Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

OPSTARTSMØDE Klar med IdP – konfiguration og tilslutningsproces.

Offentliggjort afBirgitte Olesen Redigeret for ca. et år siden

Lignende præsentationer

Præsentationer af emnet: "OPSTARTSMØDE Klar med IdP – konfiguration og tilslutningsproces."— Præsentationens transcript:

1 OPSTARTSMØDE Klar med IdP – konfiguration og tilslutningsproces

2 HVORFOR ER VI HER? Din kommune skal have tilsluttet en IdP til STS Adgangsstyring senest d. 12. august

3 LIDT BAGGRUND

4 DEN ”GAMLE” VIRKELIGHED 2017 ORGANISATION KLASSIFIKATION ADGANGSSTYRING MONOPOLBRUD ”CLASSIC” TRINVIS UDRULNING 2018

5 DEN ”NYE” VIRKELIGHED 2017 E&E – K98 DAR BBR ADGANGSSTYRING JanuarMarts ORGANISATION KLASSIFIKATION ADGANGSSTYRING MONOPOLBRUD ”CLASSIC” TRINVIS UDRULNING 2018 Maj

6 FORBEREDELSE AF STSIBRUGTAGNING AF STS KLAR TIL DAR MED STS ADGANGSSTYRING TILSLUT AF KOMMUNE INTEGR. TIL ADG. STYRING SERVICE AFTALER JOBFUNK. ROLLER Maj December Juni Oktober September TILSLUT KOMMUNE ADM. MODUL KLAR PLANLÆG JOBFUNK. ROLLER Januar August UDPEG BRUGERE OPRET BRUGERE KLARGØRING OG TILSLUTNING AF IdP DARGOLIVEDARGOLIVE DONEDONE INDTAST JOBFUNK.ROLLER GODKEND SERVICEAFTALER UNIKT BRUGER-ID

7 Alle opgaver er beskrevet her….

8 FORBEREDELSE AF STSIBRUGTAGNING AF STS KLAR TIL DAR MED STS ADGANGSSTYRING TILSLUT AF KOMMUNE INTEGR. TIL ADG. STYRING SERVICE AFTALER JOBFUNK. ROLLER Maj December Juni Oktober September TILSLUT KOMMUNE ADM. MODUL KLAR PLANLÆG JOBFUNK. ROLLER Januar August UDPEG BRUGERE OPRET BRUGERE KLARGØRING OG TILSLUTNING AF IdP DARGOLIVEDARGOLIVE DONEDONE INDTAST JOBFUNK.ROLLER GODKEND SERVICEAFTALER UNIKT BRUGER-ID

9 FORMÅL MED OPSTARTSMØDET At I får et klart billede af: 1.Hvilke krav KOMBIT stiller til konfiguration af jeres IdP 2.Hvordan får I tilsluttet jeres IdP til eksternt testmiljø

10 MÅL MED OPSTARTSMØDET Når vi er færdige i dag…. Så, er I er i stand til at løse den opgave I bliver præsenteret for

11 FORM Gennemgang af den opgave I skal løse Stil spørgsmål, gerne mange…. Eksempler på opgaveløsning i forhold til forskellige produkter

12 STS OPSTARTSWORKSHOP Lokal Identity Provider

13 Emner Kort introduktion til  Jobfunktionsroller  Brugersystemroller  Dataafgrænsninger  De 2 scenarier Den lokale Identity Provider  Tilslutning til støttesystemerne  KOMBITs attributprofil  Jobfunktionsroller og OIO-BPP  Dynamiske & statiske dataafgrænsninger  Test af tilslutning Spørgsmål og svar

14 JOBFUNKTIONSROLLER, BRUGERSYSTEMROLLER & DATAAFGRÆNSNINGER

15 Hvad er en Jobfunktionsrolle? En jobfunktionsrolle er et sæt af rettigheder, der tilsammen gør det muligt for en medarbejder at udføre en funktion. En jobfunktionsrolle kunne være ‘Økonomimedarbejder’, ‘Sagsbehandler’ eller ‘Leder’. Teknisk består en jobfunktionsrolle af et sæt af brugersystemroller, hvor disse brugersystemroller kan komme fra forskellige it-systemer.

