Välkomna till Introduktionskurs till Sambi 2016-06-01.

En presentation över ämnet: "Välkomna till Introduktionskurs till Sambi 2016-06-01."— Presentationens avskrift:

1 Välkomna till Introduktionskurs till Sambi 2016-06-01

2 IIS är federationsoperatör Skolfederation Sambi eduroam

3 Internetstiftelsen i Sverige https://www.youtube.com/watch?v=JKEIoXrmCNY …och så ett ord från våra sponsorer…

4 Sambis styrgrupp Från vänster: Åke Johansson, eHälsomyndigheten Carina Landberg, IT-forum Stockholms län, Sara Meunier, SKL Peter Alvinsson, Inera Danny Aerts, IIS (styrgruppens ordförande)

5 Dagens agenda 09.00 Varför Sambi? 10.00 Fika 10:15 Vad är Sambi och hur fungerar Sambi? 12.00 Lunch 12:45 Teknik, SSO, SAML, Metadata 14:15 Fika 14:30 Status, pågående arbeten, komma igång, sammanfattning, examensprov! 16:00 SLUT

6 Kort presentation av deltagarna -Vilka är ni och varför ni är intresserade av Sambi?

7 Agenda FM 09.00 – 12:00 Varför Sambi Bakgrund & historia Förstudie & 16 principer Målsättning, målgrupper Vad är Sambi Federation & identitetsfederation Arkitektur & identitetshantering SAML Tillitsramverk LOA Behörighetsstyrning genom attribut Hur fungerar Sambi Organisation, arbetsformer En fikapaus kring kl 10-10:15 Lunch kl 12

8 Varför Sambi?

9 2007 Swamid - Den tekniska förebilden 2011 SIS/TK450 - Skolfederation 2012 De 16 principerna för samverkan IT-forum, Kommunförbundet Stockholms län, KSL 2012 Förstudie Sambi, för sektorn vård, omsorg och e-hälsa Ett samarbete mellan eHälsomyndigheten, Inera och IIS –Värd att läsa! Bakgrund & Historia

10 De 16 principerna för samverkan (KSL) Informationssäkerhet 1. att ha en antagen informationssäkerhetspolicy, eller motsvarande, med tillhörande styrande dokument 2. att ha minst en utsedd person som leder och samordnar informationssäkerhetsarbetet 3. att tillämpa en likvärdig metod och jämförbara nivåer för informationsklassning 4. att utifrån återkommande riskanalyser och inträffade incidenter vidta nödvändiga åtgärder för att upprätthålla rätt skyddsnivåer Tillit 5. att tillämpa gemensamma tillitsramverk för att skapa tillit över huvudmannagränser 6. att koppla informationstillgångar till relevanta tillitsnivåer Federering 7. att ha förmågan att utfärda och/eller konsumera elektroniska identitets- och behörighetsintyg 8. att säkerställa att alla delar i det elektroniska identitets- och behörighetsintyget följer aktuella tillitsramverk 9. att kravställa federativ förmåga i varje tjänst 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används i samverkan Signering 11. att medverka till teknik- och leverantörsneutrala lösningar för elektroniska underskrifter Grundläggande infrastruktur 12. att tillse att all gränsöverskridande kommunikation kan ske över internet 13. att verka för att kommunikation över öppen infrastruktur signeras och krypteras 14. att säkerställa robusthet i för samverkan vitala infrastrukturkomponenter 15. att den egna källan för tid är spårbar till den svenska nationella tidsskalan 16. att kravställning bör bygga på nationellt framtagna informationsstrukturer

11 Förstudie Sambi, för sektorn vård, omsorg och e-hälsa Ett samarbete mellan eHälsomyndigheten, CeHis, Inera och IIS, Rapporten kom 2012-06-15 Uppdraget var att ta fram en tjänstebeskrivning avseende en identitets- och behörighetsfederation för vård och omsorg Visionen var: Federationen skall fungera som en nationell mötesplats för säkra e-tjänster genom att vara det infrastrukturella navet som sammanlänkar e-tjänster och användarorganisationer i en lösning som bygger på tillit och skydd för den personliga integriteten Rapporten blev en kravställning och underlag till projektdirektiv för hur Sambi skulle byggas upp

12 Mål för Sambi 90% av medarbetarna kan år 2016 nå sina professionella verksamhetssystem med en samordnad, enkel och säker inloggning (single-sign-on) ? Ref: CeHis Handlingsplan 2013 - 2018

13 Mål för Sambi Tillhandahålla en infrastrukturlösning för säker åtkomst av e-tjänster för hela sektorn eHälsa Vara det självklara valet för organisationer som vill uppnå en optimerad nivå på hanteringen av identiteter och behörigheter samt skyddet av den personliga integriteten i sina verksamheter Underlätta för informationsägare att fullgöra de skyldigheter som bland annat följer av personuppgiftsansvaret Vara ett självklart alternativ till att utforma separata lösningar för hanteringen av identiteter och behörigheter, separat för varje enskilt system, i varje enskild organisation Tillhandahålla en gemensam och tydlig infrastruktur, baserad på standard, som erbjuder marknaden en tydlig bas för tillhandahållande av effektiva e-tjänster Fungera som ett forum som verkar för medlemmarnas gemensamma intressen, verkar för samverkan, kunskapsutveckling, erfarenhetsutbyte och där spridning av goda exempel möjliggörs Ur förstudierapporten ” Identitets- och behörighetsfederation för eHälsa”

