Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

IDP Klar med IdP – konfiguration og tilslutningsproces til STS Adgangsstyring.

Offentliggjort afPhilippa Sørensen Redigeret for ca. et år siden

Lignende præsentationer

Præsentationer af emnet: "IDP Klar med IdP – konfiguration og tilslutningsproces til STS Adgangsstyring."— Præsentationens transcript:

1 IDP Klar med IdP – konfiguration og tilslutningsproces til STS Adgangsstyring

2 FORMÅL MED DENNE PRÆSENTATION At I får et klart billede af: 1.Hvilke krav KOMBIT stiller til konfiguration af jeres IdP 2.Hvordan får I tilsluttet jeres IdP til eksternt testmiljø 3.Hvad I skal gøre for at løse opgaven rettidigt – det vil sige inden d. 12. august, 2016

3 Emner Kort introduktion til  Jobfunktionsroller  Brugersystemroller  Dataafgrænsninger  De 2 scenarier Den lokale Identity Provider  Tilslutning til støttesystemerne  KOMBITs attributprofil  Jobfunktionsroller og OIO-BPP  Dynamiske & statiske dataafgrænsninger  Test af tilslutning Spørgsmål og svar

4 JOBFUNKTIONSROLLER, BRUGERSYSTEMROLLER & DATAAFGRÆNSNINGER

5 Hvad er en Jobfunktionsrolle? En jobfunktionsrolle er et sæt af rettigheder, der tilsammen gør det muligt for en medarbejder at udføre en funktion. En jobfunktionsrolle kunne være ‘Økonomimedarbejder’, ‘Sagsbehandler’ eller ‘Leder’. Teknisk består en jobfunktionsrolle af et sæt af brugersystemroller, hvor disse brugersystemroller kan komme fra forskellige it-systemer.

6 Hvad er en Brugersystemrolle? En Brugersystemrolle er et sæt af rettigheder i et bestemt it- system (fx SAPA). En Brugersystemrolle kan dataafgrænses på udvalgte områder (fx KLE emneområde eller Organisatorisk Enhed). Ikke alle systemer anvender dataafgrænsninger, fx har KSD og E&E ikke nogen dataafgrænsninger Dataafgrænsninger er optionelle, og hvis de ikke udfyldes, kan brugersystemrollen anvendes på alle tilgængelige data!

7 Datamodel Fx KLEFx 27.18.* Administreres af kommunen Administreres af it-leverandør

8 EKSEMPEL PÅ EN JOBFUNKTIONSROLLE

9 SAPA Brugersystemroller (lille uddrag) BrugersystemrolleDataafgrænsninger Begrænset visning af sagerKLE, Følsomhed, Organisatorisk Enhed Begrænset visning af sager og ydelser KLE, Følsomhed, Organisatorisk Enhed Fuld visning af sager, ydelser og dokumenter KLE, Følsomhed, Organisatorisk Enhed Opret journalnotater på partKLE Opret bemærkninger Visning af adviser i OverblikKLE, Følsomhed, Organisatorisk Enhed

10 En ”SAPA” Jobfunktionsroller JobfunktionsrolleBrugersystemrolleDataafgrænsning SagsbehandlerFuld visning af sager, ydelser og dokumenter KLE Følsomhed Organisatorisk Enhed Opret Journalnotat på partKLE Visning af adviser i overblikKLE Følsomhed Organisatorisk Enhed

11 HVORDAN TILDELES DATAAFGRÆNSNINGSVÆRDIER?

12 Prototype

13 Praktisk info om dataafgrænsningsværdier Dataafgrænsningsværdier kan tildeles den enkelte bruger på login tidspunkt (dynamisk) eller registreres direkte på jobfunktionsrollen (statisk) Dynamiske værdier har den fordel, at jobfunktionsroller kan genbruges i forskellige sammenhæng Fx en ”læse-rolle” der tildeles mange medarbejdere, men dataafgrænses individuelt Dynamiske værdier stiller dog større tekniske krav til den kommunale implementering af Identity Provider

14 DE 2 SCENARIER

15 Til netværksdagene gennemgik vi 2 scenarier Vallensbæk Kommune har i dialog med KOMBIT udarbejdet 4 forskellige implementeringsscenarier, baseret på en AD FS installation. 2 af disse blev præsenteret på STS netværksdagene 1.Mappe AD sikkerhedsgrupper til Jobfunktionsroller, uden anvendelse af dynamiske dataafgrænsningsværdier 2.Mappe AD sikkerhedsgrupper til Jobfunktionsroller, med anvendelse af dynamiske dataafgrænsningsværdier Materiale fra STS netværksdagene er sendt til deltagerne