16 Hvad er en Brugersystemrolle? En Brugersystemrolle er et sæt af rettigheder i et bestemt it- system (fx SAPA). En Brugersystemrolle kan dataafgrænses på udvalgte områder (fx KLE emneområde eller Organisatorisk Enhed). Ikke alle systemer anvender dataafgrænsninger, fx har KSD og E&E ikke nogen dataafgrænsninger Dataafgrænsninger er optionelle, og hvis de ikke udfyldes, kan brugersystemrollen anvendes på alle tilgængelige data!

17 Datamodel Fx KLEFx 27.18.* Administreres af kommunen Administreres af it-leverandør

18 EKSEMPEL PÅ EN JOBFUNKTIONSROLLE

19 SAPA Brugersystemroller (lille uddrag) BrugersystemrolleDataafgrænsninger Begrænset visning af sagerKLE, Følsomhed, Organisatorisk Enhed Begrænset visning af sager og ydelser KLE, Følsomhed, Organisatorisk Enhed Fuld visning af sager, ydelser og dokumenter KLE, Følsomhed, Organisatorisk Enhed Opret journalnotater på partKLE Opret bemærkninger Visning af adviser i OverblikKLE, Følsomhed, Organisatorisk Enhed

20 En ”SAPA” Jobfunktionsroller JobfunktionsrolleBrugersystemrolleDataafgrænsning SagsbehandlerFuld visning af sager, ydelser og dokumenter KLE Følsomhed Organisatorisk Enhed Opret Journalnotat på partKLE Visning af adviser i overblikKLE Følsomhed Organisatorisk Enhed

21 HVORDAN TILDELES DATAAFGRÆNSNINGSVÆRDIER?

22 Prototype

23 Praktisk info om dataafgrænsningsværdier Dataafgrænsningsværdier kan tildeles den enkelte bruger på login tidspunkt (dynamisk) eller registreres direkte på jobfunktionsrollen (statisk) Dynamiske værdier har den fordel, at jobfunktionsroller kan genbruges i forskellige sammenhæng Fx en ”læse-rolle” der tildeles mange medarbejdere, men dataafgrænses individuelt Dynamiske værdier stiller dog større tekniske krav til den kommunale implementering af Identity Provider

24 DE 2 SCENARIER

25 Til netværksdagene gennemgik vi 2 scenarier Vallensbæk Kommune har i dialog med KOMBIT udarbejdet 4 forskellige implementeringsscenarier, baseret på en AD FS installation. 2 af disse blev præsenteret på STS netværksdagene 1.Mappe AD sikkerhedsgrupper til Jobfunktionsroller, uden anvendelse af dynamiske dataafgrænsningsværdier 2.Mappe AD sikkerhedsgrupper til Jobfunktionsroller, med anvendelse af dynamiske dataafgrænsningsværdier Materiale fra STS netværksdagene er sendt til deltagerne

26 Er I en løsningsscenarie 1 kommune….? Og ønsker I den nemme tilgang, hvor I blot skal installere en plug-in til jeres IdP…. Så, har Den Storkøbenhavnske Digitaliseringsforening allerede gjort arbejdet for jer De har udviklet et plug-in der er designet til løsningsscenarie 1 Plug-in er baseret på MS ADFS I kan downloade plug-in her: https://digitaliser.dk/group/3094254 https://digitaliser.dk/group/3094254

