Informationsdag kring Svensk e-legitimation 21 oktober 2015, Göteborg
Internetstiftelsen i Sverige
.se .nu Internetguider Internetdagarna Webbstjärnan Bredbandskollen Internetmuseum Internetfonden Internetstatistik Barnhack Digital delaktighet Hälsoläget Kursportal Teknik
IIS är federationsoperatör Skolfederation Sambi eduroam
Vad är en identitetsfederation? En identitetsfederation är en sammanslutning av organisationer som har kommit överens om att lita på varandras elektroniska identiteter och behörighetsstyrande attribut för att underlätta användarnas åtkomst till elektroniska tjänster och skydda den personliga integriteten. Max: Sambi är en federativ infrastrukturlösning för hela hälso-, vård- och omsorgssektorn, det vill säga en sammanhållen teknisk infrastruktur där hanteringen av identiteter och åtkomsträttigheter knyts samman med ett obegränsat antal e-tjänster.
Sambi - SAMverkan för Behörighet och Identitet inom hälsa, vård och omsorg Visionen - att erbjuda en säkrare och effektivare åtkomst (single sign-on) till tjänster inom hela den svenska vård- och omsorgssektorn. Användarorganisationer och e-tjänster ska sammanlänkas i en nationell lösning som bygger på tillit till användarnas inloggningsuppgifter och skydd för den personliga integriteten.
Uppgifter för en Federationsoperatör Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Sambi har identifierat sex olika processer för sin verksamhet och förvaltning. Medlemshantering: Denna process hanterar support, intresseanmälningar och medlemsansökan. Metadatahantering: Uppdatering och kvalitetskontroll av metadata. Tillit: Självdeklarationer, initial och fortlöpande granskning av tillit hos medlemmar. Information: Hantering av kommunikation, information och evenemang. Drift av infrastruktur: Attributförvaltning: kartlägga och informera om användning av attribut inom Sambi, samt standardisering av gemensamma attribut. Attributförvaltning Information
Sambi Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Sambi har identifierat sex olika processer för sin verksamhet och förvaltning. Medlemshantering: Denna process hanterar support, intresseanmälningar och medlemsansökan. Metadatahantering: Uppdatering och kvalitetskontroll av metadata. Tillit: Självdeklarationer, initial och fortlöpande granskning av tillit hos medlemmar. Information: Hantering av kommunikation, information och evenemang. Drift av infrastruktur: Attributförvaltning: kartlägga och informera om användning av attribut inom Sambi, samt standardisering av gemensamma attribut. Attributförvaltning Information
Sambis styrgrupp Från vänster: Åke Johansson, eHälsomyndigheten Carina Landberg, IT-forum Stockholms län, Sara Meunier, SKL Peter Alvinsson, Inera Danny Aerts, .SE (styrgruppens ordförande)
Sambis arbetsgrupp
Historia 2007 Swamid - Den tekniska förebilden 2011 SIS/TK450 - Skolfederation 2012 De 16 principerna för samverkan IT-forum, Kommunförbundet Stockholms län, KSL 2012 Förstudie Sambi, för sektorn vård, omsorg och e-hälsa Ett samarbete mellan eHälsomyndigheten, Inera och IIS Skolfederation är resultatet av ett större projekt som drivs av SIS (Swedish Standards Institute) med syftet att göra det lättare för skolan att använda digitala tjänster och digitalt innehåll med hjälp av gemensamma standarder. Leverantörernas många olika IT-lösningar för läromedel har sammantaget med kommunernas olika lärplattformar försvårat användningen av digitala resurser eftersom det uppstår stor komplexitet, många integrationer och osäkerhet kring hur de ska fungera i skolans plattformar. Tröskeln blir lätt för hög för båda parter. Gemensamma, öppna standarder SIS-projektet strävar inte efter att skapa några nya standarder, eftersom det redan finns lämpliga sådana. I stället är målet att skapa gemensamma riktlinjer, vägledning och praxis för hur de ska tillämpas, samt sprida kunskapen och medvetandet om hur de ska användas. Om leverantörer och kommuner inte behöver skapa egna lösningar för integrationen av innehåll, utan kan arbeta med lösningar baserade på gemensamma och öppna standarder, förbättras förutsättningarna för skolans användning av digitala resurser. SIS-projektet sätter upp ett antal effektmål: Att användningen av digitala lärresurser ökar i skolarbetet. Att en ökad användning av digitala resurser ska ge eleverna möjligheter att förbättra sina resultat. Att såväl kommunala skolor som friskolor använder framtagna riktlinjer vid beställning av digitala resurser. Att leverantörer använder riktlinjerna vid produktionen av digitala lärresurser och tjänster. Att nya leverantörer etablerar sig och marknaden expanderar, såväl inom som utanför Sverige. 2007 Swamid, VLM, Forsknings- och utvecklingsinstitutet för Virtuella lärmiljöer 2011 SIS/TK450 It standarder för lärande, varav identifiering är en del. 2012 Skolfederation Etablera tjänsten, Arbetsgrupp, Referensgrupp, Workshop, Seminarium Test av skolplattformar vt2012, Cybercom, Technology Nexus, Tieto, Svensk E-identitet, Ubisecure, Open source, några tjänsteleverantörer Skolfederation 2013
Swamid, Bildades 2007 Idag 54 anslutna organisationer, universitet, högskolor, m.fl.
Skolfederation - Medlemsutveckling 132 Totalt 94 Skol- huvudmän 38 Tjänstelev.
38 st tjänsteleverantörer är medlemmar Skolfederation
Förstudierapport Sambi från 2012 Målgrupper Kommuner Landsting Privata vårdgivare Myndigheter Apoteksaktörer Tandläkare Regionförbund Privata omsorgsgivare Veterinärer Invånare Informations- infrastruktur . . .
De 16 principerna för samverkan Informationssäkerhet 1. att ha en antagen informationssäkerhetspolicy, eller motsvarande, med tillhörande styrande dokument 2. att ha minst en utsedd person som leder och samordnar informationssäkerhetsarbetet 3. att tillämpa en likvärdig metod och jämförbara nivåer för informationsklassning 4. att utifrån återkommande riskanalyser och inträffade incidenter vidta nödvändiga åtgärder för att upprätthålla rätt skyddsnivåer Tillit 5. att tillämpa gemensamma tillitsramverk för att skapa tillit över huvudmannagränser 6. att koppla informationstillgångar till relevanta tillitsnivåer Federering 7. att ha förmågan att utfärda och/eller konsumera elektroniska identitets- och behörighetsintyg 8. att säkerställa att alla delar i det elektroniska identitets- och behörighetsintyget följer aktuella tillitsramverk 9. att kravställa federativ förmåga i varje tjänst 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används i samverkan Signering 11. att medverka till teknik- och leverantörsneutrala lösningar för elektroniska underskrifter Grundläggande infrastruktur 12. att tillse att all gränsöverskridande kommunikation kan ske över internet 13. att verka för att kommunikation över öppen infrastruktur signeras och krypteras 14. att säkerställa robusthet i för samverkan vitala infrastrukturkomponenter 15. att den egna källan för tid är spårbar till den svenska nationella tidsskalan 16. att kravställning bör bygga på nationellt framtagna informationsstrukturer Ett viktigt dokument. Då det skrevs under av kommunledningarna i Stockholms län.
Tänkbara medlemmar? 4 departement, 20 statliga myndigheter och 20 forskningsinstitutioner 21 landsting 291 kommuner 1 284 apoteksaktörer 1 933 tandläkarmottagningar 15 000 privata vård- och omsorgsgivare 1000-tals offentliga vård- och omsorgsgivare 1 185 företag med veterinärverksamhet Leverantörer, färdtjänst, varor, journalsystem, läkemedel, etc. Patienter, exempel: diabetes appar för barn
Samverkan Samverkan utgående från vilken kultur och tradition? Landsting, kommunal, apoteksaktörer, … Internet och akademiska federationer Offentlig och privata aktörer Regionala samarbeten Nationella initiativ som Svensk e-legitimation EU, Electronic identification and trust services (eIDAS) …
Tillvägagångssätt Var smal och grund! Fokusera samarbetet på identiteter och attribut för SSO
Behörighets- styrande attribut Sambi Samverkan Teknisk standard Krav på säkerhet Behörighets- styrande attribut Gemensam infrastruktur
Mål för Sambi Sektorn Användarorganisation Tjänsteleverantör Användare Ökad säkerhet Stimulera utveckling Användarorganisation Valfrihet, att välja sin egen lösning Enklare tjänsteintegration Enhetlig administration av användare Tjänsteleverantör Slippa administration av användare Enklare integration av kunderna Användare SSO, En inloggning till alla tjänster
Kostsamt med olika integrationer Tjänsteleverantör Användar- organisation E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst
En standard för integrationen Federation Gemensam Standard Regler En minimal infrastruktur Tjänsteleverantör Användar- organisation E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst
Standardiserad infrastruktur Vi har kommit långt 60-tal: En terminal för varje applikation 90-tal: Standard för nät, webb, … Återstår att implementera en standard för identitets- och behörighetshanteringen mellan organisationer!
