SOSI. (ServiceOrienteretrienteret SystemIntegration) Quick Tour 2.0

Relaterede dokumenter
Den Gode Webservice 1.1

Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm

AuthorizationCodeService

Teknisk Dokumentation

Valg af webservice standard

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af september Version 1.0.

SOSI STS Testscenarier

Guide til NemLog-in Security Token Service

DESIGNDOKUMENT (Teknisk dokumentation)

Den Gode NationalePrøveNummer Service MedCom, version 1.0 W 1

Den Gode Webservice. version 1.1, W 1

SOSI Gateway Komponenten (SOSI GW)

Guide til kravspecifikation

ecpr erstatnings CPR Design og arkitektur

Den Gode LÆ Service MedCom, version 1.0 W 1

STS Designdokument. STS Designdokument

Sikker udstilling af data

Webservice kald. System-til-system integration. Ny Easy. ATP 1. februar 2017

Affødte krav til SDN fra Arkitekturen. Ved Esben P. Graven, Digital sundhed (SDSD)

ATP WS Provider Profile

Version 1.0. Vilkår for brug af Støttesystemet Adgangsstyring

Dette dokument beskriver den fællesoffentlige føderations minimumskrav til logning hos Service og Identity Providere.

Kommunernes it-arkitekturråd

SDSD: Projektrelevante emner og problemstillinger. Workshop om sikkerhed og privacy 5. december 2007

Den Gode Webservice. En fælles webserviceprofil for sundhedsvæsenet Version Den Gode Webservice

ANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER

DIADEM KOM GODT I GANG INTEGRATIONSVEJLEDNING IFT. SIKKERHED OG VERSIONERING AF WEBSERVICES VERSION: STATUS: FRIGIVET DATO: 22.

OIO standardservice til Journalnotat. Generel servicevejledning. KMD Sag Version KMD A/S Side 1 af 15. September 2013 Version 1.

Identitetsbaserede webservices og personlige data

Affaldsdatasystem Vejledning supplement i system-til-system integration for.net brugere

Kald af PingService via SOAPUI

Hurtig og sikker adgang til sundhedsfaglige data. Esben Dalsgaard, chef it-arkitekt, Digital Sundhed

Security Token Service. Snitflade OIO WS Trust

Specifikationsdokument for OCSP

eid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019

Sikkerhedsanalyse af WSRP

Sammenhængende log-in - SSO til applikationer i et andet sikkerhedsdomæne

Digitaliseringsstyrelsen

En teknisk introduktion til NemHandel

Certifikatpolitik for NemLog-in

Den Gode LÆ-blanket Webservice (DGLÆ:WS)

De fællesoffentlige komponenter: Federativa identitetslösningar, Erfarenheter från Danmark

Den Gode Sårjournal Service MedCom, version W 1

STS Anvenderdokument i. STS Anvenderdokument

Certifikatpolitik. For den fællesoffentlige log-in-løsning. Side 1 af 9 2. december Version 1.1

DIADEM KOM GODT I GANG INTEGRATIONSVEJLEDNING IFT. SIKKERHED VERSION: 1.3 (INGEN ÆNDRINGER SIDEN 1.1) STATUS: FRIGIVET DATO: 1.

Kravspecifikation for SOSI-GW komponenten

Udveksling af login- og brugeroplysninger mellem Odense Kommunes brugerkatalog og Google Apps skoleløsning Version 1.0, 30.

ADGANGSSTYRING. 26. Februar 2019

TDCs Signaturserver. 11/05 - Version TDC Erhverv Sikkerhed og certifikater

Guide til integration med NemLog-in / Web SSO

Privacy - hvem skal have adgang til hvilke data?

ELEKTRONISK INDBERETNING BØRNEDATABASEN VIA DGWS 13/ VERSION 1.02

Forretningsmæssige testscases for Seal.net i relation til anvendelse af NSP services

Den Gode Webservice Bilag Version

Det Danske Vaccinationsregister. IDWS - Snitfladebeskrivelse. Version 1.4.0

Copyright 2018 Netcompany. Alle rettigheder forbeholdes.

Finanstilsynets indberetningssystem. Vejledning til indsendelse af xml-filer via sikker e- mail (signeret og krypteret )

BBR OIOXML. Vejledning til OIOXML-snitflade. InputBox.wsdl

Affaldsdatasystem Vejledning i system-til-system integration

SSO - FAQ - Kendte problemer med opsætninger

Single sign-on til statens systemer. April 2019 version 5

STS Fejlsituationer. STS Fejlsituationer

Baggrundsbeskrivelse for installation af føderation i partnerorganisationer til Danmarks Miljøportal. Baggrund. 1. Hvad er føderation

Digital Signatur OCES en fælles offentlig certifikat-standard

Præsentation af BSK regionens identity and access management platform

Indhold Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)...

