Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
SuisseID Provider Forum 2013 Technische Integration
Nick Hangartner [email protected]
August 2013 1
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Agenda
Was ist die SuisseID?
Technische Grundlagen
Integrationsmöglichkeiten
Login
Digitale Unterschrift
August 2013 2
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Was ist die SuisseID?
• Die SuisseID ist der schweizerische Standard für einen
elektronischen Identitätsausweis im Internet, der die
rechtliche und technische Voraussetzung für digitale
Geschäftsprozesse schafft.
• Die SuisseID bietet eine einfache Nutzung hochwertiger
Sicherheitstechnologie für ein sicheres Login und die
rechtsgültige digitale Signatur.
August 2013 3
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Woraus besteht die SuisseID?
• Öffentlicher Standard
Die SuisseID Spezifikationen
• Marke
Erkennbar und unverwechselbar
• Technische Hilfsmittel
SuisseID Zertifikate, Smartcard, SuisseID IdP, SuisseID SDK
• Services
SuisseID Services
August 2013 4
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Welche Anforderungen deckt die SuisseID ab?
August 2013 5
Anwender
• Einfach und sicher
• Benutzerfreundlich
• Passepartout
• Vertraulichkeit
Service Provider
• Fokussierung auf Kernprozesse
• Zugriffssicherheit
• Automatiserung von Prozessen
• Service-Erweiterung
Gesetz
• OR Art. 14 Abs 2bis
• ZertES
• ElDI-V
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Agenda
Was ist die SuisseID?
Technische Grundlagen
Anwendungsintegration
Login
Digitale Unterschrift
August 2013 6
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Konzept SuisseID
Einordnung in Identity and Access Management IAM
August 2013 7
Identität
Authentisierung
Autorisierung
Ressourcen
• Auf Stufe Pass / Identitätskarte
• Verifizierte Angaben
• Eindeutige Identifikation
• 2 Faktor
• Hardware Token
• Authentisierungs-Service
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
August 2013 8
Bezug
• Face to face
• Behörden, Post, Unternehmen
• Logistik
Inbetriebnahme
• Installation
• Aktivierung
Wartung
• Ersatz
• Passwort / PUK
• Erneuerung
• Sperrung
Support
• Online
• Telefon
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Konzept SuisseID
Technische Komponenten
• SuisseID Smartcard Token • Vorname, Name, SuisseID Nummer
• E-Mail-Adresse
• Authentisierungzertifikat (IAC) / Signaturzertifikat (QC)
• SuisseID Identity Provider (IdP) • Cloud Service
• Erweiterte validierte Daten
• Alternative Authentisierungs-Methoden / Tokens
• Freigabe unter Kontrolle vom Benutzer
• Teilweise anonymisiert – z. B. 16 / 18 Jahre alt oder älter
August 2013 9
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Agenda
Was ist die SuisseID?
Technische Grundlagen
Anwendungsintegration
Login
Digitale Unterschrift
August 2013 10
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Anwendungsintegration
Client und Cloud
• Client: Wie integriere ich die SuisseID auf einem Client?
Wie kann der Benutzer die SuisseID nutzen?
• Cloud: Wie integriere ich die SuisseID Funktionalität in
meine Cloud- / Web-Applikation?
August 2013 11
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Erfolgskritische Fragen vor der Integration
• Welche Güte soll die Identifikation haben – rechtlich,
Branchenvorgaben, interne Policy?
• Welche Qualität soll die Authentisierung haben?
• Können verifizierte Daten Registrierungs- oder
Authorisierungsprozesse vereinfachen?
• Wie hängen Identitäten und Accounts zusammen?
• Integration in Anwendung direkt oder über Proxy /
Firewall?
• Support von technischen Standards / Schnittstellen?
August 2013 12
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Agenda
Was ist die SuisseID?
