Sammenhængende log-in - SSO til applikationer i et andet sikkerhedsdomæne

Størrelse: px
Starte visningen fra side:

Download "Sammenhængende log-in - SSO til applikationer i et andet sikkerhedsdomæne"

Transkript

1 > Sammenhængende log-in - SSO til applikationer i et andet sikkerhedsdomæne IT- & Telestyrelsen, Kontor It-infrastruktur og Implementering februar 2010

2 Indhold > 1 Introduktion Føderationsfordele 4 2 Arkitekturkomponenter 6 3 Grundlæggende scenarie 8 4 Overvejelser Oprette tillidsforhold Metadata udveksling Repræsentation af adgangsrettigheder Identity Provider discovery-funktion 11 5 Identity Provider integration Autentifikation af bruger Opbevarelse af information om adgangsrettigheder Overvejelser ved oprettelse af netværk 15 6 Service Provider integration Adgangskontrol Integration med lokale adgangskontrolsystemer Overvejelser ved oprettelse af netværk 18 Appendix A: References 19

3 Dokument Historie Version Dato Initialer Ændringer TG Dokument oprettet

4 1 Introduktion > Denne guide beskriver hvordan to organisationer kan indgå i en føderation vha. den danske OIOSAML-profil af OASIS SAML-standarden 1. Fokus vil være på den offentlige sektor, men teknikkerne kan også bruges i andre sektorer. Den grundlæggende ide bag konceptet sammenhængende login er at ansatte i organisation (A) kan tilgå (web-)applikationer stillet til rådighed af organisation (B) i et andet sikkerhedsdomæne sømløst og sikkert uden at skulle logge på eller anskaffe en ny brugerkonto hos (B). OIOSAML løser dette problem ved at levere arkitekturkomponenter og protokoller. Denne guide beskriver hvordan offentlige organisationer kan oprette føderationer i praksis samt integrere med en eksisterende infrastruktur såsom LDAP register. Figur 1: Føderationskonceptet Bemærk at OIOSAML også bruges i andre føderationsscenarier hvor en central tredjepart er ansvarlig for at autentificere brugere (f.eks NemLog-in løsninger). Scenariet bruges ofte for borgerrettede applikationer, hvor brugeren ikke tilhører en reel organisation, som kan stå inde for vedkommendes identitet. Disse scenarier er ikke en del af denne guide, som udelukkende fokuserer på identity providers i lokale organisationer. 1.1 Føderationsfordele Der er mange fordele ved at bruge de føderationsmekanismer, der vil blive beskrevet i denne guide: 1 Security Assertions Markup Language se [SAMLCore] for detaljer. 4

5 > Brugeradministrationen reduceres. En organisation, der stiller en applikation (B) til rådighed, behøver ikke administrere en anden organisation(a) s brugere/ansatte samt deres rettigheder til at bruge applikationen. I stedet bliver brugere administreret i deres egen organisation, hvilket betyder en reduktion i den administrative byrde. Bedre sikkerhed. Når brugerne er administreret i deres egen organisation bliver sandsynligheden for, at deres rettigheder er korrekte væsentligt forøget, hvilket forbedrer sikkerheden. Hvis f.eks. en ansat i organisation(a) skifter stilling eller forlader organisationen, er det sandsynligt at den lokale administrator bliver kontaktet og sørger for at opdatere adgangsrettighederne. Nogle organisationer har endda udrullet identitetstyringssystemer, som sørger for at adgangsrettigheder automatisk bliver opdateret, når en ansats stamdata ændres (f.eks i en HR database). Hvis ansatte har brugerkonti hos andre organisationer, er sandsynligheden for at deres adgangsrettigheder bliver opdateret meget mindre. Mindre udgifter til integration. Integration med OIOSAML er baseret på åbne, internationale standarder, hvilket sænker udgiften til integration. Hvis offentlige organisationer fødererer med flere forskellige partnere, kan de samme integrationskomponenter genbruges. Kommercielle standardprodukter og gratis open source referenceimplementationer af OIOSAML er tilgængelige [REFIMPL]. Brugeroplevelsen bliver forbedret. Brugere undgår at blive tildelt nye brugerkonti for hver applikation, de skal bruge (f.eks. nyt bruger ID og password, som de skal huske og ændre med jævne mellemrum). Derudover opnår de single sign-on, så de ikke behøver at logge ind gentagne gange på en arbejdsdag, hvilket betyder at brugerens oplevelse og produktivitet forbedres. Portaler kan samle applikationer sømløst. Ved at opnå single-sign on til (web)applikationer er det muligt at bygge portaler, der samler og integrerer adskillige applikationer fra forskellige organisationer. Hvis applikationerne er integreret i portalen via en web-browser (f.eks. iframing eller link), er det ikke nødvendigt at modificere applikationer der bruger SSO, men er udviklet til selvstændigt brug, for at applikationerne kan bruges i en portal. Den danske borgerportal (borger.dk) og virksomhedsportal (virk.dk) er eksempler på portaler, der bruger integration via web-browser. 5

6 2 Arkitekturkomponenter > Før de forskellige scenarier kan blive beskrevet, skal de individuelle roller og komponenter i arkitekturen præsenteres. SAML Identity Provider Denne komponent bliver udrullet i organisationer, hvor medarbejderne har brug for adgang til applikationer hos andre organisationer. Identity Provider-komponenten kan autentificere lokale bruger og derefter udstede en såkaldt SAML assertion (se herunder), som identificerer brugeren og hans rettigheder overfor applikationer i et andet sikkerhedsdomæne. Dvs. at Identity Provider attesterer de lokale brugeres identiteter overfor andre organisationers applikationer. Når Identity Provider har brug for at autentificere en lokal bruger, kan brugeren logge ind direkte med sine brugeroplysninger, eller organisationen kan gøre brug af en SSOmekanisme såsom Kerberos. Autentifikation overfor Identity Provider er dog udenfor rammerne af OIOSAML. Det kan være nødvendigt for Identity Provider at hente en brugers adgangsrettigheder, når den skal lave en SAML assertion f.eks. fra et LDAP register, hvor den lokale organisation administrerer lokale brugere. Dette er også udenfor rammerne af OIOSAML. Flere detaljer om integration af SAML Identity Provider-komponenter vil kunne ses senere i denne guide. SAML Service Provider Denne komponent bliver udrullet i organisationer, der tilbyder webapplikationer til andre organisationer. Komponenten arbejder sammen med Identity Provider i brugerens egen organisation for at autentificere brugeren og få adgangsrettigheder, som kan bruges til at afgøre, om brugeren har adgang til applikationen. Dvs. at Service Provider stadig definerer og kontrollerer adgangen til applikationer, mens Identity Provider kun tildeler rettigheder til brugere. SAML Service Provider og SAML Identity Provider stoler på hinanden og kommunikerer i overensstemmelse med protokoller defineret i OIOSAML. Før de kan kommunikere, skal de 2 komponenter udveksle metadata som beskriver kommunikations-endpoints(url er), certifikater til digital signaturer og kryptering, understøttede attributter etc. SAML Assertion En SAML assertion er et XML-dokument, som dannes af Identity Provider ved modtagelse af en forespørgsel om autentificering af en bruger fra en Service Provider. Den indeholder information om brugerens identitet, hvornår brugeren blev autentificeret, styrken af autentifikationen og attributter om brugeren, der kan indeholde information om adgangsrettigheder forventet af Service Provider (f.eks. roller). OIOSAML definerer indholdet af assertions i den offentlige sektor samt et antal standardiserede identitetsattributter. Da information om adgangsrettigheder varierer fra implementation til implementation, er attributterne ikke defineret i OIOSAML og må defineres lokalt enten efter aftale mellem en lokal Identity Provider og Service Provider eller for en sektor (f.eks. sundhedssektoren). OIOSAML opstiller regler for hvordan lokale attributter skal defineres, bl.a. navngivningskonventioner. 6

7 > Applikation Applikationen er en webapplikation eller portal der kræver brugerautentifikation før beskyttede ressourcer kan tilgås. I scenarierne herunder er autentifikationsprocessen delegeret til separate SAML Service Provider-komponenter (som til gengæld delegerer til en Identity Provider-komponent i brugerens organisation). Service Provider-funktionaliteten kan også implementeres direkte i applikationen. 7

8 3 Grundlæggende scenarie > Herunder er et grundlæggende scenarie beskrevet, som illustrerer hvordan en bruger i en organisation kan bruge en lokal SAML 2.0-baseret Identity Provider til at få adgang til applikationer i et andet sikkerhedsdomæne. Scenariet vil være et vejledende eksempel igennem hele dette dokument, og de efterfølgende afsnit vil præcist beskrive forskellige aspekter af dette scenarie især integration med SAML-komponenter. I figur 2 er den lokale autentifikationsløsning i brugerens organisation et Active Directory (Kerberos), men andre løsninger kan også bruges. Figur 2: Flow i det grundlæggende scenarie Trinene er som følger: 1. Brugeren logger ind til sit lokale netværk i starten af en arbejdsdag. 2. På et tidspunkt laver brugeren via sin browser en forespørgsel til en webapplikation, der stilles til rådighed af organisation B. 3. Applikationen kræver autentifikation og autorisation af brugeren, så applikationen videresender brugeren til dens lokale SAML-baserede autentifikationsserver. 4. Autentifikationserveren finder brugerens Identity Provider (Discoverymekanismen bliver beskrevet senere) og sender en SAML autentifikationsforespørgsel til den. 5. SAML Identity Provider autentificerer brugeren via den lokale domain controller og henter information om brugerens adgangsrettigheder frem fra det lokale register, som er relevant for organisation B. Derudover laver den en session med brugeren og sætter sin identifikator i brugerens common domain cookie. 6. SAML Identity Provider laver en SAML 2.0 assertion der indeholder brugerens autentifikations- og autorisationsinformation og returnerer den. 8

