SeGF 2014 | eGovernment-Services schweizweit und organisationsübergreifend - Aber sicher!

Berner Fachhochschule | E-Government-Institut | Andreas Spichiger

eGovernment-Services schweizweit und

organisationsübergreifend – Aber sicher!

Prof. Dr. Andreas Spichiger

Swiss eGovernment Forum, 4. März 2014

▶ E-Government-Institut

It’s me!


Gestaltungsprinzipien für die Identitäts- und

Zugriffsverwaltung (eCH-0107)

eIdentityBerechti-

gung

eRes-

source

Subjekt

Ressource

Zugriff kontrollieren

IAM definieren

IAM steuern


▶ 9 Millionen Personen

▶ 7’955’000 Einwohner

▶ 265’000 Grenzgänger

▶ 703’000 Auslandschweizer

▶ exklusive ‘Laufkundschaft’

▶ 780’000 Unternehmen

▶ 4’000 Behörden

▶ 7 Departemente, Bundeskanzlei, knapp 90 Ämter mit 37’000

Mitarbeitern

▶ 26 Kantone mit 156 Departementen und 1’262 Dienststellen

▶ 2’495 Gemeinden

Die Schweiz – eine eSociety mit …


▶ Standortunabhängiger Zugriff

▶ Minimaler Fussabdruck

▶ Minimales Risiko

▶ Einfache Benutzung

▶ Wahl der digitalen Identität und

der zugehörigen Authentifizierungsmerkmale

▶ Bring Your Own Identity!

Anforderungen des Subjekts

Subjekt


Meine Authentifizierungsmerkmale


▶ Statt Berechtigungseigenschaften zu pflegen werden

Personeneigenschaften zur Berechtigung verwendet.

▶ Informationen und Daten föderieren statt replizieren.

▶ Das Identity Management basiert auf einer föderierten,

international interoperablen Infrastruktur.

▶ Das IAM ist in andere IAM (auch auf internationaler

Ebene) einfach integrierbar.

▶ Das IAM kann bestehende IAM-Lösungen einfach

integrieren.

Architekturvision


Wie geht es weiter?

Nächste Monate

▶ Freigabe eCH-Standards

▶ Start SuisseTrust-IAM

Pilotprojekte

▶ Detaillierung der Konzepte

und Spezifikationen

▶ neue Portallösungen

Nächste Jahre

▶ IAM Bund, Kantone

▶ Mandanten-fähige Inhouse-

Vermittler

▶ Betrieb CH-Proxy für

STORK 2.0 (2015)

▶ Integration SuisseID-IdP

▶ Elektronische ID (2016)

Jahrzehnt(e): Standardisierung und Integration


04.03.2014

Identity Federation Hub

9 Your business technologists.Powering progress

Identity

Federation

Hub

Your business technologists.Powering progress

Federated Single Sign On für schweizweiten und sicheren eGov Services Zugriff

04.03.2014



Agenda

Der Weg zum Identity Federation Hub

Realisierungsvarianten

Funktionsdetails Identity Federation Hub

04.03.2014



Cloud Applikationen Am Anfang: Einfach mal benutzen!

Anytime

Files

Benutzer Admin

uid1/pwd1 uid4/pwd4 uid2/pwd2 uid3/pwd3

Je einen Account für jeden Benutzer auf jedem Service erzeugen

Separate Anmeldung für jeden Service

Jedem Benutzer dessen Account-Daten und Sicherheits- merkmale für jeden einzelnen Service mitteilen

IT-Umgebung des Kunden

eGov

Service(s)

04.03.2014



Cloud Applikationen 1: Login vereinfachen (Federation)

uid/pwd

Benutzer Admin

Federation Einen Adapter für jeden Service

Für jeden Benutzer auf jedem Service einen Account erzeugen

Ein Login für Federation

Jedem Benutzer den Ort des Dienstes und das Passwort für Federation mitteilen


eGov

Service(s)

04.03.2014



Cloud Applikationen 2: Provisionierung vereinfachen

eGov

Service(s)

Id.-Mgmt

Benutzer Admin

2 Adapter für jeden Service bauen

Jedem Benutzer den Ort des Dienstes und das Passwort für Federation mitteilen

Sich ein Login für Federation merken

uid/pwd Federation


04.03.2014



Cloud Applikationen Der komplette Federation-Dienst

Anytime

Files

AD/User Directory

Benutzer Admin

Transparente Federation mit IWA


IFH AD Connect

Federation: delegierte Authentisierung

IFH IWA Adapter

automat. synchronisieren von SSO-Identitäten

Monitor

Kerberos/NTLM

von Atos angebotener Dienst


Log in am Desktop

eGov

Service(s)

04.03.2014



Im Identity Federation Hub ist auch Autorisierung enthalten

Federation

Provisionierung

Kundenumgebung

IFH

Autorisierung User

AuthN

Portlet

User

App

Portlet ID Vault

• Eine Identität wird nur zum ID Vault transportiert, wenn sie als „IFH-User“ gekennzeichnet ist. Passworte werden NICHT im ID Vault gespeichert!

• Applikationen werden nur provisioniert, falls der Benutzer die Zugriffsrechte besitzt.

• Federation findet nur statt, falls ein Benutzer einen aktiven und gültigen Account in der Applikation besitzt.

IFH AD Connect

04.03.2014



Im Identity Federation Hub Authentisierung

Federation

Provisionierung


IFH

RADIUS

Active Directory

nur für Benutzer die in der Windows-Domäne eingeloggt sind

IFH Windows Authn

Autorisierung User

AuthN

Portlet

User

App

Portlet ID Vault

IFH Authn. Proxy

• IFH akzeptiert viele verschiedene Authentisierungs-methoden

• für den Benutzer in der Kundenumgebung transparent

• OTP/Dongle/PKI • Andere IdPs (SAML)

04.03.2014



User AuthN Portlet Select Method of Authentication

04.03.2014



User App Portlet Select Application (personalized)

04.03.2014



Identity Federation Hub und SuisseTrust IAM (Zusammenhang)

Cloud App


Office

SAML Proxy Authorization

ID Vault

Trusts IFH

eGov Service Provider

Strong Trust

Weak Trust to IFH

Attribute

Receiver

eGov Attribute

Provider

SAML Proxy

ID Provider

Vielen Dank! Enno Hoffmann

T+ 41 (0) 58 702 15 45 M+41 (0) 79 826 65 48

[email protected]

Atos AG Freilagerstrasse 28

8047 Zürich/Switzerland

mailto:[email protected]

Business

SeGF 2014 | eGovernment-Services schweizweit und organisationsübergreifend - Aber sicher!