14 Mål för Sambi Användarorganisation Valfrihet, att välja sin egen lösning Enklare tjänsteintegration Enhetlig administration av användare Användare SSO, En inloggning till alla tjänster Tjänsteleverantör Slippa administration av användare Enklare integration av kunderna Sektorn Ökad säkerhet Stimulera utveckling

15 Kommuner Landsting Privata vårdgivare Myndigheter Apoteksaktörer Tandläkare Regionförbund Privata omsorgsgivare Veterinärer Invånare Informations- infrastruktur... Målgrupper för Sambi enligt Förstudierapporten

16 Tänkbara medlemmar? 4 departement, 20 statliga myndigheter och 20 forskningsinstitutioner 21 landsting 291 kommuner 1 284 apoteksaktörer 1 933 tandläkarmottagningar 15 000 privata vård- och omsorgsgivare 1000-tals offentliga vård- och omsorgsgivare 1 185 företag med veterinärverksamhet Leverantörer, färdtjänst, varor, journalsystem, läkemedel, etc. Patienter, exempel: diabetes appar för barn

17 Underlätta realisering av SSO Hösten/vintern 2015 genomförde Inera en SSO-förstudie på uppdrag av SLIT Landstingsrepresentanter utsedda av SLIT Region Skåne, VG region, Östergötland, Västmanland, Örebro, Uppsala, SLL, Region Gotland, Gävleborg, Jämtland-Härjedalen, Dalarna Inom Strategi, Arkitektur, Klient, Katalog, Identitet och åtkomsthantering, SSO-projekt, SITHS osv Enkäter, intervjuer/diskussioner, insamling material Avstämningar och möten -> Delrapport (nulägesanalys och inriktning) och en Slutrapport Presentationer av rapporten i olika forum (SLIT, olika program/projekt etc) följande bild:

18 SSO-rapporten följande bild: Innehåll i rapporten Orienterande beskrivning av området Identitets-­och åtkomsthantering (IAM) Nuläget i regioner och landsting och pågående initiativ Problemställningar och hinder Strategiska vägval Beslutsunderlag med styrande principer och åtgärdsförslag

19 Nuläge SSO följande bild: Applikationer som saknar stöd (ingen SSO) Enkelriktade uthoppslösningar AD-integrerad inloggning Direkt kortinloggning i applikationen Klientbaserad SSO-agent, Enterprise SSO Klientbaserad applikationsportal - ”Navigator” Biljettbaserad standardiserad SSO (med federationsstöd) Applikationer som saknar stöd (ingen SSO) Enkelriktade uthoppslösningar AD-integrerad inloggning Direkt kortinloggning i applikationen Klientbaserad SSO-agent, Enterprise SSO Klientbaserad applikationsportal - ”Navigator” Biljettbaserad standardiserad SSO (med federationsstöd) funktionalitet Antal anslutna applikationer

20 3 - 3 * 6 + 2 = ? Övningsuppgift -13 Eller?

21 Fika! 10:00 – 10:15

22 Vad är Sambi?

23 Vad är en federation? Federation kommer från det latinska ordet för fördrag, fœdus, som in sin tur kommer från latinets fidere, att lita på, och betyder heller inte mycket mer än så; ett fördrag mellan parter som litar på varandra. Vilka som sluter fördraget, vad det går ut på, hur omfattande det är, vad som ska avgöras gemensamt och vad som ska avgöras av parterna var för sig, det vill säga vad slags stat som krävs, varierar från federation till federation. /Göran Rosenberg

24 Vad är en identitetsfederation? En identitetsfederation är en sammanslutning av organisationer som har kommit överens om att lita på varandras elektroniska identiteter och behörighetsstyrande attribut för att underlätta användarnas åtkomst till elektroniska tjänster och skydda den personliga integriteten. Sambifederationen blir vad federationens medlemmar vill att Sambi ska bli!

25 Vad är identitetshantering? IT-system DB I detta kontext: -Den hantering som krävs för att en användare ska få erforderlig behörighet till ett IT-system

26 Hur sker den vanliga identitetshantering? Journalsystem Labsystem Röntgensys Adm.system DB Ett vanligt scenario för en användare är behov av åtkomst till flera IT-system I varje enskilt system administreras användaren och användarens behörighet separat

27 Undvik olika integrationer E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör Användar- organisation A Detta problem vill Sambi adressera! Användar- organisation B Användar- organisation C

28 En standard för integrationen Användar- organisation A Federation Gemensam regler, standarder och infrastruktur E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör Användar- organisation B Användar- organisation C

29 Samma identitet och attribut Användare Användar- organisation IdP Användar- uppgifter Användar- uppgifter Intyg Inloggning SAML eTjänst SP Användaradministration och kontohantering hos användarorganisationen IdP: Identity Provider SP: Service Provider

30 eTjänst Tjänsteleverantör Användare Intyget innehållande uppgifter för att E-tjänsten ska kunna fatta beslut om åtkomst Användarorganisation Intyg Pseudonym + Attribut Intyg Pseudonym + Attribut Intygs- utgivare SAML 2.0 är den tekniska standarden

31 Varje Användarorganisation ansvarar för att dess kataloguppgifter är korrekta Distribuerat ansvar eTjänst Tjänsteleverantör Användare Användarorganisation Intyg Pseudonym + Attribut Intyg Pseudonym + Attribut Attributs- register Intygs- utgivare

32 Varje användarorganisation ansvarar för sin e-Legitimationslösning och användarhantering Distribuerat ansvar eTjänst Tjänsteleverantör Användare Användarorganisation Intyg Pseudonym + Attribut Intyg Pseudonym + Attribut E-legitimation SITHS Sv. e-leg ”Annan” ID Attributs- register Intygs- utgivare