16 Er I en løsningsscenarie 1 kommune….? Og ønsker I den nemme tilgang, hvor I blot skal installere en plug-in til jeres IdP…. Så, har Den Storkøbenhavnske Digitaliseringsforening allerede gjort arbejdet for jer De har udviklet et plug-in der er designet til løsningsscenarie 1 Plug-in er baseret på MS ADFS I kan downloade plug-in her: https://digitaliser.dk/group/3094254https://digitaliser.dk/group/3094254

17 DEN LOKALE IDENTITY PROVIDER

18 HVORDAN TILSLUTTES IDENTITY PROVIDEREN?

19 Overblik 1.Støttesystemet adgangsstyring for brugere (Context Handleren) registreres i Identity Provideren som en Service Provider / Relying Party. 2.Metadata udtrækkes af Kommunens Identity Provider, og registreres i adgangsstyring for brugere 3.Identity Provideren tilpasses/konfigureres til at overholde KOMBITs Attributprofil 4.For at teste at integrationen er korrekt udført, gennemføres et login mod et demo-system opsat af KOMBIT

20 1. REGISTRERING AF CONTEXT HANDLER SOM RP/SP

21 Registrering af metadata i Identity Provider Metadata (en XML fil) for adgangsstyring for brugere kan downloades direkte fra støttesystemerne Test-miljø https://adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2auth/metadata.idp Produktions-miljø https://adgangsstyring.stoettesystemerne.dk/runtime/saml2auth/metadata.idp Typisk er registrering af metadata en del af oprettelses- processen når man opretter en ny Service Provider i sit Identity Provider produkt

22 Registrering af metadata i Identity Provider (Safewhere Identify)

23 Registrering af metadata i kommunal Identity Provider (Safewhere Identify)

24 Registrering af metadata i Identity Provider (AD FS 3.0)

25 Registrering af metadata i kommunal Identity Provider (AD FS 3.0)

26 Registrering af metadata i Identity Provider (OpenAM)

27

28 2. METADATA UDTRÆKKES OG REGISTRERES HOS KOMBIT

29 Udtræk metadata fra Identity Provider Metadata fra kommunens egen IdP kan downloades fra den server hvor IdP’en er installeret Safewhere Identify https:// /runtime/saml2/metadata.idp AD FS https:// /FederationMetadata/2007-06/FederationMetadata.xml OpenAM https:// /openam/saml2/jsp/exportmetadata.jsp?entityid=

30 Udtræk metadata fra Identity Provider Krav om anvendelse af OCES certifikat

31 Registrering af metadata hos KOMBIT Mind mig på at vi skal forsøge at udfylde en blanket sammen inden vi slutter for i dag!

32 Sådan er proceduren…. 1.Download blanket I skal udfylde en anmodning om føderationsaftale til det eksterne testmiljø – hent den på kombit.dk/implementering 2. Udfyld blanket KMD tilbyder support i forbindelse med jeres test -I skal derfor huske at angive dato for, hvornår I forventer at teste 3. Send blanketten til KMD -Send den til sts-support@kmd.dksts-support@kmd.dk 4. KMD opretter føderationsaftale -KMD orienterer jer om at aftalen er oprettet 5. I tester

33 Når metadata er udvekslet

34 3. IDENTITY PROVIDER TILPASSES KOMBITS ATTRIBUTPROFIL

35 ATTRIBUTPROFILEN

36 KOMBIT Attributprofil Krævede attributter Standard formatering, Serial skal være unik! Lad os snakke om den her lige om lidt…

37 Statiske attributter (Identify)

38 Statiske attributter (AD FS 3.0)

39 Statiske attributter (OpenAM) OpenAM anvender en AttributeMapper til at udvælge hvilke attributter på brugerens konto (fx AD konto), der mappes til hvilke attributter i det udgående token. Fx på følgende måde dk:gov:saml:attribute:AssuranceLevel=assuranceLevel Hvis man ønsker at anvende statiske værdier, understøttes det fra OpenAM 11 på følgende måde dk:gov:saml:attribute:AssuranceLevel=”3”