27 DEN LOKALE IDENTITY PROVIDER

28 HVORDAN TILSLUTTES IDENTITY PROVIDEREN?

29 Overblik 1.Støttesystemet adgangsstyring for brugere (Context Handleren) registreres i Identity Provideren som en Service Provider / Relying Party. 2.Metadata udtrækkes af Kommunens Identity Provider, og registreres i adgangsstyring for brugere 3.Identity Provideren tilpasses/konfigureres til at overholde KOMBITs Attributprofil 4.For at teste at integrationen er korrekt udført, gennemføres et login mod et demo-system opsat af KOMBIT

30 1. REGISTRERING AF CONTEXT HANDLER SOM RP/SP

31 Registrering af metadata i Identity Provider Metadata (en XML fil) for adgangsstyring for brugere kan downloades direkte fra støttesystemerne Test-miljø https://adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2auth/metadata.idp Produktions-miljø https://adgangsstyring.stoettesystemerne.dk/runtime/saml2auth/metadata.idp Typisk er registrering af metadata en del af oprettelses- processen når man opretter en ny Service Provider i sit Identity Provider produkt

32 Registrering af metadata i Identity Provider (Safewhere Identify)

33 Registrering af metadata i kommunal Identity Provider (Safewhere Identify)

34 Registrering af metadata i Identity Provider (AD FS 3.0)

35 Registrering af metadata i kommunal Identity Provider (AD FS 3.0)

36 Registrering af metadata i Identity Provider (OpenAM)

37

38 2. METADATA UDTRÆKKES OG REGISTRERES HOS KOMBIT

39 Udtræk metadata fra Identity Provider Metadata fra kommunens egen IdP kan downloades fra den server hvor IdP’en er installeret Safewhere Identify https:// /runtime/saml2/metadata.idp AD FS https:// /FederationMetadata/2007-06/FederationMetadata.xml OpenAM https:// /openam/saml2/jsp/exportmetadata.jsp?entityid=

40 Udtræk metadata fra Identity Provider Krav om anvendelse af OCES certifikat

41 Registrering af metadata hos KOMBIT Mind mig på at vi skal forsøge at udfylde en blanket sammen inden vi slutter for i dag!

42 Sådan er proceduren…. 1.Download blanket I skal udfylde en anmodning om føderationsaftale til det eksterne testmiljø – hent den på kombit.dk/implementering 2. Udfyld blanket KMD tilbyder support i forbindelse med jeres test -I skal derfor huske at angive dato for, hvornår I forventer at teste 3. Send blanketten til KMD -Send den til sts-support@kmd.dksts-support@kmd.dk 4. KMD opretter føderationsaftale -KMD orienterer jer om at aftalen er oprettet 5. I tester

43 Når metadata er udvekslet

44 3. IDENTITY PROVIDER TILPASSES KOMBITS ATTRIBUTPROFIL

45 ATTRIBUTPROFILEN

46 KOMBIT Attributprofil Krævede attributter Standard formatering, Serial skal være unik! Lad os snakke om den her lige om lidt…

47 Statiske attributter (Identify)

48 Statiske attributter (AD FS 3.0)

49 Statiske attributter (OpenAM) OpenAM anvender en AttributeMapper til at udvælge hvilke attributter på brugerens konto (fx AD konto), der mappes til hvilke attributter i det udgående token. Fx på følgende måde dk:gov:saml:attribute:AssuranceLevel=assuranceLevel Hvis man ønsker at anvende statiske værdier, understøttes det fra OpenAM 11 på følgende måde dk:gov:saml:attribute:AssuranceLevel=”3”

50 JOBFUNKTIONSROLLER ANGIVES SOM OIO-BPP

51 Jobfunktionsroller i Attributprofilen Base64 enkodet OIO-BPP struktur http://vallensbaek.dk/roles/jobrole/sagsbehandler/1 http://vallensbaek.dk/roles/jobrole/leder/1

52 Hvordan enkodes én Jobfunktionsrolle http://vallensbaek.dk/roles/jobrole/sagsbehandler/1 http://vallensbaek.dk/roles/jobrole/leder/1 1 PrivilegeGroup = 1 Jobfunktionsrolle CVR nummeret på den kommune der ejer rollen (typisk egen kommune) ID på Jobfunktionsrollen (matcher ID registreret hos KOMBIT)