33 Medlems- register Federationsoperatör Behov av en federationsoperatör eTjänst Tjänsteleverantör Användare Användarorganisation Intyg Pseudonym + Attribut Intyg Pseudonym + Attribut E-legitimation SITHS Sv. e-leg ”Annan” ID Attributs- register Intygs- utgivare

34 Samverkan Teknisk standard Gemensam infrastruktur Sambi Krav på säkerhet Behörighets- styrande attribut

35 Samverkan Teknisk standard Gemensam infrastruktur Tillit Krav på säkerhet Behörighets- styrande attribut

36 Tillit - Sambi ”Federationen skall fungera som en nationell mötesplats för säkra e-tjänster genom … en lösning som bygger på tillit och skydd för den personliga integriteten” Skydd av verksamheternas information är också centralt! Åtkomst ska kunna ske av endast behöriga

37 Tillit? Vi kan ha tillit till någon utan att ha fullständig information om denna Inte bara en tro på människors goda avsikter, utan en välgrundad tro att vissa principer är uppfyllda

38 Tillitsnivåer - ett koncept för identiteter i federationer LoA, Level of Assurance LoA 1 Ingen eller liten tillit till identiteten Typ Facebook, Google, Hotmail LoA 2 Begränsad tillit till identiteten AD-identitet, företagsinternt, domänspecifikt LoA 3 Hög tillit till identiteten Svensk e-legitimation, SITHS, Pass, körkort LoA 4 Mycket hög tillit till identiteten OBS! Klassningen gäller endast för identiteter, inte för de behörighetsstyrande attributen.

39 Sambis Tillitsramverk Syftet är att medlemmarna ska känna tillit till varandra eftersom de vet att medlemmarna uppnår en känd säkerhetsnivå. Ramverket är uppdelat i följande delar Generella krav Elektroniska identitetsutfärdare Attributsutgivare Identitetsintygsutgivare Tjänsteleverantör

40 Sambis Tillitsramverk – och granskning Syftet med granskning och godkännande ”Ge förlitande parter en försäkran om att vissa principer är uppfyllda utan att alla behöver ha direkt insyn”

41 Rätt avtalspart är en viktig del i ”Sambis” förtroendekedja! 1.Lagar och föreskrifter  Riktlinjer för medlemskap i Sambi  Godkänna medlemskap i Sambi Federationsoperatörens ansvar 2.Garant för att endast behöriga Användarorganisation blir medlemmar i federationen 3.Kontroll av att rätt organisationsuppgifter för medlemmen läggs in i federationens metadata (????) Användarorganisationens ansvar 4.Utfärdare av korrekt SAML-intyg Tjänsteleverantörens ansvar 5.Kontroll av organisationsuppgiften i SAML-intyget stämmer överens med metadata för Användarorganisationen 6.Kontroll av övriga behörighetsstyrande attribut 7.Beslut om åtkomst till E-tjänsten

42 Bensträckare, 1 minut

43 Samverkan Teknisk standard Gemensam infrastruktur Attributsförvaltning Krav på säkerhet Behörighets- styrande attribut

44 Omfattning för Sambi attributshantering De attribut för behörighetsstyrning som sänds i intyget från Användarorganisationen Inte ”förbjudet” för tjänsten att använda ytterligare attribut T.ex. efter inloggningen hämta attribut från annan lämplig katalog 44

45 Statusrapport för attributförvaltningen

46

47

48 Stöd för versionshantering Namngivningen för attribut i Sambi stödjer versionshantering genom att major-version av attributet ingår i dess namn. Exempel där major-versionen är ”1”: http://sambi.se/attributes/1/personalIdentityNumber Exempel på användning Nedan är ett exempel på användning av attributen i SAML2.0 intyg: <saml2:Attribute Name="http://sambi.se/attributes/1/personalIdentityNumber" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" FriendlyName="personalIdentityNumber"> <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string" >191212121212

49 Samverkan mellan Sambi och katalogtjänster Sambi står för en gemensam standard och regler, inte en attributkatalog HSA, EK etc är viktiga attributkataloger för Sambi Gemensamt intresse av attributkvalité

50 Vad Sambi inte är!

51 Sambi är en standard, INTE en central meddelandeväxel Användar- organisation Ej central inloggning E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör

52 Användarorganisation Intyg Med attribut Intyg Med attribut Avtal E-tjänst Sambi Sambi förändrar inte ansvaret för åtkomstkontroll

53 Övningsuppgift Vem ansvarar för utfärdande av identitet? A.Intygsutgivaren (IdP’n) B.Användarorganisationen C.Sambi

54 Övningsuppgift Vem ansvarar för att avgöra behörighetsbeslutet? A.Intygsutgivaren (IdP’n) B.Användarorganisationen C.e-Tjänsten

55 Övningsuppgift Vilken LOA-nivå krävs det för hantering av patientinformation? A.1 B.4 C.3

56 Övningsuppgift Vilka attribut är obligatoriska i Sambi? A.HSAid-medarbetare, LOA-nivå, organisationstillhörighet B.PNR-medarbetare, LOA-nivå C.Inga alls

57 DAGS FÖR LUNCH! Kl 12:00 – 13:00 Kontakt info@sambi.seinfo@sambi.se www.sambi.se

58 Hur fungerar Sambi? (hur arbetar man i Sambi?)

59 Sambis styrgrupp Från vänster: Åke Johansson, eHälsomyndigheten Carina Landberg, IT-forum Stockholms län, Sara Meunier, SKL Peter Alvinsson, Inera Danny Aerts,.SE (styrgruppens ordförande)

60 Sambis arbetsgrupp Syftet Att tjäna som en grupp inom Sambi för utbyte av information och kunskaper Tjäna som en referensgrupp för gemensamma frågor inom Sambi Samverka kring och bidraga till vidareutveckling av Sambi Består bl.a med deltagare från Inera, SLL, IIS, Migrationsverket, eHm, kommuner, landsting Leverantörer, såsom Tieto, Nexus, Svensk e-identitet, Pulsen etc Träffas regelbundet, schemalagt

61 Sambis arbetsgrupp

62 Sambis ändringsråd Syftet Att hantera och kommunicera planerade förändringar inom infrastruktur och gemensamma objekt inom federationen Tjäna som en CAB inom Sambi Kommer ev även att hantera incidet & problem Består bl.a med deltagare från Inera, SLL, IIS, eHm Träffas vid behov, normalt i samband med arbetsgruppsmöten

63 Infrastruktur - ändringar

64 Sambi attributsförvaltning Förvaltningen är organisatoriskt placerad på Inera, såsom en del av Säkerhetstjänsternas förvaltning, men uppdraget är att förvalta för Sambi Uppdraget omfattar att etablera och underhålla standard för federationens attribut Omfattar inte lagring av attributen Att ta fram och kommunicera en ensad ”bruttolista” på i Sambi överenskomna attribut

65 Samverkan Samverkan utgående från olika kulturer och förutsättningar Landsting, kommunal, apoteksaktörer, … Internet och akademiska federationer Offentlig och privata aktörer Regionala samarbeten Nationella initiativ som Svensk e-legitimation EU, Electronic identification and trust services (eIDAS) …

66 Federationsoperatören Internetstiftelsen, IIS är federationsoperatören för Sambi. Uppgifterna är bl.a: Att stötta och bidraga till förvaltningen och utvecklingen av Sambi Att tjäna som federationsoperatör

67 Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Attributförvaltning Information Federationsdrift

68 Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Attributförvaltning Information Sambis federationsdrift idag

69 Tillitsgranskningsprocessen

70 Vad granskas? De generella kraven i Sambis Tillitsramverk, vilka utgörs av generella krav påSambis Tillitsramverk verksamheten, säkerhetsarbetet, kryptografiska säkerhet, ansvar för underleverantörer, handlingars bevarande och tillhandahållande av information För användarorganisationer och deras underleverantörer granskas Tillitsramverkets specifika krav på hanteringen av deras funktioner för elektronisk identitetsutfärdare, attribututgivare och identitetsintygsutgivare För tjänsteleverantör och deras underleverantörer granskas hur de uppfyller Tillitsramverkets specifika krav för tjänsteleverantörer

71 Standardiserat infrastruktur Vi har kommit långt 60-tal: En terminal för varje applikation 90-tal: Ett nät, webb, … Återstår att lösa identitets- och behörighetshanteringen mellan organisationer Piece of…

72 Bensträckare, 1 minut

73 ? * 7 = 42 ? * 6 = 30 ? * 5 = 20 ? * 3 = X Övningsuppgift 6 5 4 2 6

74 Teknik https://www.sambi.se/teknik/

75 Agenda, teknik SAML 2.0 SSO, SLO Metadata Anvisningstjänst/Discovery Service Profiler Tekniska miljöer Därefter Fika!

76 Traditionell inloggning www.e- service.se DB Användarnamn Lösenord AnvändarorganisationAnvändareE-tjänst Vad är det för fel på det här då?

77 Exempel på problem med traditionell inloggning som SAML angriper www.e- service.se DB Användarnamn Lösenord Inloggning per tjänst Lösenord per tjänst Administration av behörigheter/ tjänst Olika säkerhetskrav? Lösenordssupport Dålig användarupplevelse Bristfällig säkerhet Onödiga administrativa kostnader

78 Exempel på inloggning med SAML www.e- service.se DB Användarnamn Lösenord IdP Intyg 1 2 3 SP

79 Exemplet väcker några frågor Hur vet IdP:n vilken tjänst användaren vill ansluta till? Hur vet e-tjänsten att den kan lita på intyget från IdP:n? Vad är det för information i intyget?

80 Information i intyget (förenklat) Name ID Ex. transient / persistent ID (pseudonym) Iuerfn#y873yniuw%eyr847 Användarens attribut Namn: Kalle Karlsson E-post: kalle.karlsson@ronneby.se Organisation: Ronneby Vårdcentral Roll: Läkare Livslängd Giltig till och med 2016-02-25/13:54

81 Exempel på hur ett SAML Response Message kan se ut i verkligheten

82 Hur vet tjänsten att den kan lita på intyget? www.e- service.se SPIdP Certifikat X.509 Metadata Certifikat Metadata ”Out of Band” Intyg Signera Verifiera

83 Hur vet IdP:n vilken tjänst användaren vill ansluta till? www.e- service.se IdP Intyg 1 2 3 SP iis.se/portal e-service1 e-service2 e-service3 idp.iis.se/sso=www.e-service1.se* IIS Exempel: IdP-initierad inloggning

84 Betyder det att SAML-inloggning alltid kräver att det finns en användarportal?

85 Initiering av SAML-inloggning IdP-initierad inloggning Inloggningen startar hos användarorganisationen som i det tidigare exemplet SP-initierad inloggning Inloggningen startar hos e-tjänsten.

86 SP-initierad inloggning www.e- service.se Intyg SP Logga in med Sambi Begäran 3 Intyg 4 1 2 IdP

87 Exempel på hur en SAML Request kan se ut i verkligheten

88 Hur vet SP:n vilken IdP som kan ställa ut intyg för användaren? IdP www.e-service.se SP ? Anvisningstjänst Borås Gävle Krokom

89 IdP-discovery (exempel) Tjänsten tillhandahåller en unik URL för respektive användarorganisation (www.iis.e-service.se, www.skatteverket.e-service.se)www.iis.e-service.se www.skatteverket.e-service.se Tjänsten känner till användarorganisationens IP-adressrymd Tjänsten listar alla aktuella IdP:er i en anvisningstjänst och användaren får aktivt välja sin IdP E-tjänster kan använda flera smarta metoder i kombination för att underlätta autentiseringen av användaren

90 Anvisningstjänst IdP E-tjänst SP Anvisningstjänst Borås Gävle Krokom OrganizationDisplayName Borås Gävle Krokom 1 2 3 4 Gävle Allt informationsutbyte sker genom omdirigering av användarens webbläsare

91 Exempel på problem med traditionell inloggning som SAML angriper www.e- service.se Användarnamn Lösenord Inloggning per tjänst Lösenord per tjänst Administration av behörigheter Säkerhetskrav Lösenordssupport Dålig användarupplevelse Bristfällig säkerhet Onödiga administrativa kostnader

92 Bensträckare, 1 minut

93 Men… Vi har nya problem i en annan dimension

94 Anslutning mellan parter www.e- service.se SPIdP Certifikat Metadata Certifikat Metadata ”Out of Band” Förutsätter att parterna enats om: Teknik/standard Tillämpning Information Format Tillit/säkerhet Rutiner …

95 Användarorganisationens perspektiv E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör Användar- organisation IdP Följ min standard

96 E-tjänstens perspektiv E-tjänst Tjänsteleverantör Användar- organisation SP Följ min standard IdP Följ min standard

97 Sektorns perspektiv E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör Användar- organisation IdP SP En integration per anslutning Hundratals eller tusentals organisationer…

98 En standard för integrationen E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör Användar- organisation Federation Gemensam standard och infrastruktur

99 Gemensam standard Sambis tekniska krav SAML 2.0 Implementationsprofil eGov2 2.0 beskriver vilka delar av SAML som måste implementeras Deploymentprofilen saml2int beskriver vilka delar av SAML som måste vara i bruk samt hur dessa ska användas Namnstandard för anvisningstjänst Attributsprofiler

100 Gemensam infrastruktur Aggregerat metadataregister signerat med federationens nyckel Central anvisningstjänst Verktyg för validering av metadata Testmiljö

101 Federationsoperatör Aggregerat metadataregister E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör Metadata Certifikat Metadata Certifikat Metadata Certifikat Metadata Certifikat Metadata Certifikat Metadata Certifikat Aggregerat metadata Aggregerad och publicerad metadata Metadata+certifikat 1 Metadata+certifikat 2 Metadata+certifikat 3 Metadata+certifikat 4 Metadata+certifikat 5 Metadata+certifikat 6 /…/ Signera och publicera

102 Aggregerad metadata Skolfederation

103 Tekniska miljöer i Sambi

104 Anvisningstjänst - exempel

105

106 Övningsuppgift Vilka är federationsoperatörens 2 viktigaste uppgifter ? A.Centralt & aggregerat metadataregister, tekniskt & regulatoriskt ramverk B.Säkerställa identitetshanteringen, centralt & aggregerat metadataregister C.Säkerställa identitetshanteringen, tekniskt & regulatoriskt ramverk

107 Fika! Kl 14:15 – 14:30

108 Agenda, fortsättning 14.30 Fortsättning SAML 2.0 Övningsuppgifter SAML Status pågående arbeten Komma igång 16:00 Avslut

109 SAML 2.0 Security Assertion Markup Language

110 Kort om SAML Öppen standard från OASIS XML-baserat ramverk för att kommunicera information för autentisering, behörighet och attribut för användare 2002 - SAML 1.0 2003 – SAML 1.1 2005 – SAML 2.0

111 Profiles Bindings Protocols SAML 2.0 Assertions Information om användaren Authentication statements (hur användaren har autentiserats) Attribute statements (användarens attribut) Authorization decision statements (information för att avgöra användarens rättigheter) Paketering och hantering av SAML-element Assertion Query and Request Protocol Authentication Request Protocol Artifact Resolution Protocol Name Identifier Management Protocol Single Logout Protocol Name Identifier Mapping Protocol Mappar SAML-protokoll till andra protokoll SAML SOAP Binding (based on SOAP 1.1) Reverse SOAP (PAOS) Binding HTTP Redirect (GET) Binding HTTP POST Binding HTTP Artifact Binding SAML URI Binding Beskriver hur ovanstående kombineras för SSO Profiles Artifact Resolution Profile Assertion Query/Request Profile en specifik tillämpning Name Identifier Mapping Profile SAML Attribute Profiles

112 Övningsuppgift - korv 2 1 3 Homer äter korven Den grillade korven förbereds för att ätas Homer grillar en korv

113 Övningsuppgift - SAML www.service.se E-post lösenord Välkommen! Logga in med: Välj din intygsutfärdare Borås Gävle Krokom idp.krokom.se Användarnamn Lösenord Logga in www.service.se Välkommen Nisse! IdP:n har ställt ut ett intyg och dirigerar Nisse tillbaka till SP:n som skickade begäran. ”service.se” har identifierat vilken IdP Nisse använder och dirigerar honom vidare med en AuthnRequest (begäran om intyg). Nisse vill till tjänsten ”service.se”. Tjänsten finns inte i portalen på Nisses företag. Nisse vill logga in via en federation. Eftersom han gick direkt till tjänstens webbsida så känner den inte till vilken IdP Nisse använder, utan diririgerar honom till en anvisningstjänst. ”service.se” har många olika typer av användare och erbjuder därför flera olika alternativ för inloggning. Nisse har just kommit till jobbet och har ännu inte loggat in i någonstans. Innan han gör något annat vill han klara av ett ärende i tjänsten ”service.se”. Tjänsten finns inte i portalen på Nisses företag. I vilken ordning händer nedanstående?

114 Övningsuppgift - SAML www.service.se E-post lösenord Välkommen! Logga in med: Välj din intygsutfärdare Borås Gävle Krokom idp.krokom.se Användarnamn Lösenord Logga in www.service.se Välkommen Nisse! IdP:n har ställt ut ett intyg och dirigerar Nisse tillbaka till SP:n som skickade begäran. 42513 ”service.se” har identifierat vilken IdP Nisse använder och dirigerar honom vidare med en AuthnRequest (begäran om intyg). Nisse vill till tjänsten ”service.se”. Tjänsten finns inte i portalen på Nisses företag. Nisse vill logga in via en federation. Eftersom han gick direkt till tjänstens webbsida så känner den inte till vilken IdP Nisse använder, utan diririgerar honom till en anvisningstjänst. ”service.se” har många olika typer av användare och erbjuder därför flera olika alternativ för inloggning. SAML-implementationen i exemplet är inte ett föredöme avseende användarvänlighet. Användaren ställs inför flera val i olika sammanhang under inloggningsflödet. Överkurs: Hur skulle en mer användarvänlig implementation kunna se ut?

115 Kom ihåg det här www.e- service.se DB Användarnamn Lösenord IdP Intyg 1 2 3 SP Inloggning här! Intyg med användarinformation via omdirigering av webbläsare

116 Vad är SSO? Single sign-on (SSO) – en användare behöver endast logga in en gång för att nå de system som är anpassade till tjänsten. Även Single sign-off brukar inkluderas i begreppet För att kunna sköta det dagliga arbetet handlar det ofta om att jaga information i 20–30 olika system och applikationer, förutom patientjournalsystemet. … Man loggar in i och ut ur system hela tiden … att informationsflödet inte hänger ihop”. Spretigheten i IT-stödet har blivit en betydande arbetsmiljöfråga i vården!

117 Hur fungerar SSO? Användare Användaren vill logga in Applikation A SP IdP WEBläsare IdP = Identity Provider (intygsutfärdare) SP = Service Provider (e-Tjänst)

118 Hur fungerar SSO? Användare Applikation A SP IdP WEBläsare SP:n ber användaren logga in

119 Hur fungerar SSO? Användare Applikation A SP IdP WEBläsare Användaren skickas till IdP:n och får där autentisera sig m.h.a ex. ett SITHS-kort och sin PIN-kod

120 Hur fungerar SSO? Användare Applikation A SP IdP WEBläsare IdP:n verkställer autentiseringen och skapar och skickar en SAML-biljett till webläsaren

121 Hur fungerar SSO? Användare Applikation A SP IdP WEBläsare Webläsaren skickar SAML-biljetten vidare till SP:n som använder SAML-biljetten för att logga in användaren i SP:n. Utifrån de behörighetsstyrande attributen i SAML-biljetten får användaren tillgång till de funktioner som användaren får nyttja i SP:n (SP:n har egentligen inget beroende till autentiseringsmetoden, litar på intyget)

122 Hur fungerar SSO? Användare Applikation A SP IdP WEBläsare All kommunikation sker nu bara mellan webläsaren och SP:n. IdP:n har ”hjälpt till med” att upprätta en session mellan webläsaren och SP:n och har nu inte längre något ansvar. SP:n håller sin session tills användaren loggar ut från SP:n Användaren har dock en tidsbegränsad inloggningssession i IdP:n

123 Hur fungerar SSO? Användare Applikation A SP IdP WEBläsare Användaren vill nu även logga in i en annan tjänst Applikation B SP

124 Hur fungerar SSO? Användare Applikation A SP IdP WEBläsare Applikation B SP Användaren anropar den andra SP:n

125 Hur fungerar SSO? Användare Applikation A SP IdP WEBläsare Applikation B SP SP:n ber användaren logga in och skickar en inloggningsbegäran via webläsaren till IdP:n

126 Hur fungerar SSO? Användare Applikation A SP IdP WEBläsare Applikation B SP Webläsaren gör en inloggningsbegäran. IdP:n upptäcker att användaren redan är inloggad och skapar en ny SAML-biljett till begärd SP -om inte sessionstiden har gått ut

127 Hur fungerar SSO? Användare Applikation A SP IdP WEBläsare Applikation B SP IdP:n skickar SAML-biljetten via webläsaren till SP:n SP:n använder SAML-biljetten för att logga in användaren i SP:n. Utifrån de behörighetsstyrande attributen i SAML-biljetten får användaren till gång till de funktioner som användaren får nyttja i SP:n

128 Hur fungerar SSO? Användare Applikation A SP IdP WEBläsare Applikation B SP Användaren kan nu arbeta i bägge applikationerna, baserat på EN inloggning i IdP:n, dvs SSO

