Presentation laddar. Vänta.

Presentation laddar. Vänta.

Informationsdag kring Svensk e-legitimation

Liknande presentationer


En presentation över ämnet: "Informationsdag kring Svensk e-legitimation"— Presentationens avskrift:

1 Informationsdag kring Svensk e-legitimation
21 oktober 2015, Göteborg

2 Internetstiftelsen i Sverige

3 .se .nu Internetguider Internetdagarna Webbstjärnan Bredbandskollen Internetmuseum Internetfonden Internetstatistik Barnhack Digital delaktighet Hälsoläget Kursportal Teknik

4

5

6

7 IIS är federationsoperatör
Skolfederation Sambi eduroam

8 Vad är en identitetsfederation?
En identitetsfederation är en sammanslutning av organisationer som har kommit överens om att lita på varandras elektroniska identiteter och behörighetsstyrande attribut för att underlätta användarnas åtkomst till elektroniska tjänster och skydda den personliga integriteten. Max: Sambi är en federativ infrastrukturlösning för hela hälso-, vård- och omsorgssektorn, det vill säga en sammanhållen teknisk infrastruktur där hanteringen av identiteter och åtkomsträttigheter knyts samman med ett obegränsat antal e-tjänster.

9 Sambi - SAMverkan för Behörighet och Identitet inom hälsa, vård och omsorg
Visionen - att erbjuda en säkrare och effektivare åtkomst (single sign-on) till tjänster inom hela den svenska vård- och omsorgssektorn. Användarorganisationer och e-tjänster ska sammanlänkas i en nationell lösning som bygger på tillit till användarnas inloggningsuppgifter och skydd för den personliga integriteten.

10 Uppgifter för en Federationsoperatör
Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Sambi har identifierat sex olika processer för sin verksamhet och förvaltning. Medlemshantering: Denna process hanterar support, intresseanmälningar och medlemsansökan. Metadatahantering: Uppdatering och kvalitetskontroll av metadata. Tillit: Självdeklarationer, initial och fortlöpande granskning av tillit hos medlemmar. Information: Hantering av kommunikation, information och evenemang. Drift av infrastruktur: Attributförvaltning: kartlägga och informera om användning av attribut inom Sambi, samt standardisering av gemensamma attribut. Attributförvaltning Information

11 Sambi Medlemshantering Metadatahantering Drift av infrastrukturen
Attributförvaltning Tilliten till identiteter och attribut Sambi har identifierat sex olika processer för sin verksamhet och förvaltning. Medlemshantering: Denna process hanterar support, intresseanmälningar och medlemsansökan. Metadatahantering: Uppdatering och kvalitetskontroll av metadata. Tillit: Självdeklarationer, initial och fortlöpande granskning av tillit hos medlemmar. Information: Hantering av kommunikation, information och evenemang. Drift av infrastruktur: Attributförvaltning: kartlägga och informera om användning av attribut inom Sambi, samt standardisering av gemensamma attribut. Attributförvaltning Information

12 Sambis styrgrupp Från vänster: Åke Johansson, eHälsomyndigheten
Carina Landberg, IT-forum Stockholms län, Sara Meunier, SKL Peter Alvinsson, Inera Danny Aerts, .SE (styrgruppens ordförande)

13 Sambis arbetsgrupp

14 Historia 2007 Swamid - Den tekniska förebilden
2011 SIS/TK450 - Skolfederation 2012 De 16 principerna för samverkan IT-forum, Kommunförbundet Stockholms län, KSL 2012 Förstudie Sambi, för sektorn vård, omsorg och e-hälsa Ett samarbete mellan eHälsomyndigheten, Inera och IIS Skolfederation är resultatet av ett större projekt som drivs av SIS (Swedish Standards Institute) med syftet att göra det lättare för skolan att använda digitala tjänster och digitalt innehåll med hjälp av gemensamma standarder. Leverantörernas många olika IT-lösningar för läromedel har sammantaget med kommunernas olika lärplattformar försvårat användningen av digitala resurser eftersom det uppstår stor komplexitet, många integrationer och osäkerhet kring hur de ska fungera i skolans plattformar. Tröskeln blir lätt för hög för båda parter. Gemensamma, öppna standarder SIS-projektet strävar inte efter att skapa några nya standarder, eftersom det redan finns lämpliga sådana. I stället är målet att skapa gemensamma riktlinjer, vägledning och praxis för hur de ska tillämpas, samt sprida kunskapen och medvetandet om hur de ska användas. Om leverantörer och kommuner inte behöver skapa egna lösningar för integrationen av innehåll, utan kan arbeta med lösningar baserade på gemensamma och öppna standarder, förbättras förutsättningarna för skolans användning av digitala resurser. SIS-projektet sätter upp ett antal effektmål: Att användningen av digitala lärresurser ökar i skolarbetet. Att en ökad användning av digitala resurser ska ge eleverna möjligheter att förbättra sina resultat. Att såväl kommunala skolor som friskolor använder framtagna riktlinjer vid beställning av digitala resurser. Att leverantörer använder riktlinjerna vid produktionen av digitala lärresurser och tjänster. Att nya leverantörer etablerar sig och marknaden expanderar, såväl inom som utanför Sverige. 2007 Swamid, VLM, Forsknings- och utvecklingsinstitutet för Virtuella lärmiljöer 2011 SIS/TK450 It standarder för lärande, varav identifiering är en del. 2012 Skolfederation Etablera tjänsten, Arbetsgrupp, Referensgrupp, Workshop, Seminarium Test av skolplattformar vt2012, Cybercom, Technology Nexus, Tieto, Svensk E-identitet, Ubisecure, Open source, några tjänsteleverantörer Skolfederation 2013

15 Swamid, Bildades 2007 Idag 54 anslutna organisationer, universitet, högskolor, m.fl.

16 Skolfederation - Medlemsutveckling
132 Totalt 94 Skol- huvudmän 38 Tjänstelev.

17 38 st tjänsteleverantörer är medlemmar Skolfederation

18 Förstudierapport Sambi från 2012 Målgrupper
Kommuner Landsting Privata vårdgivare Myndigheter Apoteksaktörer Tandläkare Regionförbund Privata omsorgsgivare Veterinärer Invånare Informations- infrastruktur . . .

19 De 16 principerna för samverkan
Informationssäkerhet 1. att ha en antagen informationssäkerhetspolicy, eller motsvarande, med tillhörande styrande dokument 2. att ha minst en utsedd person som leder och samordnar informationssäkerhetsarbetet 3. att tillämpa en likvärdig metod och jämförbara nivåer för informationsklassning 4. att utifrån återkommande riskanalyser och inträffade incidenter vidta nödvändiga åtgärder för att upprätthålla rätt skyddsnivåer Tillit 5. att tillämpa gemensamma tillitsramverk för att skapa tillit över huvudmannagränser 6. att koppla informationstillgångar till relevanta tillitsnivåer Federering 7. att ha förmågan att utfärda och/eller konsumera elektroniska identitets- och behörighetsintyg 8. att säkerställa att alla delar i det elektroniska identitets- och behörighetsintyget följer aktuella tillitsramverk 9. att kravställa federativ förmåga i varje tjänst 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används i samverkan Signering 11. att medverka till teknik- och leverantörsneutrala lösningar för elektroniska underskrifter Grundläggande infrastruktur 12. att tillse att all gränsöverskridande kommunikation kan ske över internet 13. att verka för att kommunikation över öppen infrastruktur signeras och krypteras 14. att säkerställa robusthet i för samverkan vitala infrastrukturkomponenter 15. att den egna källan för tid är spårbar till den svenska nationella tidsskalan 16. att kravställning bör bygga på nationellt framtagna informationsstrukturer Ett viktigt dokument. Då det skrevs under av kommunledningarna i Stockholms län.

20 Tänkbara medlemmar? 4 departement, 20 statliga myndigheter och 20 forskningsinstitutioner 21 landsting 291 kommuner 1 284 apoteksaktörer 1 933 tandläkarmottagningar privata vård- och omsorgsgivare 1000-tals offentliga vård- och omsorgsgivare 1 185 företag med veterinärverksamhet Leverantörer, färdtjänst, varor, journalsystem, läkemedel, etc. Patienter, exempel: diabetes appar för barn

21 Samverkan Samverkan utgående från vilken kultur och tradition?
Landsting, kommunal, apoteksaktörer, … Internet och akademiska federationer Offentlig och privata aktörer Regionala samarbeten Nationella initiativ som Svensk e-legitimation EU, Electronic identification and trust services (eIDAS)

22 Tillvägagångssätt Var smal och grund!
Fokusera samarbetet på identiteter och attribut för SSO

23 Behörighets- styrande attribut
Sambi Samverkan Teknisk standard Krav på säkerhet Behörighets- styrande attribut Gemensam infrastruktur

24 Mål för Sambi Sektorn Användarorganisation Tjänsteleverantör Användare
Ökad säkerhet Stimulera utveckling Användarorganisation Valfrihet, att välja sin egen lösning Enklare tjänsteintegration Enhetlig administration av användare Tjänsteleverantör Slippa administration av användare Enklare integration av kunderna Användare SSO, En inloggning till alla tjänster

25 Kostsamt med olika integrationer
Tjänsteleverantör Användar- organisation E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst

26 En standard för integrationen
Federation Gemensam Standard Regler En minimal infrastruktur Tjänsteleverantör Användar- organisation E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst

27 Standardiserad infrastruktur
Vi har kommit långt 60-tal: En terminal för varje applikation 90-tal: Standard för nät, webb, … Återstår att implementera en standard för identitets- och behörighetshanteringen mellan organisationer!

28 Identitet och attribut ska hanteras lokalt
Användar-organisation IdP SAML Användare Intyg eTjänst SP Inloggning Användar- uppgifter Användaradministration och kontohantering sker hos användarorganisationen IdP: identity Provider SP: Service Provider

29 SAML 2.0 - den tekniska standarden
Användarorganisation Tjänsteleverantör Intygs-utgivare Intyg Pseudonym + Attribut E-tjänst Användare Intyget innehållande uppgifter för att E-tjänsten ska kunna fatta beslut om åtkomst

30 Distribuerat ansvar Användarorganisation Tjänsteleverantör Intygs-utgivare Intyg Pseudonym + Attribut E-tjänst Användare Attributs-register Varje Användarorganisation ansvarar för att dess kataloguppgifter är korrekta

31 Distribuerat ansvar Användarorganisation Tjänsteleverantör E-legitimation Intygs-utgivare Intyg Pseudonym + Attribut E-tjänst SITHS Sv. e-leg ”Annan” ID Användare Attributs-register Varje användarorganisation ansvarar för sin E-legitimationslösning och användarhantering

32 Behov av en federationsoperatör
Användarorganisation Tjänsteleverantör E-legitimation Intygs-utgivare Intyg Pseudonym + Attribut E-tjänst SITHS Sv. e-leg ”Annan” ID Användare Attributs-register Medlems- register Federationsoperatör

33 Förtydliganden

34 Sambi är en standard, inte en produkt eller en central meddelandeväxel
Tjänsteleverantör Användar- organisation E-tjänst En gemensam standard Inte en central inloggning Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst

35 Sambi ändrar inte ansvaret för åtkomstkontroll
Användarorganisation Tjänsteleverantör E-tjänst Avtal Intyg Med attribut Sambi

36 Attributsförvaltning
Samverkan Teknisk standard Krav på säkerhet Behörighets- styrande attribut Gemensam infrastruktur

37 Information i intyget (förenklat)
Name ID Ex. transient / persistent ID (pseudonym) Iuerfn#y873yniuw%eyr847 Användarens attribut Namn: Kalle Karlsson E-post: Organisation: Ronneby Vårdcentral Roll: Läkare Livslängd Giltig till och med /13:54

38 Sambi attributsförvaltning
Placerad på Inera Organisatoriskt såsom en del av Ineras Säkerhetstjänsters förvaltning Uppdraget är att förvalta för SAMBI En första version planeras av en attributlista innan årsskiftet.

39 Omfattning för Sambi attributsförvaltning
Attribut för behörighetsstyrning Inte ”förbjudet” för tjänsten att hämta ytterligare attribut (applikationsdata) T.ex. efter inloggningen från annan lämplig katalog Om vi kan enas om attributen så möjliggörs det för eTjänsterna att välja mellan flera IdP:er

40 Statusrapport för attributförvaltningen

41 Principer för Sambis attribut
Det är fortsatt tjänsten som ansvarar för åtkomstkontroll, varför tjänsten är den som uttalar vilka attribut den behöver. Det är fortsatt användarorganisationens ansvar ansvarar att inte lämna ut fler attribut än nödvändigt. Långsiktigt är det bättre för alla med färre och väl definierade attribut!

42 Behörighets- styrande attribut
Tillit Samverkan Teknisk standard Krav på säkerhet Behörighets- styrande attribut Gemensam infrastruktur

43 Målsättning för Sambi ”Federationen skall fungera som en nationell mötesplats för säkra e-tjänster genom … en lösning som bygger på tillit och skydd för den personliga integriteten” Lennart:

44 Vad är Tillit? Vi kan ha tillit till någon utan att ha fullständig information om denna Inte bara en tro på människors och organisationers goda avsikter, utan en välgrundad tro på att deras lösningar och arbetsformer följer fastställda principer för säkerhet.

45 Målsättning för Sambis tillit
Part Ska kunna känna tillit till… Tjänsteleverantör att Identiteter och Attribut i utfärdade intyg är korrekta. Användarorganisation att Tjänsteleverantör hanterar åtkomsten till tjänsten och känsliga uppgifter korrekt.

46 Tillitsnivåer, Level of Assurance (LoA) ett koncept för identiteter i federationer
LoA 1 Ingen eller liten tillit till identiteten Typ Facebook, Google, Hotmail LoA 2 Begränsad tillit till identiteten AD-identitet, företagsinternt, domänspecifikt LoA 3 Hög tillit till identiteten Svensk e-legitimation, SITHS, Pass, körkort LoA 4 Mycket hög tillit till identiteten OBS! Klassningen gäller endast för identiteter, inte för de behörighetsstyrande attributen.

47

48 Krav på säkerhetsarbete
Krav A.4: Betrodd Part ska för den tjänst som medlemskapet avser ha infört ett strukturerat säkerhetsarbete anpassat efter risker och säkerhetsbehov, bestående av: En riskanalys avseende tjänsten och dess Funktioner. Denna ska ta hänsyn till skyddsvärde, befintliga skyddsåtgärder och legala krav. Riskanalysen ska omfatta analys av hot och sårbarheter, samt sannolikhet och konsekvens (skada) på Användare, den egna organisationen, andra Medlemmar och Federationsoperatören. Ett ledningssystem för informationssäkerhet för tjänsten baserat på ISO/IEC eller motsvarande. Säkerhetsåtgärderna ska hantera riskerna enligt riskanalysen för tjänsten och dess Funktioner. Genomförd internrevision av införandet och efterlevnaden av säkerhetsregelverket för tjänsten.

49 Status för Tillitsgranskningar 2015-10-19
Sökande Status SLL Beställningsportalen  Godkänd Stockholm  stad Tieto Inera HSA  Inera SITHS   Inlämnad till ELN SLL IdP  Väntar på komplettering Danderyds kommun Arbete pågår Lidingö stad Huddinge kommun Väntar på ansökan Inera säkerhetstjänster Inera Pascal eHM Inlämnat


Ladda ner ppt "Informationsdag kring Svensk e-legitimation"

Liknande presentationer


Google-annonser