9 > 7. SAML-serveren hos organisation (B) validerer den tilsendte SAML assertion, udtrækker information om adgangsrettigheder, omformaterer om nødvendigt informationen til et internt format, og returnerer det. 8. Applikationen laver en session med brugeren og ekspederer forespørgslen baseret på brugerens identitet og den supplerede adgangsrettighedsinformation. Forudsætningerne og antagelserne i det ovenstående scenarie er: At organisation (B) stoler på organisation A s autentifikation af deres egne brugere og administration af adgangsrettigheder til applikationer. De 2 organisationer har udvekslet SAML metadata, herunder hvilke adgangsrettigheder (grupper, roller, privilegier), organisation (B) behøver. Organisation (B) har skilt sin SAML-implementation ud fra applikationen (trin 3). I nogle tilfælde kan SAML-implementationen være direkte indlejret i applikationen. Administratorer i organisation A har tildelt de påkrævede adgangsrettigheder til lokale brugere. Service Provider (org. B) kan afgøre hvilken Identity Provider, den skal sende autentifikationsforespørgslen til (se discovery-funktionalitet nedenunder). SAML Identity Provider i organisation (A) skal kun bruge den lokale domain controller til bruger autentifikation ved første anvendelse. Derefter har den sin egen session med brugeren og kan udstede et token automatisk. 9

10 4 Overvejelser > Dette kapitel beskriver en række overvejelser, der er relevante, når man skal oprette en føderation mellem organisationer i den offentlige sektor. OIOSAML vedrører kun arkitektur, protokoller og policies, men der er mange andre ting at overveje, eksempelvis juridiske og organisatoriske spørgsmål, hvordan adgangsrettigheder bliver repræsenteret, og integration med den eksisterende infrastruktur. 4.1 Oprette tillidsforhold En grundlæggende forudsætning i en føderation er, at der er et tillidsforhold mellem Identity Provider og Service Provider. F.eks. skal en Service Provider have tillid til at Identity Provider autentificerer brugere korrekt, at Identity Provider kan stå inde for brugernes identitet, tildele de rigtige adgangsrettigheder, samt drive et sikkert system og følge aftalte procedurer og politikker. Som udgangspunkt skal enhver Identity Provider, der ønsker at deltage i den fællesoffentlige føderation, indgå en aftale med sekretariatet for det fællesoffentlige brugerstyringssamarbejde i Økonomistyrelsen. Føderationen har defineret en række krav, der skal mødes af alle Identity Providere i føderationen, herunder tekniske krav, sikkerhedskrav og krav til logning, tid etc. Når en Identity Provider har opfyldt disse føderationskrav, bliver dens metadata føjet til en såkaldt white list på den fællesoffentlige føderations netsted. Her kan en Service Provider undersøge om en Identity Provider findes på føderationens white list og dermed have tillid til, at føderationskravene er opfyldt Lokale aftaler En Service Provider-organisation vil typisk kræve en godkendelse af et sæt vilkår og betingelser for brug af deres applikationer, som går ud over føderationskravene (som er applikations- og datauafhængig). Omvendt kan en Identity Provider-organisation også have krav til Service Provider f.eks. angående kvalitet af service, fordi den givne applikation kan være kritisk for Identity Provider-organisationens forretningsprocesser. Hvis det er tilfældet, er det nødvendigt at lave en lokal aftale mellem Identity og Service Provider. Aftalen kan regulere mange områder bl.a. roller og ansvar, procedurer, kvalitet af service, sikkerhedskrav såsom til adgangskontrol til applikationen, krav til håndtering af følsomme data udstillet af applikationen, og krav til Identity Provider-organisationen om korrekt håndtering af brugeradgang til applikationen i henhold til Service Providers procedurer. 4.2 Metadata udveksling Efter tillidsforhold og juridiske aftaler er blevet oprettet mellem organisationerne, er det nødvendigt at udveksle metadata mellem Identity og Service Provider (dvs.importere partnerens metadatafil i sit eget system). En organisations metadatafil indeholder teknisk information om SAML installationen såsom end-points (URL er) for SAML services, certifikater brugt til signering og kryptering og understøttede attributter. Formatet for metadata er standardiseret og yderligere specificeret i OIOSAML. 10

11 > Ved at importere partnerens metadatafil er et teknisk tillidsforhold implicit etableret. Dvs. at SAML servere nu vil acceptere og bruge SAML forespørgsler signeret af partnerens digitale signatur. 4.3 Repræsentation af adgangsrettigheder Mange applikationer kræver ikke kun brugerautentifikation, men også information om brugerens adgangsrettigheder, hvilket kan være gruppemedlemskab, roller eller privilegier til at differentiere adgang. Hos lokale Identity Provider-organisationer bør information om adgangsrettigheder administreres af en lokal administrator i brugerens egen organisation. For at dette scenarie skal virke, skal Service Provider på forhånd kommunikere til Identity Provider hvilke informationer om adgangsrettigheder, der er påkrævet, såvel som semantik og procedurer. F.eks kan en applikation påkræve en attribut rolle som kan have værdierne bestyrer, indkøber, admin eller almindelig_ansat. Dette kommunikeres til Identity Provider, som skal sørge for at den lokale administrator internt tildeler disse roller til brugere, som har brug for adgang til applikationen, og at de tildelte roller ved afvikling bliver inkluderet i de udstedte SAML assertions til denne applikation. Service Provider skal definere den påkrævne adgangsrettighed som et sæt SAML attributnavne med associerede værdier, som kan blive inkluderet i en SAML assertion. For at undgå overlappende attributnavne kræver OIOSAML, at attributnavne defineret af en organisation (f.eks. Service Provider) er en URL med organisationens domænenavn som præfiks. Eksempel: <saml:attribute Name= urn:dk:dmp:attributes:roles NameFormat= urn:oasis:names:tc:saml:2.0:attrname-format:basic > <saml:attributevalue>miljoe_natur_naturdata_fdc,miljoe_natur_naturdata_laes </saml:attributevalue> </saml:attribute> Service Provider-organisationen kan have flere applikationer, som hver har et forskelligt sæt adgangsrettighedsattributter. For ikke at blotlægge denne kompleksitet til alle organisationer, som bruger applikationen, kan man bruge role mapping. Det betyder, at Service Provider udadtil kun kræver, at Identity Provider bruger nogle få konsoliderede roller, som internt oversættes til applikationsroller, for på denne måde at skærme af for kompleksiteten. Service Provider-krav til adgangsrettighedsattributter kan blive kommunikeret som metadata eller via en out-of-band mekanisme til Identity Provider. En SAML metadatafil kan f.eks. indeholde et <AttributeConsumingService> element, som er en liste med attributnavne krævet af en applikation. 4.4 Identity Provider discovery-funktion Et centralt spørgsmål er hvordan en Service Provider finder en brugers Identity Provider, når brugeren prøver at tilgå en applikation. For afgøre dette, skal en Service Provider gøre følgende: 11

12 > 1. Først skal den prøve at læse common domain cookie (domænet er fobs.dk for den fællesoffentlige føderation) for at undersøge, om den kan identificere brugerens nuværende Identity Provider. Det er obligatorisk for OIOSAMLkompatible Identity Providere at oprette en common domain cookie, når brugeren er autentificeret, således at hvis en bruger har en session med en Identity Provider, vil en common domain cookie være oprettet. 2. Hvis common domain cookie ikke kan identificere en brugers Identity Provider, skal Service Provider bede brugeren om at vælge en Identity Provider fra en liste af Identity Providere, som den har fødereret med (brugeren vælger sin egen organisation). Common domain cookie i OIOSAML er transient, hvilket betyder, at den vil blive fjernet når, browseren genstartes. 12

13 5 Identity Provider integration > Dette kapitel beskriver den integration, som normalt er påkrævet af en Identity Provider-organisation. Det antages, at Identity Provider har anskaffet en SAMLkomponent f.eks. enten et kommercielt produkt eller en open source implementation 2. En række overvejelser om integration af eksisterende infrastruktur er beskrevet herunder. Detaljerne i integrationen vil variere en del afhængig af både SAML-produkt og eksisterende infrastruktur for brugerstyring. 5.1 Autentifikation af bruger Identity Provider er ansvarlig for at autentificere lokale brugere, inden den udsteder SAML assertions til applikationen. Det kan gøres på forskellige måder: Autentifikation med brugeroplysninger opbevaret i organisationens LDAP register. Autentifikation vha. single sign-on løsning udrullet i organisationen (f.eks. Kerberos). Autentifikation med digitalt certifikat udstedt af en ekstern Certificate Authority (CA) - f.eks. det danske OCES medarbejdercertifikat. Den valgte autentificeringsmekanisme skal være integreret med et SAML-produkt (f.eks. login siden). De fleste SAML-produkter tillader brugen af tilpassede loginmekanismer og mange understøtter også Kerberos og LDAP registre uden tilpasning (så integrationen er en konfigurationsudfordring, ikke et programmeringsspørgsmål). En vigtig detalje er, at styrken af autenticitetssikringen skal være afspejlet i den udstedte SAML assertion. OIOSAML specificerer en obligatorisk attribut AssuranceLevel, som har en værdi mellem 1 og 4. Jo højere tal, jo højre tillid til den påståede identitet. Normalt korrelerer autentifikation med brugernavn/password til niveau 2 og autentifikation med digital signatur (softwarebaseret) korrelerer til niveau 3, men andre faktorer end autentifikationsmetoden har også indflydelse, såsom proceduren for den initielle autentifikation af brugeren, når akkreditivet skal udstedes. Identity Provider skal analysere hvilken AssuranceLevel, der opnås ved en given autentifikation, og inkludere det i den udstedte assertion. Mere information om AssuranceLevel kan findes i [AUTH-LEV] og [AUTH-LEV2]. Bemærk, at en Servicer Provider kan vælge at give adgang til følsomme applikationer (og data) på baggrund af den AssuranceLevel, der bliver tilskrevet hos Identity Provider. Service Provider skal som følge af kravene i forbindel med føderationstilslutningen lave en risikoanalyse for deres applikationer og data for at fastslå den påkrævede AssuranceLevel. Det betyder, at brugere fra en organisation der implementerer en lav AssuranceLevel muligvis ikke kan tilgå følsomme applikationer. 2 Open source reference implementationer af OIOSAML i Java og.net kan hentes fra 13

14 > 5.2 Opbevaring af informationer om adgangsrettigheder Service Providere kan definere adgangsrettighedsattributter, som Identity Provider organisationen skal tildele brugere og inkludere i de tildelte SAML assertions. Der er flere måder at opbevare denne information på: Adgangsrettigheder kan blive gemt i et brugerkatalog (f.eks. LDAP) som allerede indeholder information om brugere og deres adgangsrettigheder til interne applikationer. En relationel database kan oprettes til formålet. Funktionalitet fra et Identity Provider produkt kan bruges. Valget af, hvilken metode, man skal bruge, vil afhænge af, hvordan organisationen i forvejen administrerer brugere internt. Hvis en organisation eksempelvis har en brugeradministrationsløsning for interne applikationer, kan denne bruges, så der ikke bliver skabt et nyt administrativt område. Derudover skal et Identity Provider-produkt kunne hente informationen, når den skal udstede SAML assertions. De fleste SAMLprodukter kan hente brugerinformation fra mange forskellige slags datakilder, og denne funktionalitet bør overvejes, når et produkt evalueres i forbindelse med en anskaffelse. Herunder er vist et eksempel, hvor information fra en bruger-database bliver inkluderet i en SAML assertion. Når brugeren Bob prøver at tilgå en applikation hos organisation B, laver den lokale Identity Provider hos organisation A en forespørgsel til databasen og finder ud af, at organisation B forventer en attribut ved navn roller, og at værdien tildelt til Bob (af den lokale administrator i organisation A) til denne attribut er manager,administrator. Derfor inkluderer Identity Provider denne som en attribut i den SAML assertion, der bliver sendt til Service Provider. Figur 3: Inkludering af information om adgangsrettigheder fra bruger-database i SAML assertion. En gængs løsning er at opbevare information om adgangsrettigheder i et LDAP directory såsom et Active Directory. Det giver to muligheder: 14

15 > a) Informationen kan gemmes vha. grupper fra Active Directory. b) Informationen kan gemmes som brugerdefinerede attributer til brugerobjektet. Når informationen er gemt som et LDAP gruppemedlemskab (a), vil værdien ofte være gruppens Distinguished Name (DN). Dette kan være problematisk, fordi Service Provider udvælger værdierne til adgangsrettighedsattributter og på den måde direkte gruppe objekter ind i Identity Provider s LDAP. Hvis denne fremgangsmåde er under overvejelse, bør en mapning af DN foretages for ikke at forurene Identity Providers LDAP. Det kan i stedet være en fordel at opbevare information om adgangsrettigheder som brugerdefinerede attributter til brugerobjektet i LDAP (b) eller i en separat relationel database. Generelt bør Service Provider definere attributnavne og -værdier til adgangsrettigheder, som kan gemmes både i LDAP og i relationelle databaser. Til sidst er det muligt at Identity Provider vil opbevare attributter, så de er identificeret med den Service Provider, der skal bruge dem. En assertion til en specifik Service Provider bør kun indeholde de attributter, der er påkrævet af denne. 5.3 Overvejelser om netværk Den server, der hoster Identity Provideren, behøver ikke normalt at være forbundet med internettet fordi kommunikation med Service Provider sker via brugerens browser (med http redirect og post binding). En undtagelse er, hvis en SAML single logout protokol er brugt med en SOAP binding (som er valgfrit i OIOSAML). Det betyder, at Identity Provider komponenten ofte kan installeres i en intern netværkszone (f.eks. en zone dedikeret til servere, som også hoster brugerkataloget, så kataloget kan bruges til brugeridentifikation). Hvis der er brug for en single logout via SOAP binding, skal Identity Provideren placeres i en netværkszone, der tillader både ind- og udgående forbindelser til/fra internettet. Dette kan enten være en demilitariseret zone 3 (DMZ) eller en speciel zone afhængigt af den brugte netværkstopologi. Når man installerer en Identity Provider komponent, er det meget vigtigt at beskytte den private nøgle, der bruges til at signe assertions med, da dette er systemets kronjuvel. Hvis det lykkes en hacker at stjæle den private nøgle, kan han lave sine egne SAML assertions og tilgå Service Provider applikationer på vegne af enhver bruger i Identity Provider organisationen. Derfor, hvis den private nøgle er gemt i en fil, bør den adgangsbeskyttes vha. de muligheder, styresystemet stiller til rådighed, samt krypteres med et password af høj kvalitet. 3 En DMZ tillader normalt ikke udgående forbindelser til internettet ifølge best practice, så alle undtagelser i firewall bør afgrænses til en bestemt server for en bestemt port. Mange organisationer har sandsynligvis allerede netværkszoner, der tillader udgående forbindelser. 15

16 6 Service Provider integration > Dette kapitel beskriver den integration, som normalt er påkrævet af en Service Provider-organisation. Det antages, at Service Provider har anskaffet en SAMLkomponent f.eks. enten et kommercielt produkt eller en open source implementation 4. En række overvejelser om integration af eksisterende infrastruktur er beskrevet herunder. Detaljerne i integrationen vil variere en del afhængigt af både SAML-produkt og eksisterende infrastruktur for brugerstyring. 6.1 Adgangskontrol Inden en Service Provider udstiller applikationer til eksterne brugere, bør den analysere sine krav til sikkerheden af brugerautentifikationen og udfærdige en politik for adgangskontrol. Som tidligere nævnt er AssuranceLevel et udtryk for, hvor sikker man kan være på, at en brugers påståede identitet er korrekt. Den afhænger af både organisationens procedurer og kontrol så vel som tekniske mekanismer. En Service Provider skal som det første klassificere sine applikationer (se AUTH-LEV2) for at afgøre, hvilke sikkerhedskrav, der skal opfyldes for at få adgang. Det vil f.eks. afhænge af hvilke data, applikationen udstiller. Identity Provider kan informere om AssuranceLevel for den nuværende bruger via SAML assertions. Service Provider skal konfigurere sit system til at undersøge denne attribut og kun give adgang til applikationer, hvis sikkerhedskravet er opfyldt. Ydermere skal Service Provider analysere sine applikationer for at afklare, hvilke privilegier, der er påkrævet. Eksempelvis kan en applikation kræve, at brugeren har en bestemt rolle, er medlem af en bestemt gruppe etc. Hvis Service Provider udstiller applikationer med forskellige krav, kan det være en fordel at definere et sæt abstrakte, konsoliderede roller (synlige for Identity Provider) og mappe dem til interne applikationsroller (usynlige for Identity Provider). Adgangskontrollen skal kommunikeres til Identity Provider organisationen, så privilegier kan blive konfigureret i systemet og tildelt til brugere. Information om de påkrævne SAML attributter (syntaks) kan være en del af metadatafilen eller blive kommunikeret på anden måde. Dog er en beskrivelse ofte nødvendig for at forklare hvordan adgangsrettigheder skal tildeles af brugeradministratorer. 6.2 Integration med lokale adgangskontrolsystemer Brugerens identitet og adgangsprivilegier modtages via en SAML assertion fra Identity Provider ved runtime. Service Provider skal bruge den information til at afgøre, om brugeren skal have adgang til den efterspurgte applikation eller ej. Det medfører at en form for integration mellem SAML-komponenten og adgangskontrolkomponenten 5 er nødvendig (medmindre de ikke er en del af det 4 Open source referenceimplementationer af OIOSAML i Java og.net kan hentes fra 5 Dette komponent kaldes et Policy Enforcement Point (PEP). 16

