Præsentation af BSK regionens identity and access management platform



Relaterede dokumenter
Kundens IT miljø - Region Midtjylland

Installation og Drift. Aplanner for Windows Systemer Version 8.15

Installation og Drift. Aplanner for Windows Systemer Version

ecpr erstatnings CPR Design og arkitektur

Webservice til upload af produktionstilladelser

Opsætning af Outlook til Hosted Exchange 2003

Outlook 2010 Exchange-opsætning

DESIGNDOKUMENT (Teknisk dokumentation)

Solrød Kommunes supplerende kravspecifikation, som uddyber og præciserer kraven

Kravspecifikation tværga ende sundhedsplatform

Den Gode Webservice 1.1

Identity Access Management

AuthorizationCodeService

Region Mitjyllands IT miljø

Opsætning af Outlook til Hosted Exchange 2007

edrift - Installationsvejledning edrift i version NET Open Source

Notat Konceptmodel for SSO ØSY/JESBO/TG

MySQL i Java. Tutorial lavet af Jákup W. Hansen TSU semester 05.januar 2007

denne folder finder du de mest grundlæggende retningslinjer for brugen af it i Jammerbugt Kommune. Læs mere på 7913.jammerbugt.dk, hvor du også kan

Dynamicweb Exchange Opsætning

STIL BETINGELSER! Med Conditional Access

Indhold Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)...

HOSTED EXCHANGE OPSÆTNING PÅ SMARTPHONES & TABLETS. Skyfillers Kundemanual

PROJECT PORTFOLIO MANAGEMENT ARTEMIS 7

Brugervejledning. - til generering af nøgler til SFTP-løsningen vedrørende datakommunikation

Velkommen. Acadre nyheder. Jørgen Hedegård, Formpipe Software A/S

Vi skifter din adgangskode fordi en gennemgang har vist, at for mange adgangskoder ikke er stærke nok eller ikke har været skiftet længe.

Pronestor Room & Catering

TDCs Signaturserver. 11/05 - Version TDC Erhverv Sikkerhed og certifikater

Fjernadgang til BEC s systemer via Portal2

Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm

OIO standardservice til Journalnotat. Generel servicevejledning. KMD Sag Version KMD A/S Side 1 af 15. September 2013 Version 1.

PSYKIATRIENS VIKARCENTER. MinTid. Quickguide. Version 7.0

ITD ecmr WEB Services. Af Allan Wisborg, IT Udvikler

Brugervejledning - til internetbaseret datakommunikation med PBS ved hjælp af HTTP/S-løsningen

Opsætning af MobilePBX med Kalenderdatabase

Fjernadgang til BEC s systemer via Portal2

Den Gode LÆ-blanket Webservice (DGLÆ:WS)

Til brug med applikationer, der er kompatible med QR-kode-scanner/-aflæser

Exchange 2003 Mobile Access

ADFS Opsætning til MODST SSO Moderniseringsstyrelsen

Håndbog i brugen af Mødrehjælpens webmail

Filr: Næste generation af Fildeling. Flemming Steensgaard

Produktbeskrivelse for. Min-log service på NSP

IT vejledning i MUS for ledere

BM Møde Under Aktiviteter er der flere muligheder for søgning f.eks.: Aktiviteter i denne enhed der mangler efterbehandling.

FarmOnline Explorer App

Version 1.0. Side 1 af 18

Brugermanual Udarbejdet af IT-afdelingen 2008

1.1 Formål Webservicen gør det muligt for eksterne parter, at fremsøge informationer om elevers fravær.

Installation og opsætning af Outlook klient til Dynamics CRM

VPN adgang. Denne vejledning gælder brugere i LF, SEGES samt virksomheder, der får IT ydelser leveret fra SEGES IT Services

Teknisk Dokumentation

KAPITEL 6: ADMINISTRATION AF BRUGERRETTIGHEDER

Brugervejledning til DHF's onlinesystem

Identity og Access Management

Blanketdokumentation LÆ 131, 132 & 135 v1.0 Februar 2011

DOtAB. Teknisk rapport

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april J.nr.: 4004 V

Databaseadgang fra Java

SYSTEMDOKUMENTATION AF POC

Integrationsmanual. Anvendelse af webservice til kursusoversigt i Campus. Brugervejledning til udviklere

Denne specifikation er skrevet på baggrund af standardopsætningen af SignFlow Autorisationsmodul.