40 JOBFUNKTIONSROLLER ANGIVES SOM OIO-BPP

41 Jobfunktionsroller i Attributprofilen Base64 enkodet OIO-BPP struktur http://vallensbaek.dk/roles/jobrole/sagsbehandler/1 http://vallensbaek.dk/roles/jobrole/leder/1

42 Hvordan enkodes én Jobfunktionsrolle http://vallensbaek.dk/roles/jobrole/sagsbehandler/1 http://vallensbaek.dk/roles/jobrole/leder/1 1 PrivilegeGroup = 1 Jobfunktionsrolle CVR nummeret på den kommune der ejer rollen (typisk egen kommune) ID på Jobfunktionsrollen (matcher ID registreret hos KOMBIT)

43 OIO-BPP er bare en enkelt attribut/claim Identity Provideren skal tilpasses, så den kan danne en OIO- BPP struktur, indeholdende de ID’er på Jobfunktionsroller som medarbejderen er tildelt OIO-BPP strukturen base64 enkodes, og udstedes som en SAML attribut på lige fod med de statiske attributter dk:gov:saml:attribute:Privileges_intermediate

44 REGISTRERING AF DATAAFGRÆNSNINGER

45 Statisk registrering af dataafgrænsninger JobfunktionsrolleBrugersystemrolleDataafgrænsning Sagsbehandler i ydelsescenter vest Fuld visning af sager, ydelser og dokumenter KLE = 32.* Org.Enhed = a26e4cdc- 48c8-4b58-b8f2- 6accfc1ef988 Opret Journalnotat på partKLE = 32.* Visning af adviser i overblikKLE = 32.* Org.Enhed = a26e4cdc- 48c8-4b58-b8f2- 6accfc1ef988 Registrering af konkrete værdier direkte i Administrationsmodulet

46 Dynamisk registrering af dataafgrænsninger JobfunktionsrolleBrugersystemrolleDataafgrænsning SagsbehandlerFuld visning af sager, ydelser og dokumenter KLE = http://vallensbaek.dk/KLE/1/parametric http://vallensbaek.dk/KLE/1/parametric Org.Enhed = http://vallensbaek.dk/organizationUnit/1/p arametric http://vallensbaek.dk/organizationUnit/1/p arametric Opret Journalnotat på part KLE = http://vallensbaek.dk/KLE/1/parametric http://vallensbaek.dk/KLE/1/parametric Visning af adviser i overblik KLE = http://vallensbaek.dk/KLE/1/parametric http://vallensbaek.dk/KLE/1/parametric Org.Enhed = http://vallensbaek.dk/organizationUnit/1/p arametric http://vallensbaek.dk/organizationUnit/1/p arametric Registreringen af ”pladsholdere” i Administrationsmodulet

47 Navnestandard Når en dataafgrænsningsværdi angives med en pladsholder, så skal pladsholderen overholde en navnestandard http:// / / /parametric Fx http://vallensbaek.dk/KLE/1/parametric

48 ANGIVELSE AF DATAAFGRÆNSNINGSVÆRDIER I TOKEN

49 Dataafgrænsningsværdier i token Samme som før Dynamiske dataafgrænsningsværdier

50 Dataafgrænsninger er også attributter/claims Identity Provideren skal tilpasses, så den kan udstede attributter for hver enkelt dataafgrænsning Den konkrete værdi kunne fx aflæses direkte på bruger- objektet, eller på den afdeling/enhed som brugeren er tilknyttet Hvis en Jobfunktionsrolle anvender dynamiske dataafgrænsningsværdier, så SKAL et token der indeholder denne Jobfunktionsrolle også indeholde en konkret værdi for dataafgrænsningen

51 4. TEST AF IDENTITY PROVIDER

52 Test mod demo-system I test-miljøet stiller KOMBIT et demo system til rådighed, hvor man kan foretage et login https://demo-brugervendtsystem.kombit.dk/test Systemet har ingen anden funktionalitet end login Efter succesfuld login, vises et skærmbillede der viser det token som demo systemet har modtaget I produktion er der ikke et demo-system (endnu…)

53 Test mod demo-system

54 Typiske udfordringer Spærrecheck af certifikat fejler (kun test-miljø) En af de 4 krævede attributter mangler NameID ikke på x509 format Anvender sha-1 algoritmen (sha-256 krævet)

55 Test mod demo-system

56 SPØRGSMÅL OG SVAR

Download ppt "IDP Klar med IdP – konfiguration og tilslutningsproces til STS Adgangsstyring."

