Guide til kravspecifikation



Relaterede dokumenter
Timeout-politik for den fællesoffentlige føderation

Certifikatpolitik. For den fællesoffentlige log-in-løsning. Side 1 af 9 2. december Version 1.1

Certifikatpolitik for NemLog-in

Guide til integration med NemLog-in / Brugeradministration

Guide til integration med NemLog-in / Signering

Version Udkast

Guide til føderationstilslutning ( kogebog )

Guide til Føderationstilslutning ( kogebog )

Guide til integration med NemLog-in / Web SSO

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af september Version 1.0.

Bilag til standardaftale om delegering af brugerrettigheder mellem lokale identitetsudbydere og serviceudbydere ved anvendelse af SAML-billetter

23. maj 2013Klik her for at angive tekst. HHK/KMJ. Vejledning til brug af Støttesystemet Adgangsstyring

Analyse af udfordringer ved iframe integrationsformen

Digitaliseringsstyrelsen

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Sammenhængende log-in - SSO til applikationer i et andet sikkerhedsdomæne

Guide til NemLog-in Security Token Service

Version 1.0. Vilkår for brug af Støttesystemet Adgangsstyring

Integration SF1920 NemLogin / Digital fuldmagt Integrationsbeskrivelse - version 1.0.0

(Bilag til dagsordenspunkt 8, Kommunale anvenderkrav til støttesystemerne)

Version 1.4. Integrationstest ved tilslutning til NemLog-in. Side 1 af april 2013

STS Designdokument. STS Designdokument

OISAML Workshop Århus 31. marts 2009 Kontor for It-infrastruktur og implementering IT og Telestyrelsen IT Arkitekt Søren Peter Nielsen -

Valg af webservice standard

Kravspecification IdP løsning

Dette dokument beskriver den fællesoffentlige føderations minimumskrav til logning hos Service og Identity Providere.

Version 1.6. Integrationstest ved tilslutning til NemLog-in. Side 1 af marts 2014

Tilføjelse af administrator for myndighed

Drift- og supportpolitik

Tilslutning af ny myndighed til NemLog-in

Sikker udstilling af data

Udvidet brug af personligt NemID i erhvervssammenhæng

Session oprettet hos egen serviceudbyder Varianter

STS Designdokument. STS Designdokument

Tilslutning af ny it-leverandør til NemLog-in

De fællesoffentlige komponenter: Federativa identitetslösningar, Erfarenheter från Danmark

Version 1.2. Integrationstest ved tilslutning til NemLog-in. Side 1 af november 2012

Nederst foto på forsiden: B Tal ( Creative Commons NY-NC (

Elektronisk samhandling i dansk offentlig sektor

NemID DataHub adgang. & Doc , sag 10/3365

ANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER

Serviceplatformen informationsmateriale. Leverandørmøde 7. februar 2013

Sitecore Seminar København onsdag 6. februar 2008 DET DIGITALE DANMARK - BORGERPORTAL 2.0

Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere

Kundevejledning. AD FS opsætning til Reindex. Version: 1.0. Dato: 19. april Forfatter: Lasse Balsvad (XPERION)

Specifikationsdokument for servicen PID-CPR

Vilkår for It-systemudbyderes tilslutning til og anvendelse af NemLog-in. Digitaliseringsstyrelsen 2013

Identitetsbaserede webservices og personlige data

Den Gode Webservice 1.1

Ibrugtagning af Fødselsindberetningsservicen på NSP

Digitaliseringsstyrelsen

SOSIGW. - Driftsvejledning for SOSIGW 1.0. Indeks

Vilkår vedrørende brug af Støttesystemet Adgangsstyring

Vejledning til kommuners brug af Serviceplatformen

Introduktion til Digital Post. Digitaliseringsstyrelsen August 2019

Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere

Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm

Afrapportering til regeringens økonomiudvalg om fremdriften for Virk Kjersti Lunde

SYSTEMDOKUMENTATION AF POC

AuthorizationCodeService

Bølge 3 på Virk.dk. Netværksmøde om bølge og 22. maj 2014

Teknisk Dokumentation

Løsningsbeskrivelse. Den fælleskommunale Serviceplatform

Den digitale vej til fremtidens velfærd

Lokal implementering af Identity Provider

SOSI. (ServiceOrienteretrienteret SystemIntegration) Quick Tour 2.0

Velkomst og dagens formål Stine Hegelund, kontorchef, Digitaliseringsstyrelsen, præsenterede dagens program.

