SPOR 2 ADGANGSSTYRING Netværksdage Støttesystemer 11. og 12. marts 2015
Hvem er jeg? Rasmus H. Iversen Teknisk Projektleder Teamlead på sikkerhed Har været på STS projektet helt fra starten
Mål for dagens møde Indblik i hvad støttesystemerne Administrationsmodul, Adgangsstyring for Brugere og Adgangsstyring for systemer, indeholder og understøtter Indblik i organisatoriske opgaver i forhold til støttesystemerne
4 INTRODUKTION TIL SIKKERHED
Hvad er sikkerhed? Lov Governance Adgangskontrol Autentifikation Databeskyttelse Logning Tilgængelighed Uafviselighed Mf. Adgangsstyring 5 Sikkerhed
Det kommunale systemlandskab
Det kommunale systemlandskab, Adgangsstyring
Hvad er adgangsstyring så? Den centrale del af Adgangsstyringen består af tre dele: Adgangsstyring for brugere Adgangsstyring for Systemer Administration af aftaler og rettigheder
ADGANGSSTYRING FOR BRUGERE 9 13.3.2015
Adgangsstyring for brugere Bruger Tilgår Fagsystem
Adgangsstyring for brugere i forhold til KY, KSD og SAPA SAPA Bruger Log på Veksler KSD Kommune Bruger + Job funktions roller Context Handler Bruger + Brugersystem roller KY Administreres i Administrations modul Myndighed Leverandør
Illustration af brugeradgang Context Handler Brugerkatalog Identity Provider SAML SAML HTTPS Medarbejder Myndighed Brugervendt system
Tildeling af roller via Organisation Korsbæk Kommune Rolle: ansat Rolle A Social Børn og unge Økonomi Rolle C Enhed 1 Enhed 2 Rolle B Bruger 1 Bruger 2 Bruger 3
Eksempel på automatisk provisionering
Roller og dataafgrænsninger
Eksempel med roller og dataafgrænsninger (RBAC) Afgrænsning: KLE 10.* Medarbejder Jobfunktionsrolle 1: Sagsbehandler team A Systemrolle 1: Se sags status Jobfunktionsrolle 2: Personaleleder i socialforvaltningen Systemrolle 2: Se sags afgørelse Systemrolle 3: Se lønoplysninger Afgrænsning: Ansatte i afdeling 25
Eksempel med dynamisk dataafgrænsning (ABAC) Medarbejder Jobfunktionsrolle: Personaleleder Systemrolle: Se lønoplysninger Afgrænsning: Afdeling=<KK_Afdeling> Token fra Myndigheds IdP Token fra ContextHandler Navn=Hans Jensen ID=xyz123 mail=hj@korsbæk.dk KK_Afdeling=45 KK_Distrikt=Syd JobFunktionsroller=Personaleleder, Sagsbehandler, Navn=Hans Jensen ID=xyz123 mail=hj@korsbæk.dk Systemroller: Se lønoplysninger,afdeling=45
Eksempel med dynamisk dataafgrænsning (2) (ABAC) Medarbejder Jobfunktionsrolle: Personaleleder Systemrolle: Se lønoplysninger Afgrænsning: Afdeling=<KK_Afdeling> Token fra Myndigheds IdP Token fra ContextHandler Navn=Hans Jensen ID=xyz123 mail=hj@korsbæk.dk KK_Afdeling=45,78 KK_Distrikt=Syd JobFunktionsroller=Personaleleder, Sagsbehandler, Navn=Hans Jensen ID=xyz123 mail=hj@korsbæk.dk Systemroller: Se lønoplysninger,afdeling=45,78
ADGANGSSTYRING FOR SYSTEMER
Adgangsstyring for Systemer Fagsystem Tilgår Støttesystem
Eksempel: SAPA tilgår S&D indeks 3: Servicekald med token SAPA 1: Anmod om token 2: Sender token tilbage med rettigheder Security Token Service Administreres i Administrations modul S&D indeks Myndighed Leverandør Aftale imellem
IIlustration af systemadgang Godkender Administrationsmodul WS-Trust Security Token Service Rollekatalog Fælleskommunal infrastruktur Anvendersystem SOAP / REST Service Myndighed Serviceudbyder
ADMINISTRATIONS MODULET
Giver adgang til Administrationsmodul i forhold til KY, KSD og SAPA Støttesystemer Støttesystemer Støttesystemer Støttesystemer Støttesystemer Context Handler Provisioner aftaler til Roller og dataafgrænsninger Kommune Security Token Service Beskedfordeler Administrations modul SAPA KSD Serviceplatform KY Aftale imellem Myndighed Leverandør
Administration modulet 1: Tilslutte et system til STS Serviceudbyder, Brugervendt system
Administration - aftaler 1: Tilslutte et system til STS 2: Service aftale for det tilsluttede system
Administration - aftaler 1: Tilslutte et system STS 2: Service aftale for det tilsluttede system 3: Føderationsaftaler
Administrationsmodulet Kommunale Brugere
Administrationsmodulet Systemadgange
KOMMUNALE OPGAVER
Administrationsmodulet Roller Identity Provider
Administrationsmodulet
Opgaveoverblik ift. ibrugtagning af KY, KSD og SAPA Opgaver - Administrationsmodulet Opgaver administrationsmodulet A1 Analyser behov for nøglepersoner der skal bruge Administrationsmodulet (O) Identificer behovet fro personer til rollerne Godkendere for fagsystemer og Støttesystemer Identificer Administratorer S1 Identificer nøglepersoner der skal bruge Administrationsmodulet (O) Beslut og fastlæg hvordan de fremtidige roller dækkes P1 Uddan nøglepersoner i brug af Administrationsmodulet (O) Informér personer om rollen som Administratorer, Godkendere Uddan personer i rollen som Administratorer og Godkendere E1 Opret og vedligehold personer og roller i Administrationsmodulet (OT) Tildel adgang til Administratorer, Godkendere og Superbrugere Planlæg løbende vedligehold af personer og roller E2 Opret og vedligehold aftaler i Administrationsmodulet (A) Godkende & administrere serviceaftaler Godkende & administrere føderationsaftaler Oprette tilslutningsaftaler for IdP
Identity Provider
Opgaveoverblik ift. ibrugtagning af KY, KSD og SAPA Identity Provider Opgaver: Identity Provider A3 Overblik over eksisterende brugeradministrationsløsninger (OT) Bestem hvilke løsninger der skal benyttes Manuel eller automatiseret proces for administration Hvilke teknologier anvendes Rollemodeller fra eksisterende systemer S3 Arkitektur for brugerlogin til den fælleskommunal infrastruktur (T) Hvordan opnås single sign-on Understøttelse af enheder (PC, mobil, ) Hvordan sikres assurance level Implementeringsstrategi for IdP P2 Automatisk tildeling af jobfunktionsroller (OT) Kun nødvendig hvis kommunen ønsker at automatisere brugeradministration Konfiguration af regler og arbejdsgange for jobfunktionsroller via kommunens IdM-system P3 Fastlæg tværgående brugerid for brugere (T) Definer tværgående brugerid for brugere for at sikre konsistens mellem Adgangsstyring og Organisation P4 Design af SAML Identity Provider (T) Tilpasning til KOMBIT attributprofil Infrastruktur (netværk, server, hærdning,...) E4 Brugeradministration i kommunens brugerkatalog (OT) Kommunens bruger tildeles jobfunktionsroller i kommunens brugerkatalog Planlæg løbende brugeradministration for tildeling af jobfunktionsroller E5 Opret og vedligehold SAML Identity Provider (T) Integration til myndighedens brugerkatalog. Implementer tværgående brugerid for brugere Tilslutning til Støttesystemerne Test af integration og tilslutning
Roller
Opgaveoverblik ift. ibrugtagning af KY, KSD og SAPA - jobfunktionsroller Opgaver: Roller A2 Overblik over kommunens arbejdsgange og organisation i relation til fagsystemerne (O) Arbejdet med adgangsstyring kræver overblik over: Kommunens arbejdsgange Kommunens organisation Krav til funktionsadskillelse S2 Udvikling af rollekoncept (O) Hvornår oprettes en ny rolle Hvor bred/smal er den adgang en rolle giver Kriterier for at roller tildeles til en bruger P2 Automatisk tildeling af jobfunktionsroller (OT) A3 Overblik over eksisterende brugeradministrationsløsninger (OT) Bestem hvilke løsninger der skal benyttes Manuel eller automatiseret proces for administration Hvilke teknologier anvendes Rollemodeller fra eksisterende systemer Kun nødvendig hvis kommunen ønsker at automatisere brugeradministration Konfiguration af regler og arbejdsgange for jobfunktionsroller via kommunens IdM-system E3 Opret og vedligehold jobfunktionsroller i Administrationsmodulet (OT) Opret jobfunktionsroller Planlæg løbende vedligehold af jobfunktionsroller
OPSAMLING
Opsamling Kommunerne skal Tildele de korrekte rettigheder til deres brugere Oprette integration til Adgangsstyring for brugere via IdP Fortsat overholde gældende lov Håndhævelse Finkornet håndhævelse Fagsystemer (KY, KSD og SAPA) over for personbrugere Grovkornet håndhævelse Serviceudbyder(STS) over for systembrugere
Opsamling på Mål for dagens møde Indblik i hvad støttesystemerne Administrationsmodul, Adgangsstyring for Brugere og Adgangsstyring for systemer, indeholder og understøtter Indblik i organisatoriske opgaver i forhold til støttesystemerne
SPØRGSMÅL
TAK FOR OPMÆRKSOMHEDEN
Informations flow
Informations flow Fagsystem Brugerrettigheder Støttesystem Serviceaftale