SOSIGW. - Administrationskonsol for SOSIGW Indeks

Den Gode Webservice. version W 1

STS Anvenderdokument. STS Anvenderdokument

Sundhed.dk. Den fælles offentlige sundhedsportal Side1

Hvad er KRYPTERING? Metoder Der findes to forskellige krypteringsmetoder: Symmetrisk og asymmetrisk (offentlig-nøgle) kryptering.

Sundhedsstyrelsens Elektroniske Indberetningssystem (SEI) Vejledning til indberetning via Citrix-løsning

Ibrugtagning af Fødselsindberetningsservicen på NSP

Til høringsparterne Se vedlagte liste

1.1 Formål Webservicen gør det muligt for eksterne parter, at fremsøge informationer om elevers fravær.

1 INTRODUKTION TIL DKAL SNITFLADER 3

Specifikationsdokument for OCSP

Transkript:

SOSI (ServiceOrienteretrienteret SystemIntegration) Quick Tour 2.0

Indhold Hvad og hvem er SOSI Visionen og Missionen Begreber, arkitektur og teknik

Hvad er SOSI Projekt initieret og drevet af Ribe- og Københavns Amt Mål: Forslag til retningslinier for system-til til- system integration i sundhedssektoren Pilotafprøves i Ribe og KBH amt

SOSI organisering Styregruppe Ribe Ribe KBH KBH Sundhed.dk, Sundhed.dk, ACURE, ACURE, VTU VTU Følgegruppe1 Sundhed.dk s arkitektråd Sundhed.dk s arkitektråd Klinisk projektgruppe Ribe Ribe KBH KBH ACURE ACURE Teknisk projektgruppe Sundhed.dk, Sundhed.dk, ACURE, ACURE, Ribe Ribe KBH KBH VTU VTU Følgegruppe2 EPJ arkitekturgruppen EPJ (ARF) arkitekturgruppen (ARF) Aftalegruppe Ribe Ribe KBH KBH LMS, LMS, Sundhed.dk Sundhed.dk Informationsgruppe MedCom,, Teknologisk MedCom, Institut, Teknologisk Institut, CryptoMathic, CryptoMathic,, TDC TDC (CA), (CA), Leverandørforum Leverandørforum

Visionen En føderation af serviceudbydere og aftagere Single-sign sign-on (SSO) De 4 vigtigste aspekter: 1.Beskyttet transportvej 2. Identitet 3. Autorisation 4. Formater Autorisations Service

Visionen (2) ARF/SST workshop 2004 fastslog: OCES certifikater til identifikation Et register Autorisations Service SOSI sigter påp disse Certifikat Autoritet (CA)

Missionen Der skal etableres en føderation ("trust domain"),... hvor der opretholdes "Single-Sign-On" (SSO) og... hvor det er muligt for serviceudbydere at overbevise sig om brugeres identitet og autenticitet... og at autorisere brugere påp baggrund af passende data... samt for alle parter i føderationen f at kunne opretholde uafviselighed af beskeder, svar og andre vigtige data... ved brug af åbne internationale og nationale standarder (konkret OCES, SAML og OIO)... påp en effektiv måde... og uden at introducere unødige "single points of failure"... sås løsningen kan skalere til at kunne håndtere h en stor del af (helst al) system-til til-system integration mellem systemer i sundhedssektoren... uden at påtvinge p specifikke platforms-,, leverandør- eller værktv rktøjsvalg.

OIO/NIST - Autenticitetsniveauer 1. Ingen eller lav tillid til brugerens autenticitet (Kendt brugernavn) 2. Lille tillid (Brugernavn/Password) 3. Høj j tillid (Digitale certifikater påp software) 4. Meget høj h j tillid (Kvalificerede digitale certifikater påp hardware) http://oio.dk oio.dk/files/horing.b.st.niv.autentisitetssikring.v3.pdf http://www.csrc.nist.gov www.csrc.nist.gov/publications/nistpubs/800-63/sp800-63v6_3_3.pdf 63v6_3_3.pdf

Konsekvensanalyse hos Serviceudbydere Konsekvenser ved autenticitetsfejl Autenticitetsniveau 1 2 3 4 Ulempe, kval eller tab af anseelse Lille Moderat Moderat Stor Økonomisk tab eller ansvarspådragelse Lille Moderat Moderat Stor Skade på myndighedsaktiviteter eller andre offentlige interesser N/A Lille Moderat Stor Ikke-autoriseret frigivelse af sensitiv information N/A Lille Moderat Stor Fysisk personskade Mulighed for at begå/modvirke opklaring af ulovligheder N/A N/A N/A Lille Lille Moderat Moderat Stor Stor

En mulig løsningl Central instans står r inde for en brugers identitet Digitale ID-kort Baseret påp akkreditiver, f.eks. certifikat eller brugernavn/password Påtrykt relevante autorisationsdata

SOSI in a nutshell (1)

SOSI in a nutshell (2)

Løsningens egenskaber Fleksibel Understøtter tter forskellige typer akkreditiver Fremtidige typer af akkreditiver (f.eks. kvalificerede certifikater) Optimering af arbejdsindsats i domænet Central indsamling af relevante brugerinformationer Central verificering af certifikater Effektiv Decentral verifikation af ID-kort Direkte system-til til-system kommunikation

