Download præsentationen
Præsentation er lastning. Vent venligst
Offentliggjort afBirgitte Olesen Redigeret for ca. et år siden
1
OPSTARTSMØDE Klar med IdP – konfiguration og tilslutningsproces
2
HVORFOR ER VI HER? Din kommune skal have tilsluttet en IdP til STS Adgangsstyring senest d. 12. august
3
LIDT BAGGRUND
4
DEN ”GAMLE” VIRKELIGHED 2017 ORGANISATION KLASSIFIKATION ADGANGSSTYRING MONOPOLBRUD ”CLASSIC” TRINVIS UDRULNING 2018
5
DEN ”NYE” VIRKELIGHED 2017 E&E – K98 DAR BBR ADGANGSSTYRING JanuarMarts ORGANISATION KLASSIFIKATION ADGANGSSTYRING MONOPOLBRUD ”CLASSIC” TRINVIS UDRULNING 2018 Maj
6
FORBEREDELSE AF STSIBRUGTAGNING AF STS KLAR TIL DAR MED STS ADGANGSSTYRING TILSLUT AF KOMMUNE INTEGR. TIL ADG. STYRING SERVICE AFTALER JOBFUNK. ROLLER Maj December Juni Oktober September TILSLUT KOMMUNE ADM. MODUL KLAR PLANLÆG JOBFUNK. ROLLER Januar August UDPEG BRUGERE OPRET BRUGERE KLARGØRING OG TILSLUTNING AF IdP DARGOLIVEDARGOLIVE DONEDONE INDTAST JOBFUNK.ROLLER GODKEND SERVICEAFTALER UNIKT BRUGER-ID
7
Alle opgaver er beskrevet her….
8
FORBEREDELSE AF STSIBRUGTAGNING AF STS KLAR TIL DAR MED STS ADGANGSSTYRING TILSLUT AF KOMMUNE INTEGR. TIL ADG. STYRING SERVICE AFTALER JOBFUNK. ROLLER Maj December Juni Oktober September TILSLUT KOMMUNE ADM. MODUL KLAR PLANLÆG JOBFUNK. ROLLER Januar August UDPEG BRUGERE OPRET BRUGERE KLARGØRING OG TILSLUTNING AF IdP DARGOLIVEDARGOLIVE DONEDONE INDTAST JOBFUNK.ROLLER GODKEND SERVICEAFTALER UNIKT BRUGER-ID
9
FORMÅL MED OPSTARTSMØDET At I får et klart billede af: 1.Hvilke krav KOMBIT stiller til konfiguration af jeres IdP 2.Hvordan får I tilsluttet jeres IdP til eksternt testmiljø
10
MÅL MED OPSTARTSMØDET Når vi er færdige i dag…. Så, er I er i stand til at løse den opgave I bliver præsenteret for
11
FORM Gennemgang af den opgave I skal løse Stil spørgsmål, gerne mange…. Eksempler på opgaveløsning i forhold til forskellige produkter
12
STS OPSTARTSWORKSHOP Lokal Identity Provider
13
Emner Kort introduktion til Jobfunktionsroller Brugersystemroller Dataafgrænsninger De 2 scenarier Den lokale Identity Provider Tilslutning til støttesystemerne KOMBITs attributprofil Jobfunktionsroller og OIO-BPP Dynamiske & statiske dataafgrænsninger Test af tilslutning Spørgsmål og svar
14
JOBFUNKTIONSROLLER, BRUGERSYSTEMROLLER & DATAAFGRÆNSNINGER
15
Hvad er en Jobfunktionsrolle? En jobfunktionsrolle er et sæt af rettigheder, der tilsammen gør det muligt for en medarbejder at udføre en funktion. En jobfunktionsrolle kunne være ‘Økonomimedarbejder’, ‘Sagsbehandler’ eller ‘Leder’. Teknisk består en jobfunktionsrolle af et sæt af brugersystemroller, hvor disse brugersystemroller kan komme fra forskellige it-systemer.
16
Hvad er en Brugersystemrolle? En Brugersystemrolle er et sæt af rettigheder i et bestemt it- system (fx SAPA). En Brugersystemrolle kan dataafgrænses på udvalgte områder (fx KLE emneområde eller Organisatorisk Enhed). Ikke alle systemer anvender dataafgrænsninger, fx har KSD og E&E ikke nogen dataafgrænsninger Dataafgrænsninger er optionelle, og hvis de ikke udfyldes, kan brugersystemrollen anvendes på alle tilgængelige data!
17
Datamodel Fx KLEFx 27.18.* Administreres af kommunen Administreres af it-leverandør
18
EKSEMPEL PÅ EN JOBFUNKTIONSROLLE
19
SAPA Brugersystemroller (lille uddrag) BrugersystemrolleDataafgrænsninger Begrænset visning af sagerKLE, Følsomhed, Organisatorisk Enhed Begrænset visning af sager og ydelser KLE, Følsomhed, Organisatorisk Enhed Fuld visning af sager, ydelser og dokumenter KLE, Følsomhed, Organisatorisk Enhed Opret journalnotater på partKLE Opret bemærkninger Visning af adviser i OverblikKLE, Følsomhed, Organisatorisk Enhed
20
En ”SAPA” Jobfunktionsroller JobfunktionsrolleBrugersystemrolleDataafgrænsning SagsbehandlerFuld visning af sager, ydelser og dokumenter KLE Følsomhed Organisatorisk Enhed Opret Journalnotat på partKLE Visning af adviser i overblikKLE Følsomhed Organisatorisk Enhed
21
HVORDAN TILDELES DATAAFGRÆNSNINGSVÆRDIER?
22
Prototype
23
Praktisk info om dataafgrænsningsværdier Dataafgrænsningsværdier kan tildeles den enkelte bruger på login tidspunkt (dynamisk) eller registreres direkte på jobfunktionsrollen (statisk) Dynamiske værdier har den fordel, at jobfunktionsroller kan genbruges i forskellige sammenhæng Fx en ”læse-rolle” der tildeles mange medarbejdere, men dataafgrænses individuelt Dynamiske værdier stiller dog større tekniske krav til den kommunale implementering af Identity Provider
24
DE 2 SCENARIER
25
Til netværksdagene gennemgik vi 2 scenarier Vallensbæk Kommune har i dialog med KOMBIT udarbejdet 4 forskellige implementeringsscenarier, baseret på en AD FS installation. 2 af disse blev præsenteret på STS netværksdagene 1.Mappe AD sikkerhedsgrupper til Jobfunktionsroller, uden anvendelse af dynamiske dataafgrænsningsværdier 2.Mappe AD sikkerhedsgrupper til Jobfunktionsroller, med anvendelse af dynamiske dataafgrænsningsværdier Materiale fra STS netværksdagene er sendt til deltagerne
26
Er I en løsningsscenarie 1 kommune….? Og ønsker I den nemme tilgang, hvor I blot skal installere en plug-in til jeres IdP…. Så, har Den Storkøbenhavnske Digitaliseringsforening allerede gjort arbejdet for jer De har udviklet et plug-in der er designet til løsningsscenarie 1 Plug-in er baseret på MS ADFS I kan downloade plug-in her: https://digitaliser.dk/group/3094254 https://digitaliser.dk/group/3094254
27
DEN LOKALE IDENTITY PROVIDER
28
HVORDAN TILSLUTTES IDENTITY PROVIDEREN?
29
Overblik 1.Støttesystemet adgangsstyring for brugere (Context Handleren) registreres i Identity Provideren som en Service Provider / Relying Party. 2.Metadata udtrækkes af Kommunens Identity Provider, og registreres i adgangsstyring for brugere 3.Identity Provideren tilpasses/konfigureres til at overholde KOMBITs Attributprofil 4.For at teste at integrationen er korrekt udført, gennemføres et login mod et demo-system opsat af KOMBIT
30
1. REGISTRERING AF CONTEXT HANDLER SOM RP/SP
31
Registrering af metadata i Identity Provider Metadata (en XML fil) for adgangsstyring for brugere kan downloades direkte fra støttesystemerne Test-miljø https://adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2auth/metadata.idp Produktions-miljø https://adgangsstyring.stoettesystemerne.dk/runtime/saml2auth/metadata.idp Typisk er registrering af metadata en del af oprettelses- processen når man opretter en ny Service Provider i sit Identity Provider produkt
32
Registrering af metadata i Identity Provider (Safewhere Identify)
33
Registrering af metadata i kommunal Identity Provider (Safewhere Identify)
34
Registrering af metadata i Identity Provider (AD FS 3.0)
35
Registrering af metadata i kommunal Identity Provider (AD FS 3.0)
36
Registrering af metadata i Identity Provider (OpenAM)
38
2. METADATA UDTRÆKKES OG REGISTRERES HOS KOMBIT
39
Udtræk metadata fra Identity Provider Metadata fra kommunens egen IdP kan downloades fra den server hvor IdP’en er installeret Safewhere Identify https:// /runtime/saml2/metadata.idp AD FS https:// /FederationMetadata/2007-06/FederationMetadata.xml OpenAM https:// /openam/saml2/jsp/exportmetadata.jsp?entityid=
40
Udtræk metadata fra Identity Provider Krav om anvendelse af OCES certifikat
41
Registrering af metadata hos KOMBIT Mind mig på at vi skal forsøge at udfylde en blanket sammen inden vi slutter for i dag!
42
Sådan er proceduren…. 1.Download blanket I skal udfylde en anmodning om føderationsaftale til det eksterne testmiljø – hent den på kombit.dk/implementering 2. Udfyld blanket KMD tilbyder support i forbindelse med jeres test -I skal derfor huske at angive dato for, hvornår I forventer at teste 3. Send blanketten til KMD -Send den til sts-support@kmd.dksts-support@kmd.dk 4. KMD opretter føderationsaftale -KMD orienterer jer om at aftalen er oprettet 5. I tester
43
Når metadata er udvekslet
44
3. IDENTITY PROVIDER TILPASSES KOMBITS ATTRIBUTPROFIL
45
ATTRIBUTPROFILEN
46
KOMBIT Attributprofil Krævede attributter Standard formatering, Serial skal være unik! Lad os snakke om den her lige om lidt…
47
Statiske attributter (Identify)
48
Statiske attributter (AD FS 3.0)
49
Statiske attributter (OpenAM) OpenAM anvender en AttributeMapper til at udvælge hvilke attributter på brugerens konto (fx AD konto), der mappes til hvilke attributter i det udgående token. Fx på følgende måde dk:gov:saml:attribute:AssuranceLevel=assuranceLevel Hvis man ønsker at anvende statiske værdier, understøttes det fra OpenAM 11 på følgende måde dk:gov:saml:attribute:AssuranceLevel=”3”
50
JOBFUNKTIONSROLLER ANGIVES SOM OIO-BPP
51
Jobfunktionsroller i Attributprofilen Base64 enkodet OIO-BPP struktur http://vallensbaek.dk/roles/jobrole/sagsbehandler/1 http://vallensbaek.dk/roles/jobrole/leder/1
52
Hvordan enkodes én Jobfunktionsrolle http://vallensbaek.dk/roles/jobrole/sagsbehandler/1 http://vallensbaek.dk/roles/jobrole/leder/1 1 PrivilegeGroup = 1 Jobfunktionsrolle CVR nummeret på den kommune der ejer rollen (typisk egen kommune) ID på Jobfunktionsrollen (matcher ID registreret hos KOMBIT)
53
OIO-BPP er bare en enkelt attribut/claim Identity Provideren skal tilpasses, så den kan danne en OIO- BPP struktur, indeholdende de ID’er på Jobfunktionsroller som medarbejderen er tildelt OIO-BPP strukturen base64 enkodes, og udstedes som en SAML attribut på lige fod med de statiske attributter dk:gov:saml:attribute:Privileges_intermediate
54
REGISTRERING AF DATAAFGRÆNSNINGER
55
Statisk registrering af dataafgrænsninger JobfunktionsrolleBrugersystemrolleDataafgrænsning Sagsbehandler i ydelsescenter vest Fuld visning af sager, ydelser og dokumenter KLE = 32.* Org.Enhed = a26e4cdc- 48c8-4b58-b8f2- 6accfc1ef988 Opret Journalnotat på partKLE = 32.* Visning af adviser i overblikKLE = 32.* Org.Enhed = a26e4cdc- 48c8-4b58-b8f2- 6accfc1ef988 Registrering af konkrete værdier direkte i Administrationsmodulet
56
Dynamisk registrering af dataafgrænsninger JobfunktionsrolleBrugersystemrolleDataafgrænsning SagsbehandlerFuld visning af sager, ydelser og dokumenter KLE = http://vallensbaek.dk/KLE/1/parametric http://vallensbaek.dk/KLE/1/parametric Org.Enhed = http://vallensbaek.dk/organizationUnit/1/p arametric http://vallensbaek.dk/organizationUnit/1/p arametric Opret Journalnotat på part KLE = http://vallensbaek.dk/KLE/1/parametric http://vallensbaek.dk/KLE/1/parametric Visning af adviser i overblik KLE = http://vallensbaek.dk/KLE/1/parametric http://vallensbaek.dk/KLE/1/parametric Org.Enhed = http://vallensbaek.dk/organizationUnit/1/p arametric http://vallensbaek.dk/organizationUnit/1/p arametric Registreringen af ”pladsholdere” i Administrationsmodulet
57
Navnestandard Når en dataafgrænsningsværdi angives med en pladsholder, så skal pladsholderen overholde en navnestandard http:// / / /parametric Fx http://vallensbaek.dk/KLE/1/parametric
58
ANGIVELSE AF DATAAFGRÆNSNINGSVÆRDIER I TOKEN
59
Dataafgrænsningsværdier i token Samme som før Dynamiske dataafgrænsningsværdier
60
Dataafgrænsninger er også attributter/claims Identity Provideren skal tilpasses, så den kan udstede attributter for hver enkelt dataafgrænsning Den konkrete værdi kunne fx aflæses direkte på bruger- objektet, eller på den afdeling/enhed som brugeren er tilknyttet Hvis en Jobfunktionsrolle anvender dynamiske dataafgrænsningsværdier, så SKAL et token der indeholder denne Jobfunktionsrolle også indeholde en konkret værdi for dataafgrænsningen
61
4. TEST AF IDENTITY PROVIDER
62
Test mod demo-system I test-miljøet stiller KOMBIT et demo system til rådighed, hvor man kan foretage et login https://demo-brugervendtsystem.kombit.dk/test Systemet har ingen anden funktionalitet end login Efter succesfuld login, vises et skærmbillede der viser det token som demo systemet har modtaget I produktion er der ikke et demo-system (endnu…)
63
Test mod demo-system
64
Typiske udfordringer Spærrecheck af certifikat fejler (kun test-miljø) En af de 4 krævede attributter mangler NameID ikke på x509 format Anvender sha-1 algoritmen (sha-256 krævet)
65
Test mod demo-system
66
SPØRGSMÅL OG SVAR
Lignende præsentationer
© 2024 SlidePlayer.dk Inc.
All rights reserved.