XML webservice for pensionsordninger. Version 1.0 Draft A

Vejledning i brug af fjernarbejdsplads pa Danmarks Statistik Mac brugere

Sådan logger du ind... 2 Hvilke mapper kan du tilgå... 3 Visning af eksempel af en fil... 5 Sådan deler du en fil... 7 Se hvad du deler med andre...

Indhold Windows Phone

FSFI s guide til DFR s elektronisk bevissystem

1 Brug af snitfladebeskrivelsen Formål og beskrivelse Hvad er formålet med snitfladen? Beskrivelse af snitfladen...

Connect2Care. Udvikling af åben infrastruktur for IKT-baserede produkter på social- og sundhedsområdet. UNIK projektmøde. 25.

Vejledning til Teknisk opsætning

Webservices. hvad er det og hvad kan det bruges til? Rikke Lose Databasekonsulent, DBC

Brugervejledning. til Waoo!

Fjernopkobling. - Vejledning i førstegangs fjernopkobling via en IKKE. Banedanmark pc

SOSI STS Testscenarier

Indholdsfortegnelse. Systembeskrivelse Rapporter

BEC. Cisco AnyConnect Unmanaged VPN. Installation. Brugervejledning. Version

PID2000 Archive Service

KbhForældre KbhForældre.dk

VDI-GUIDE FOR AALESTRUP REALSKOLE

ELEKTRONISK INDBERETNING BØRNEDATABASEN VIA DGWS 13/ VERSION 1.02

DPR Viderestilling. Grænseflade for klient applikation

OpenTele datamonitoreringsplatform

Transkript:

Regionshuset It digital forvaltning BSK programmet Olof Palmens alle 17 Kontakt@regionmidtjylland.dk www.regionmidtjylland.dk Præsentation af BSK regionens identity and access management platform BrugerStamdataKataloget (BSK) er regionens centrale it løsning til håndtering af adgange til regionens fælles it systemer. Dato 28 05 2010 JakobBækgaard Riis Programleder BSK Tel. +45 29 13 58 61 Version 3.0 BSK skal bl.a. være med til at sikre rettidig, effektiv bruger administration og øget sikkerhed. Side 1 Visionen er, at BSK på baggrund af viden om medarbejderens rolle og organisatoriske tilknytning automatisk tildeler en række adgange til it systemer, som medarbejderen kan tage i brug allerede på første arbejdsdag. Når en medarbejder forlader Region Midtjylland, skal BSK tilsvarende sikre, at medarbejderens systemadgange lukkes. Alle medarbejdere i regionen er registreret i BSK og har dermed et regionsid. regionsid består af et brugernavn og en adgangskode, og anvendes i en række af regionens fælles it systemer hvorved der opnås simplified logon (ét brugernavn og ét password). Visionen med BSK at personale og medarbejderinformation kun registreres én gang at nyt personale har adgang til alle de it systemer de skal anvende, første dag de møder på deres nye arbejdsplads at personale altid har adgang til de nødvendige it systemer og de rigtige rettigheder, der hvor de arbejder, også selv om de er ansat flere steder i organisationen at personale og medarbejderinformation kun vedligeholdes af kilden (dataejer) at samtlige registrerede informationer til enhver tid er korrekte, opdaterede, dækkende, dokumenterede og tilgængelige for netop de systemer og parter der skal anvende dem Programmål for BSK at igangsætte og videreføre de organisatoriske processer, der er nødvendige for at opfylde programmets visioner og formål at signalere at Region Midtjylland er én organisation