17 > samme system). Integrationen vil afhænge af, hvordan Service Provider håndterer adgangskontrol i sin it-arkitektur. Adgangskontrol kan f.eks. håndteres på følgende måder: a) Det kan være en del af et SAML-produkt (f.eks. en access control suite der understøtter SAML). b) Der kan være en separat server, der varetager adganskontrollen for alle organisationens applikationer (f.eks. en reverse proxy, der kun tillader forespørgsler at passere, hvis de er i overenstemmelse med specifikke krav). c) Den kan varetages af applikationsserveren (container), der hoster applikationen (f.eks. J2EE deklarativ sikkerhed). d) Den kan varetages af selve applikationen (ikke anbefalet, men meget almindeligt). En typisk metode er at få SAML-komponenten til at validere SAML assertions først og derefter videresende vigtig information som key/value-par til processering hos en separat server, der varetager adgangskontrol: Figur 4: Et eksempel på en adgangskontrolkomponent Et andet typisk integrationsmønster (punkt c) er at skrive plug-ins til middleware i den bagvedliggende applikationsserver, som implementerer autentifikation og adgangskontrol såkaldte Pluggable Authentication Modules (PAMs). Ideen er at adskille autentifikations- og autorisationslogik, så det senere hen kan blive erstattet, uden at det er nødvendigt at røre ved applikationerne. Disse plug-ins er som regel realiseret ved at implementere nogle få klasser med fast definerede snitflader, der tillader servermiddleware at forespørge efter informationer om f.eks. brugeridentitet, gruppemedlemsskab og roller. På den måde er kun det plugin, der behøver at kende brugeren, og middleware varetager resten, bl.a. sessionshåndtering og adgangskontrol vha. af prædefinerede adgangspolitikker. Dette er illustreret i figuren herunder, hvor en specialfremstillet SAML-plug-in (den røde boks) gør det muligt at føderere med adskillige applikationer. Læg mærke til at en forudsætning for denne integration er, at applikationer er blevet designet til at uddelegere brugerstyring til applikationsserveren (f.eks. vha. deklarativ sikkerhed). Hvis applikationerne har indkodet egen adgangskontrollogik, skal dette nødvendigvis kodes om. 17

18 > Figur 5:Specialfremstillet plug-in til applikationsserver Eksempler på plug-in-arkitekturer er RoleProvider og MembershipProvider i ASP.Net og JAAS-moduler i Java. Kodeeksempler med.net plug-ins til Umbraco CMS vha. OIOSAML.NET referenceimplementationen kan findes på Softwarebørsen Overvejelser ved netværk Den server, der hoster Service Provider-komponenten, behøver ikke normalt at være forbundet med internettet fordi kommunikation med Identity Provideren sker via brugerens browser (med http redirect og post binding). En undtagelse er, hvis en SAML single logout protokol er brugt med en SOAP binding (som er valgfrit i OIOSAML). Det betyder, at Service Provider-komponenten ofte kan installeres i en intern netværkszone. Hvis der er brug for en single logout protokol via SOAP binding, skal Service Provideren placeres i en netværkszone, der tillader både ind- og udgående forbindelser til/fra internettet. Dette kan enten være en demilitariseret zone eller en speciel zone afhængigt af den brugte netværkstopologi. Når man installerer en Service Provider-komponent, er det meget vigtigt at beskytte den private nøgle, der bruges til at signere autentifikationsforespørgsler og dekryptere svar. Hvis det lykkes en hacker at stjæle den private nøgle kan han dekryptere assertions og tilegne sig viden om indholdet af følsomme attributter. Hvis den private nøgle er gemt i en fil, bør den derfor beskyttes vha. de muligheder, styresystemet stiller til rådighed og krypteres med et password af høj kvalitet

19 Appendix A: Referencer > [OIOSAML] [SAMLCore] [SAMLGlos] [AUTH-LEV] [AUTH-LEV2] [REFIMPL] OIO Web SSO Profile V2.0.6, IT- og Telestyrelsen. Assertion and Protocols for the OASIS Security Assertion Markup Language 2.0, OASIS Standard os.pdf Glossary for the OASIS Security Assertion Markup Language (SAML) V2.0, OASIS Standard. Vejledning vedrørende niveauer af autenticitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-inløsning, Økonomistyrelsen, Version Referenceimplementationer af OIOSAML i Java og.net: 19

20

Guide til kravspecifikation

Guide til kravspecifikation Side 1 af 10 10. november 2008 Guide til kravspecifikation Version 1.0. Denne guide indeholder en række råd til brug i kravspecifikationer for IT systemer, der skal anvende NemLog-in løsningen. Hensigten

Læs mere

Guide til integration med NemLog-in / Brugeradministration

Guide til integration med NemLog-in / Brugeradministration Guide til integration med NemLog-in / Brugeradministration Side 1 af 9 21. januar 2013 TG Denne guide indeholder en kort beskrivelse af, hvorledes man som itsystemudbyder (myndighed eller it-leverandør)

Læs mere

Bilag til standardaftale om delegering af brugerrettigheder mellem lokale identitetsudbydere og serviceudbydere ved anvendelse af SAML-billetter

Bilag til standardaftale om delegering af brugerrettigheder mellem lokale identitetsudbydere og serviceudbydere ved anvendelse af SAML-billetter Bilag til standardaftale om delegering af brugerrettigheder mellem lokale identitetsudbydere og serviceudbydere ved anvendelse af SAML-billetter Servicebeskrivelse Økonomistyrelsen Marts 2011 Side 1 af

Læs mere

De fællesoffentlige komponenter: Federativa identitetslösningar, Erfarenheter från Danmark

De fællesoffentlige komponenter: Federativa identitetslösningar, Erfarenheter från Danmark De fællesoffentlige komponenter: Federativa identitetslösningar, Erfarenheter från Danmark Digital post, NemSMS & Fjernprint samt strategien for udvikling af mobile løsninger for Digital post og Min side

Læs mere

Baggrundsbeskrivelse for installation af føderation i partnerorganisationer til Danmarks Miljøportal. Baggrund. 1. Hvad er føderation

Baggrundsbeskrivelse for installation af føderation i partnerorganisationer til Danmarks Miljøportal. Baggrund. 1. Hvad er føderation Baggrundsbeskrivelse for installation af føderation i partnerorganisationer til Danmarks Miljøportal. Miljøportalsekretariatet Ref.: jejnb Den 22. november 2007 Baggrund I forbindelse med strukturreformen

Læs mere

Certifikatpolitik for NemLog-in

Certifikatpolitik for NemLog-in Side 1 af 9 7. november 2012 Certifikatpolitik for NemLog-in Version 1.2 Dette dokument beskriver certifikatpolitikken for NemLog-in løsningen. Politikken definerer hvilke typer certifikater, der må anvendes

Læs mere

Guide til integration med NemLog-in / Signering

Guide til integration med NemLog-in / Signering Guide til integration med NemLog-in / Signering Side 1 af 6 14. november 2013 TG Denne guide indeholder en kort beskrivelse af, hvorledes man som itsystemudbyder (myndighed eller it-leverandør) kan integrere

Læs mere

Kravspecification IdP løsning

Kravspecification IdP løsning Kravspecification IdP løsning Resume IT-Forsyningen, som varetager IT-drift for Ballerup, Egedal og Furesø Kommuner, ønsker at anskaffe en IdP/Føderationsserverløsning, der kan understøtte en række forretningsmæssige

Læs mere

DIADEM KOM GODT I GANG INTEGRATIONSVEJLEDNING IFT. SIKKERHED OG VERSIONERING AF WEBSERVICES VERSION: 1.7.0 STATUS: FRIGIVET DATO: 22.

DIADEM KOM GODT I GANG INTEGRATIONSVEJLEDNING IFT. SIKKERHED OG VERSIONERING AF WEBSERVICES VERSION: 1.7.0 STATUS: FRIGIVET DATO: 22. DIADEM KOM GODT I GANG INTEGRATIONSVEJLEDNING IFT. SIKKERHED OG VERSIONERING AF WEBSERVICES VERSION: 1.7.0 STATUS: FRIGIVET DATO: 22. AUGUST 2013 Fil: DIADEM - Kom godt igang - Ver 1.7.0.docx Indhold 1.