53 OIO-BPP er bare en enkelt attribut/claim Identity Provideren skal tilpasses, så den kan danne en OIO- BPP struktur, indeholdende de ID’er på Jobfunktionsroller som medarbejderen er tildelt OIO-BPP strukturen base64 enkodes, og udstedes som en SAML attribut på lige fod med de statiske attributter dk:gov:saml:attribute:Privileges_intermediate

54 REGISTRERING AF DATAAFGRÆNSNINGER

55 Statisk registrering af dataafgrænsninger JobfunktionsrolleBrugersystemrolleDataafgrænsning Sagsbehandler i ydelsescenter vest Fuld visning af sager, ydelser og dokumenter KLE = 32.* Org.Enhed = a26e4cdc- 48c8-4b58-b8f2- 6accfc1ef988 Opret Journalnotat på partKLE = 32.* Visning af adviser i overblikKLE = 32.* Org.Enhed = a26e4cdc- 48c8-4b58-b8f2- 6accfc1ef988 Registrering af konkrete værdier direkte i Administrationsmodulet

56 Dynamisk registrering af dataafgrænsninger JobfunktionsrolleBrugersystemrolleDataafgrænsning SagsbehandlerFuld visning af sager, ydelser og dokumenter KLE = http://vallensbaek.dk/KLE/1/parametric http://vallensbaek.dk/KLE/1/parametric Org.Enhed = http://vallensbaek.dk/organizationUnit/1/p arametric http://vallensbaek.dk/organizationUnit/1/p arametric Opret Journalnotat på part KLE = http://vallensbaek.dk/KLE/1/parametric http://vallensbaek.dk/KLE/1/parametric Visning af adviser i overblik KLE = http://vallensbaek.dk/KLE/1/parametric http://vallensbaek.dk/KLE/1/parametric Org.Enhed = http://vallensbaek.dk/organizationUnit/1/p arametric http://vallensbaek.dk/organizationUnit/1/p arametric Registreringen af ”pladsholdere” i Administrationsmodulet

57 Navnestandard Når en dataafgrænsningsværdi angives med en pladsholder, så skal pladsholderen overholde en navnestandard http:// / / /parametric Fx http://vallensbaek.dk/KLE/1/parametric

58 ANGIVELSE AF DATAAFGRÆNSNINGSVÆRDIER I TOKEN

59 Dataafgrænsningsværdier i token Samme som før Dynamiske dataafgrænsningsværdier

60 Dataafgrænsninger er også attributter/claims Identity Provideren skal tilpasses, så den kan udstede attributter for hver enkelt dataafgrænsning Den konkrete værdi kunne fx aflæses direkte på bruger- objektet, eller på den afdeling/enhed som brugeren er tilknyttet Hvis en Jobfunktionsrolle anvender dynamiske dataafgrænsningsværdier, så SKAL et token der indeholder denne Jobfunktionsrolle også indeholde en konkret værdi for dataafgrænsningen

61 4. TEST AF IDENTITY PROVIDER

62 Test mod demo-system I test-miljøet stiller KOMBIT et demo system til rådighed, hvor man kan foretage et login https://demo-brugervendtsystem.kombit.dk/test Systemet har ingen anden funktionalitet end login Efter succesfuld login, vises et skærmbillede der viser det token som demo systemet har modtaget I produktion er der ikke et demo-system (endnu…)

63 Test mod demo-system

64 Typiske udfordringer Spærrecheck af certifikat fejler (kun test-miljø) En af de 4 krævede attributter mangler NameID ikke på x509 format Anvender sha-1 algoritmen (sha-256 krævet)

65 Test mod demo-system

66 SPØRGSMÅL OG SVAR

Download ppt "OPSTARTSMØDE Klar med IdP – konfiguration og tilslutningsproces."

