280 likes | 430 Vues
Agenda förmiddag. Presentation av närvarande samt våra roller Syfte med dagen Bakgrund till e-leg nämnden (Elisabeth) Bakgrund till testbädden Introduktion till identitetsfederationer Frågor / kommentarer / kontaktuppgifter Avslut Bensträckare ca 5 min var 45:e min!.
E N D
Agenda förmiddag • Presentation av närvarande samt våra roller • Syfte med dagen • Bakgrund till e-leg nämnden (Elisabeth) • Bakgrund till testbädden • Introduktion till identitetsfederationer • Frågor / kommentarer / kontaktuppgifter • Avslut • Bensträckare ca 5 min var 45:e min!
Introduktion till federationerEID2.0 WS 2012-09-05 Valter NordhGöteborgs universitet / SUNET
Presentation av närvarande • SUNET • E-legitimationsnämnden • Övriga deltagare
Syfte med dagen • Att få en insyn i hur olika element i en identitetsfederation samverkar • Skapa en gemensam grund att stå på för kommande workshops inom EID2.0 arbetet • Forum för teknikfrågor
Bakgrund till e-leg nämnden • Kort bakgrund till E-legitimationsnämnden
Bakgrund till testbädden • Testbädden för Eid 2.0 är en teknisk infrastruktur för test och utveckling av infrastrukturen för e-legitimationer, elektronisk identifiering och signeringstjänster i Sverige. • SUNET och E-legitimationsnämnden har i samarbete tagit fram testmiljön https://docs.eid2.se/ • SUNET har driftserfarenhet av SWAMID, den akademiska identitetsfederationen sedan 2007.
Introduktion till identitetsfederationer • Varför id-federationer? • Tillit kontra kostnad • Olika typer av tillit • Exempel på federationer • Identitets utfärdare (IdP) • Vad är tillitsnivåer för identiteter? • Tillitsramverk • Tjänsteleverantör (SP) • Behov • Attribut och identifierare • Personlig E-legitimation kontra E-legitimering i tjänsten • Attributsutfärdare (AA) • Anvisningstjänst (DS) • Single Sign On, SSO? • Policy, det gemensamma regelverket • Övrigt
Varför id-federationer? • Bygger på att återanvända utfärdade identiteter • Vad kostar en identitet per år? • Utfärdande, användande, lösenordsförfrågningar, incidenthantering mm? • Ekonomi samt skapar gemensam infrastruktur för alla aktörer att dra nytta av e-id. • Skalekonomi!
Tillit kontra kostnad • Ju mindre cirkel – dess större tillit. • Hur skapar vi tillit till en identitet ”långt” borta? • Gemensamma regelverk! • Annat exempel – outsourcing kontra intern drift • Vad är kostnaden att underhålla egna identiteter?
Olika typer av tillit • Vilka olika typer av tillit har vi? • Teknisk tillit (diskuteras i em) • Policymässig tillit, förtroende • Styrs genom det regelverk some-legitimationsnämnden arbetar fram
Exempel på federationer • Två exempel på federationer i drift idag: • Eduroam(radius baserad, ger tillgång till trådlöst internet) • SWAMID(Högre utbildning i Sverige, webb baserad SSO)
Identitets utfärdare (IdP) • Vad är en Identitetsutfärdare? • Idag – typiskt BankId • Vad krävs av en Identitetsutfärdare? • Ha avtal med federationsoperatören för deltagande i federationen. • Att gå i god för utfärdade identiteter • Ha en ”godkänd” process för utfärdande av identiteter • Följa det uppsatt regelverk (policy) • Vid en inloggning mot en SP släppa korrekt/efterfrågad information om användaren
Identitets utfärdare (IdP) • Vad är tillitsnivåer för identiteter? • Finns det olika nivåerpå identiteter? • Internationellt talas det om 4 nivåer(LoA, Levelof Assurance) • 1 • 2 • 3 • 4
Identitets utfärdare (IdP) • Vad är tillitsnivåer för identiteter? • Kostnaden ökar med ökande tillitsnivå • Arbetsinsatsen för att använda en identitet ökar också med ökande tillitsnivå. • Bedömning – vad är rimligt att använda? • Vilken / Vilka nivåer kommer Sverige att ha?
