OS2faktor. Løsningsbeskrivelse. Version: Date: Author: BSG

Relaterede dokumenter
OS2faktor. Overordnet løsningsbeskrivelse. Version: Date: Author: BSG

OS2faktor. Brugervejledning. Version: Date: Author: BSG

OS2faktor. AD FS Connector Vejledning. Version: Date: Author: BSG

OS2faktor. Windows Credential Providers. Version: Date: Author: BSG

OS2faktor. Pseudonym API. Version: Date: Author: BSG

Styregruppemøde i OS2faktor

Driftsudkast. OS2faktor

VDI Manual v. 5 Indhold

Underbilag 2.24 Kommunernes it-miljø

Underbilag 2.24 Kommunernes it-miljø Kommunernes Ydelsessystem

Dan Rolsted PIT. Side 1

EasyIQ ConnectAnywhere Release note

MitID. 23. april 2018 Mogens Rom Andersen Digitaliseringsstyrelsen

FAQ Login og step-up. Version 1.0, December Copyright 2018 Netcompany. All rights reserved

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Selvom du har installeret NemID nøgleapp på din smartphone eller tablet, kan du stadig frit skifte mellem at bruge din nøgleapp eller nøglekort.

VEJLEDNING ITS365. Gratis tilbud til alle kursister på Randers HF & VUC

Version 1.04 (23. januar 2017) Udarbejdet af Mette Valbjørn, MBU Digitalisering

Bilag 5: Kundens It-Miljø. Version 0.6 Bilag til dagsordenspunkt 9: Krav til kommunernes it-miljø.

111 I T - V E J L E D N I N G T I L M A C

Opsætning til to-faktor-validering

Indhold. Guide til læsning af e-bøger på PC/Mac

Velkommen. Acadre nyheder. Jørgen Hedegård, Formpipe Software A/S

Deltagelse i projektet "Remind" herunder videosamtaler mellem behandler og patient

Vejledning til aktivering af to-faktor godkendelse

Mail og bevægelses sensor alarm opsætning for Valtronics kamera system

Citrix Receiver komplet guide til installation, brug og fejlfinding Version

Vejledning til brug af skolens IT for nye elever/studerende.

Kom godt i gang med Digital Transformation via din Microsoft ERP-platform

Kom godt i gang med NemID nøgleapp. December 2018

Kvik start opsætning af kamera det første du skal gøre:

Sådan logger du ind... 2 Hvilke mapper kan du tilgå... 3 Visning af eksempel af en fil... 5 Sådan deler du en fil... 7 Se hvad du deler med andre...

IT-VEJLEDNING TIL MAC

Håndbog. - MobilePass. Udarbejdet af: Maria Mathiesen Gældende fra: 25. februar 2015

Sikkerhed på smartphones og tablets

Guide til IT-afdelingen: Test af DANBIO6 Kiosksystem

er en personlig adresse og adgang til den samt password må ikke deles med 3. part.

Q&A til NemID nøgleapp

Guide til Epson Connect NPD DA

SÅDAN PRINTER DU FRA SMARTPHONE ELLER TAVLE-PC:

App til indmelding af glemt check ud

Mobilbarn. Krav for MobilBarn. Apple-enheder kræver minimum ios 6.0 eller højere. Android-enheder kræver minimum Android 2.3 eller højere.

Du kan trygt bruge it i din hverdag

IT-VEJLEDNINGER TIL PC

Kom godt i gang med SkoleVDI. - Sådan kommer du på VDI

Trådløst netværk med private enheder for ansatte og studerende

Præsentation af Aula. Juni 2018

Multifaktor autentifikation (MFA) ved adgang til forskellige IT-løsninger og -services

Elma ToolCheck Dansk manual DK: EAN:

OS2autoproces. Vejledning til implementering

EasyIQ ConnectAnywhere Release note

Billede af den virtuelle tur rundt om minikraftværket set på en pc (Eget arkiv, 2017)

Vejledning til Teknisk opsætning

UNO vejledning. Indhold

Skift fra godkendelse med token til app notifikation

BRUGER GUIDE. Waoo Web TV på iphone FIBERBREDBÅND TV TELEFONI

En open source løsning til bibliotekernes publikumspc ere

Dokumentation. Udbyder : sms1919.dk Service : sms-grupper Applikationer Facebook. : Facebook Integration med sms-grupper.