Lignende præsentationer

Fastlæggelse af brugermønstre for forskellige roller (Sagsoverblik/Partskontakt) Metodevejledning.

Fastlæggelse af brugermønstre for forskellige roller (Sagsoverblik/Partskontakt) Metodevejledning.
Muligheder for avanceret modtagelse i Digital Post for virksomheder

Muligheder for avanceret modtagelse i Digital Post for virksomheder
Opstartsmøde fase 2: Implementering og etablering af miljøerne

Opstartsmøde fase 2: Implementering og etablering af miljøerne
Tjekliste Er din myndighed klar til Digital Post? Kan din myndighed modtage og besvare digital post? Test om det virker Sørg for at teste, om myndigheden.

Tjekliste Er din myndighed klar til Digital Post? Kan din myndighed modtage og besvare digital post? Test om det virker Sørg for at teste, om myndigheden.
Velkommen Lars Johansson ProjectForce. Program: Lidt omkring Athena IT-Group A/S Introduktion til ProjectForce – Microsoft Sharepoint Lidt teori omkring.

Velkommen Lars Johansson ProjectForce. Program: Lidt omkring Athena IT-Group A/S Introduktion til ProjectForce – Microsoft Sharepoint Lidt teori omkring.
Grontmij Grontmij Status på udvikling af ny JordWeb ENVINA JORD 25. September 2013 Copyright © 2013 Grontmij A/S | CVR 48233511 Musikhuskvarteret - Aalborg.

Grontmij Grontmij Status på udvikling af ny JordWeb ENVINA JORD 25. September 2013 Copyright © 2013 Grontmij A/S | CVR Musikhuskvarteret - Aalborg.
Dynamisk styring af Office skabeloner Inspirationsseminar 31. oktober 2006.

Dynamisk styring af Office skabeloner Inspirationsseminar 31. oktober 2006.
Adgangsstyring og brugeradm.

Adgangsstyring og brugeradm.
SAPA netværksmøde den 10. juni 2014

SAPA netværksmøde den 10. juni 2014
Michel Sassene, projektleder

Michel Sassene, projektleder
Løsninger og teknik www.digst.dk/digitalpost.

Løsninger og teknik
Effektiv adgang til data Niels Mørck, Carl Bro GIS & IT  Carl Bro GIS og IT  Problemstillingen  Nordjyllands Amts Blanketsystem  Centralisering / decentralisering.

Effektiv adgang til data Niels Mørck, Carl Bro GIS & IT  Carl Bro GIS og IT  Problemstillingen  Nordjyllands Amts Blanketsystem  Centralisering / decentralisering.
KIGO og kommunernes opgaver

KIGO og kommunernes opgaver
Produkter, planer og visioner Nye produkter, planer og visioner for de kommende år v/ Ole Windeløv

Produkter, planer og visioner Nye produkter, planer og visioner for de kommende år v/ Ole Windeløv
Sikkerhed og video i SkoleIntra

Sikkerhed og video i SkoleIntra
Det Fælles Biblioteks-system

Det Fælles Biblioteks-system
Spor om implementering, udrulning og entré-strategi

Spor om implementering, udrulning og entré-strategi
SAPA KOMMUNENENETVÆRKSMØDE Juni 2015 Workshop rettigheder v/Birgitte Wendelboe – Klaus Rasmussen.

SAPA KOMMUNENENETVÆRKSMØDE Juni 2015 Workshop rettigheder v/Birgitte Wendelboe – Klaus Rasmussen.
TEST 1.12.2015 Kogebog til test på Serviceplatformen per 1.12.2015.

TEST Kogebog til test på Serviceplatformen per
SAPA FOR BEGYNDERE Kenneth Møller Johansen SAPA-netværksdage 25. og 28. april 2016.

SAPA FOR BEGYNDERE Kenneth Møller Johansen SAPA-netværksdage 25. og 28. april 2016.

Lignende præsentationer

Annoncer fra Google