Læs mere

Version 1.4. Integrationstest ved tilslutning til NemLog-in. Side 1 af 29 19. april 2013

Version 1.4. Integrationstest ved tilslutning til NemLog-in. Side 1 af 29 19. april 2013 Side 1 af 29 19. april 2013 Integrationstest ved tilslutning til NemLog-in Version 1.4 Dette dokument henvender sig til udbydere af it-systemer (eksempelvis offentlige myndigheder), der skal tilsluttes

Læs mere

Guide til føderationstilslutning ( kogebog )

Guide til føderationstilslutning ( kogebog ) Side 1 af 28 1. februar 2008 Guide til føderationstilslutning ( kogebog ) UDKAST- version 0.70 Denne guide henvender sig til offentlige myndigheder samt andre, der skal tilsluttes den fællesoffentlige

Læs mere

Identitetsbaserede webservices og personlige data

Identitetsbaserede webservices og personlige data > Identitetsbaserede webservices og personlige data Version 0.8 IT- & Telestyrelsen juni 2009 Indhold > Indledning 3 Målgruppe 3 Afgrænsning 4 Definitioner og begreber 5 Scenarier 7 Scenarie med browser

Læs mere

SOSI Gateway Komponenten (SOSI GW)

SOSI Gateway Komponenten (SOSI GW) SOSI Gateway Komponenten (SOSI GW) - en security domain gateway Version 1.2 1/8 Indledning Region Syddanmark er udvalgt som pilotregion for projektet Det Fælles Medicingrundlag, og i den forbindelse arbejdes

Læs mere

En teknisk introduktion til NemHandel

En teknisk introduktion til NemHandel En teknisk introduktion til NemHandel 02. december 2014 Indhold INDHOLD... 1 INDLEDNING... 2 STANDARDER... 4 OIOUBL e-handelsstandard... 4 OIORASP - transportprotokol... 5 BETINGELSER FOR ANVENDELSE AF

Læs mere

Lokal implementering af Identity Provider

Lokal implementering af Identity Provider Lokal implementering af Identity Provider En vejledning til kommunernes og ATP s opgaver Version 1.0 februar 2015 KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk

Læs mere

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april 2009. J.nr.: 4004 V0624 09

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april 2009. J.nr.: 4004 V0624 09 LUDUS WEB Installations- og konfigurations-vejledning Den 7. april 2009 J.nr.: 4004 V0624 09 CSC Scandihealth A/S, P.O. Pedersens Vej 2, DK-8200 Århus N Tlf. +45 3614 4000, fax +45 3614 7324, www.scandihealth.dk,

Læs mere

Nederst foto på forsiden: B Tal (http://flickr.com/photos/b-tal/) Creative Commons NY-NC (http://creativecommons.org/licenses/bync/2.0/deed.

Nederst foto på forsiden: B Tal (http://flickr.com/photos/b-tal/) Creative Commons NY-NC (http://creativecommons.org/licenses/bync/2.0/deed. Sikkerhedsmodeller for OIOREST Udgivet af: IT- & Telestyrelsen IT- & Telestyrelsen Holsteinsgade 63 2100 København Ø Telefon: 3545 0000 Fax: 3545 0010 Nederst foto på forsiden: B Tal (http://flickr.com/photos/b-tal/)

Læs mere

OIOSAML.NET og Umbraco. ved Thomas Ravnholt ravnholt @ silverbullet.dk

OIOSAML.NET og Umbraco. ved Thomas Ravnholt ravnholt @ silverbullet.dk OIOSAML.NET og Umbraco ved Thomas Ravnholt ravnholt @ silverbullet.dk Silverbullet, stiftet 2003 Silverbullet A/S IT- rådgivning, projektledelse og implementering Officiel SKI-leverandør Kontorer i Århus

Læs mere

SOSIGW. - Driftsvejledning for SOSIGW 1.0. Indeks

SOSIGW. - Driftsvejledning for SOSIGW 1.0. Indeks SOSIGW - Driftsvejledning for SOSIGW 1.0 Indeks Indeks... 1 Revisionshistorik... 2 Introduktion... 2 Kontrol af korrekt driftstilstand... 2 Ændring af statisk konfiguration... 2 Logfil... 2 Backup... 3

Læs mere

Version Dato Beskrivelse 1.0.0 26/11/2012 Initial version 1.2.0 05/03/2013 Tilføjet eksempel med Template Agent, generelt udvidet dokumentet.

Version Dato Beskrivelse 1.0.0 26/11/2012 Initial version 1.2.0 05/03/2013 Tilføjet eksempel med Template Agent, generelt udvidet dokumentet. MOX og APOS2 Forord Dette dokument er en del af APOS version 2 manualerne. APOS version 2 (APOS2 herefter) er et organisation, klassifikation og personale system baseret på Sag & Dokument standarderne.

Læs mere

Kommunernes it-arkitekturråd

Kommunernes it-arkitekturråd FØDERATIVE SIKKERHEDSMODELLER TIL SÅRJOURNALEN (OG ANDRE NATIONALE IT-LØSNINGER PÅ SUNDHEDSOMRÅDET) Kommunernes it-arkitekturråd 18. december 2014 HVEM HAR DELTAGET I ARBEJDET? Arbejdsgruppe: Lars Nico

Læs mere

NemID DataHub adgang. morten@signaturgruppen.dk & jakob@signaturgruppen.dk. Doc. 25538-12, sag 10/3365

NemID DataHub adgang. morten@signaturgruppen.dk & jakob@signaturgruppen.dk. Doc. 25538-12, sag 10/3365 NemID DataHub adgang morten@signaturgruppen.dk & jakob@signaturgruppen.dk Agenda Funktionaliteten og brugeroplevelsen Arkitekturen og komponenterne bag NemID og digital signatur Datahub token Pause Udvikling

Læs mere

LUDUS Web Installations- og konfigurationsvejledning

LUDUS Web Installations- og konfigurationsvejledning LUDUS Web Installations- og konfigurationsvejledning Indhold LUDUS Web Installations- og konfigurationsvejledning... 1 1. Forudsætninger... 2 2. Installation... 3 3. Konfiguration... 9 3.1 LUDUS Databasekonfiguration...

Læs mere

Føderal identitet. Morten Strunge Nielsen msn@globeteam.com. Globeteam Virumgårdsvej 17A 2830 Virum

Føderal identitet. Morten Strunge Nielsen msn@globeteam.com. Globeteam Virumgårdsvej 17A 2830 Virum Føderal identitet Morten Strunge Nielsen msn@globeteam.com Globeteam Virumgårdsvej 17A 2830 Virum Agenda Muligheder med føderation Strategiske fordele Taktiske fordele Lidt om teknologien Løsningsmodeller

Læs mere

IT Arkitekt Søren Peter Nielsen

IT Arkitekt Søren Peter Nielsen 2007 IT Arkitekt Søren Peter Nielsen ! " #$! % & & '() * Links og Clipping - Bruger überportal Anonym bruger Myndighedsportal A Myndighedsportal B Links og Clipping - Bruger überportal Login? Login? Med

Læs mere

(Af forside skal det fremgå, om standarden er i høring, har været i høring eller er godkendt) Begrebsmodel til brugerstyring

(Af forside skal det fremgå, om standarden er i høring, har været i høring eller er godkendt) Begrebsmodel til brugerstyring (Af forside skal det fremgå, om standarden er i høring, har været i høring eller er godkendt) Begrebsmodel til brugerstyring Version 1.1 Godkendt 21. januar 2010 1 2 > Begrebsmodel til brugerstyring Denne

Læs mere

Adgang til kundeportalen

Adgang til kundeportalen Til elleverandørerne Adgang til kundeportalen 3. april 2012 XSTJ/LRO Følgende dokument har til formål at orientere elleverandørerne om implementering og testning af den it-funktionalitet, som skal sikre

Læs mere

EasyIQ ConnectAnywhere Release note

EasyIQ ConnectAnywhere Release note EasyIQ ConnectAnywhere Release note Version 2.4 Der er over det sidste år lavet en lang række forbedringer, tiltag og fejlrettelser. Ændringer til forudsætningerne: o Klienten skal ved førstegangs login

Læs mere

DKAL Snitflader Afsendelse og modtagelse af meddelelser via S/MIME

DKAL Snitflader Afsendelse og modtagelse af meddelelser via S/MIME DKAL Snitflader Afsendelse og modtagelse af meddelelser via S/MIME 1 Indholdsfortegnelse B.1. INTRODUKTION... 3 B.1.1. HENVISNINGER... 3 B.1.2. INTEGRATION MED EKSISTERENDE SIKKER E-POSTLØSNING... 3 B.1.3.

Læs mere

Tekniske krav til spiludbydere i forbindelse med opnåelse af tilladelse til at udbyde online spil i Danmark

Tekniske krav til spiludbydere i forbindelse med opnåelse af tilladelse til at udbyde online spil i Danmark Tekniske krav til spiludbydere i forbindelse med opnåelse af tilladelse til at udbyde online spil i Danmark Version 1.10 Versionshistorik Version Dato Opsummerende beskrivelse af ændringer 1.00 2010-10-5

Læs mere

End-to-end scenarier for fuldmagtsløsningen

End-to-end scenarier for fuldmagtsløsningen End-to-end scenarier for fuldmagtsløsningen Side 1 af 6 15. januar 2013 TG Dette notat beskriver en række end-to-end scenarier for fuldmagtsløsningen. Formålet er at illustrere sammenhænge og forløb på

Læs mere

EasyIQ ConnectAnywhere Release note

EasyIQ ConnectAnywhere Release note EasyIQ ConnectAnywhere Release note PC Klient 2.4.0.17 o Support for at Domain maskiner kan logge på ConnectAnywhere automatisk med Windows credentials Løsningen forudsætter/kræver at man logger på Windows

Læs mere

Vejledning om avanceret afhentning. i Digital Post på Virk.dk.

Vejledning om avanceret afhentning. i Digital Post på Virk.dk. Vejledning om avanceret afhentning og sortering i Digital Post på Virk.dk. Denne vejledning beskriver, hvordan virksomheder, foreninger m.v. med et CVR-nummer kan modtage Digital Post, herunder hvordan

Læs mere

Digitaliseringsstyrelsen

Digitaliseringsstyrelsen KFOBS Release Information Version: 7.0 ID: 32309/43491 2014-04-07 Indhold 1 INTRODUKTION... 4 1.1 PRODUKTIONSMILJØ... 4 1.2 TESTMILJØ... 4 2 NEMLOG-IN... 5 2.1 ÆNDRINGER OG FEJLRETTELSER... 5 2.1.1 Release

Læs mere

ANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER

ANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER ANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER Kommunernes it-arkitekturråd 8. maj 2014 AGENDA Væsentligste observationer og konklusioner Relevans for kommuner STRATEGI OG ARKITEKTUR Analysen giver et bud

Læs mere

Bilag 1 - Fælles arkitekturramme for GD1-GD2-GD7. Forslag til fælles sikkerhedsmodel for Grunddataprogrammet

Bilag 1 - Fælles arkitekturramme for GD1-GD2-GD7. Forslag til fælles sikkerhedsmodel for Grunddataprogrammet Bilag 1 - Fælles arkitekturramme for GD1-GD2-GD7 Forslag til fælles sikkerhedsmodel for Grunddataprogrammet Status: Version 1.2 Version: 19.06.2014 Indholdsfortegnelse 1. INDLEDNING... 4 1.1 BAGGRUND...

Læs mere

Digital Signatur OCES en fælles offentlig certifikat-standard

Digital Signatur OCES en fælles offentlig certifikat-standard Digital Signatur OCES en fælles offentlig certifikat-standard IT- og Telestyrelsen December 2002 Resumé Ministeriet for Videnskab, Teknologi og Udvikling har udarbejdet en ny fælles offentlig standard

Læs mere

Identity Access Management

Identity Access Management Identity Access Management Traditionel tilgang til Identity & Access Governance-projekter, udfordringer og muligheder Alex Sinvani ais@dubex.dk Dubex A/S Formålet Opbygge en god konceptuel baggrund for

Læs mere

STS Anvenderdokument i. STS Anvenderdokument

STS Anvenderdokument i. STS Anvenderdokument i STS Anvenderdokument ii REVISION HISTORY NUMBER DATE DESCRIPTION NAME 0.4 2014-07 N iii Indhold 1 Introduktion 1 1.1 Målgruppen...................................................... 1 2 STS 1 2.1 Snitflade........................................................

Læs mere

Specifikationsdokument for LDAP API

Specifikationsdokument for LDAP API Nets DanID A/S Lautrupbjerg 10 DK 2750 Ballerup T +45 87 42 45 00 F +45 70 20 66 29 info@danid.dk www.nets-danid.dk CVR-nr. 30808460 Specifikationsdokument for LDAP API DanID A/S 5. juni 2014 Side 1-15

Læs mere

WHITEPAPER DokumentBroker

WHITEPAPER DokumentBroker WHITEPAPER DokumentBroker Copyright 2013 DokumentBrokeren er en selvstændig arkitekturkomponent, som uafhængigt af forretningsapplikation og kontorpakke, genererer dokumenter af forskellige typer og formater,

Læs mere

Introduktion til NemID og Tjenesteudbyderpakken

Introduktion til NemID og Tjenesteudbyderpakken Nets DanID A/S Lautrupbjerg 10 DK 2750 Ballerup T +45 87 42 45 00 F +45 70 20 66 29 info@danid.dk www.nets-danid.dk CVR-nr. 30808460 Introduktion til NemID og Tjenesteudbyderpakken Nets DanID A/S 11. april

Læs mere

SmartFraming Et vindue til nationale sundhedssystemer. Version 3.0

SmartFraming Et vindue til nationale sundhedssystemer. Version 3.0 SmartFraming Et vindue til nationale sundhedssystemer Version 3.0 Infrastruktur i dagens sundheds IT Det sundhedsfaglige personale benytter sig i dag af en række forskellige systemer i forbindelse med

Læs mere

Sikkerhedsmodeller for Pervasive Computing

Sikkerhedsmodeller for Pervasive Computing Sikkerhedsmodeller for Pervasive Computing Christian Damsgaard Jensen Safe & Secure IT-Systems Research Group Informatik & Matematisk Modellering Danmarks Tekniske Universitet Email: Christian.Jensen@imm.dtu.dk

Læs mere

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen NemHandel i cloud - sikkerhedsmæssige overvejelser Helle Schade-Sørensen IT og Telestyrelsen Agenda Lidt om NemHandel Rationalet for valg af cloud Overvejelser vedr. sikkerhed Løsning og erfaringer indtil

Læs mere

Windows system administration 1

Windows system administration 1 Windows system administration 1 SAI sw6 F2005 Svend Mortensen Ingeniørhøjskolen i København program Windows domæne modellen Introduktion til Active Directory Brugere Grupper Rettigheder Netkonf Management

Læs mere

Løsningsbeskrivelse. Den fælleskommunale Serviceplatform

Løsningsbeskrivelse. Den fælleskommunale Serviceplatform Løsningsbeskrivelse Den fælleskommunale Serviceplatform Januar 2014 1 Indhold 2 Serviceplatformen... 2 3 Hjemmesiden www.serviceplatformen.dk... 3 3.1 Administrationsmodul... 4 3.2 Servicekatalog... 4

Læs mere

TEKNISKE FORHOLD VEDR. ADGANG TIL VP.ONLINE. Brugervejledning

TEKNISKE FORHOLD VEDR. ADGANG TIL VP.ONLINE. Brugervejledning TEKNISKE FORHOLD VEDR. ADGANG TIL VP.ONLINE vp.online 2011 01-10-2011 Indholdsfortegnelse 1 PROBLEMER MED AT SE VP.ONLINE... 3 2 BROWSER KONFIGURATION... 6 3 SKRIVEADGANG TIL DREV... 7 4 SESSION TIMEOUT

Læs mere

Medarbejdersignatur - sådan gør organisationerne i dag. Morten Storm Petersen Signaturgruppen A/S morten@signaturgruppen.dk

Medarbejdersignatur - sådan gør organisationerne i dag. Morten Storm Petersen Signaturgruppen A/S morten@signaturgruppen.dk Medarbejdersignatur - sådan gør organisationerne i dag Morten Storm Petersen Signaturgruppen A/S morten@signaturgruppen.dk Min baggrund Etablerede TDC s certificeringscenter 1998-2006 Modtog Dansk IT s

Læs mere

Artikel om... Digital signatur. OpenOffice.org

Artikel om... Digital signatur. OpenOffice.org Artikel om... Digital signatur OpenOffice.org Rettigheder Dette dokument er beskyttet af Copyright 2005 til bidragsyderne, som er oplistet i afsnittet Forfattere. Du kan distribuere og/eller ændre det

Læs mere

Vilkår for It-systemudbyderes tilslutning til og anvendelse af NemLog-in. Digitaliseringsstyrelsen 2013

Vilkår for It-systemudbyderes tilslutning til og anvendelse af NemLog-in. Digitaliseringsstyrelsen 2013 Vilkår for It-systemudbyderes tilslutning til og anvendelse af NemLog-in Digitaliseringsstyrelsen 2013 Side 2 af 31 Indhold Indhold... 2 0. Praktisk info... 5 0.1 Om tiltrædelse af vilkår... 5 0.2 Om gateway-leverandørers

Læs mere

APPLIKATIONSARKITEKTUR ERP INFRASTRUKTUR. EG Copyright

APPLIKATIONSARKITEKTUR ERP INFRASTRUKTUR. EG Copyright APPLIKATIONSARKITEKTUR ERP INFRASTRUKTUR EG Copyright Infrastruktur er mere end nogle servere... Den Mentale Infrastruktur Den Fysiske Infrastruktur Den Mentale Infrastruktur Vi vil jo gerne have vores

Læs mere

PHP Quick Teknisk Ordbog

PHP Quick Teknisk Ordbog PHP Quick Teknisk Ordbog Af Daniel Pedersen PHP Quick Teknisk Ordbog 1 Indhold De mest brugte tekniske udtryk benyttet inden for web udvikling. Du vil kunne slå de enkelte ord op og læse om hvad de betyder,

Læs mere

FairSSL Fair priser fair support

FairSSL Fair priser fair support Small Business Server 2008 SSL certifikat administration Følgende vejledning beskriver hvordan man installere et certifikat på en SBS 2008 server. Ved bestilling af certifikater til Small Business Server

Læs mere

Udgivet af: IT- & Telestyrelsen. IT- & Telestyrelsen Holsteinsgade 63 2100 København Ø. Telefon: 3545 0000 Fax: 3545 0010

Udgivet af: IT- & Telestyrelsen. IT- & Telestyrelsen Holsteinsgade 63 2100 København Ø. Telefon: 3545 0000 Fax: 3545 0010 Udgivet af: IT- & Telestyrelsen IT- & Telestyrelsen Holsteinsgade 63 2100 København Ø Telefon: 3545 0000 Fax: 3545 0010 Sikkerhedsvejledning til OAuth 2.0 - sikkerhedsmodeller for OIOREST IT- & Telestyrelsen

Læs mere

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP AGENDA 01 Kort præsentation 02 Behov i forbindelse med de 4 dimensioner 03 Koncept for sikker forbindelser 04 Netværkssikkerhed

Læs mere

Brugerstyring i Digital Post

Brugerstyring i Digital Post Brugerstyring i Digital Post Denne vejledning beskriver roller og rettigheder i Digital Post Administrationsportalen. Den berører også kort sammenhængen med de roller og rettigheder, der er knyttet til

Læs mere

Nets - Medarbejder Signatur

Nets - Medarbejder Signatur Nets - Medarbejder Signatur Nets Direkte Kommunikation Nøgle Bestilling Version: 2.1, Oktober 2013 Continia Software a/s Hjulmagervej 55 DK-9000 Aalborg Denmark Tel. +45 82 30 50 00 Support mail: cm@continia.dk

Læs mere

OS2 Opgavefordeler. Løsningsbeskrivelse Version 2. Udarbejdet af Miracle A/S Simon Møgelvang Bang smb@miracle.dk

OS2 Opgavefordeler. Løsningsbeskrivelse Version 2. Udarbejdet af Miracle A/S Simon Møgelvang Bang smb@miracle.dk OS2 Opgavefordeler Løsningsbeskrivelse Version 2 Udarbejdet af Miracle A/S Simon Møgelvang Bang smb@miracle.dk 15/2/2015 Løsningsbeskrivelse for OS2 Opgavefordeler 1. Introduktion... 3 2. Kontekst... 3

Læs mere

Sådan fungerer Danmarks Miljøportal. en pixibog om infrastrukturen bag Danmarks Miljøportal

Sådan fungerer Danmarks Miljøportal. en pixibog om infrastrukturen bag Danmarks Miljøportal Sådan fungerer Danmarks Miljøportal en pixibog om infrastrukturen bag Danmarks Miljøportal Kort om Danmarks Miljøportal Danmarks Miljøportal giver adgang til mange forskellige fællesoffentlige data om

Læs mere

GLOBETEAM. Central Brugerstyring: Brugervejledning til administrationsløsning. DSML-udtræk fra Active Directory, version 1.21

GLOBETEAM. Central Brugerstyring: Brugervejledning til administrationsløsning. DSML-udtræk fra Active Directory, version 1.21 Central Brugerstyring: Brugervejledning til administrationsløsning DSML-udtræk fra Active Directory, version 1.21 Indledning Dette dokument beskriver, hvordan man etablerer et korrekt DSML-formatteret

Læs mere

Projekt: VAX NemHandel 4.0

Projekt: VAX NemHandel 4.0 Ejer: mysupply ApS Projekt: VAX NemHandel 4.0 Emne: Dette dokument beskriver de tekniske specifikationer for VAX NemHandel 4.0 samt krav til miljøet, herunder hardware og software, hvori VAX NemHandel

Læs mere

Smartair 6.0. Installations guide

Smartair 6.0. Installations guide Smartair 6.0 Installations guide Indholdsfortegnelse 1 Indledning... 4 2 System Oversigt... 4 3 Installation... 5 3.1 System Krav... 5 3.2 Klargøring af installationen... 5 3.3 Afinstallere tidligere TS1000

Læs mere

Opsætning af MobilePBX med Kalenderdatabase

Opsætning af MobilePBX med Kalenderdatabase Opsætning af MobilePBX med Kalenderdatabase Dette dokument beskriver hvorledes der installeres Symprex Exchange Connector og SQL Server Express for at MobilePBX kan benytte kalenderadadgang via database

Læs mere

Solrød Kommunes supplerende kravspecifikation, som uddyber og præciserer kraven

Solrød Kommunes supplerende kravspecifikation, som uddyber og præciserer kraven Solrød Kommunes supplerende kravspecifikation, som uddyber og præciserer kraven Krav Beskrivelse Prioritet Krav opfyldt -krav til integration med fagsystemer 3.1.1 3.1.2 3.1.3 3.1.4 Ejendoms- og Miljødatabasen,

Læs mere

IDENTITY SECURITY MANAGER INTEGRATION MELLEM MENNESKER OG SIKKERHED

IDENTITY SECURITY MANAGER INTEGRATION MELLEM MENNESKER OG SIKKERHED INTEGRATION MELLEM MENNESKER OG SIKKERHED SIDE 2/6 INTRODUKTION AVIOR Identity Security Manager (ISM) er en omfattende løsning og koncept til håndtering af identiteter og integration til eksisterende bruger-

Læs mere

EasyIQ Opdatering 5.2.3 -> 5.4.0

EasyIQ Opdatering 5.2.3 -> 5.4.0 EasyIQ Opdatering 5.2.3 -> 5.4.0 Kunde: Forfatter: Thomas W. Yde Systemtech A/S Side: 1 af 17 1 Indholdsfortegnelse 2 GENERELT OMKRING FORUDSÆTNINGEN OG OPDATERINGS FORLØBET... 3 2.1 FORUDSÆTNINGER...

Læs mere

DLI og Single Sign-On. Vejen mod en service enabled arkitektur på Dansk Landbrugs Internetplatform

DLI og Single Sign-On. Vejen mod en service enabled arkitektur på Dansk Landbrugs Internetplatform DLI og Single Sign-On Vejen mod en service enabled arkitektur på Dansk Landbrugs Internetplatform Indhold 1 Baggrund... 3 2 Valg af løsning... 4 3 Brugerdatabasen... 4 4 Perspektiver... 6 5 Federated sikkerhed...

Læs mere

Introduktion til brugeradministratorer i SEB v2

Introduktion til brugeradministratorer i SEB v2 Indledning Dette dokument er en introduktion til brugerstyringssystemet SEB. Dokumentet tager udgangspunkt i en brugeradministrators opgaver. SEB består overordnet af to dele 1) En fælles loginside som

Læs mere

TDCs Signaturserver. 11/05 - Version 1.0 2005 TDC Erhverv Sikkerhed og certifikater

TDCs Signaturserver. 11/05 - Version 1.0 2005 TDC Erhverv Sikkerhed og certifikater TDCs Signaturserver Side 2 Indhold Indledning...3 Teknisk projekt... 3 Tekniske forudsætninger... 3 Installation af klienten... 4 Udstedelse af signatur... 4 Anvendelse af signaturen... 6 Eksport af signaturen...

Læs mere

Kundens IT miljø - Region Midtjylland

Kundens IT miljø - Region Midtjylland Kundens IT miljø - Region Midtjylland af Peder Thorsø Lauridsen, it-arkitekt, Arkitektur og Design. Revideret 16. maj 2011. Kundens IT miljø - Region Midtjylland Overordnet beskrivelse af it-installationen

Læs mere

GE SERVICE Rottehullet

GE SERVICE Rottehullet til GeoEnviron Service RotteHullet Service til integration mellem GeoEnviron og Rottehullet Et serverprogram (Windows service) står for dataudvekslingen mellem GeoEnviron og den fællesoffentlige rottedatabase

Læs mere

Få mere ud af dine ITløsninger. SolutionsDay 2011. Morten Strunge Nielsen msn@globeteam.com. Globeteam Virumgårdsvej 17A 2830 Virum

Få mere ud af dine ITløsninger. SolutionsDay 2011. Morten Strunge Nielsen msn@globeteam.com. Globeteam Virumgårdsvej 17A 2830 Virum Få mere ud af dine ITløsninger SolutionsDay 2011 Morten Strunge Nielsen msn@globeteam.com Globeteam Virumgårdsvej 17A 2830 Virum Virkeligheden anno 2011 Der findes en del brugerdatabaser i en typisk mellemstor

Læs mere

Installation og Drift. Aplanner for Windows Systemer Version 8.15

Installation og Drift. Aplanner for Windows Systemer Version 8.15 Installation og Drift Aplanner for Windows Systemer Version 8.15 Aplanner for Windows løsninger Tekniske forudsætninger Krav vedr. SQL Server SQL Server: SQL Server 2008 Express, SQL Server 2008 R2 eller

Læs mere

Termer og begreber i NemID

Termer og begreber i NemID Nets DanID A/S Lautrupbjerg 10 DK 2750 Ballerup T +45 87 42 45 00 F +45 70 20 66 29 info@danid.dk www.nets-danid.dk CVR-nr. 30808460 Termer og begreber i NemID DanID A/S 26. maj 2014 Side 1-11 Indholdsfortegnelse

Læs mere

Kald af PingService via SOAPUI

Kald af PingService via SOAPUI Kald af PingService via SOAPUI Author: Integration Expert Team (IET) Owner: Integration Expert Team (IET) Page 1 of 24 1. Dokumenthistorik Kald af PingService via SOAPUI Revisioner Dato for denne version:

Læs mere

Godkendelsesdato Version Rettet af Rettelse(r)

Godkendelsesdato Version Rettet af Rettelse(r) REST/SOAP Services Referenceimplementation Godkendelsesdato Version Rettet af Rettelse(r) 17/6-2010 1.0 Stefan L. Jensen 1 Indhold 1. Indledning... 3 2. Visual Studio solution... 3 3. Konfiguration...

Læs mere

FairSSL Fair priser fair support

FairSSL Fair priser fair support Microsoft IIS 6 Certifikat administration Følgende vejledning beskriver hvordan man installere et certifikat på en IIS 6 For support og hjælp til anvendelsen af denne vejledning kan du kontakte FairSSL

Læs mere

Hvilke nyheder er der i 3.1?

