slutversion?) 15-02-17 om det behövs, kalla till ett möte för att få det i mål. 15-03-19 inväntar synpunkter 15-06-16: Förhoppningar om att det snart är kilart 15-01-22 Nexus Ge synpunkter på 15-03-19: Kvarstår testspecifikationen 15-01-22 Urban Bjud in FO (federationsoperatören) till SLLs projektmöte för att diskutera hur FO och medlemmarnas ärendehantering ska mappas samman. 15-03-19 Staffan H Undersök de upplevda problemet med Huddinges tillitsgranskning. 15-04-21 Robert Undersök status för Roland Hedbergs arbete med verktyget för conformance tester. 15-04-21 Staffan Bilda arbetsgrupp med.se, ehm, SLL, Kerstin Rising, Stockholms stad för att ta fram nytt medlemsavtal. 15-04-21 Staffan Fastställ nya utbildningstillfällen för Sambis tillitsgranskning. 15-03-19: Kvarstår 15-06-16: Klar Uppstartsmöte för granskning bokat med ELN och Huddinge kommun den 28/5. Fråga sänd till ELN den 13/5 om deras möjlighet att även granska tjänstelegitimationer och inte bara personliga legitimationer. 15-06-16: Omformulera UP till bevaka vad som händer ELN ska granska, de har kapacitet och vill vara granskare enligt kraven för utfärdande av svensk e-legitimation. 15-06-16: Möte bokat med Roland 25/6 Omformulera till en UP för.se att ta fram ett förslag till medelmsvatal baserat på det befintliga medlemsavtalet för piloten. 15-06-16: Klart: Nytt avtal framtaget, ska sändas för synpunkter till SLL, Stockholms stad och ehm. Även en grundkurs om Sambi ska tas fram. 15-06-16: Klart: Datum fastställda. Se ovan.

15-04-21 Staffan Utred ett ombudsavtal för de som ansluter kunder via den egna Intygsutgivaren. 15-04-21 Björn, Patrik, Tomas Ta fram användningsfall som förtydligar behovet och eventuella problem vid användning av HSA och andra attributkataloger. 15-04-21? Hur bör logiken för åtkomst utformas och vilka attribut bör användas? 15-06-16 Staffan Bevaka vad som händer ELNs tillitsgranskning av Huddinge Pågår 15-06-16: SLL (Urban) vill vara med när det kommit lite längre med Inera. Klar Klar Det är upp till varje tjänst. 5 Medlemsavtalet 5.1 Permanent medlemsavtal Nytt avtal framtaget, ska sändas för synpunkter till SLL, Stockholms stad och ehm. 5.2 Avtalsutveckling Ett ombudavtal som möjliggör för Inera och andra som önskar att ansluta sina kunder via sin egen Intygsutgivaren behöver utredas. AP, Staffan: Utred ett ombudsavtal för de som ansluter kunder via den egna Intygsutgivaren. Status: Avvaktar Ineras avtalsanalys. 6 Tillitsgranskning 6.1 Status SLL Beställningsportalen: Godkänd för piloten. Arbete pågår med Riskanalys. SLL Intygsutfärdare: Godkänd för piloten. Arbete pågår med Riskanalys. SLL WebCare: Avvaktar arbetet med Riskanalys för Beställningsportalen. Tieto Broker: Godkänd Stockholms stad: Granskning pågår. Inera Säkerhetstjänster: Granskning pågår. Inera HSA: Granskning pågår.

Danderyds kommun: Arbete pågår med tillitsdeklarationen. ehm: Version 0.9 av ansökan klar. SITHS: Avvaktar besked från Inera och E-legitimationsnämnden Huddinge: Möte har genomförts den 28 maj mellan E-legitimationsnämnden (ELN) och Huddinge kommun för att granskas som utfärdare av Svensk e-legitimation. Även Sambi deltog på mötet. ELN var tydliga på deras vilja och förmåga att utföra granskningen. Från Sambis sida följer vi granskning med stort intresse, då denna granskning vid sidan av SITHS är en pilot för granskningssamverkan mellan ELN och Sambi. Pascal: Ett uppstartsmöte planeras för att komma igång med granskningsarbetet. 6.2 Förslag på nytt tillitsramverk för Sambi Förslaget för tillitsramverk kommer att sändas ut på remiss. Svar önskas senast den 19 juni. 7 Attributförvaltning 7.1 Statusrapportering Två arbetsmöten har hållits, nästa efter semestern. Kommit fram till styrande principer och sammanställt attributen i tre olika dokument, ska beskrivas på Sambis webbplats (senast torsdag denna vecka). Dokumenten visar: Ineras nuläge, SLLs nuläge och en kombinerad varit i bör-läge. Ambitionen är att ta fram gemensamma attributsprofiler med ganska få attribut, minimum antal attribut. ehm har sänt in sina synpunkter, ska tas vidare. Hur informera om detta? Webbplatser, nyhetsbrev, arbetsgrupper, nätverk. Björn ska leda en SSO-förstudie på uppdrag av SLIT (Stockholms läns IT-chefer), klar i oktober. Inom kort kommer ett arbetsmaterial att publiceras på https:///regelverk/. Arbetsmaterialet består av ett nuläge i form av befintliga attribut för Inera:s (Säkerhetstjänsternas) attribut SLL:s attribut samt ett börläge i form av en bruttolista på ensade attribut som medlemmarna i SAMBI strävar mot. Diskussion

Finns det ett också ett nuläge för ehm och andra? Ett regelverk för varje attribut efterlyses! Fråga: Kommer listan med attribut även att kompletteras med en förteckning över profiler? Svar: JA. 8 Övriga frågor 8.1 Innebörden av HSA-katalogen som attributkälla UP, Lars Johansson tar fram ett förslag på text för att förtydliga detta. NOT! Från Lars erhölls följande utkast till text direkt efter mötet. Syftet är att diskutera den vidare på nästa möte. I Sambi, liksom i andra federationer, talas om tillitsnivåer (LoA) för identiteter dvs med vilken säkerhet man har fastställt identiteten hos en person/organisation. Sambi har f.n. beslut på att enbart tillämpa LoA 3. Definition av vad detta innebär är under framtagande i annat forum. Men eftersom Sambi inte enbart berör själva identiteten utan även användning av identiteten så vidgas problemet. Till exempel måste Sambi kunna bedöma med vilken LoA själva autentiseringen sker. Detta betyder granskning av fysisk installation av kortläsare, krypteringar, OTP-mekanismer, dosor och andra hjälpmedel. Inte nog med detta utan resultatet av autentiseringen blir (i de flesta fall) ett identitetsintyg (SAMLbiljett) som innehåller information om användaren. Därmed behöver intygsutfärdaren granskas liksom attributkällan/-orna där intygsutfärdaren hämtar uppgifter till intyget. Granskning av hela denna kedja ingår i tillitsdeklarationen för Sambi och granskas av granskningsgruppen innan medlemskapet godkänns. En utmaning är/blir att värdera kvaliteten på innehållet i attributkällan. HSA t.ex innehåller över 100 olika attribut som ofta är mer informativa än primära i SAML-sammanhang. Att välja rätt attribut att granska är en grannlaga uppgift då värdet av olika attribut kan växla över tiden. Till exempel mobiltefonnummer är relativt ofarligt som attribut om man inte använder det för OTP. När det gäller granskning av andra områden (identitetsutfärdare, intygsutfärdaren, tjänsteleverantör) sker granskning av processerna kring tjänsten och inte efterlevnaden. Detta skulle sträcka sig för långt just nu. Vid granskningen är Sambi noga med att varje aktör och tjänst genomför en riskanalys och vidtar åtgärder så att upptäckta risker minimeras. Sambi granskar också att uppföljning görs på vidtagna åtgärder så att de gett önskad effekt. Med motsvarande angreppssätt på attributkälla skulle Sambi granska ATT det finns processer för att hålla uppgifterna korrekta och uppdaterade men inte HUR och VILKA. Detta är någonting som respektive riskanalys skall identifiera och åtgärda samt följa upp. 8.2 Logiken för åtkomstkontroll Övrigt

Björn Skeppner: krav för säkerhetstjänsterna, domännamn för common domain cookie. Sambi.se? Bör beskrivas i det tekniska regelverket. Måste läggas upp access för att skriva i kakan. T ex central DNS. Behöver specificeras nu, ej finnas i drift. 9 Nästa möte Följande mötestider bestämdes för ht 2015. 18 aug, kl 10.00-11.30 17 sept, kl 10.00-11.30 15 okt, kl 10.00-11.30 17 nov, kl 10.00-11.30 15 dec, kl 10.00-11.30 Staffan sänder ut kallelser.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss