Upload
egovegiz
View
255
Download
4
Embed Size (px)
DESCRIPTION
Mit der Neuauflage der Open-Source Software MOA-ID in der Version 2.0 wurde im März 2014 ein neuer Meilenstein im Bereich des Identitätsmanagements für Bürgerkarte und Handy-Signatur erreicht. Modulare Schnittstellen ermöglichen die Unterstützung von beliebigen Identitätsprotokollen wie SAML 2 (PVP 2) oder das in der Industrie weit verbreitete OpenID Connect (OAuth) Protokoll und somit eine nahtlose Integration in die unternehmenseigene Identitätsmanagementinfrastruktur. Aber auch Enterprise Features wie Clusterfähigkeit (für einen verteilten Betrieb), Mandantenfähigkeit, Vertretungsmanagement oder Single-Sign-On (SSO) zählen nunmehr zur Standardausführung. Mit der Unterstützung der PVP2 bzw. STORK Schnittstellen ist zudem ein digitaler Brückenschlag zwischen der nationalen eID in Form der Bürgerkarte bzw. Handy-Signatur und der heimischen Infrastruktur des Portalverbunds bzw. europäischen eID Infrastruktur gelungen. Der Vortrag beleuchtet die wesentlichen Neuerungen der Open-Source Software MOA-ID der Plattform Digitales Österreich und zeigt welche Vorteile sich durch eine Integration sowohl für die Verwaltung als auch Unternehmen ergeben.
Citation preview
Dr. Arne TauberEisenstadt, 03.06.2014
Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des
Bundeskanzleramtes und der TU Graz
Identitätsmanagement der nächsten
Generation…mit der österreichischen Handy-Signatur
Arne TauberEisenstadt, 03.06.2014 2
Eindeutige Identität
Arne TauberEisenstadt, 03.06.2014 3
Starke Authentifizierung
Arne TauberEisenstadt, 03.06.2014 4
Einfache Bedienung
Arne TauberEisenstadt, 03.06.2014 5
EU E-Government Benchmark 2014
(Good Practices)
» “It is an easy-to-use qualified electronic signature that fosters trust and security, reliability and authenticity for Government and beyond.”
» “Austria literally achieved in squaring the circle: with this innovative solution a qualified electronic signature can be created in the easiest possible way by simply using a standard mobile phone. Barriers from the need of soft- or hardware installation and additional investments completely fall away.”
Arne TauberEisenstadt, 03.06.2014 6
Erfolgsmodell Handy-Signatur
Arne TauberEisenstadt, 03.06.2014 7
MOA-ID 1.x – State of the art?
» Bürgerseite» Aktuellste SL-Spezifikation» Sämtliche BKUs
» Identity/Service Provider» Identitätsprotokolle
» SAML 1.0 (2002)» Artifact Resolution
» Weitere IdP-Features?
Seite: http://evateuling.blogspot.co.at
Arne TauberEisenstadt, 03.06.2014 8
MOA-ID 1.x – State of the art?
» Bürgerseite» Aktuellste SL-Spezifikation» Sämtliche BKUs
» Identity/Service Provider» Identitätsprotokolle
» SAML 1.0 (2002)» Artifact Resolution
» Weitere IdP-Features?
Seite: http://evateuling.blogspot.co.at
Isolierter Betrieb
Arne TauberEisenstadt, 03.06.2014 9
IdentitätsmanagementAktuelle Trends
» Mobile Computing» MDM, BYOD, …
» Cloud Computing» IaaS, PaaS, SaaS, XaaS, …» Pulic, Private, Community, Hybrid cloud
» Interoperabilität» Federation, Broker, Bridges, …
Arne TauberEisenstadt, 03.06.2014 10
Identity Management as a Service (IDMaaS)
» Handy-Signatur eine Art „Cloud Service“?» Ziele eines „zentralisierten“ Betriebs
» Hochverfügbarkeit / Skalierbarkeit» Kostenreduktion» Multi-tenancy (Mandatenfähigkeit)
» Modelle» Public Cloud (Datenschutzbedenken)» Private Cloud» Hybrid Cloud (Enterprise & Cloud)» Shared Service
Arne TauberEisenstadt, 03.06.2014 11
Identity Management as a Service (IDMaaS)
» Handy-Signatur eine Art „Cloud Service“?» Ziele eines „zentralisierten“ Betriebs
» Hochverfügbarkeit / Skalierbarkeit» Kostenreduktion» Multi-tenancy (Mandatenfähigkeit)
» Modelle» Public Cloud (Datenschutzbedenken)» Private Cloud» Hybrid Cloud (Enterprise & Cloud)» Shared Service
Arne TauberEisenstadt, 03.06.2014 12
Interoperabilität
» Fragmentierte IDM Landschaft» Unzählige Produkte, Systeme, Plattformen
» Microsoft, IBM, Oracle, …
» Trend geht in Richtung Interoperabilität» Federation / Standards
» SAML 2, OAuth, OpenID, CAS, WS-Federation
» Bridges» Identity Broker (Skidentity)
Arne TauberEisenstadt, 03.06.2014 13
Interoperabilität
» Fragmentierte IDM Landschaft» Unzählige Produkte, Systeme, Plattformen
» Microsoft, IBM, Oracle, …
» Trend geht in Richtung Interoperabilität» Federation / Standards
» SAML 2, OAuth, OpenID, CAS, WS-Federation
» Bridges» Identity Broker (Skidentity)
Arne TauberEisenstadt, 03.06.2014 14
Paradigmenwechsel
Isolierter Betrieb Zentraler Betrieb Interoperabilität
Arne TauberEisenstadt, 03.06.2014 15
Modulares Identitätsmanagement
» Trennung von Programmlogik & Daten» Persistente Daten (Konfiguration)» Flüchtige Daten (Session Informationen)
» Identitätsprotokolle» SAML1, SAML2 (PVP2), STORK, OAuth, …
» Authentifizierungsmechanismen» Handy-Signatur / STORK / Next?
Arne TauberEisenstadt, 03.06.2014 16
MOA-ID 2.x Architektur
Arne TauberEisenstadt, 03.06.2014 17
Features (1)
» Clusterfähigkeit / Skalierbarkeit» 1 Datenbank – n MOA Instanzen
» Multi-tenancy» DB-basierte Konfiguration» GUI-basierte Registrierung / Verwaltung
» Plugin-basierte Identitätsprotokolle» PVP2 (Verwaltung) als Standardvariante» OAuth für Privatwirtschaft» STORK (ausl. Identitäten)» SAML1 (Abwärtskompatibilität)
Arne TauberEisenstadt, 03.06.2014 18
SAML 2 (PVP2 Profil)
» PVP 2.1» E-Government Attribut Profil
Arne TauberEisenstadt, 03.06.2014 19
Features (2)
» Single-Sign-On (SSO)» 1x Authentifizieren, n-mal Anmelden
» Federated SSO» Weitergabe von Anmeldedaten zwischen
MOA Instanzen» Single-Logout (SLO)» Statistikfunktion (DB)» Integrierte Monitoringfunktionalität» Fehlerhandling, Templategenerierung, …
Arne TauberEisenstadt, 03.06.2014 20
SSO von MyHelp zu FinanzOnline
(Gleiche Domäne)» Link Klick „FON“» Redirect zu FON» FON holt
Identitätsdaten von MOA 2.0 (BRZ) ab über» Assertion von MOA
berechnet
» Voraussetzungen:» MOA 2.0
MOA 2.0(Help.gv.at)
CACHEPersB+Signatur
MyHelp
IdentitätsdatenBereich (SA)
FON
Arne TauberEisenstadt, 03.06.2014 21
Features (2)
» Single-Sign-On (SSO)» 1x Authentifizieren, n-mal Anmelden
» Federated SSO» Weitergabe von Anmeldedaten zwischen
MOA Instanzen» Single-Logout (SLO)» Statistikfunktion (DB)» Integrierte Monitoringfunktionalität» Fehlerhandling, Templategenerierung, …
Arne TauberEisenstadt, 03.06.2014 22
SSO von MyHelp zu Zustelldienst
(Unterschiedliche Domänen)» Link Klick „ZD-X“» Redirect zu MOA (2.0)
des ZD» MOA 2.0 (ZD) holt
Identitätsdaten von MOA 2.0 (Help) ab über» PVP 2.1 (C2GToken)» Berechnung bPK aus PersB
Cache
» Voraussetzungen:» MOA 2.0 / PVP 2.1
» Anmerkung: Abholung von Zustellstücken über PVP2.1 Signatur = automatisiert ausgelöste Signatur nach §35(3) ZustG
Arne TauberEisenstadt, 03.06.2014 23
Features (2)
» Single-Sign-On (SSO)» 1x Authentifizieren, n-mal Anmelden
» Federated SSO» Weitergabe von Anmeldedaten zwischen
MOA Instanzen» Single-Logout (SLO)» Statistikfunktion (DB)» Integrierte Monitoringfunktionalität» Fehlerhandling, Templategenerierung, …
Arne TauberEisenstadt, 03.06.2014 24
Automatische Templategenerierung
Arne TauberEisenstadt, 03.06.2014 25
Ausblick
» Neue Technologien» SMS Alternativen, …
» Modularisierung Attribute Provider» Derzeit Online-Vollmachten» Weitere Registerabfragen (ZMR, …)
» Betrieb als kritische Infrastruktur
Arne Tauber – [email protected]
Vielen Dank für die Aufmerksamkeit!