SPOR 2 ADGANGSSTYRING

SPOR 2
ADGANGSSTYRING
Netværksdage Støttesystemer
11. og 12. marts 2015
Hvem er jeg?
• Rasmus H. Iversen
• Teknisk Projektleder
• Teamlead på sikkerhed
• Har været på STS projektet helt fra starten
Mål for dagens møde
• Indblik i hvad støttesystemerne Administrationsmodul,
Adgangsstyring for Brugere og Adgangsstyring for
systemer, indeholder og understøtter
• Indblik i organisatoriske opgaver i forhold til
støttesystemerne
INTRODUKTION TIL
SIKKERHED
4
Hvad er sikkerhed?
•Lov
•Governance
•Adgangskontrol
•Autentifikation
•Databeskyttelse
•Logning
•Tilgængelighed
•Uafviselighed
•Mf….
5
Sikkerhed
Adgangsstyring
Det kommunale systemlandskab
Det kommunale systemlandskab,
Adgangsstyring
Hvad er adgangsstyring så?
Den centrale del af Adgangsstyringen består af tre dele:
• Adgangsstyring for brugere
• Adgangsstyring for Systemer
• Administration af aftaler og rettigheder
ADGANGSSTYRING FOR
BRUGERE
9
13.3.2015
Adgangsstyring for brugere
Bruger
Tilgår
Fagsystem
Adgangsstyring for brugere i forhold til KY, KSD
og SAPA
SAPA
Bruger
KSD
Log på
Veksler
Kommune
Bruger + Job
funktions roller
Context
Handler
KY
Bruger +
Brugersystem
roller
Administreres i
Administrations
modul
Myndighed
Leverandør
Illustration af brugeradgang
Context Handler
Brugerkatalog
Identity Provider
SAML
SAML
HTTPS
Medarbejder
Myndighed
Brugervendt system
Tildeling af roller via Organisation
Korsbæk
Kommune
Børn og
unge
Social
Rolle A
Enhed 1
Bruger 1
Bruger 2
Rolle:
ansat
Enhed 2
Bruger 3
Økonomi
Rolle B
Rolle C
Eksempel på automatisk provisionering
Roller og dataafgrænsninger
Eksempel med roller og dataafgrænsninger
(RBAC)
Afgrænsning:
”KLE 10.*”
Medarbejder
Jobfunktionsrolle 1:
”Sagsbehandler
team A”
Systemrolle 1:
”Se sags status”
Systemrolle 2:
”Se sags afgørelse”
Jobfunktionsrolle 2:
”Personaleleder i
socialforvaltningen”
Systemrolle 3:
”Se lønoplysninger”
Afgrænsning:
”Ansatte i
afdeling 25”
Eksempel med dynamisk dataafgrænsning
(ABAC)
Medarbejder
Jobfunktionsrolle:
”Personaleleder”
Systemrolle:
”Se lønoplysninger”
Afgrænsning:
”Afdeling=<KK_Afdeling>”
Token fra Myndigheds IdP
Token fra ContextHandler
Navn=Hans Jensen
ID=xyz123
mail=hj@korsbæk.dk
KK_Afdeling=45
KK_Distrikt=Syd
JobFunktionsroller=Personaleleder,
Sagsbehandler, …
Navn=Hans Jensen
ID=xyz123
mail=hj@korsbæk.dk
Systemroller:
”Se lønoplysninger,Afdeling=45”
Eksempel med dynamisk dataafgrænsning (2)
(ABAC)
Medarbejder
Jobfunktionsrolle:
”Personaleleder”
Systemrolle:
”Se lønoplysninger”
Afgrænsning:
”Afdeling=<KK_Afdeling>”
Token fra Myndigheds IdP
Navn=Hans Jensen
ID=xyz123
mail=hj@korsbæk.dk
KK_Afdeling=45,78
KK_Distrikt=Syd
JobFunktionsroller=Personaleleder,
Sagsbehandler, …
Token fra ContextHandler
Navn=Hans Jensen
ID=xyz123
mail=hj@korsbæk.dk
Systemroller:
”Se lønoplysninger,Afdeling=45,78”
ADGANGSSTYRING FOR
SYSTEMER
Adgangsstyring for Systemer
Tilgår
Fagsystem
Støttesystem
Eksempel: SAPA tilgår S&D indeks
3: Servicekald
med token
1: Anmod om token
Security Token
Service
SAPA
S&D indeks
2: Sender token
tilbage med
rettigheder
Administreres i
Administrations
modul
Myndighed
Leverandør
Aftale imellem
IIlustration af systemadgang
Administrationsmodul
Godkender
Security Token
Service
WS-Trust
Rollekatalog
Fælleskommunal infrastruktur
SOAP /
REST
Anvendersystem
Service
Myndighed
Serviceudbyder
ADMINISTRATIONS
MODULET
Administrationsmodul i forhold til KY, KSD og
SAPA
Context
Handler
Provisioner
aftaler til
Security Token
Service
Giver adgang til
Støttesystemer
Støttesystemer
Støttesystemer
Støttesystemer
Støttesystemer
Roller og
dataafgrænsninger
Kommune
SAPA
Administrations
modul
Beskedfordeler
KSD
Serviceplatform
KY
Aftale imellem
Myndighed
Leverandør
Administration modulet
1: Tilslutte et system til STS
‐ Serviceudbyder, Brugervendt system
Administration - aftaler
1: Tilslutte et system til STS
2: Service aftale for det tilsluttede system
Administration - aftaler
1: Tilslutte et system STS
2: Service aftale for det tilsluttede system
3: Føderationsaftaler
Administrationsmodulet – Kommunale Brugere
Administrationsmodulet – Systemadgange
KOMMUNALE OPGAVER
Administrationsmodulet
Roller
Identity Provider
Administrationsmodulet
Opgaveoverblik ift. ibrugtagning af KY, KSD og SAPA
Opgaver - Administrationsmodulet
Opgaver administrationsmodulet
A1 Analyser behov for nøglepersoner
der skal bruge Administrationsmodulet
(O)
 Identificer behovet fro personer til
rollerne Godkendere for fagsystemer og
Støttesystemer
S1 Identificer nøglepersoner der skal
bruge Administrationsmodulet (O)
 Beslut og fastlæg hvordan de
fremtidige roller dækkes
 Identificer Administratorer
P1 Uddan nøglepersoner i brug af
Administrationsmodulet (O)
E1 Opret og vedligehold personer og
roller i Administrationsmodulet (OT)
 Informér personer om rollen som
Administratorer, Godkendere
 Tildel adgang til Administratorer,
Godkendere og Superbrugere
 Uddan personer i rollen som
Administratorer og Godkendere
 Planlæg løbende vedligehold af
personer og roller
E2 Opret og vedligehold aftaler i
Administrationsmodulet (A)
 Godkende & administrere serviceaftaler
 Godkende & administrere
føderationsaftaler
 Oprette tilslutningsaftaler for IdP
Identity Provider
Opgaveoverblik ift. ibrugtagning af KY, KSD og SAPA
Opgaveoverblik – Identity Provider
Opgaver: Identity Provider
A3 Overblik over eksisterende
brugeradministrationsløsninger (OT)
 Bestem hvilke løsninger der skal benyttes
 Manuel eller automatiseret proces for
administration
 Hvilke teknologier anvendes
P2 Automatisk tildeling af
jobfunktionsroller (OT)
 Kun nødvendig hvis kommunen ønsker at
automatisere brugeradministration
 Konfiguration af regler og arbejdsgange for
jobfunktionsroller via kommunens IdM-system
 Rollemodeller fra eksisterende systemer
 Kommunens bruger tildeles jobfunktionsroller i
kommunens brugerkatalog
P3 Fastlæg tværgående brugerID
for brugere (T)
S3 Arkitektur for brugerlogin til den
fælleskommunal infrastruktur (T)
E4 Brugeradministration i
kommunens brugerkatalog (OT)
 Definer tværgående brugerID for brugere for at
sikre konsistens mellem Adgangsstyring og
Organisation
 Planlæg løbende brugeradministration for
tildeling af jobfunktionsroller
 Hvordan opnås single sign-on
E5 Opret og vedligehold SAML
Identity Provider (T)
 Understøttelse af enheder (PC, mobil, …)
 Integration til myndighedens brugerkatalog.
 Hvordan sikres assurance level
 Implementer tværgående brugerID for brugere
 Implementeringsstrategi for IdP
P4 Design af SAML
Identity Provider (T)
 Tilpasning til KOMBIT attributprofil
 Infrastruktur (netværk, server, hærdning, ...)
 Tilslutning til Støttesystemerne
 Test af integration og tilslutning
Roller
Opgaveoverblik ift. ibrugtagning af KY, KSD og SAPA
Opgaveoverblik - jobfunktionsroller
Opgaver: Roller
A2 Overblik over kommunens
arbejdsgange og organisation i
relation til fagsystemerne (O)
S2 Udvikling af rollekoncept (O)
Arbejdet med adgangsstyring kræver
overblik over:
 Kommunens arbejdsgange
 Hvor bred/smal er den adgang en rolle
giver
 Kommunens organisation
 Hvornår oprettes en ny rolle
 Kriterier for at roller tildeles til en
bruger
 Krav til funktionsadskillelse
P2 Automatisk tildeling af
jobfunktionsroller (OT)
 Kun nødvendig hvis kommunen ønsker at
automatisere brugeradministration
A3 Overblik over eksisterende
brugeradministrationsløsninger (OT)
 Konfiguration af regler og arbejdsgange for
jobfunktionsroller via kommunens IdM-system
 Bestem hvilke løsninger der skal
benyttes
 Manuel eller automatiseret proces for
administration
 Hvilke teknologier anvendes
 Rollemodeller fra eksisterende
systemer
E3 Opret og vedligehold
jobfunktionsroller i
Administrationsmodulet (OT)
 Opret jobfunktionsroller
 Planlæg løbende vedligehold af
jobfunktionsroller
OPSAMLING
Opsamling
•
Kommunerne skal
•
•
•
•
Tildele de korrekte rettigheder til deres brugere
Oprette integration til Adgangsstyring for brugere via IdP
Fortsat overholde gældende lov
Håndhævelse
•
Finkornet håndhævelse
•
•
Fagsystemer (KY, KSD og SAPA) over for personbrugere
Grovkornet håndhævelse
•
Serviceudbyder(STS) over for systembrugere
Opsamling på Mål for dagens møde
• Indblik i hvad støttesystemerne Administrationsmodul,
Adgangsstyring for Brugere og Adgangsstyring for
systemer, indeholder og understøtter
• Indblik i organisatoriske opgaver i forhold til
støttesystemerne
SPØRGSMÅL
TAK FOR
OPMÆRKSOMHEDEN
Informations flow
Informations flow
Fagsystem
Støttesystem
Brugerrettigheder
Serviceaftale