Installationsvejledning Danfoss SolarApp

Citrix CSP og Certificate Store Provider

GB-HD2635-W. Kom godt i gang

Nedenstående Tager Udgangspunkt I En Outlook Installation På En Mac, Hvor Vi Kommer Ind På Mail, Kalender, Kontaktpersoner Og Opgaver-

Citrix Receiver guide til Mac, Iphone, Ipad Version

INDHOLDSFORTEGNELSE. INDLEDNING... 7 Kristian Langborg-Hansen. KAPITEL ET... 9 I gang med App Inventor. KAPITEL TO...

Konfiguration af BOOX Nova. Der tages forbehold for trykfejl og ændringer i producentens / Googles software.

EasyIQ App Brugermanual IOS devices (ipad, iphone og ipod)

IT-VEJLEDNING TIL MAC

IT I FOLKESKOLEN TØNDER KOMMUNE

BRUGERVEJLEDNING MOBIL APP

Vejledning. Trådløst netværk med private enheder

Introduktion til UNI-Login for udbydere

IT på Social og Sundheds Skolen Fyn Juni 2019

SÅDAN KOMMER DU I GANG MED MOBILEPAY BUSINESS

IT-VEJLEDNINGER TIL MAC

Spørgsmål og svar til udbud om digitalisering af værktøjer. Publiceret den 15. november 2013.

Sådan gør du iphone og ipad Brug af app og scanning af leads

Indhold. Guide til læsning af e-bøger på PC/Mac

IT-VEJLEDNINGER TIL PC

Google Cloud Print vejledning

Du kan læse mere om eduroam, og se hvilke institutioner der er med, på den danske hjemmeside eller på den internationale hjemmeside.

Kontraktbilag 4 Kundens IT-miljø

Vejledning til brug af IT for nye Studerende/ Elever og Kursister.

GUIDE TIL CLOUD DRIVE

Installationsvejledning til softphone og app

Serviceplatformen informationsmateriale. Leverandørmøde 7. februar 2013

Kom i gang med Skype for Business

GB-HD Kom godt i gang

ECdox som favorit. Indledning 1. Internet Explorer 2. Chrome 4. Safari 5. Favorit på mobile enheder 6 Android 6 IOS 7. ECdox på mobile enheder 7

Skift fra godkendelse med sms til app notifikation

BRUGER GUIDE. Waoo Web TV PÅ COMPUTER, TABLET OG TELEFON FIBERBREDBÅND TV TELEFONI

M Mobility Mobil IP. Installations- & brugervejledning Desktop version Windows 12. august 2014

Vejledning til brug af skolens IT for nye elever/studerende.

Succes med intranet til Office 365

GB-HD9604T-PL / GB-HD9716T-PL. Kom godt i gang

Nu kan det offentlige afskaffe passwords

Kravspecifikation tværga ende sundhedsplatform

Vejledning til Office 365 for skoleelever i Aarhus Kommune, Børn og Unge

OpenTele datamonitoreringsplatform

Tofaktorgodkendelse til brug af dit Apple ID

ereolen.dk -Sådan downlåner du -Sådan anvender du på ebogslæser, tablet og smartphone

Transkript:

OS2faktor Løsningsbeskrivelse Version: 1.0.3 Date: 29.11.2018 Author: BSG

Indhold 1 Indledning... 3 2 Overordnet beskrivelse af OS2faktor... 3 2.1 Løsningskomponenter... 5 2.2 Leverancemodel... 5 2.3 Status... 6 2.4 Drift af OS2faktor løsningen... 6 3 Løsningsbeskrivelse... 6 3.1 Kernekomponenter... 6 3.1.1 Integrationsmuligheder... 6 3.2 Klienter... 7 3.3 Connectors... 8 4 Udruldning og implementering... 8 5 Roadmap... 9 5.1 Release 1.1... 9 5.2 Release 1.2... 9 5.3 Release 1.3... 10 Digital Identity ApS, Bakkedraget 1, 8362 Hørning 2 / 10