at synliggøre opbygningen af en fælles identitet i Region Midtjylland BSK data BSK registrerer data om den enkelte bruger, herunder: Stamdata o regionsid o CPR o Stilling Kontaktinformation o Mail o Telefon Organisatorisk tilknytning i andre systemer o Lønsystem o ESDH BSK vil på sigt også kunne levere data om de organisatoriske enheder, brugeren er tilknyttet, herunder: Ledelse Kontaktinformationer o Adresser o Telefonnr o Webadresse o Outlook funktionspostkasse Andre stamdata, fx o EAN nr o ØS afdelingsnumre o SKS koder Det tekniske BSK er en hændelsesbaseret platform som tilbyder en række standard snitflader til synkronisering af stamdata, både dem som gælder for brugeren af selve systemet, men også fagsystemets stamdata om medarbejderne. Platformen tilbyder høj tilgængelighed, fejltolerant setup og god performance. Databasen understøtter eventstyret synkronisering helt ned til attributniveau som sammen med den unikke replikeringsteknologi sikre en meget effektiv skalerbarhed. Standardsnitflader som BSK tilbyder til autentifikation (navn/password validering) og eventuel autorisation: SOAP service; BSKAuth se vedlagte bilag WebService LoginModule (BSKAuth) og WebService LoginModule (BSKAuthNSP) LDAP Synkronisering af navn/password (såfremt password bliver forsvarligt krypteret), øvrige brugerstamdata, autorisationer og data i øvrigt til applikationsdatabase gennem nedenfor nævnte snitflader. Standard integrationer (synkroniseringssnitflader) er lavet til mange applikationer, og indenfor HR systemer kan nævnes PeopleSoft og SAP HR. Men udover de standardiserede integrationer benytter BSK sig af såkaldte drivere, som kan forbinde til applikationen på forskellige måder. Der kan nævnes følgende (udsnit): Databaser Side 2

IBM DB2, Informix, Microsoft SQL Server, MySQL, Oracle, Sybase, JDBC Directories Critical Path InJoin Directory, IBM Directory Server (SecureWay), iplanet Directory Server, Microsoft Active Directory, Microsoft Windows NT Domain, Netscape Directory Server, Novell edirectory, Oracle Internet Directory, Sun ONE Directory Server, LDAP Scripting Systems Scripting Driver, Scripting Open Source Scripts Overview, sasldb Integration Scripts, Scripting Driver Scripts Google Apps Driver, Windows Domain/Local Account Scripts, Exchange 2007 Scripts Andre Delimited Text, Health Level 7 (HL7), DSML, Schools Interoperability Framework (SIF), SOAP, SPML, XML Valget af integrationssnitflade afhænger at mange forskellige forhold, som vil være for omfattende at udarbejde en standard tjekliste for. Derfor afholder BSK programmet forud for igangsætning af integrationen, en screeningsproces sammen med system leverandøren. Vi anbefaler altid at gennemføre en screening af nye systemer inden regionen beslutter sig for at underskrive kontrakt på et nye system. Screeningfasen kan normalt gennemføres inden for en uge, og kræver involvering af systemejer (3 5 timer), system leverandøren (2 3 timer) og BSK repræsentanter. For mere information om BSK og integrationsmuligheder, kan der rettes henvendelse til assisterende programleder Michael Toft Sørensen Assisterende Programleder for BSK programmet RegionsID Michael.Soerensen@stab.rm.dk Mobil +45 4020 1090 Side 3

Bilag WebService LoginModule (BSKAuth) Navn Web Service: LoginModule Metode/operation: BSKLogin Formål Formålet med metoden er at kunne få verificeret et brugernavn og password, og kunne hente en brugers adgange til alle eller et specifikt system. Tilgang Metoden stilles til rådighed via HTTP transport protokol over en sikker forbindelse (SSL). Der anvendes XML baseret SOAP protokol, så kommunikationen sker via XML. Service description sker via generet WSDL. Kriterier Følgende søgeparameter skal angives: Username (String) Password (String) System (String) Brugerens Username Brugerens Password Angivelse af et specifikt system System kan være blankt, hvilke vil medføre at alle brugerens rettigheder vil blive returneret. Udtræksfelter Følgende Udtræksoplysninger dannes: Status (int) StatusMessage (String) RoleScope (String[]) Angiver om brugeren er verificeret eller ej. 1 = Login ok 3 = Login ok. Password skal skiftes inden for PasswordDays dage. 7 = Login ok, Gracelogins. 8 = Login fejlede = Username eller password forkert. 16 = Login fejlede = Account Locked 128 = Anden fejl som f.eks. webservice kan ikke kontakte BSK. Dansk tekst, som beskriver evt. fejl, skal benyttes såfremt status ikke er 1, dette sikre en ensartet dialog med brugerene uanset applikaiton. En liste af roller og på hvilket niveau rettigheden er Side 4