Lignende præsentationer

Fastlæggelse af brugermønstre for forskellige roller (Sagsoverblik/Partskontakt) Metodevejledning.

Fastlæggelse af brugermønstre for forskellige roller (Sagsoverblik/Partskontakt) Metodevejledning.
Muligheder for avanceret modtagelse i Digital Post for virksomheder

Muligheder for avanceret modtagelse i Digital Post for virksomheder
Opstartsmøde fase 2: Implementering og etablering af miljøerne

Opstartsmøde fase 2: Implementering og etablering af miljøerne
Tjekliste Er din myndighed klar til Digital Post? Kan din myndighed modtage og besvare digital post? Test om det virker Sørg for at teste, om myndigheden.

Tjekliste Er din myndighed klar til Digital Post? Kan din myndighed modtage og besvare digital post? Test om det virker Sørg for at teste, om myndigheden.
Velkommen Lars Johansson ProjectForce. Program: Lidt omkring Athena IT-Group A/S Introduktion til ProjectForce – Microsoft Sharepoint Lidt teori omkring.

Velkommen Lars Johansson ProjectForce. Program: Lidt omkring Athena IT-Group A/S Introduktion til ProjectForce – Microsoft Sharepoint Lidt teori omkring.
Grontmij Grontmij Status på udvikling af ny JordWeb ENVINA JORD 25. September 2013 Copyright © 2013 Grontmij A/S | CVR 48233511 Musikhuskvarteret - Aalborg.

Grontmij Grontmij Status på udvikling af ny JordWeb ENVINA JORD 25. September 2013 Copyright © 2013 Grontmij A/S | CVR Musikhuskvarteret - Aalborg.
UVA Præsentation UVA A A R H U S U N I V E R S I T E T Datakontoret Projektsekretariatet Velkommen  Disposition  Systemets kontekst og formål  Primære.

UVA Præsentation UVA A A R H U S U N I V E R S I T E T Datakontoret Projektsekretariatet Velkommen  Disposition  Systemets kontekst og formål  Primære.
Adgangsstyring og brugeradm.

Adgangsstyring og brugeradm.
SAPA netværksmøde den 10. juni 2014

SAPA netværksmøde den 10. juni 2014
Michel Sassene, projektleder

Michel Sassene, projektleder
Portalintegrationsprojektet Nyt fra brugerstyring ERFA møde 6. februar 2008 Thomas Gundel.

Portalintegrationsprojektet Nyt fra brugerstyring ERFA møde 6. februar 2008 Thomas Gundel.
Løsninger og teknik www.digst.dk/digitalpost.

Løsninger og teknik
Den Regionale LEAN Enhed

Den Regionale LEAN Enhed
Effektiv adgang til data Niels Mørck, Carl Bro GIS & IT  Carl Bro GIS og IT  Problemstillingen  Nordjyllands Amts Blanketsystem  Centralisering / decentralisering.

Effektiv adgang til data Niels Mørck, Carl Bro GIS & IT  Carl Bro GIS og IT  Problemstillingen  Nordjyllands Amts Blanketsystem  Centralisering / decentralisering.
KIGO og kommunernes opgaver

KIGO og kommunernes opgaver
Tilføj hjælpelinjer: 1.Højreklik et sted i det grå område rundt om dette dias 2.Vælg Gitter og hjælpelinjer 3.Vælg Vis hjælpelinjer på skærm Oplæg.

Tilføj hjælpelinjer: 1.Højreklik et sted i det grå område rundt om dette dias 2.Vælg "Gitter og hjælpelinjer" 3.Vælg "Vis hjælpelinjer på skærm" Oplæg.
Sikkerhed og video i SkoleIntra

Sikkerhed og video i SkoleIntra
Det Fælles Biblioteks-system

Det Fælles Biblioteks-system
Spor om implementering, udrulning og entré-strategi

Spor om implementering, udrulning og entré-strategi
SAPA KOMMUNENENETVÆRKSMØDE Juni 2015 Workshop rettigheder v/Birgitte Wendelboe – Klaus Rasmussen.

SAPA KOMMUNENENETVÆRKSMØDE Juni 2015 Workshop rettigheder v/Birgitte Wendelboe – Klaus Rasmussen.

Lignende præsentationer

Annoncer fra Google