Identitet och attribut ska hanteras lokalt Användar-organisation IdP SAML Användare Intyg eTjänst SP Inloggning Användar- uppgifter Användaradministration och kontohantering sker hos användarorganisationen IdP: identity Provider SP: Service Provider
SAML 2.0 - den tekniska standarden Användarorganisation Tjänsteleverantör Intygs-utgivare Intyg Pseudonym + Attribut E-tjänst Användare Intyget innehållande uppgifter för att E-tjänsten ska kunna fatta beslut om åtkomst
Distribuerat ansvar Användarorganisation Tjänsteleverantör Intygs-utgivare Intyg Pseudonym + Attribut E-tjänst Användare Attributs-register Varje Användarorganisation ansvarar för att dess kataloguppgifter är korrekta
Distribuerat ansvar Användarorganisation Tjänsteleverantör E-legitimation Intygs-utgivare Intyg Pseudonym + Attribut E-tjänst SITHS Sv. e-leg ”Annan” ID Användare Attributs-register Varje användarorganisation ansvarar för sin E-legitimationslösning och användarhantering
Behov av en federationsoperatör Användarorganisation Tjänsteleverantör E-legitimation Intygs-utgivare Intyg Pseudonym + Attribut E-tjänst SITHS Sv. e-leg ”Annan” ID Användare Attributs-register Medlems- register Federationsoperatör
Förtydliganden
Sambi är en standard, inte en produkt eller en central meddelandeväxel Tjänsteleverantör Användar- organisation E-tjänst En gemensam standard Inte en central inloggning Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst
Sambi ändrar inte ansvaret för åtkomstkontroll Användarorganisation Tjänsteleverantör E-tjänst Avtal Intyg Med attribut Sambi
Attributsförvaltning Samverkan Teknisk standard Krav på säkerhet Behörighets- styrande attribut Gemensam infrastruktur
Information i intyget (förenklat) Name ID Ex. transient / persistent ID (pseudonym) Iuerfn#y873yniuw%eyr847 Användarens attribut Namn: Kalle Karlsson E-post: kalle.karlsson@ronneby.se Organisation: Ronneby Vårdcentral Roll: Läkare Livslängd Giltig till och med 2015-08-27/13:54
Sambi attributsförvaltning Placerad på Inera Organisatoriskt såsom en del av Ineras Säkerhetstjänsters förvaltning Uppdraget är att förvalta för SAMBI En första version planeras av en attributlista innan årsskiftet.
Omfattning för Sambi attributsförvaltning Attribut för behörighetsstyrning Inte ”förbjudet” för tjänsten att hämta ytterligare attribut (applikationsdata) T.ex. efter inloggningen från annan lämplig katalog Om vi kan enas om attributen så möjliggörs det för eTjänsterna att välja mellan flera IdP:er
Statusrapport för attributförvaltningen
Principer för Sambis attribut Det är fortsatt tjänsten som ansvarar för åtkomstkontroll, varför tjänsten är den som uttalar vilka attribut den behöver. Det är fortsatt användarorganisationens ansvar ansvarar att inte lämna ut fler attribut än nödvändigt. Långsiktigt är det bättre för alla med färre och väl definierade attribut!
Behörighets- styrande attribut Tillit Samverkan Teknisk standard Krav på säkerhet Behörighets- styrande attribut Gemensam infrastruktur
Målsättning för Sambi ”Federationen skall fungera som en nationell mötesplats för säkra e-tjänster genom … en lösning som bygger på tillit och skydd för den personliga integriteten” Lennart:
Vad är Tillit? Vi kan ha tillit till någon utan att ha fullständig information om denna Inte bara en tro på människors och organisationers goda avsikter, utan en välgrundad tro på att deras lösningar och arbetsformer följer fastställda principer för säkerhet.
Målsättning för Sambis tillit Part Ska kunna känna tillit till… Tjänsteleverantör att Identiteter och Attribut i utfärdade intyg är korrekta. Användarorganisation att Tjänsteleverantör hanterar åtkomsten till tjänsten och känsliga uppgifter korrekt.
Tillitsnivåer, Level of Assurance (LoA) ett koncept för identiteter i federationer LoA 1 Ingen eller liten tillit till identiteten Typ Facebook, Google, Hotmail LoA 2 Begränsad tillit till identiteten AD-identitet, företagsinternt, domänspecifikt LoA 3 Hög tillit till identiteten Svensk e-legitimation, SITHS, Pass, körkort LoA 4 Mycket hög tillit till identiteten OBS! Klassningen gäller endast för identiteter, inte för de behörighetsstyrande attributen.
Krav på säkerhetsarbete Krav A.4: Betrodd Part ska för den tjänst som medlemskapet avser ha infört ett strukturerat säkerhetsarbete anpassat efter risker och säkerhetsbehov, bestående av: En riskanalys avseende tjänsten och dess Funktioner. Denna ska ta hänsyn till skyddsvärde, befintliga skyddsåtgärder och legala krav. Riskanalysen ska omfatta analys av hot och sårbarheter, samt sannolikhet och konsekvens (skada) på Användare, den egna organisationen, andra Medlemmar och Federationsoperatören. Ett ledningssystem för informationssäkerhet för tjänsten baserat på ISO/IEC 27001 eller motsvarande. Säkerhetsåtgärderna ska hantera riskerna enligt riskanalysen för tjänsten och dess Funktioner. Genomförd internrevision av införandet och efterlevnaden av säkerhetsregelverket för tjänsten.
Status för Tillitsgranskningar 2015-10-19 Sökande Status SLL Beställningsportalen Godkänd Stockholm stad Tieto Inera HSA Inera SITHS Inlämnad till ELN SLL IdP Väntar på komplettering Danderyds kommun Arbete pågår Lidingö stad Huddinge kommun Väntar på ansökan Inera säkerhetstjänster Inera Pascal eHM Inlämnat