Mere fleksibilitet (1) Serviceudbyder kan kræve Autenticitetsniveau (1-4) Autentifikation foretaget inden for X minutter Digital signatur (uafviselighed) Fra brugeren (niveau 3-4) 3 Fra systemet (niveau 1-3) 1 Serviceaftager kan efterspørge rge Digital signatur påp svaret (uafviselighed)

Mere fleksibilitet (2) Hvad hvis der ingen bruger er involveret? F.eks. batch indberetninger, overførsel rsel af klassifikationer, indberetninger til statistik Niveau 3 special Identifikation af afsendersystemet systemet med OCES virksomhedscertifikat Fjerner behovet for høkerlh kerløsninger (basic authentication,, tekniske logins etc.)

Mere fleksibilitet (3) Digital signatur Bruger Digital signatur afsendersystem Digital signatur Serviceudbyder (svar) Alder på digitalt ID-kort 4 Valgfri Valgfri Obligatorisk 0-30 minutter Autenticitetsniveau 3 2 Valgfri Valgfri Valgfri N/A Valgfri Valgfri 0-8 timer 0-24 timer 1 N/A Valgfri Valgfri 0-24 timer

Standarder og blå stempler XML, SOAP, WS-SEC SEC / XML-Signature SAML OIO Tværg rgående brugerstyring MedCom Den gode Webservice Følges af: VTU/ITST, TDC, EPJ- arkitekturgruppen i ARF, Arkitekturrådet i Sundhed.dk,, Teknologisk Institut, Cryptomathic,, Leverandørforum rforum

Det digitale ID-kort Opbygges som en SAML assertion Indhold (forslag): Indhold (forslag): 1 2 (MedCom kuvert) 3 Gyldighedsperiode ID-kort ID ID-kort version ID-kort type Autenticitetsniveau Public key CPR-nr Ansættelse Fornavn Efternavn e-mail adresse Bruger-rolle IT-system Org.-enhed Org. CVR IdP ens Digitale Signatur af 1+2

XML struktur (1) ID-kort udstedelse SAML Authentication request i SOAP konvolut SOAP response med signeret digitalt ID-kort Servicekald Alm. SOAP request,, med digitalt ID-kort og MedCom data i SOAP header, evt. signeret Alm. SOAP response,, evt. signeret

Lidt om SAML OASIS standard der definerer rammerne for udveksling af rettigheder mellem it-systemer på en sikker mådem via XML over forskellige protokoller (bindings)

SAML komponenter

SOSI SOAP Profile SOSI baseres påp SOAP over HTTP SAML definerer en SOAP binding, men IKKE en SOAP profil Vi laver en selv.

Profil oversigt

AuthnRequest & Response Certifikater indlejres i AuthnRequest Medarbejdercertifikat (niveau 3+4) Systemcertifikat (niveau 1+2) + brugerid Response indeholder SOSI ID kort som SAML Assertion signeret med IdP ens nøgle eller Fejlkode

Servicekald XML struktur (2) SOAP request (niveau 3 uden signatur) 1. SOAP Header 1.1 wsse:security 1.1.1 wsu:timestamp (beskedens gyldighed) 1.1.2 saml:assertion (Brugerens ID kort) 1.1.3 saml:assertion (MedCom konvolut) Brugeren er autentificeret med medarbejdercertifikat Ingen digital signatur Bemærk: niveau 1+2 requests er mage til, men der vil stå niveau 1 eller 2 i ID-kortet 2. SOAP Body

Servicekald XML struktur (3) SOAP request (niveau 3 inkl. brugerens signatur) 1. SOAP Header 1.1 wsse:security 1.1.1 wsu:timestamp (beskedens gyldighed) 1.1.2 saml:assertion (Brugerens ID kort) Brugeren er autentificeret med medarbejdercertifikat Brugerens digitale signatur 1.1.3 saml:assertion (MedCom konvolut) 1.1.4 ds:signature (brugerns dig. signatur af 1.1.3 og 2.) 2. SOAP Body

Servicekald XML struktur (4) SOAP request (niveau 3 inkl. system signatur) 1. SOAP Header 1.1 wsse:security 1.1.1 wsu:timestamp (beskedens gyldighed) 1.1.2 saml:assertion (Brugerens ID kort) 1.1.3 saml:assertion (Systemets ID kort) Brugeren autentificeret med medarbejdercertifikat Afsendersystemet medsender uafviselighedsforsikring (digital signatur) 1.1.4 saml:assertion (MedCom konvolut) 1.1.5 ds:signature (systemets dig. signatur af 1.1.4 og 2.) 2. SOAP Body

SOSI komponenten Skal samle fælles f udfordringer for Serviceaftager og udbyder Installere system certifikat Danne SOSI/MedCom kuverter Signere kuvertdata og besked Verificere ID-kort Verificere signaturer (system / bruger) Forventes at blive Open Source

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback