Download præsentationen
Præsentation er lastning. Vent venligst
Offentliggjort afPhilippa Sørensen Redigeret for ca. et år siden
1
IDP Klar med IdP – konfiguration og tilslutningsproces til STS Adgangsstyring
2
FORMÅL MED DENNE PRÆSENTATION At I får et klart billede af: 1.Hvilke krav KOMBIT stiller til konfiguration af jeres IdP 2.Hvordan får I tilsluttet jeres IdP til eksternt testmiljø 3.Hvad I skal gøre for at løse opgaven rettidigt – det vil sige inden d. 12. august, 2016
3
Emner Kort introduktion til Jobfunktionsroller Brugersystemroller Dataafgrænsninger De 2 scenarier Den lokale Identity Provider Tilslutning til støttesystemerne KOMBITs attributprofil Jobfunktionsroller og OIO-BPP Dynamiske & statiske dataafgrænsninger Test af tilslutning Spørgsmål og svar
4
JOBFUNKTIONSROLLER, BRUGERSYSTEMROLLER & DATAAFGRÆNSNINGER
5
Hvad er en Jobfunktionsrolle? En jobfunktionsrolle er et sæt af rettigheder, der tilsammen gør det muligt for en medarbejder at udføre en funktion. En jobfunktionsrolle kunne være ‘Økonomimedarbejder’, ‘Sagsbehandler’ eller ‘Leder’. Teknisk består en jobfunktionsrolle af et sæt af brugersystemroller, hvor disse brugersystemroller kan komme fra forskellige it-systemer.
6
Hvad er en Brugersystemrolle? En Brugersystemrolle er et sæt af rettigheder i et bestemt it- system (fx SAPA). En Brugersystemrolle kan dataafgrænses på udvalgte områder (fx KLE emneområde eller Organisatorisk Enhed). Ikke alle systemer anvender dataafgrænsninger, fx har KSD og E&E ikke nogen dataafgrænsninger Dataafgrænsninger er optionelle, og hvis de ikke udfyldes, kan brugersystemrollen anvendes på alle tilgængelige data!
7
Datamodel Fx KLEFx 27.18.* Administreres af kommunen Administreres af it-leverandør
8
EKSEMPEL PÅ EN JOBFUNKTIONSROLLE
9
SAPA Brugersystemroller (lille uddrag) BrugersystemrolleDataafgrænsninger Begrænset visning af sagerKLE, Følsomhed, Organisatorisk Enhed Begrænset visning af sager og ydelser KLE, Følsomhed, Organisatorisk Enhed Fuld visning af sager, ydelser og dokumenter KLE, Følsomhed, Organisatorisk Enhed Opret journalnotater på partKLE Opret bemærkninger Visning af adviser i OverblikKLE, Følsomhed, Organisatorisk Enhed
10
En ”SAPA” Jobfunktionsroller JobfunktionsrolleBrugersystemrolleDataafgrænsning SagsbehandlerFuld visning af sager, ydelser og dokumenter KLE Følsomhed Organisatorisk Enhed Opret Journalnotat på partKLE Visning af adviser i overblikKLE Følsomhed Organisatorisk Enhed
11
HVORDAN TILDELES DATAAFGRÆNSNINGSVÆRDIER?
12
Prototype
13
Praktisk info om dataafgrænsningsværdier Dataafgrænsningsværdier kan tildeles den enkelte bruger på login tidspunkt (dynamisk) eller registreres direkte på jobfunktionsrollen (statisk) Dynamiske værdier har den fordel, at jobfunktionsroller kan genbruges i forskellige sammenhæng Fx en ”læse-rolle” der tildeles mange medarbejdere, men dataafgrænses individuelt Dynamiske værdier stiller dog større tekniske krav til den kommunale implementering af Identity Provider
14
DE 2 SCENARIER
15
Til netværksdagene gennemgik vi 2 scenarier Vallensbæk Kommune har i dialog med KOMBIT udarbejdet 4 forskellige implementeringsscenarier, baseret på en AD FS installation. 2 af disse blev præsenteret på STS netværksdagene 1.Mappe AD sikkerhedsgrupper til Jobfunktionsroller, uden anvendelse af dynamiske dataafgrænsningsværdier 2.Mappe AD sikkerhedsgrupper til Jobfunktionsroller, med anvendelse af dynamiske dataafgrænsningsværdier Materiale fra STS netværksdagene er sendt til deltagerne
16
Er I en løsningsscenarie 1 kommune….? Og ønsker I den nemme tilgang, hvor I blot skal installere en plug-in til jeres IdP…. Så, har Den Storkøbenhavnske Digitaliseringsforening allerede gjort arbejdet for jer De har udviklet et plug-in der er designet til løsningsscenarie 1 Plug-in er baseret på MS ADFS I kan downloade plug-in her: https://digitaliser.dk/group/3094254https://digitaliser.dk/group/3094254
17
DEN LOKALE IDENTITY PROVIDER
18
HVORDAN TILSLUTTES IDENTITY PROVIDEREN?
19
Overblik 1.Støttesystemet adgangsstyring for brugere (Context Handleren) registreres i Identity Provideren som en Service Provider / Relying Party. 2.Metadata udtrækkes af Kommunens Identity Provider, og registreres i adgangsstyring for brugere 3.Identity Provideren tilpasses/konfigureres til at overholde KOMBITs Attributprofil 4.For at teste at integrationen er korrekt udført, gennemføres et login mod et demo-system opsat af KOMBIT
20
1. REGISTRERING AF CONTEXT HANDLER SOM RP/SP
21
Registrering af metadata i Identity Provider Metadata (en XML fil) for adgangsstyring for brugere kan downloades direkte fra støttesystemerne Test-miljø https://adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2auth/metadata.idp Produktions-miljø https://adgangsstyring.stoettesystemerne.dk/runtime/saml2auth/metadata.idp Typisk er registrering af metadata en del af oprettelses- processen når man opretter en ny Service Provider i sit Identity Provider produkt
22
Registrering af metadata i Identity Provider (Safewhere Identify)
23
Registrering af metadata i kommunal Identity Provider (Safewhere Identify)
24
Registrering af metadata i Identity Provider (AD FS 3.0)
25
Registrering af metadata i kommunal Identity Provider (AD FS 3.0)
26
Registrering af metadata i Identity Provider (OpenAM)
28
2. METADATA UDTRÆKKES OG REGISTRERES HOS KOMBIT
29
Udtræk metadata fra Identity Provider Metadata fra kommunens egen IdP kan downloades fra den server hvor IdP’en er installeret Safewhere Identify https:// /runtime/saml2/metadata.idp AD FS https:// /FederationMetadata/2007-06/FederationMetadata.xml OpenAM https:// /openam/saml2/jsp/exportmetadata.jsp?entityid=
30
Udtræk metadata fra Identity Provider Krav om anvendelse af OCES certifikat
31
Registrering af metadata hos KOMBIT Mind mig på at vi skal forsøge at udfylde en blanket sammen inden vi slutter for i dag!
32
Sådan er proceduren…. 1.Download blanket I skal udfylde en anmodning om føderationsaftale til det eksterne testmiljø – hent den på kombit.dk/implementering 2. Udfyld blanket KMD tilbyder support i forbindelse med jeres test -I skal derfor huske at angive dato for, hvornår I forventer at teste 3. Send blanketten til KMD -Send den til sts-support@kmd.dksts-support@kmd.dk 4. KMD opretter føderationsaftale -KMD orienterer jer om at aftalen er oprettet 5. I tester
33
Når metadata er udvekslet
34
3. IDENTITY PROVIDER TILPASSES KOMBITS ATTRIBUTPROFIL
35
ATTRIBUTPROFILEN
36
KOMBIT Attributprofil Krævede attributter Standard formatering, Serial skal være unik! Lad os snakke om den her lige om lidt…
37
Statiske attributter (Identify)
38
Statiske attributter (AD FS 3.0)
39
Statiske attributter (OpenAM) OpenAM anvender en AttributeMapper til at udvælge hvilke attributter på brugerens konto (fx AD konto), der mappes til hvilke attributter i det udgående token. Fx på følgende måde dk:gov:saml:attribute:AssuranceLevel=assuranceLevel Hvis man ønsker at anvende statiske værdier, understøttes det fra OpenAM 11 på følgende måde dk:gov:saml:attribute:AssuranceLevel=”3”
40
JOBFUNKTIONSROLLER ANGIVES SOM OIO-BPP
41
Jobfunktionsroller i Attributprofilen Base64 enkodet OIO-BPP struktur http://vallensbaek.dk/roles/jobrole/sagsbehandler/1 http://vallensbaek.dk/roles/jobrole/leder/1
42
Hvordan enkodes én Jobfunktionsrolle http://vallensbaek.dk/roles/jobrole/sagsbehandler/1 http://vallensbaek.dk/roles/jobrole/leder/1 1 PrivilegeGroup = 1 Jobfunktionsrolle CVR nummeret på den kommune der ejer rollen (typisk egen kommune) ID på Jobfunktionsrollen (matcher ID registreret hos KOMBIT)
43
OIO-BPP er bare en enkelt attribut/claim Identity Provideren skal tilpasses, så den kan danne en OIO- BPP struktur, indeholdende de ID’er på Jobfunktionsroller som medarbejderen er tildelt OIO-BPP strukturen base64 enkodes, og udstedes som en SAML attribut på lige fod med de statiske attributter dk:gov:saml:attribute:Privileges_intermediate
44
REGISTRERING AF DATAAFGRÆNSNINGER
45
Statisk registrering af dataafgrænsninger JobfunktionsrolleBrugersystemrolleDataafgrænsning Sagsbehandler i ydelsescenter vest Fuld visning af sager, ydelser og dokumenter KLE = 32.* Org.Enhed = a26e4cdc- 48c8-4b58-b8f2- 6accfc1ef988 Opret Journalnotat på partKLE = 32.* Visning af adviser i overblikKLE = 32.* Org.Enhed = a26e4cdc- 48c8-4b58-b8f2- 6accfc1ef988 Registrering af konkrete værdier direkte i Administrationsmodulet
46
Dynamisk registrering af dataafgrænsninger JobfunktionsrolleBrugersystemrolleDataafgrænsning SagsbehandlerFuld visning af sager, ydelser og dokumenter KLE = http://vallensbaek.dk/KLE/1/parametric http://vallensbaek.dk/KLE/1/parametric Org.Enhed = http://vallensbaek.dk/organizationUnit/1/p arametric http://vallensbaek.dk/organizationUnit/1/p arametric Opret Journalnotat på part KLE = http://vallensbaek.dk/KLE/1/parametric http://vallensbaek.dk/KLE/1/parametric Visning af adviser i overblik KLE = http://vallensbaek.dk/KLE/1/parametric http://vallensbaek.dk/KLE/1/parametric Org.Enhed = http://vallensbaek.dk/organizationUnit/1/p arametric http://vallensbaek.dk/organizationUnit/1/p arametric Registreringen af ”pladsholdere” i Administrationsmodulet
47
Navnestandard Når en dataafgrænsningsværdi angives med en pladsholder, så skal pladsholderen overholde en navnestandard http:// / / /parametric Fx http://vallensbaek.dk/KLE/1/parametric
48
ANGIVELSE AF DATAAFGRÆNSNINGSVÆRDIER I TOKEN
49
Dataafgrænsningsværdier i token Samme som før Dynamiske dataafgrænsningsværdier
50
Dataafgrænsninger er også attributter/claims Identity Provideren skal tilpasses, så den kan udstede attributter for hver enkelt dataafgrænsning Den konkrete værdi kunne fx aflæses direkte på bruger- objektet, eller på den afdeling/enhed som brugeren er tilknyttet Hvis en Jobfunktionsrolle anvender dynamiske dataafgrænsningsværdier, så SKAL et token der indeholder denne Jobfunktionsrolle også indeholde en konkret værdi for dataafgrænsningen
51
4. TEST AF IDENTITY PROVIDER
52
Test mod demo-system I test-miljøet stiller KOMBIT et demo system til rådighed, hvor man kan foretage et login https://demo-brugervendtsystem.kombit.dk/test Systemet har ingen anden funktionalitet end login Efter succesfuld login, vises et skærmbillede der viser det token som demo systemet har modtaget I produktion er der ikke et demo-system (endnu…)
53
Test mod demo-system
54
Typiske udfordringer Spærrecheck af certifikat fejler (kun test-miljø) En af de 4 krævede attributter mangler NameID ikke på x509 format Anvender sha-1 algoritmen (sha-256 krævet)
55
Test mod demo-system
56
SPØRGSMÅL OG SVAR
Lignende præsentationer
© 2024 SlidePlayer.dk Inc.
All rights reserved.