1 Indledning Dette dokument er en løsningsbeskrivelse for version 1.0 af OS2faktor, samt beskrivelsen for release 1.1, 1.2 og 1.3. Formålet med dokumentet er at sætte scope for en fuld funktionelt version af OS2faktor, med fuld understøttelse af 2-faktor login til fagsystemer, herunder AULA. Samtidig skal dokumentet belyse det fremtidige perspektiv i såvel videreudvikling som videreimplementering af OS2faktor, hvilket håndteres ved dokumentation af perspektiver, integrationsmuligheder og etablering af et initielt roadmap for fremtidige versioner af OS2faktor. Endelig er dokumentet et beslutningsgrundlag for tilslutningen til OS2faktor projektet i OS2- regi, og har til mål at indeholde alle de relevante oplysninger som må indgå i denne beslutning. Afsnit 2 indeholder en samlet, men overordnet, beskrivelse af OS2faktor, og suppleres af uddybende detaljer i de efterfølgende afsnit. Afsnit 5 indeholder en beskrivelse af funktionaliteten i release 1.1, 1.2 og 1.3. 2 Overordnet beskrivelse af OS2faktor OS2faktor er en 2-faktor autentifikationsløsning, der kan anvendes som 2. faktor i et login flow. Et typisk scenarie vil være at man anvender OS2faktor som supplement til ens normale brugernavn/kodeord login, hvormed man vil opnå 2-faktor sikkerhed i sit login. OS2faktor kan installeres både på PC/laptop og på smartphones/tables, med det formål at ramme brugerne på de enheder hvor de arbejder, så de ikke behøves at anvende flere enheder end nødvendigt i deres daglige arbejde. OS2faktor har fokus på at sikre et højt sikkerhedsniveau, uden at det går ud over brugervenligheden. For anvendere af PC/laptops betyder det f.eks. at de blot vil blive præsenteret for en ekstra godkendelsesdialog i forbindelse med login, placeret i højre/nederste hjørne af deres skrivebord. Digital Identity ApS, Bakkedraget 1, 8362 Hørning 3 / 10

Når en bruger logger på et fagsystem der kræver 2-faktor login, vil de blot skulle godkende denne dialog, hvorefter login er gennemført succesfuldt. På samme måde har OS2faktor fokus på at reducere de administrative omkostninger ved at anvende en 2-faktor login løsning, ved bl.a. at understøtte 100% selvbetjening af OS2faktor klient-softwaren. Slutbrugerne kan gennemføre en fuld registrering af deres klient på egen hånd, både på PC/Laptop og smartphone/tablet klienterne. En skærmbillede af en ikkeregistreret iphone klienten er vist nedenfor. Digital Identity ApS, Bakkedraget 1, 8362 Hørning 4 / 10

OS2faktor løsningen kan anvendes til KOMBITs fagsystemer, herunder AULA og monopolbrudsystemerne, samt til alle fagsystemer som kommunen har koblet på deres AD FS. OS2faktor kan også nemt integreres ind i andre fagløsninger og infrastrukturer som Office 365, Netscaler, VPN og lignende. 2.1 Løsningskomponenter OS2faktor leverancen består af følgende løsningskomponenter En Windows 7/10 desktop klient, der leveres som en Windows Installer, der kan distribueres ud på brugernes PC/laptops af kommunens it-afdeling En iphone/ipad app, der kan installeres via Apple App Store En Android app, der kan installeres via Google Play En AD FS integrationskomponent Selve OS2faktor backend løsningen Dokumentation af OS2faktor API et, der kan anvendes til egne integrationer 2.2 Leverancemodel OS2 har nedsat en koordinationsgruppe, der er med det funktionelle indhold af OS2faktor løsningen, og udarbejder roadmap og tidsplaner for fremtidig udvikling. Dette dokument beskriver funktionaliteten i version 1.0 af OS2faktor, samt kommende releases som beskrevet i afsnit 5. Digital Identity ApS, Bakkedraget 1, 8362 Hørning 5 / 10

Kommunerne der tilslutter sig OS2faktor styrer så løbende, gennem koordinationsgruppen, videreudvklingen af OS2faktor, herunder nye klienter, nye integrationer m.m. som måtte ønskes. Leverandøren af OS2faktor har ansvaret for distribution af nye releases, fejlrettelser m.m., via de respektive release-kanaler (Google Play, Apple App Store, osv). Information om kommende releases informeres løbende til de tilsluttede kommuner, med fuld transparens i økonomi, prioritering af opgaver og beslutninger via OS2s governance model. 2.3 Status Den beskrevne funktionalitet til version 1.0 er på nuværende tidspunkt (oktober 2018) udviklet, og er under afprøvning i en af pilotkommunerne. Version 1.0 er klar til fuld udrulning ultimo november 2018. Der er i afsnit 5 angivet tidsplan for de kommende releases. 2.4 Drift af OS2faktor løsningen Der etableres fælles drift af løsningen i OS2-regi, og det vil være muligt for den enkelte kommune at tilslutte sig den fælles driftmodel, eller at etablere egen drift af løsninge hvis dette ønskes. Hvis man ønsker at drifte løsningen lokalt, skal man etablere de fornødne servere, overvågning m.m. i egen it-infrastruktur. 3 Løsningsbeskrivelse OS2faktor løsningen består af nogle kernekomponenter, der udgår selve infrastrukturen, samt en række klienter og integrationer. I dette afsnit beskrives hhv kernekomponenterne, klienterne og integrationer adskildt. For hver type beskrives hvad der er med i version 1.0, og hvad der er af integrationsmuligheder. 3.1 Kernekomponenter OS2faktor er bygget op omkring nogle kernekomponenter der udgør selve infrastrukturen, som klienterne og integrationerne bygger oven på. Denne infrastruktur er ansvarlig for Registrering af OS2faktor klienter Integration til NemLog-in Integration til Apple og Googles notifikationsservere Backend for selve login-flowet når OS2faktor klienter anvendes til 2-faktor login Infrastrukturen udstiller sikre API er, rettet mod hhv OS2faktor klienterne, og de integrationer der ønsker at gøre brug af OS2faktor som en login mekanisme. Disse API er, samt administrationen af adgangen til dem, sker via kernekomponenterne. 3.1.1 Integrationsmuligheder De eksisterende klienter og integrationer er bygget oven på de API er som kernekomponenterne udstiller, og via disse er det muligt at bygge nye OS2klienter, for på den måde at kunne understøtte flere klient-platforme end dem som OS2faktor version 1.0 kommer med. Digital Identity ApS, Bakkedraget 1, 8362 Hørning 6 / 10

Klient API API et der er udstillet til at bygge klienter, understøtter følgende funktionalitet Registrering af klient o herunder muligheden for CPR kobling via NemID/NemLog-in Mulighed for at registrere sig som modtager af push-beskeder fra hhv Google og Apples notifikationsservere Både REST og WebSocket API er til at modtage login-beskeder Både REST og WebSocket API er til at godkende/afvise login-beskeder Server API Infrastrukturen udstiller ligeledes API er, der kan anvendes til at bygge integrationer direkte ind i fagsystemer, ind i ens VPN klienter, i Netscaler, OWA Webmail eller lignende systemer, hvor man ønsker at anvende OS2faktor. Disse API er udstiller følgende funktionalitet, alle udstillet via et REST API Opslag på hvilke OS2faktor klienter en given bruger har o Som søgeparametre kan man anvende AD-kontonavn, CPR-nummer, PID og en liste af kendte devices som man mener brugeren anvender Afsendelse af en login-besked til en bestemt OS2faktor klient Modtage status på en login-besked (godkendt/afvist status) o API et til status-notifikation er delt i to, så der er et offentligt statusopslag, der anvender en 1-gangs nøgle, samt det beskyttede API, som serverens backend kan anvende. Det offentlige opslag kan fx anvendes hvis man har en usikret komponent, der skal have adgang til status på et login forsøg. Management API Der er endvidere et simpelt management API, hvor det er muligt for en kommune at indlæse og vedligeholde en AD-konto/CPR-nummer mapningstabel. Dette er tiltænkt scenarier hvor kommunen ikke har mulighed for at anvende CPR-nummeret som opslagsnøgle på logintidspunkt, men stadig ønsker at gøre brug af CPR-nummer tilknyttet på OS2faktor klienterne. Via indlæsning af mapningstabellen, vil det være muligt at anvende AD kontonavn i stedet for CPR som opslagsnøgle på login tidspunktet. 3.2 Klienter Der leveres 3 klienter i version 1.0 af OS2faktor. Disse klienter er En ios klient, der kan afvikles på iphone og ipad. Denne klient distribueres via Apple App Store, og kan enten installeres direkte af slutbrugeren, eller automatisk via kommunens MDM system En Android klient, der kan afvikles på Android smartphones og tablets, samt på Chromebooks der understøtter Android applikationer. Denne klient distribueres via Google Play, og kan enten installeres direkte af slutbrugeren, eller automatisk via kommunens MDM system En Windows desktop klient, der kan installeres på både Windows 7 og Windows 10 desktops. Disse klienter distribueres som MSI installer pakker, som kommunen kan installere via deres normale software-installations setup Disse klienter dækker langt størstedelen af brugsscenariene, men det er som nævnt også muligt at udvikle yderligere klienter, fx gennem OS2faktor videreudviklingen. Digital Identity ApS, Bakkedraget 1, 8362 Hørning 7 / 10