Identitets utfärdare (IdP) • Tillitsramverk • Tillitsramverk erbjuder ett standardiserat sätt att bla beskriva tidigare nämnda tillitsnivåer. • Vad krävs för att en identitet skall vara nivå X? • Vad krävs av en IdP för att få lov att utfärda identiteter på nivå Y? • Kan en IdP utfärda biljetter på olika tillitsnivåer?
Tjänsteleverantör (SP) • En tjänsteleverantör (SP) konsumerar Identitetsintyg från en Identitetsutfärdare. • Typiska tjänsteleverantörer är myndigheter som interagerar med medborgare där vi har behov av att identifiera oss. • Vilka behov av tillitsnivåer behöver vi som myndigheter för våra respektive tjänster?
Tjänsteleverantör (SP) • Vilka behov har en tjänsteleverantör? • Identifiering av användare • Attribut / Information om användaren • Hur styrs behörigheten hos en tjänsteleverantör när autentiseringen sker via en Identitetsutfärdare? • Två modeller • Genom tillit till externa attribut • Genom upprätthållande av intern behörighetsstruktur, kopplad till en identifierare • En kombination av ovan
Attribut och identifierare • Attribut är information om användaren. • Attribut kan innehålla i princip vad som helst.De vanligaste attributen kan vara:NamnAdressPersonnummerE-postIdentifierare • E-legitimationsnämnden tar fram en lista på ”standard” attribut
Attribut och identifierare • Attribut ger ett stort extra mervärde till federationen. • Hur fastställs vem som är auktoritativ för vissa attribut? Personnummer? • Vill vi använda personnummer i alla lägen – vi har en unik identifierare som kan användas istället. Vad ställer det för krav på oss som myndigheter?
Attribut och identifierare • Personlig E-legitimation kontra E-legitimering i tjänsten • Den personliga e-legitimationen används kompletterad med ett attribut som auktoriserar användaren att agera för berörd organisation i viss roll. • Berörd organisation utfärdar tjänste-e-legitimationer som innehåller information om vem som agerar å organisationens vägnar.
Attributsutfärdare (AA) • Exempel på när vi önskar mer information om en användare är tex bolagsverket och firmatecknare • Se tavlan
Anvisningstjänst (DS) • Hur vet en Tjänsteleverantör vilken Identitetsutfärdare som en slutanvändaren använder sig av? • Någon gång måste en användare peka ut/välja vilken Identitetsutfärdare som slutanvändaren använder. • Denna tjänst kallas anvisningstjänst (DS) • Tar en lista på IdP:er och presenterar för användaren.
Anvisningstjänst (DS) • Tar en lista på IdP:er och presenterar för användaren. • Demo:https://sp.eid2.se/
Single Sign On, SSO? • Vad händer efter att en användare loggat in mot en Tjänsteleverantör och sedan vill nyttja en annan tjänst? • Alt 1:Användaren loggas in ”automatiskt”, så kallad Single Sign On (SSO) • Alt 2:Användaren behöver logga in på nytt
Policy, det gemensamma regelverket • Viktiga pusselbitar i en Identitetsfederation:IdentitetsutfärdareTjänsteleverantörerAttributleverantörerAnvisningstjänstTillitsnivåer • Sammanknytningen av hur dessa interagerar regleras i federationspolicyn (regelverket) som nu är ute på remiss • Hearing 13 sep, se e-leg nämndens hemsida!
Övrigt • Alla övriga frågor
Frågor / kommentarer / kontaktuppgifter • Frågor / kommentarer? • Kontaktuppgifter:E-legitimationsnämnden, se http://www.elegnamnden.se/ • Tekniska testbädden, https://docs.eid2.se/
Tack för att ni lyssnat! Valter Nordh