Hvilke nyheder er der i 3.1? Hvilke nyheder er der i 3.1? 1 Introduktion... 3 Nye funktioner i 3.1... 3 Lektionsplanlægning...3 it's learning mobile...5 Logon...5 Brugergrænseflade...6 eportfolio...6 Blog...8 Indstillinger og tilladelser...9

Læs mere

Digital post Snitflader Bilag B - Afsendelse og modtagelse af meddelelser via S/MIME Version 6.3

Digital post Snitflader Bilag B - Afsendelse og modtagelse af meddelelser via S/MIME Version 6.3 Digital post Snitflader Bilag B - Afsendelse og modtagelse af meddelelser via S/MIME Version 6.3 1 Indholdsfortegnelse B.1. INTRODUKTION... 4 B.1.1. HENVISNINGER... 4 B.1.2. INTEGRATION MED EKSISTERENDE

Læs mere

KIH Database. Systemdokumentation for KIH Databasen. 1. maj 2013. Side 1 af 13

KIH Database. Systemdokumentation for KIH Databasen. 1. maj 2013. Side 1 af 13 KIH Database Systemdokumentation for KIH Databasen 1. maj 2013 Side 1 af 13 Indholdsfortegnelse Indholdsfortegnelse... 2 Indledning... 3 Systemoverblik... 3 KIH Database applikationsserver... 5 Forudsætninger

Læs mere

Digital post Integration for virksomheder Via sikker e-mail og REST Version 6.4

Digital post Integration for virksomheder Via sikker e-mail og REST Version 6.4 Digital post Integration for virksomheder Via sikker e-mail og REST Version 6.4 1 Indholdsfortegnelse G.1 INTRODUKTION 4 G.1.1 OVERBLIK OVER HVORDAN DIGITAL POST KAN TILGÅS 4 G.1.2 FLOW SOM EN DIGITAL

Læs mere

Database for udviklere. Jan Lund Madsen PBS10107

Database for udviklere. Jan Lund Madsen PBS10107 Database for udviklere Jan Lund Madsen PBS10107 Indhold LINQ... 3 LINQ to SQL og Arkitektur... 3 O/R designere... 5 LINQ Den store introduktion med.net 3.5 er uden tvivl LINQ(udtales link): Language-INtegrated

Læs mere

Politik vedrørende cookies og andre lignende teknologier. 1. Hvad dækker denne politik?

Politik vedrørende cookies og andre lignende teknologier. 1. Hvad dækker denne politik? Politik vedrørende cookies og andre lignende teknologier 1. Hvad dækker denne politik? Denne politik dækker dine handlinger relateret til Tikkurilas digitale serviceydelser. Denne politik dækker ikke,

Læs mere

Vejledning til Teknisk opsætning

Vejledning til Teknisk opsætning Vejledning til Teknisk opsætning v. 1.0 Adm4you, 2010. Indhold Kort om denne vejledning... 3 Generelt om easyourtime... 3 Installation af databasen... 3 Sikkerhed og rettigheder... 4 SQL Login... 4 Rettigheder

Læs mere

Projekt: NemHandel signaturer

Projekt: NemHandel signaturer Ejer: mysupply ApS Projekt: NemHandel signaturer Emne: Installationsvejledning Dette dokument omfatter en vejledning for download og installation af funktionscertifikat i forhold til brugen i VAX NemHandel

Læs mere

Version: 1.0 Udarbejdet: Okt. 2013 Udarbejdet af: Erhvervsstyrelsen og Digitaliseringsstyrelsen

Version: 1.0 Udarbejdet: Okt. 2013 Udarbejdet af: Erhvervsstyrelsen og Digitaliseringsstyrelsen Anbefalinger om brug af Digital Post for store virksomheder, administratorer/advokater (fx ejendomsadministratorer) og virksomheder med mange p- enheder Version: 1.0 Udarbejdet: Okt. 2013 Udarbejdet af:

Læs mere

Symantec - Data Loss Prevention

Symantec - Data Loss Prevention Symantec beskyttelse af data/dokumenter Beskrivelsen af Symantecs bud på tekniske løsninger. I beskrivelsen indgår tre følgende løsninger fra Symantec: - Data Loss Prevention - Disk eller ekstern device

Læs mere

Procesbeskrivelse - Webprogrammering

Procesbeskrivelse - Webprogrammering Procesbeskrivelse - Webprogrammering Indholdsfortegnelse Forudsætninger... 1 Konceptet... 2 Hjemmesiden... 2 Server-side... 3 Filstrukturen... 3 Databasehåndtering og serverforbindelse... 4 Client-side...

Læs mere

Pronestor Catering. Modul 5. Opsætning af Pronestor Catering Side 5.0 5.10

Pronestor Catering. Modul 5. Opsætning af Pronestor Catering Side 5.0 5.10 Modul 5 Opsætning af Pronestor Catering Side 5.0 5.10 Brugerroller i Pronestor Catering Side 5.1 5.2 Log in som administrativ bruger Side 5.3 Administrator Opsætning af Organisation Side 5.4 Opret Lokationer,

Læs mere

Retningsliner for etwinning værktøjer

Retningsliner for etwinning værktøjer Retningsliner for etwinning værktøjer Registrer til etwinning Trin 1: Deltagerens data Trin 2: Twinning præferencer Trin 3: Skole data Trin 4: Skole profil TwinFinder Automatisk søgning Gem søgning Avanceret

Læs mere

Vejledning til anvendelse af fuldmagt på virk.dk

Vejledning til anvendelse af fuldmagt på virk.dk Vejledning til anvendelse af fuldmagt på virk.dk Ønsker du vejledning til en specifik område, kan du gå direkte til det ved at klikke på det i listen nedenfor. Generelt om fuldmagter... 2 Fuldmagt på virk.dk...

Læs mere

Pronestor Room. Modul 3. Opsætning af Pronestor Room Side 3.0 3.10. Brugerroller i Pronestor Room Side 3.1 3.2

Pronestor Room. Modul 3. Opsætning af Pronestor Room Side 3.0 3.10. Brugerroller i Pronestor Room Side 3.1 3.2 Modul 3 Opsætning af Pronestor Room Side 3.0 3.10 Brugerroller i Pronestor Room Side 3.1 3.2 Log ind som administrativ bruger Side 3.3 Administrator Opsætning af Organisation Side 3.4 Opret Lokationer,

Læs mere

Undervisningen, H3. Hovedforløb 3. Total antal Lektioner. Operativsystemer 3. Netværk 3. Projekt. Områdefag: Netværk 3 36 18 54

Undervisningen, H3. Hovedforløb 3. Total antal Lektioner. Operativsystemer 3. Netværk 3. Projekt. Områdefag: Netværk 3 36 18 54 Undervisningen, H3 Hovedforløb 3 5 ugers varighed Netværk 3 Operativsystemer 3 Projekt Total antal Lektioner Områdefag: Netværk 3 36 18 54 Bundne specialefag: Operativsystemer 3 72 18 90 Fejlfinding 36

Læs mere

NETVÆRKSBRUGSANVISNING

NETVÆRKSBRUGSANVISNING NETVÆRKSBRUGSANVISNING Lagring af udskriftslog på netværket Version 0 DAN Definition af noter Vi bruger følgende ikon gennem hele brugsanvisningen: Bemærkninger fortæller dig, hvordan du skal reagere i

Læs mere

Opsætning af FTP- og webserver 22. januar 2007

Opsætning af FTP- og webserver 22. januar 2007 Opsætning af FTP- og webserver 22. januar 2007 Mads Pedersen, OZ6HR mads@oz6hr.dk Plan Generelt: Teori og praksis. Tager sikkert ikke så lang tid Hvad bruges en FTP- og webserver til? Hvad skal der bruges

Læs mere

Standardaftale om delegering af brugerrettigheder mellem lokale identitetsudbydere og serviceudbydere ved anvendelse af SAML-billetter

Standardaftale om delegering af brugerrettigheder mellem lokale identitetsudbydere og serviceudbydere ved anvendelse af SAML-billetter Standardaftale om delegering af brugerrettigheder mellem lokale identitetsudbydere og serviceudbydere ved anvendelse af SAML-billetter Økonomistyrelsen Marts 2011 Side 1 af 16 Oversigt over dokumentet...3

Læs mere

Sitecore Seminar København onsdag 6. februar 2008 DET DIGITALE DANMARK - BORGERPORTAL 2.0

Sitecore Seminar København onsdag 6. februar 2008 DET DIGITALE DANMARK - BORGERPORTAL 2.0 Sitecore Seminar København onsdag 6. februar 2008 DET DIGITALE DANMARK - BORGERPORTAL 2.0 Om Netmester Netmester A/S 10 års erfaring med web-udvikling Vinder af Bedst til Nettet 2006 og nomineret i 2007

Læs mere

SOSIGW. - Driftsvejledning for SOSIGW 1.2. Indeks

SOSIGW. - Driftsvejledning for SOSIGW 1.2. Indeks SOSIGW - Driftsvejledning for SOSIGW 1.2 Indeks Indeks... 1 Revisionshistorik... 2 Introduktion... 2 Kontrol af korrekt driftstilstand... 2 Ændring af statisk konfiguration... 3 Logfil... 3 Backup... 3

Læs mere

Citrix Online Plugin Client Install Integra

Citrix Online Plugin Client Install Integra DBC A/S 1 af 6 2011-09-08 14:52 Citrix Online Plugin Client Install Integra Vejledning til installation af Citrix Online Plugin (Full) Forudsætninger For at få adgang til Integra driftsløsningen på DBC

Læs mere