SeGF 2014 | eGovernment-Services schweizweit und organisationsübergreifend - Aber sicher!
-
Upload
swiss-egovernment-forum -
Category
Business
-
view
380 -
download
1
Transcript of SeGF 2014 | eGovernment-Services schweizweit und organisationsübergreifend - Aber sicher!
Berner Fachhochschule | E-Government-Institut | Andreas Spichiger
eGovernment-Services schweizweit und
organisationsübergreifend – Aber sicher!
Prof. Dr. Andreas Spichiger
Swiss eGovernment Forum, 4. März 2014
▶ E-Government-Institut
It’s me!
Berner Fachhochschule | E-Government-Institut | Andreas Spichiger
Gestaltungsprinzipien für die Identitäts- und
Zugriffsverwaltung (eCH-0107)
eIdentityBerechti-
gung
eRes-
source
Subjekt
Ressource
Zugriff kontrollieren
IAM definieren
IAM steuern
Berner Fachhochschule | E-Government-Institut | Andreas Spichiger
▶ 9 Millionen Personen
▶ 7’955’000 Einwohner
▶ 265’000 Grenzgänger
▶ 703’000 Auslandschweizer
▶ exklusive ‘Laufkundschaft’
▶ 780’000 Unternehmen
▶ 4’000 Behörden
▶ 7 Departemente, Bundeskanzlei, knapp 90 Ämter mit 37’000
Mitarbeitern
▶ 26 Kantone mit 156 Departementen und 1’262 Dienststellen
▶ 2’495 Gemeinden
Die Schweiz – eine eSociety mit …
Berner Fachhochschule | E-Government-Institut | Andreas Spichiger
▶ Standortunabhängiger Zugriff
▶ Minimaler Fussabdruck
▶ Minimales Risiko
▶ Einfache Benutzung
▶ Wahl der digitalen Identität und
der zugehörigen Authentifizierungsmerkmale
▶ Bring Your Own Identity!
Anforderungen des Subjekts
Subjekt
Berner Fachhochschule | E-Government-Institut | Andreas Spichiger
Meine Authentifizierungsmerkmale
Berner Fachhochschule | E-Government-Institut | Andreas Spichiger
▶ Statt Berechtigungseigenschaften zu pflegen werden
Personeneigenschaften zur Berechtigung verwendet.
▶ Informationen und Daten föderieren statt replizieren.
▶ Das Identity Management basiert auf einer föderierten,
international interoperablen Infrastruktur.
▶ Das IAM ist in andere IAM (auch auf internationaler
Ebene) einfach integrierbar.
▶ Das IAM kann bestehende IAM-Lösungen einfach
integrieren.
Architekturvision
Berner Fachhochschule | E-Government-Institut | Andreas Spichiger
Wie geht es weiter?
Nächste Monate
▶ Freigabe eCH-Standards
▶ Start SuisseTrust-IAM
Pilotprojekte
▶ Detaillierung der Konzepte
und Spezifikationen
▶ neue Portallösungen
Nächste Jahre
▶ IAM Bund, Kantone
▶ Mandanten-fähige Inhouse-
Vermittler
▶ Betrieb CH-Proxy für
STORK 2.0 (2015)
▶ Integration SuisseID-IdP
▶ Elektronische ID (2016)
Jahrzehnt(e): Standardisierung und Integration
Berner Fachhochschule | E-Government-Institut | Andreas Spichiger
04.03.2014
Identity Federation Hub
9 Your business technologists.Powering progress
Identity
Federation
Hub
Your business technologists.Powering progress
Federated Single Sign On für schweizweiten und sicheren eGov Services Zugriff
04.03.2014
Identity Federation Hub
10 Your business technologists.Powering progress
Agenda
Der Weg zum Identity Federation Hub
Realisierungsvarianten
Funktionsdetails Identity Federation Hub
04.03.2014
Identity Federation Hub
11 Your business technologists.Powering progress
Cloud Applikationen Am Anfang: Einfach mal benutzen!
Anytime
Files
Benutzer Admin
uid1/pwd1 uid4/pwd4 uid2/pwd2 uid3/pwd3
Je einen Account für jeden Benutzer auf jedem Service erzeugen
Separate Anmeldung für jeden Service
Jedem Benutzer dessen Account-Daten und Sicherheits- merkmale für jeden einzelnen Service mitteilen
IT-Umgebung des Kunden
eGov
Service(s)
04.03.2014
Identity Federation Hub
12 Your business technologists.Powering progress
Cloud Applikationen 1: Login vereinfachen (Federation)
uid/pwd
Benutzer Admin
Federation Einen Adapter für jeden Service
Für jeden Benutzer auf jedem Service einen Account erzeugen
Ein Login für Federation
Jedem Benutzer den Ort des Dienstes und das Passwort für Federation mitteilen
IT-Umgebung des Kunden
eGov
Service(s)
04.03.2014
Identity Federation Hub
13 Your business technologists.Powering progress
Cloud Applikationen 2: Provisionierung vereinfachen
eGov
Service(s)
Id.-Mgmt
Benutzer Admin
2 Adapter für jeden Service bauen
Jedem Benutzer den Ort des Dienstes und das Passwort für Federation mitteilen
Sich ein Login für Federation merken
uid/pwd Federation
IT-Umgebung des Kunden
04.03.2014
Identity Federation Hub
14 Your business technologists.Powering progress
Cloud Applikationen Der komplette Federation-Dienst
Anytime
Files
AD/User Directory
Benutzer Admin
Transparente Federation mit IWA
Identity Federation Hub
IFH AD Connect
Federation: delegierte Authentisierung
IFH IWA Adapter
automat. synchronisieren von SSO-Identitäten
Monitor
Kerberos/NTLM
von Atos angebotener Dienst
IT-Umgebung des Kunden
Log in am Desktop
eGov
Service(s)
04.03.2014
Identity Federation Hub
15 Your business technologists.Powering progress
Im Identity Federation Hub ist auch Autorisierung enthalten
Federation
Provisionierung
Kundenumgebung
IFH
Autorisierung User
AuthN
Portlet
User
App
Portlet ID Vault
• Eine Identität wird nur zum ID Vault transportiert, wenn sie als „IFH-User“ gekennzeichnet ist. Passworte werden NICHT im ID Vault gespeichert!
• Applikationen werden nur provisioniert, falls der Benutzer die Zugriffsrechte besitzt.
• Federation findet nur statt, falls ein Benutzer einen aktiven und gültigen Account in der Applikation besitzt.
IFH AD Connect
04.03.2014
Identity Federation Hub
16 Your business technologists.Powering progress
Im Identity Federation Hub Authentisierung
Federation
Provisionierung
IT-Umgebung des Kunden
IFH
RADIUS
Active Directory
nur für Benutzer die in der Windows-Domäne eingeloggt sind
IFH Windows Authn
Autorisierung User
AuthN
Portlet
User
App
Portlet ID Vault
IFH Authn. Proxy
• IFH akzeptiert viele verschiedene Authentisierungs-methoden
• für den Benutzer in der Kundenumgebung transparent
• OTP/Dongle/PKI • Andere IdPs (SAML)
04.03.2014
Identity Federation Hub
17 Your business technologists.Powering progress
User AuthN Portlet Select Method of Authentication
04.03.2014
Identity Federation Hub
18 Your business technologists.Powering progress
User App Portlet Select Application (personalized)
04.03.2014
Identity Federation Hub
19 Your business technologists.Powering progress
Identity Federation Hub und SuisseTrust IAM (Zusammenhang)
Cloud App
Identity Federation Hub
Office
SAML Proxy Authorization
ID Vault
Trusts IFH
eGov Service Provider
Strong Trust
Weak Trust to IFH
Attribute
Receiver
eGov Attribute
Provider
SAML Proxy
ID Provider
Vielen Dank! Enno Hoffmann
T+ 41 (0) 58 702 15 45 M+41 (0) 79 826 65 48
Atos AG Freilagerstrasse 28
8047 Zürich/Switzerland