129 Hur fungerar SSO? Användare Applikation A SP IdP WEBläsare Applikation B SP Sessionen ligger nu mellan webläsaren och e-tjänsten, SP:n. När webläsaren stängs så försvinner sessionen –eller om man loggar ut ur e-tjänsten TLS- session TLS- session

130 Gemensamt ansvar  Användarens ansvar Är att följa lagar & föreskrifter som är applicerbara inom e-Tjänstens användningsområde Tillse att ingen obehörig har åtkomst till inloggad e-Tjänst. Vilket t.ex innebär skyldighet att logga ut & stänga e-Tjänsten då e-Arbetsplatsen lämnas obevakad  e-Arbetsplatsens (PCn) ansvar Är att tillse att kommunikationen med e-Tjänsten samt med IdP’n sker med förväntad säkerhet. För att detta ska kunna uppfyllas krävs att den är rätt konfigurerad och har erforderlig programvara installerad och uppdaterad  IdP’n ansvar Är att identifiera och autentisera en användare och utställa ett identitetsintyg (SAML-biljett) till de applikationer som aktören avser att nyttja  e-Tjänstens ansvar Är att validera riktigheten i identitetsintyget (SAML-biljetten) och utifrån dess behörighetsstyrande attribut tilldela/neka tillgång till funktioner inom e-Tjänsten

131 Hur fungerar SLO (Single Logout)? SLO

132 Mer information på: www.sambi.se/teknik

133 Övningsuppgift Vilka 3 viktiga saker säkerställer SAML-biljettens riktighet? Signerad ID på inloggningsbegäran (AuthnRequest Id/InResponseTo) Utställd till (Recipient)

134 Status och pågående arbeten

135 Medlemmar Användarorganisationer Stockholms stad Stockholms Läns Landsting E-tjänster SLL Beställningsportalen SLL Webcare

136 Status Piloten med SLL och Stockholms stad Skarp drift med användare av Beställningsportalen. Användning av Stockholms stads e-tjänstekort och SITHS Projektutvärderingen ska göras Planering av ytterligare användare ska påbörjas Inera Anpassningsarbete av Ineras Säkerhetstjänster pågår för inträde i Sambi eHälsomyndigheten Utveckling för federationsanpassning av tjänsteplattform och tjänster (planeras till Q4 2016)

137 Granskningar 2016-05-31 Genomförda På gång Ineras Nationella säkerhetstjänster Migrationsverket Ineras Pascal

138 Inera Inera har nu publicerat metadata för Nationella säkerhetstjänster och Pascal i Sambis Trial-miljö. Tillitsdeklaration för Pascal är inlämnad.

139 Kommuner Danderyds kommun Medlemsantal med Sambi har tecknats och de önskar komma i gång med SLL:s beställningsportal via Sambi. Huddinge kommun Godkänd som utfärdare av Svensk e-legitimation (Den första!!!) De är nu intresserade att komma i gång med att testa lämplig tjänst i Sambi. Stockholms stad Godkänd

140 Status tillitsgranskningar 2016- 02-22

141 Deltagare testbädd Inera MobilityGuard Nexus Svensk e-identitet Tieto eHälsomyndigheten SLL Stockholms stad …

142 Uppdatering av dokumentation och webbplats Kvalitetsprojekt för Sambis Tillitsgranskningstjänst går mot sitt slut och följande dokumentation har gåtts igenom och publicerats: Anslutningsavtal Sambi Sambis Bilaga 1 - Definitioner för Sambi Sambis Bilaga 3- Tillitsramverk Sambis Bilaga 4 - Föreskrifter för Sambis Federationsoperatör Sambis Bilaga 5 - Avgifter Tjänstebeskrivning för Sambis Federationstjänst Tjänstebeskrivning för Sambis Tillitsgranskningstjänst Tillitsgranskningsavtal Tillitsgranskningsavtal Bilaga 1 – Tillitsgranskningens omfattning Tillitsdeklarationsmall Granskningsinstruktion och Checklista för tillitsdeklaration Instruktioner för Sambis Granskare Sekretessförbindelse med Granskare …samt ett stort antal interna rutindokument!

143 Produkter och lösningar Exempel: Inera Nexus Svensk e-identitet

144 PASCAL Lokala tjänster Inera Användare Användarorganisation A SAML Intyg Lokala Säkerhets tjänster HSA Annat? HSA Annat? E-legitimation SITHS ”Annan ID”? Intygsutgivare Attributsregister NPÖ Inera Nationella säkerhets- tjänster HSA E-legitimation SITHS Intygsutgivare Attributsregister SAML Intyg Svevac Lokal tjänst Nationella tjänster Lokalt system Lokala system STS WS-TRUST Intyg

145 Gemensamma e-Tjänster Nyttjare Inera Lokala e-Tjänster/ system Inera, tjänster Nationella säkerhets- tjänster HSA E-legitimation SITHS Intygsutgivare gemensamma tjänster Attributsregister Privata aktörer Lokala säkerhets- tjänster Intygsutgivare lokala system Gemensamma tjänster

146 Gemensamma e-Tjänster Nyttjare Inera Lokala e-Tjänster/ system Inera, tjänster Nationella säkerhets- tjänster HSA E-legitimation SITHS Intygsutgivare gemensamma tjänster Attributsregister Privata aktörer Lokala säkerhets- tjänster Intygsutgivare lokala system Lokala tjänster/system

147 Gemensamma e-Tjänster Nyttjare Inera Lokala e-Tjänster/ system Inera, tjänster Nationella säkerhets- tjänster HSA E-legitimation SITHS Intygsutgivare gemensamma tjänster Attributsregister Privata aktörer Lokala säkerhets- tjänster Intygsutgivare lokala system Privata aktörer