3.3 Connectors OS2faktor kommer med en connector til AD FS i version 1.0. Denne connector understøtter OS2faktor login flowet for brugere der logger på fagsystemer via kommunens AD FS. AD FS connectoren er implementeret som et standard multi-factor-authentication modul til AD FS, og vil fungere med AD FS 3.0 og 4.0 (Windows Server 2012 R2 og Windows Server 2016). Ved kommende releases af AD FS vil integrationen opdateres til at understøtte disse som en del af den løbende videreudvikling og vedligehold af OS2faktor løsningen. AD FS integrationen understøtter en række (konfigurable) funktioner, herunder Integration til OS2faktor infrastrukturens login-flow Muligheden for at foretage knytning af sin OS2faktor enhed til sin AD konto som en del af login flowet Mulighed for at indlejre links og hjælpetekster til slutbrugerne, så de kan få kommunetilpasset hjælp under brugen af OS2faktor 4 Udruldning og implementering OS2faktor er designet med fokus på selvbetjening og fleksibilitet i integrationerne, så man kan opnå et højt niveau af brugervenlighed og minimal arbejde i forbindelse med implementeringen af 2-faktor sikkerhed. Alle klienter er designet til automatisk udruldning, men kan også nemt installeres af slutbrugerne selv, fx på BYOD og hjemme PC ere. Registreringsprocessen ligger op til stor fleksibilitet, hvor en slutbruger kan nøjes med blot at navngive sin klient som det eneste krævede trin under registreringen, og så senere lave en CPR nummer tilknytning via NemID hvis dette ønskes. Kommunen kan vælge at tillade selvregistrering af OS2faktor klienter via AD FS integrationen, for på den måde at understøtte brugere der ikke ønsker en CPR nummer tilknytning til deres OS2faktor klient. Som en del af OS2faktor projektet udarbejdes (og vedligeholdes) en scenarie-manual, der beskriver hvordan man kan anvende OS2faktor i forskellige scenarier. Fx hvordan man i praksis håndterer dele-pc ere, dele-tablets, bring-your-own-device scenarier m.m. Et typisk implementeringsforløb med OS2faktor kunne se ud som følger 1. Der indgås en driftaftale med OS2 omkring brugen af OS2faktor infrastrukturen 2. Der udarbejds kommune-specifikt vejledningsmateriale til installation og registrering af OS2faktor klienter til medarbejerne (med udgangspunkt i standard materialet). Vejledningen dækker hvordan medarbejderne får installeret en klient, og hvordan de skal registrere den a. Evt ruller man automatisk OS2faktor klienterne ud på slutbrugernes laptops og/eller smartdevices via MDM 3. AD FS integrationen opsættes for kommunen (1-2 timers arbejde for en systemadministrator i kommunen) a. Her skal tages nogle valg om hvordan man ønsker at lave opslag mod OS2faktor infrastrukturen, og om man vil bruge CPR-nummer, PID eller fx AD-konto som opslagsnøgler, og om man vil tillade at brugerne foretager tilknytning af OS2faktor klienter til deres AD konto som en del af login forløbet. Digital Identity ApS, Bakkedraget 1, 8362 Hørning 8 / 10