Technische Grundlagen
Anwendungsintegration
Login
Digitale Unterschrift
August 2013 13
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Zertifikats-Login
Mutual SSL
• Browser mit Smartcard-Unterstützung
• Konfiguration in Webserver (z. B. Apache „SSLRequire”),
Applikationsserver, Proxy, Firewalls
• Zertifikatsdaten in Variablen, HTTP-Header, Cookies
August 2013 14
1. Access protected resource
2. Request certificate 3. Authenticate
4. Provide credentials
Browser
Service Provider SuisseID
Smartcard
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Zertifikats-Login
Identifikationsmerkmal im IAC Zertifikat
August 2013 15
CN=Hans Muster (Authentication) Vorname Nachname
/serialNumber=1300-xxxx-xxxx-xxxx SuisseID Nummer einer Person gehörend
/eMail= [email protected] E-Mail-Adresse (optional)
/O=Firma, /OU=Einheit, /C=Land Organisation (optional)
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
IDP-Login
SAML Login und Attribute Query
August 2013 16
User Agent (Web Browser)
Service Provider (Web-Anwendung)
SuisseID Smartcard / SMS
Identity Provider
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
August 2013 17
IDP-Login
SAML 2.0 Technischer Ablauf
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Schnittstelle Definition
Service Provider
• Eindeutig über SAML Issuer identifiziert, z. B. http://sp.mycompany.ch
• SAML 2.0 AuthnRequest (Login) / AttributeQuery (Datenabfrage)
• SuisseID SDK for Java (OpenSAML) und .NET
• 3rd party SDK / Library (PHP: SimpleSAML etc.)
• Response end point SAML ConsumerURL
• QC Signed Attributes / Plain Attributes
Identity Provider
• Neu : eine IdP für alle SuisseID‘s
August 2013 18
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Vorname Art des Ausweisdokuments
Name Ausgabeland des Ausweisdokuments
Evtl. Pseudonym Ausgabebehörde des Ausweisdokuments
Geburtsdatum Ausgabedatum des Ausweisdokuments
Teilweises Geburtsdatum Ablaufdatum des Ausweisdokuments
Geburtsort Alter
Heimatort und Bürgerort > 16 Jahre
Geschlecht > 18 Jahre
Nationalität Vollendetes Altersjahr
Nummer des
Ausweisdokuments
Schweizer Bürger(in)
August 2013 Seite 19
IDP-Login
Abfrageattribute
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
IDP-Login
Integration und Support
• Service Provider Registration
• www.post.ch/suisseid/support/techdoc/service-provider-
registration
• Information über Wartungsarbeiten, Neuerungen
• Produktion und Testumgebungen
• Test mit Soft-Zertifikaten möglich
• Demo Service Provider (Teil des SDK)
https://idp.signdemo.com/webapp-sp
August 2013 20
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Agenda
Was ist die SuisseID?
Technische Grundlagen
Anwendungsintegration
Login
Digitale Unterschrift
August 2013 21
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Digitale Unterschrift
Rechtsgültig unterschreiben
Client mit Anwendung SuisseID Smartcard Token
• PKCS#11 Libraries: Java, BouncyCastle (Java), iText (PDF),
Microsoft .NET
• SuisseID bietet PKCS#11 Schnittstelle auf Windows, Mac OS X,
Linux
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
August 2013 Seite 23
Digitale Unterschrift – Beispiel PDF Signatur
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
August 2013 Seite 24
Digitale Unterschrift – Beispiel PDF Signatur
Verein Trägerschaft SuisseID
Geschäftsstelle
Steinerstrasse 37
CH-3006 Bern
Ressourcen
Weitere Informationen für die Integration
• SuisseID Spezifikation
www.suisseid.ch/unternehmen/technik
• SuisseID Software Development Kit (SDK)
develop.suisseid.ch
• Technische Dokumentation
www.post.ch/suisseid/de/support/techdoc
• SuisseID Mobile Service
www.post.ch/suisseid/mobileservice
August 2013 Seite 25