148 SAML 2.0 I begynnelsen så tog Inera fram en specifikation, ”SAMBI SAML Profile” som specificerade användningen av SAML i Sambi.SAMBI SAML Profile Bl.a redovisades ev avsteg från saml2int och eGov2 Den innehåller en attributsspecifikation med 18 attribut som stödde de nationella tjänsternas behov (NPÖ, Pascal m.fl) Inera’s säkerhetstjänster har lite utvecklarstöd under: https://confluence.cgiostersund.se/display/ST/Utvecklarinfo

149 Stefan Runneberger neXus neXus erbjudande för Sambit 2015-09-07 149 Smart kort med personligt certifikat som uppfyller LoA3 neXus stöd för Sambi: Säker inloggning och verifiering av behörighet Utfärdare av Identitetsintyg Mottagare av Identitetsintyg Federation SAML 2.0 / OAuth2 Attributsproxy IdP SP

150 E-tjänst Tjänsteleverantör Användare Teknisk anslutning via enkelt API istället för SAML. Användarorganisation Intyg Pseudonym + Attribut Intyg Pseudonym + Attribut Intygs- utgivare Attributs- register E-legitimation SITHS Sv. e-leg ”Annan” ID Svensk e-identitet

151 Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Attributförvaltning Information Federationsdrift

152 Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Attributförvaltning Information Federationsoperatören

153 Stefan Runneberger neXus neXus erbjudande för Sambit 2015-09-07 153 Komma igång

154 Komma igång -förberedande Gör en analys hemma o Vad ska vi börja med? Vilka vinster gör vi? o Vilka förutsättningar har vi? Identifiera kompetensbehov o SAML, Identitetshantering, ADFS, WS-Trust?, o Informationssäkerhet o Ta hjälp! Ta vara på andras erfarenheter o SLL, Inera o Ta del av Inera’s SSO-förstudie Sätt upp mål och resurssätt o Sätt realistiska mål. Saker tar tid…

155 Bli medlem Intresseanmälan Använda Trial-miljö Tillitsdeklaration Avtal Produktion

156 Vad kostar medlemskap i Sambi?

157 Medlemsavtal Anslutningsavtal Bilaga 1 - Definitioner Bilaga 2 - Tekniska krav Bilaga 3 - Tillitsramverk Bilaga 4 - Föreskrifter för federationsoperatören Bilaga 5 - Avgifter Kontaktuppgifter (blankett) https://www.sambi.se/medlemskap/anslutningsavtal/

158 Statusrapport för attributförvaltningen

159 Kontaktuppgifter Huvudkontakt – övergripande, publiceras på Sambis webbplats Teknisk kontakt – den person som blir motringd vid uppladdning av nytt metadata! Incidentansvarig – kan vara en funktions- brevlåda/-tel, ska alltid bevakas Fakturakontakt

160 Metadatahantering 1.Validering 2.Sänd via formulär https://www.sambi.se/teknik/metadata/lamna-nytt-metadata/ https://www.sambi.se/teknik/metadata/lamna-nytt-metadata/ 3.Checksumma 4.Kundtjänst motringer teknisk kontakt 5.Publicering

161 Infrastruktur - miljöer

162 Information www.sambi.se Nyhetsbrev allmänna tekniska Seminarier Vitalis 7/4 Svenskt Federationsforum 18/4 Kurser Arbetsgruppens möten

163 Vilka är de stora utmaningarna? Arvet, behov av att federationsanpassa tjänster och system Enas om gemensamma attribut för sektorn ”…ett ledningssystem för informationssäkerhet (LIS) som baseras på ISO/IEC 27001 eller motsvarande” Börja i tid! Se till att kravställa nya tjänster så att de är federationsanpassade!

164 Info om Svensk e-legitimation och Sambi Från E-legitimationsnämndens 28 april 2016: Annonsen om valfrihetssystemet för Svensk e-legitimation tas ner E-legitimationsnämnden har beslutat att ta ner annonsen kring valfrihetssystemet för Svensk E- legitimation. De myndigheter och kommuner som ligger i avtal har informerats. E-legitimationsnämnden har arbetat intensivt för att valfrihetssystemet för Svensk E- legitimation skulle vara igång nu till 2016. Svensk e-legitimation blev dock aldrig till som det var tänkt. Flera aktörer som var centrala för federationen kom inte med. I och med eID 2016 Övergångstjänst finns nu tre alternativa lösningar på plats för att möta det kortsiktiga behovet av säker e-legitimering och e-underskrift hos de myndigheter som har avtal som löper ut vid halvårsskiftet. Övriga alternativ är att avropa på Kammarkollegiets ramavtal Programvaror och tjänster eller att upphandla själv. En förstudie är på gång för att se över spelplanen för Svensk e-legitimation med siktet inställt mot framtidens digitala behov. Så småningom kommer en ny idé kring samordningen av säker e-legitimering och e-underskrift att presenteras. Detta sammantaget gör att annonsen och valfrihetssystemet för Svensk e-legitimation spelat ut sin roll och därför tas ner. Däremot så fortsätter de t.ex med att granska Identitetsutfärdare –som Sambi lutar sig mot!

165 Övrigt En ”Idebeskrivning Behörighetsmodeller för vård- och omsorg” har tagits fram av Inera (Per Mützell). Den kommer att delges Sambis medlemmar för synpunkter och därefter tas vidare i Inera’s programkontor.

166 Tack för visat intresse! Fyll gärna i utvärderingsformuläret!