4. I AD FS slår man 2-faktor sikkerhed til på de fagapplikationer hvor det kræves a. Dette kan gøres per applikation, og også per bruger/brugergruppe 5 Roadmap Der er på nuværende tidspunkt planlagt tre yderligere releases, med følgende tidsplan Release 1.1. Ultimo januar 19 Release 1.2. Medio marts 19 Release 1.3. Medio april 19 Indholdet af de enkelte releases er beskrevet nedenfor 5.1 Release 1.1 Dette release indeholder 3 yderligere funktioner, ud over den beskrevet i release 1.0. Lokal pinkode beskyttelse Windows og Chrome klienterne understøtter lokal pinkode beskyttelse, som kan slås til på installationstidspunktet. Hvis pinkode beskyttelse er slået til, skal brugerne vælge en pinkode ved registrering af klienten, som skal indtaste hver gang de anvender deres OS2faktor klient. Den enkelte kommune kan selv vælge om de ønsker at brugerne skal anvende pinkode, ved at konfigurere installationspakken inden den installeres hos slutbrugerne. Understøttelse for Chrome / Chromebook klienter En klient til installation i Chrome browseren, der kan anvendes bl.a. på Chromebooks, men også på andre desktop computere, bl.a. Mac, Linux og Windows PC ere. Klienten publiceres i Google Play storen, og kan på den måde distribueres via MDM værktøjer. https://os2web.atlassian.net/browse/os2fak-5 Understøttelse for YubiKeys til login via AD FS En 2-faktor løsning for dele-computere, hvor man kan bruge en YubiKey (fysisk nøgle) som 2- faktor autentifikation i forbindelse med login via AD FS. https://os2web.atlassian.net/browse/os2fak-7 5.2 Release 1.2 Dette release indeholder 3 yderligere funktioner, ud over den beskrevet i release 1.0 og 1.1. Dokumentation af Netscaler opsætning til OS2faktor Muligheden for at kombinere OS2faktor og Netscaler adgangsstyring er allerede til stede i den første release, men i forbindelse med release 1.2 udarbejdes vejledninger og dokumentation til hvordan man sætter dette op i Netscaler. Digital Identity ApS, Bakkedraget 1, 8362 Hørning 9 / 10

https://os2web.atlassian.net/browse/os2fak-6 Anvendelse af OS2faktor i forbindelse med VPN Der udarbejdes en RADIUS komponent, der kan installeres lokalt i den enkelte kommune, og anvendes til 2-faktor login via OS2faktor, når der etableres en VPN forbindelse til kommunens VPN infrastruktur. https://os2web.atlassian.net/browse/os2fak-3 Mulighed for at etablere VPN forbindelse direkte fra Windows login skærmen Der udarbejdes en såkaldt Credential Provider til Windows, der gør det muligt at etablere en VPN forbindelse direkte fra Windows Login skærmen, i forbindelse med at brugeren foretager login til Windows Desktop https://os2web.atlassian.net/browse/os2fak-4 5.3 Release 1.3 Dette release indeholder 3 yderligere funktioner, ud over den beskrevet i release 1.0, 1.1 og 1.2 Mulighed for at få tildelt et nyt kodeord (password reset) Der udarbejdes funktionalitet til at slut-brugeren selv kan resette sit AD-kodeord, ved at gennemføre et NemID login https://os2web.atlassian.net/browse/os2fak-9 Mulighed for at kræve 2-faktor login til udvalgte Windows Servere Der udarbejdes en såkaldt Credential Provider til Windows, der gør det muligt at kræve 2- faktor login på de servere hvor denne provider er installeret. På den måde kan man øge sikkerehdsniveauet på udvalgte Windows Servere. https://os2web.atlassian.net/browse/os2fak-10 Udvidet pinkode funktionalitet Der udarbejdes en fleksibel pinkode-model, der gør det muligt at kræve pinkode-beskyttede klienter i bestemte login scenarier. https://os2web.atlassian.net/browse/os2fak-11 Digital Identity ApS, Bakkedraget 1, 8362 Hørning 10 / 10

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback