SPOR 2 ADGANGSSTYRING Netværksdage Støttesystemer 11. og 12. marts 2015 Hvem er jeg? • Rasmus H. Iversen • Teknisk Projektleder • Teamlead på sikkerhed • Har været på STS projektet helt fra starten Mål for dagens møde • Indblik i hvad støttesystemerne Administrationsmodul, Adgangsstyring for Brugere og Adgangsstyring for systemer, indeholder og understøtter • Indblik i organisatoriske opgaver i forhold til støttesystemerne INTRODUKTION TIL SIKKERHED 4 Hvad er sikkerhed? •Lov •Governance •Adgangskontrol •Autentifikation •Databeskyttelse •Logning •Tilgængelighed •Uafviselighed •Mf…. 5 Sikkerhed Adgangsstyring Det kommunale systemlandskab Det kommunale systemlandskab, Adgangsstyring Hvad er adgangsstyring så? Den centrale del af Adgangsstyringen består af tre dele: • Adgangsstyring for brugere • Adgangsstyring for Systemer • Administration af aftaler og rettigheder ADGANGSSTYRING FOR BRUGERE 9 13.3.2015 Adgangsstyring for brugere Bruger Tilgår Fagsystem Adgangsstyring for brugere i forhold til KY, KSD og SAPA SAPA Bruger KSD Log på Veksler Kommune Bruger + Job funktions roller Context Handler KY Bruger + Brugersystem roller Administreres i Administrations modul Myndighed Leverandør Illustration af brugeradgang Context Handler Brugerkatalog Identity Provider SAML SAML HTTPS Medarbejder Myndighed Brugervendt system Tildeling af roller via Organisation Korsbæk Kommune Børn og unge Social Rolle A Enhed 1 Bruger 1 Bruger 2 Rolle: ansat Enhed 2 Bruger 3 Økonomi Rolle B Rolle C Eksempel på automatisk provisionering Roller og dataafgrænsninger Eksempel med roller og dataafgrænsninger (RBAC) Afgrænsning: ”KLE 10.*” Medarbejder Jobfunktionsrolle 1: ”Sagsbehandler team A” Systemrolle 1: ”Se sags status” Systemrolle 2: ”Se sags afgørelse” Jobfunktionsrolle 2: ”Personaleleder i socialforvaltningen” Systemrolle 3: ”Se lønoplysninger” Afgrænsning: ”Ansatte i afdeling 25” Eksempel med dynamisk dataafgrænsning (ABAC) Medarbejder Jobfunktionsrolle: ”Personaleleder” Systemrolle: ”Se lønoplysninger” Afgrænsning: ”Afdeling=<KK_Afdeling>” Token fra Myndigheds IdP Token fra ContextHandler Navn=Hans Jensen ID=xyz123 mail=hj@korsbæk.dk KK_Afdeling=45 KK_Distrikt=Syd JobFunktionsroller=Personaleleder, Sagsbehandler, … Navn=Hans Jensen ID=xyz123 mail=hj@korsbæk.dk Systemroller: ”Se lønoplysninger,Afdeling=45” Eksempel med dynamisk dataafgrænsning (2) (ABAC) Medarbejder Jobfunktionsrolle: ”Personaleleder” Systemrolle: ”Se lønoplysninger” Afgrænsning: ”Afdeling=<KK_Afdeling>” Token fra Myndigheds IdP Navn=Hans Jensen ID=xyz123 mail=hj@korsbæk.dk KK_Afdeling=45,78 KK_Distrikt=Syd JobFunktionsroller=Personaleleder, Sagsbehandler, … Token fra ContextHandler Navn=Hans Jensen ID=xyz123 mail=hj@korsbæk.dk Systemroller: ”Se lønoplysninger,Afdeling=45,78” ADGANGSSTYRING FOR SYSTEMER Adgangsstyring for Systemer Tilgår Fagsystem Støttesystem Eksempel: SAPA tilgår S&D indeks 3: Servicekald med token 1: Anmod om token Security Token Service SAPA S&D indeks 2: Sender token tilbage med rettigheder Administreres i Administrations modul Myndighed Leverandør Aftale imellem IIlustration af systemadgang Administrationsmodul Godkender Security Token Service WS-Trust Rollekatalog Fælleskommunal infrastruktur SOAP / REST Anvendersystem Service Myndighed Serviceudbyder ADMINISTRATIONS MODULET Administrationsmodul i forhold til KY, KSD og SAPA Context Handler Provisioner aftaler til Security Token Service Giver adgang til Støttesystemer Støttesystemer Støttesystemer Støttesystemer Støttesystemer Roller og dataafgrænsninger Kommune SAPA Administrations modul Beskedfordeler KSD Serviceplatform KY Aftale imellem Myndighed Leverandør Administration modulet 1: Tilslutte et system til STS ‐ Serviceudbyder, Brugervendt system Administration - aftaler 1: Tilslutte et system til STS 2: Service aftale for det tilsluttede system Administration - aftaler 1: Tilslutte et system STS 2: Service aftale for det tilsluttede system 3: Føderationsaftaler Administrationsmodulet – Kommunale Brugere Administrationsmodulet – Systemadgange KOMMUNALE OPGAVER Administrationsmodulet Roller Identity Provider Administrationsmodulet Opgaveoverblik ift. ibrugtagning af KY, KSD og SAPA Opgaver - Administrationsmodulet Opgaver administrationsmodulet A1 Analyser behov for nøglepersoner der skal bruge Administrationsmodulet (O) Identificer behovet fro personer til rollerne Godkendere for fagsystemer og Støttesystemer S1 Identificer nøglepersoner der skal bruge Administrationsmodulet (O) Beslut og fastlæg hvordan de fremtidige roller dækkes Identificer Administratorer P1 Uddan nøglepersoner i brug af Administrationsmodulet (O) E1 Opret og vedligehold personer og roller i Administrationsmodulet (OT) Informér personer om rollen som Administratorer, Godkendere Tildel adgang til Administratorer, Godkendere og Superbrugere Uddan personer i rollen som Administratorer og Godkendere Planlæg løbende vedligehold af personer og roller E2 Opret og vedligehold aftaler i Administrationsmodulet (A) Godkende & administrere serviceaftaler Godkende & administrere føderationsaftaler Oprette tilslutningsaftaler for IdP Identity Provider Opgaveoverblik ift. ibrugtagning af KY, KSD og SAPA Opgaveoverblik – Identity Provider Opgaver: Identity Provider A3 Overblik over eksisterende brugeradministrationsløsninger (OT) Bestem hvilke løsninger der skal benyttes Manuel eller automatiseret proces for administration Hvilke teknologier anvendes P2 Automatisk tildeling af jobfunktionsroller (OT) Kun nødvendig hvis kommunen ønsker at automatisere brugeradministration Konfiguration af regler og arbejdsgange for jobfunktionsroller via kommunens IdM-system Rollemodeller fra eksisterende systemer Kommunens bruger tildeles jobfunktionsroller i kommunens brugerkatalog P3 Fastlæg tværgående brugerID for brugere (T) S3 Arkitektur for brugerlogin til den fælleskommunal infrastruktur (T) E4 Brugeradministration i kommunens brugerkatalog (OT) Definer tværgående brugerID for brugere for at sikre konsistens mellem Adgangsstyring og Organisation Planlæg løbende brugeradministration for tildeling af jobfunktionsroller Hvordan opnås single sign-on E5 Opret og vedligehold SAML Identity Provider (T) Understøttelse af enheder (PC, mobil, …) Integration til myndighedens brugerkatalog. Hvordan sikres assurance level Implementer tværgående brugerID for brugere Implementeringsstrategi for IdP P4 Design af SAML Identity Provider (T) Tilpasning til KOMBIT attributprofil Infrastruktur (netværk, server, hærdning, ...) Tilslutning til Støttesystemerne Test af integration og tilslutning Roller Opgaveoverblik ift. ibrugtagning af KY, KSD og SAPA Opgaveoverblik - jobfunktionsroller Opgaver: Roller A2 Overblik over kommunens arbejdsgange og organisation i relation til fagsystemerne (O) S2 Udvikling af rollekoncept (O) Arbejdet med adgangsstyring kræver overblik over: Kommunens arbejdsgange Hvor bred/smal er den adgang en rolle giver Kommunens organisation Hvornår oprettes en ny rolle Kriterier for at roller tildeles til en bruger Krav til funktionsadskillelse P2 Automatisk tildeling af jobfunktionsroller (OT) Kun nødvendig hvis kommunen ønsker at automatisere brugeradministration A3 Overblik over eksisterende brugeradministrationsløsninger (OT) Konfiguration af regler og arbejdsgange for jobfunktionsroller via kommunens IdM-system Bestem hvilke løsninger der skal benyttes Manuel eller automatiseret proces for administration Hvilke teknologier anvendes Rollemodeller fra eksisterende systemer E3 Opret og vedligehold jobfunktionsroller i Administrationsmodulet (OT) Opret jobfunktionsroller Planlæg løbende vedligehold af jobfunktionsroller OPSAMLING Opsamling • Kommunerne skal • • • • Tildele de korrekte rettigheder til deres brugere Oprette integration til Adgangsstyring for brugere via IdP Fortsat overholde gældende lov Håndhævelse • Finkornet håndhævelse • • Fagsystemer (KY, KSD og SAPA) over for personbrugere Grovkornet håndhævelse • Serviceudbyder(STS) over for systembrugere Opsamling på Mål for dagens møde • Indblik i hvad støttesystemerne Administrationsmodul, Adgangsstyring for Brugere og Adgangsstyring for systemer, indeholder og understøtter • Indblik i organisatoriske opgaver i forhold til støttesystemerne SPØRGSMÅL TAK FOR OPMÆRKSOMHEDEN Informations flow Informations flow Fagsystem Støttesystem Brugerrettigheder Serviceaftale
© Copyright 2024