DataHub Forbrugeradgangsløsning Spørgsmål og svar

UDSNIT 8. februar 2008

Vejledning til leverandørers brug af Serviceplatformen

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer

En teknisk introduktion til NemHandel

Sundhedsstyrelsens Elektroniske Indberetningssystem (SEI) Vejledning til indberetning via Citrix-løsning

eid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019

Valg af sikringsniveau for identiteter - vejledning i brug af NSIS for tjenesteudbydere

Introduktion til Digital Post. Februar 2016

Velkommen til Virk.dk

Version Dato Beskrivelse /11/2012 Initial version /03/2013 Tilføjet eksempel med Template Agent, generelt udvidet dokumentet.

borger.dk Tom Bøgeskov udviklingschef IT- og Telestyrelsen Borgerkommunikationskontoret Center for borger.dk

OS2faktor. AD FS Connector Vejledning. Version: Date: Author: BSG

Introduktion til brugeradministratorer i SEB v3

Service Orienteret Arkitektur en succes, der i stigende grad kræver IT Governance fokus

Folkekirkens It s arkitekturprincipper

Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)... 2

Introduktion til NemID og Tjenesteudbyderpakken

Klik her for at angive tekst.

Vejledning: Kontaktbarhed med SEPO (Produktionsmiljøet)

Hurtig og sikker adgang til sundhedsfaglige data. Esben Dalsgaard, chef it-arkitekt, Digital Sundhed

9.2.b. Videreudvikling af NemLog-in

It-principper. Bilag 1 til It- og Digitaliseringsstrategi for Sønderborg Kommune

It-sikkerhedstekst ST9

En teknisk introduktion til NemHandel

Leverancebeskrivelse. KIH databasen. Fælles hjemmemonitoreringsdatabase med fælles snitflader og serviceplatform

Introduktion til NemID og Tjenesteudbyderpakken

SPØRGSMÅL OG SVAR TIL

It-arkitekturprincipper. Version 1.0, april 2009

End-to-end scenarier for fuldmagtsløsningen

SOSIGW. - Administrationskonsol for SOSIGW Indeks

Administrationsmodul, Adgangsstyring for systemer og Adgangsstyring for brugere

LAKESIDE. Sårjournalen. Ændring af sikkerhedsarkitekturen. Version marts 2015

Transkript:

Side 1 af 10 10. november 2008 Guide til kravspecifikation Version 1.0. Denne guide indeholder en række råd til brug i kravspecifikationer for IT systemer, der skal anvende NemLog-in løsningen. Hensigten er at gøre det nemmere og hurtigere for myndigheder at anskaffe eller udbygge IT løsninger, der både lever op til politikker og nødvendige tekniske krav. Målgruppen for dokumentet er personer, der skal udarbejde kravspecifikationer. Læseren antages at have et overordnet kendskab til NemLog-in løsningen; for detaljer henvises til [GUIDE].

Side 2 af 10 Dokumenthistorik Version Dato Initialer Indhold /ændringer 1.0 23.9.2008 TG Første version udarbejdet.

Side 3 af 10 Indholdsfortegnelse DOKUMENTHISTORIK... 2 INDHOLDSFORTEGNELSE... 3 INTRODUKTION... 4 TYPE AF LØSNING OG ANSKAFFELSE... 4 FORMULERING AF KRAV... 5 KRAV TIL UNDERSTØTTELSE AF STANDARDER... 5 Valg indenfor OIO-SAML... 6 KRAV TIL UNDERSTØTTELSE AF POLITIKKER... 7 INTEGRATIONSKRAV... 7 INTEGRATIONSTEST... 8 ANDRE KRAV... 9 REFERENCER... 10 ØVRIGE RELEVANTE REFERENCER OG LINKS... 10

Side 4 af 10 Introduktion En lang række offentlige myndigheder står foran at skulle anvende NemLog-in til deres digitale selvbetjeningsløsninger. Eksempelvis er dette en forudsætning for at kunne levere personaliserede 1 selvbetjeningsservices til den nye borgerportal (borger.dk), der lanceres i efteråret 2009. I den forbindelse har myndighederne behov for at sikre, at deres systemer kan integreres teknisk med NemLog-in 2 løsningen, herunder overholde de standarder, snitflader og politikker, der er påkrævede. Det vil afstedkomme nyanskaffelse, ændring eller udbygning af eksisterende IT systemer, og denne guide giver en række råd til, hvad man bør overveje at stille som krav i sådanne projekter. Det skal pointeres, at denne guide ikke kan træde i stedet for en detaljeret analyse af myndighedens individuelle krav og behov, som kan variere særligt hvad angår integrationen til de lokale applikationer. De heri beskrevne råd skal derfor blot ses som inspiration og hjælp - og bør ikke opfattes som en færdig tjek-liste, der dækker alle situationer. Type af løsning og anskaffelse En myndighed kan tilslutte selvbetjeningsløsninger til NemLog-in på en række forskellige måder, f.eks. via: - Anskaffelse af et kommercielt (COTS) softwareprodukt, der understøtter SAML 3 2.0 - Brug af et open source toolkit som f.eks. OIOSAML.JAVA eller OIOSAML.NET (se http://www.softwareborsen.dk) - Køb af SAML understøttelsen som en hosted service. For de to første kan man desuden enten vælge mellem projektmodeller, hvor en ekstern leverandør er ansvarlig for konfiguration og integration, eller hvor dette foretages in-house. Afhængigt af hvilken type løsning og projekt der vælges, vil kravene skulle formuleres lidt forskelligt. 1 Services hvor brugeren er kendt. 2 Kravene til integration med brugerrettighedsløsningen i virksomhedsportalen (Virk.dk) er for en stor dels vedkommende de samme. Dog udstiller Virk rettigheder, der kan hentes via attributforespørgsler, og det kan derfor være relevant at stille ekstra krav til dette, hvis man har behov for det. 3 Security Assertions Markup Language (SAML) er den åbne standard, som NemLog-in løsningen er bygget på.

I nedenstående eksempler på kravtekster anvendes terminologien løsning bredt for at dække alle ovenstående situationer, og man bør derfor tilpasse teksten, så den mere nøjagtigt svarer til den type løsning og anskaffelse, der vælges. Hvis man eksempelvis anskaffer et standardprodukt, er det vigtigt at fastslå, hvem der skal konfigurere eller tilpasse produktet, så kravene opfyldes. Side 5 af 10 Formulering af krav Kravene er formuleret meget overordnet, så de let kan tilpasses og indgå i konkrete kravspecifikationer, der ligger til grund for anskaffelses- eller udviklingskontrakter. Der er tale om krav på produkt- eller feature niveau, som eksplicit går på integration til NemLog-in løsningen. I flere tilfælde er det nødvendigt at detaljere kravene ud fra den specifikke sammenhæng, så de bliver verificérbare. Eksempler på kravtekst er formuleret med denne typografi. Der er med vilje ikke refereret til specifikke versioner af standarder eller dokumenter i kravene. Man bør i forbindelse med kravspecifikationsarbejdet derfor kontrollere, hvilke versioner, der er de seneste, og eksplicit referere til disse. Det skal endvidere påpeges, at kravene primært går på integration til NemLog-in løsningen. Der vil således være en række yderligere krav i forbindelse med integration til fællesoffentlige portaler som borger.dk og virk.dk [OIM]. Endvidere behandles kvalitetsmæssige egenskaber som svartider, oppetider, sikkerhed eller brugervenlighed slet ikke i det følgende. Krav til understøttelse af standarder NemLog-in løsningen er baseret på den åbne SAML 2.0 standard fra OASIS, som er blevet tilpasset til danske forhold via OIO-SAML profilen [OIO-SAML], der er udarbejdet af IT- og Telestyrelsen. Den danske profil er obligatorisk at overholde med henblik på at sikre interoperabilitet mellem NemLog-in og myndighederne. Eksempel på kravtekst: Løsningen skal overholde alle krav i den danske OIO-SAML profil version 2.x.y. Hvis man anskaffer et COTS 4 produkt, kan det evt. være relevant at specificere, at produktet skal kunne konfigureres til at overholde OIO-SAML, samt hvem der skal foretage konfigurationen samt have ansvaret for, at den er korrekt. 4 Commercial-Off-The-Shelves

Standardprodukter har normalt en betydelig fleksibilitet, og skal derfor konfigureres til den konkrete situation. Side 6 af 10 Valg indenfor OIO-SAML Den danske OIO-SAML profil rummer nogle få tekniske valg, man som myndighed skal tage stilling til. Alle disse valg er understøttet af NemLog-in løsningen. Attributprofiler Det første valg drejer sig om, hvorvidt man ønsker brugerne identificeret via indholdet i et OCES certifikat (f.eks. CPR nummer) eller via et pseudonym. Valget kan formuleres som et krav til hvilke attributprofiler i OIO-SAML, løsningen skal understøtte: Løsningen skal understøtte OCES attributprofilen i OIO-SAML, hvor brugeren identificeres via attributter fra OCES certifikater. Eller: Løsningen skal understøtte persistent-pseudonym profilen i OIO-SAML, hvor brugeren identificeres via et pseudonym. Single logout mekanisme OIO-SAML profilen rummer desuden et valg blandt to forskellige mekanismer til single logout: - http Redirect Binding (skal understøttes) - SOAP Binding (kan understøttes) En myndighed skal derfor tage stilling til, om man ønsker at kræve, at løsningen skal kunne understøtte SOAP binding for single logout. Denne er mere kompleks at håndtere for løsningen, men giver til gengæld en bedre og potentielt mere stabil brugeroplevelse: Løsningen skal understøtte SOAP binding for single logout som beskrevet i OIO-SAML. Ved modtagelse af single logout beskeder via SOAP skal det sikres, at sessioner i lokale applikationer nedlægges.

Krav til understøttelse af politikker Side 7 af 10 Udover de tekniske integrationskrav er der også formuleret en række politikker i den fællesoffentlige føderation, som løsningerne skal overholde. Eksempel på kravtekst: Løsningen skal overholde politikkerne i den fællesoffentlige føderation, der er beskrevet i dokumenterne 5 : - Logningspolitik (herunder politik om tidssynkronisering) - Timeout politik - Certifikatpolitik Dokumenterne er tilgængelige på: www.digst.dk/digitale-loesninger/nemlogin Integrationskrav I mange situationer er det vigtigt for myndigheden, at den anskaffede løsning kan integreres med eksisterende applikationer eller infrastrukturkomponenter. Dette skal sikre en hensigtsmæssig IT arkitektur internt hos myndigheden, hvor forskellige systemer kan samarbejde og udveksle data. Behovene indenfor denne kategori kan i sagens natur variere meget fra myndighed til myndighed, men nedenfor er anført en række eksempler til inspiration. Selvom en række af kravene dækker interne forhold hos myndigheden, som principielt er NemLog-in uvedkommende, er de medtaget, idet myndighederne vil skulle anskaffe sammenhængende løsninger som både giver integration på ydersiden til NemLog-in og på indersiden til egne systemer. Manglende afdækning af det interne behov for integration kan således føre til problemer hos myndighederne. Løsningen skal kunne integrere med forretningsapplikationerne Selvbetjening X og Indberetning Y, så login til disse sker via NemLog-In. Løsningen skal automatisk sende brugeren over til NemLog-In, når der er brug for login. Der skal etableres et link i applikationen, der initierer single logout mod NemLog-In. Applikationen skal i øverste højre hjørne vise, om brugeren er logget ind. 5 Bemærk at dokumenternes versionsnumre med vilje er udeladt her; de seneste versioner bør tilføjes til kravspecifikationer.

Leverandøren skal integrere NemLog-In med produktet Total Access Manager version x.y, der anvendes til adgangskontrol for myndighedens eksisterende web applikationer. Den nuværende login-metode med pin koder skal erstattes med login via digital signatur via NemLogin. Løsningen skal kunne danne en lokal session for en bruger baseret på en SAML assertion modtaget fra NemLogin og skal kunne nedlægge sessionen igen i forbindelse single logout. Side 8 af 10 Løsningen skal levere et loginmodul til JBOSS applikationsserveren version x.y samt Apache http Server version z.w, der er myndighedens foretrukne applikationsservere til afvikling af selvbetjeningsløsninger. Løsningen skal sikre, at brugere ikke kan få adgang til løsningen Y med mindre deres niveau af autenticitetssikring er 3 eller højere. Borgere må kun kunne se egne data i løsningen. Løsningen skal afvise brugere, der er logget på NemLog-in med medarbejdercertifikater eller ungdomscertifikater kun personcertifikater for myndige borgere skal accepteres i applikationen. Løsningen skal kunne give adgang til myndighedens intranet for medarbejdere, der logger på NemLog-In via et OCES medarbejdercertifikat. Kun applikationerne X, Y og Z må kunne tilgås på denne måde. Integrationstest Det er vigtigt at gennemføre en integrationstest med henblik på at sikre, at tilslutningen til NemLog-in løsningen er foretaget teknisk korrekt. Med henblik på at strømline denne proces er der udarbejdet et dokument med en række standardiserede test cases, der kan anvendes til testen. Leverandøren skal foretage en integrationstest mod NemLog-in ved succesfuldt at afvikle alle test cases beskrevet i dokumentet Integrationstest ved føderationstilslutning. Leverandøren er ansvarlig for at fremskaffe nødvendige testdata og koordinere med NemLog-in operatøren.

Det er vigtigt at bemærke, at myndigheden bør supplere ovenstående med egne test cases, der er relevante for den lokale integration herunder særlige behov i forretningsapplikationer. Side 9 af 10 Andre krav Denne guide har fokuseret på krav til integration med NemLog-in samt integration med lokale forretningsapplikationer og infrastrukturkomponenter hos myndigheder. I umiddelbar forlængelse af disse områder kan det være relevant at overveje: - Hvordan adgange og rettigheder styres?! NemLog-in tager sig som bekendt kun af at fastslå, hvem brugeren er, men ikke hvad vedkommende skal have adgang til af funktioner og data i forretningsapplikationer. Endvidere kan det være relevant at stille krav til, om en bruger skal kunne videredelegere adgange til andre brugere. - Kvalitetsmæssige aspekter af løsningen som f.eks. svartider, oppetid, sikkerhed osv. - Om der skal etableres nødprocedurer, der træder i kraft, såfremt NemLogin løsningen ikke er tilgængelig (f.eks. alternative loginmekanismer).

Referencer Side 10 af 10 [OIO-SAML] OIO Web SSO Profile V2.0, IT og Telestyrelsen. http://www.oiosaml.info [GUIDE] Tilslutningsguide. Håndbog for serviceudbyderen som ønsker at tilslutte sig den fællesoffentlige log-in-løsning, Brugerstyringssekretariatet, Økonomistyrelsen. www.digst.dk/digitale-loesninger/nemlogin [OIM] Den fællesoffentlige integrationsmodel, Den Digitale Taskforce. http://oim.modernisering.dk/offentligintegrationsmodel [IFRAME- AN] Analyse af udfordringer ved iframe integrationsformen, Den Digitale Taskforce. http://oim.modernisering.dk/hentmateriale4 Øvrige relevante referencer og links Vilkår for anvendelse af den fællesoffentlige log-in-løsning Brugerstyringssekretariatet, Økonomistyrelsen. www.digst.dk/digitale-loesninger/nemlogin Supportsite for NemLog-in www.digst.dk/digitale-loesninger/nemlogin Modernisering.dk - videnscenter om udvikling af den offentlige sektor Om fællesoffentlige brugerstyring http://modernisering.dk/brugerstyring

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback