Teststrategi og -plan tjenesteudbydernes test af integrationer til eid-gateway Version 1.1.1, 26. juni 2018
Indhold 1. Introduktion 3 1.1 Indledning 3 1.2 Formål og afgrænsning 3 1.3 Målgruppe 3 1.4 Gennemførte og planlagte tests 3 2. Gennemførelse af integrationstest 4 2.1 Organisering og ansvarsfordeling 4 2.1.1 Digitaliseringsstyrelsens ansvar 4 2.1.2 Tjenesteudbydernes ansvar 4 2.2 Planlægning af test 4 2.2.1 Vejledning i tilslutning til integrationsmiljø for eid-gatewayen 4 2.3 Test af tilslutningen 5 2.3.1 Testscenarierne 5 2.4 Testrapportering 5 2.4.3 Krav til rapportering 5 2.5 Fejlhåndtering 6 3. Versionshistorik 7
Side 3 af 8 1. Introduktion 1.1 Indledning Dokumentet er offentliggjort på eidas artikel 6-gruppen på digitialiser.dk, hvor eventuelle nye versioner også vil blive offentliggjort. Øvrig information om eidasforordningen og tilslutning til den nationale eid-gateway er tilgængeligt på www.digst.dk/eidas. 1.2 Formål og afgrænsning Formålet med dette dokument er at beskrive planlægning og gennemførelse af tjenesteudbydernes test af deres integrationer til den nationale eid-gateway. Dokumentet er et supplement til dokumentet Vejledning i tilslutning til integrationsmiljø for eid-gateway beskrivelse af leverandørens integrationstestmiljø, som er tilgængeligt på digitaliser.dk. 1.3 Målgruppe Dokumentets målgruppe er offentlige tjenesteudbydere og deres leverandører, som skal teste opkobling til integrationstestmiljøet for den kommende nationale eidgateway. 1.4 Gennemførte og planlagte tests Leverandøren af den nationale eid-gateway har udarbejdet en teststrategi og hovedtestplan for selve eid-gatewayen. Leverandøren har primo marts 2018 gennemført en funktionsprøve af den danske eidas Connector, som på vegne af danske tjenester sender forespørgsler om autentificering af brugere videre til andre EU-/EØSlande. Prøven dækkede forskellige testbrugere og loginscenarier. Desuden har prøven dækket flere testcases fra EU-Kommissionens såkaldte conformance test for den danske eidas Connector. Senere gennemføres sikkerhedsprøve, belastningsprøve, overtagelsesprøve og driftsprøve.
Side 4 af 8 2. Gennemførelse af integrationstest 2.1 Organisering og ansvarsfordeling 2.1.1 Digitaliseringsstyrelsens ansvar Digitaliseringsstyrelsen er ansvarlig for at koordinere tjenesteudbydernes test af deres integrationer. Desuden er Digitaliseringsstyrelsen ansvarlig for at håndtere eventuelle fejl med leverandøren af eid-gatewayen. Digitaliseringsstyrelsen har allokeret en testmanager til at understøtte koordineringen af integrationstestene. 2.1.2 Tjenesteudbydernes ansvar Tjenesteudbyderne er forpligtet til mindst at udføre testscenarier som beskrevet under punkt Test af tilslutningen som kvalificerer deres integration op mod integrationstestmiljøet. Tjenesteudbyderne er ansvarlige for at planlægge, gennemføre og afrapportere på test af integrationer til eid-gatewayens integrationstestmiljø, herunder at dokumentere gennemførelse af test samt hvilke testcases, der er testet. 2.2 Planlægning af test Tjenesteudbyderen bedes underrette Digitaliseringsstyrelsen om, hvornår tjenesteudbyderen agter at teste en integration ved at kontakte Digitaliseringsstyrelsen på eidas@digst.dk. Det vil være muligt at booke test af sine integrationer fra den 3. april 2018, hvor integrationstestmiljøet står klart. Digitaliseringsstyrelsen koordinerer, hvornår tjenesteudbyderne ønsker at gennemføre test. Digitaliseringsstyrelsen forbeholder sig ret til omarrangere, såfremt flere tjenesteudbydere ønsker at teste samtidigt. Af hensyn til udbedring af eventuelle fejl og gennemførelse af nye test skal tjenesteudbyderne, der er omfattet af INEA-aftalen, have gennemføret deres test senest den 30. august 2018. 2.2.1 Vejledning i tilslutning til integrationsmiljø for eidgatewayen Leverandøren af eid-gatewayen har udarbejdet Vejledning i tilslutning til integrationsmiljø for eid-gateway beskrivelse af leverandørens integrationstestmiljø, som er tilgængeligt på digitaliser.dk. Denne vejledning beskriver integrationstestmiljøet, og hvordan tjenesteudbyderne får dannet deres metadatafil, m.m.
Side 5 af 8 2.3 Test af tilslutningen Formålet med testscenarierne er at verificere tjenesteudbydernes forbindelse til integrationstestmiljøet, og at tilslutningen opfylder mindstekravene til sikkerhed som defineret af OWASP. Der afvikles testscenarier for et positivt og et negativt loginforløb samt sikkerhedstestscenarier baseret på OWASP Testing Guide (OTG). 2.3.1 Testscenarierne Testscenarierne er beskrevet under kapitel 6 i dokumentet Vejledning i tilslutning til integrationstestmiljøet for eid-gateway - Beskrivelse af leverandørens integrationstestmiljø. I Bilag B til tilslutningsvejledningen er oplistet en række testbrugere til anvendelse i forbindelse med test. 2.4 Testrapportering Tjenesteudbyderne er forpligtet til at aflægge testrapport. Det er tjenesteudbydernes eget ansvar at sørge for at få udført test af integrationstestmiljøet. Krav til rapporteringen fremgår af afsnittet nedenfor. Testrapporten sendes til eidas@digst.dk inden testperiodens udløb den 30. august 2018. Tjenesteudbydere, der indgår i aftalen med EU-agenturet INEA, skal sende denne afrapportering for at kunne modtage tilskud til test. Af hensyn til udbedring af eventuelle fejl og gennemførelse af nye test skal tjenesteudbyderne have gennemføret deres test senest den 30. august 2018. 2.4.3 Krav til rapportering Ved afslutning af integrationstest udarbejdes en rapport med følgende indhold: En bekræftelse af, at testen har fundet sted og en opsummering af testens samlede resultat En beskrivelse af testscenarier og testresultat (passed/failed) Testperioder med start- og afslutningstidspunkt for test Kommentarer og konstaterede fejl Der er ingen formkrav til testrapporteringen. Testrapportering sendes til Digitaliseringsstyrelsen via eidas@digst.dk.
2.5 Fejlhåndtering Hvis der skulle opstå fejl i forbindelse med test af integrationstestmiljøet, bedes tjenesteudbyderne rette henvendelse til Digitaliseringsstyrelsen via eidas@digst.dk. Henvendelser håndteres af Digitaliseringsstyrelsens testmanager. Side 6 af 8
3. Versionshistorik Side 7 af 8 Den seneste version af dokumentet er tilgængeligt på digitaliser.dk. Version Dato Ændring 1.0 27.03.2018 Første version til offentliggørelse på digitaliser.dk 1.1.1 26.06.2018 Udvidelse af testscenarier
Dokumentet er udarbejdet og vedligeholdes af Digitaliseringsstyrelsen. Den seneste version af dokumentet er tilgængeligt på digitaliser.dk. Du kan sende kommentarer til eidas@digst.dk. digst.dk