givet. Såfremt listen er tomt har personen ingen rettigheder til det pågældende system og vil derfor normalt skulle nægtes adgang. PasswordDays(int) PasswordGrace(int) PasswordChangeURL (String) Antal dage til password skal skiftes, kun relevant såfremt Status er 3. Antal Gracelogins tilbage, kun relevant såfremt Status er 5. URL til password skifte, såfremt bruger manuelt skal skifte password via redirect. Istedet for denne URL ønskes nedenstående ChangePassword metode benyttet, således password skifte virker seemless i applikationen. Side 5

Bilag WebService LoginModule (BSKAuthNSP) BSKAuth SOAP servicen er udvidet med 3 ekstra metoder: LoginNSPASync, LoginNSPSync, GetSAMLTicketID. LoginNSPASync er beskrevet nedenfor, øvrige kan rekvireres efter behov. Formål Formålet med metoden er at kunne få verificeret et brugernavn og password, og kunne hente en brugers adgange til alle eller et specifikt system. Derudover genereres der en BSKTicketNSP til bruge i metoden GetSAMLTicketID. Ved godkendt login startes en ny asynkron process som kommunikerer med SOSI gatewayen og får dannet en SAMLTicket og SAMLTicketID, denne kan hentes via metoden GetSAMLTicketID. Der returneres til det kaldende system lige efter godkendt login, og der ventes derfor ikke på generering SAMLTicket. Denne metode er tiltænkt brugt hvor man har behov for hurtig login uden afventning på generering af SAMLTicketID på SOSI gateway. Tilgang Metoden stilles til rådighed via HTTP transport protokol over en sikker forbindelse (SSL). Der anvendes XML baseret SOAP protokol, så kommunikationen sker via XML. Service description sker via generet WSDL. Kriterier Følgende søgeparameter skal angives: Username (String) Password (String) System (String) Brugerens Username Brugerens Password Angivelse af et specifikt system. System kan være blankt hvilke vil medføre at alle brugerens rettigheder vil blive returneret. Udtræksfelter Følgende Udtræksoplysninger dannes: Status (int) StatusMessage (String) Angiver om brugeren er verificeret eller ej. 1 = Login ok 3 = Login ok. Password skal skiftes inden for PasswordDays dage. 7 = Login ok, Gracelogins. 8 = Login fejlede = Username eller password forkert. 16 = Login fejlede = Account Locked 128 = Anden fejl som f.eks. webservice kan ikke kontakte BSK. 512 = Login OK, men bruger har ikke Digital Signatur. Dansk tekst, som beskriver evt. fejl, skal benyttes Side 6

RoleScope (String[]) såfremt status ikke er 1, dette sikre en ensartet dialog med brugerene uanset applikaiton. En liste af roller og på hvilket niveau rettigheden er givet. Såfremt listen er tomt har personen ingen rettigheder til det pågældende system og vil derfor normalt skulle nægtes adgang. PasswordDays(int) PasswordGrace(int) PasswordChangeURL (String) BSKTicketNSP BSKTicketNSPTimeOut NSPTicketServerName Antal dage til password skal skiftes, kun relevant såfremt Status er 3. Antal Gracelogins tilbage, kun relevant såfremt Status er 5. URL til password skifte, såfremt bruger manuelt skal skifte password via redirect. Istedet for denne URL ønskes nedenstående ChangePassword metode benyttet, således password skifte virker seemless i applikationen. ID generet af BSK til senere forspørgsel via metoden GetSAMLTicketID. Tidsstempel for hvornår BSKTicketNSP udløber Hvilken NSP platform har udstedt SAMLTicket og herunde SAMLTicketID. (Multivalue) Flow Side 7

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback