Identication & Authentication 1
Algemene principes
Policy Enforcement Model ( 1 / 7 ) gebaseerd op het generieke Policy Enforcement Model Acroniemen Policy Enforcement Point (PEP) Policy Decision Point (PDP) Policy Information Point (PIP) Policy Administration Point (PAP) “Access Control”-principes Role Based Access Control (RBAC) Attribute Based Access Control (ABAC) AuthoriZation Based Access Control (ZBAC)
Policy Enforcement Model ( 2 / 7 ) Een gebruiker wil toegang tot een applicatie
Policy Enforcement Model ( 3 / 7 ) PEP contacteert PDP met de vraag: Wat zijn de attributen van gebruiker X met identificatie-attributen Y,Z ? Wat zijn de rollen van gebruiker X met identificatie-attributen Y,Z? Heeft gebruiker X met identificatie-attributen Y,Z toegang tot de DTW?
Policy Enforcement Model ( 4 / 7 ) PDP antwoordt op de vraag die de PEP stelde
Policy Enforcement Model ( 5 / 7 ) gebaseerd op de antwoorden ontvangen van de PDP PEP bepaalt of gebruiker al dan niet toegang heeft tot de applicatie
Policy Enforcement Model ( 6 / 7 )
Policy Enforcement Model ( 7 / 7 ) beheren van de verschillende policies beheerd door gekwalificeerd personeel beveiligde omgeving
SSO voor web services
SSO algemene principes (1/2) Doel Vervolledigt het geïntegreerde user and access management Toegang tot verschillende services binnen één sessie. Belangrijkste kenmerken ondersteuning voor ABAC- en ZBAC-principes gebaseerd op het SAML1.1-protocol Termen WSC : web service consumer WSP : web service provider STS : Secure Token Service
SSO algemene principes (2/2)
STS Request/Response (1/7) Beschrijven van flow (1) en (2) Illustratie met volgende attributen Erkende arts
STS Request/Response (2/7) Algemene request-structuur header bevat alle informatie die STS nodig heeft voor de security. x509 identificatiecertificaat eID eHealth-certificaat Bijvoorbeeld: x509: eID van de arts
STS Request/Response (3/7) Request : SAML elementen Confirmation method: Holder-of-Key Subject SAML assertion Identificatie-attributen AttributeDesignator Alle gevraagde attributen Bijvoorbeeld certified: erkende arts
STS Request/Response(4/7) Response algemene structuur Algemene karakteristieken globale Status assertion getekend door eH Antwoord op gevraagde attributen Example certified: erkende arts TRUE
STS Request/Response (5/7) Remarks Attributen bijvoorbeeld certified: erkende dokter TRUE certified erkende verpleegkundige FALSE Technische fouten Wanneer een fout optreedt tijdens het verwerken van een request Request wordt afgebroken Error-boodschap wordt naar de WSC gestuurd. REQ-01: Checks on ConfirmationMethod failed Geldigheidsduur Elke gecertificeerd attribuut heeft een geldigheidsduur
WSC/WSP communication (1/3) Beschrijven van flow (3) en (2) Illustratie met volgende attributen Erkende arts
WSC/WSP communication (2/3) Request general structure 'header' bevat alle informatie die WSP nodig heeft voor de security Identificatie gebaseerd op de SAML assertion Bijvoorbeeld: SAML assertion geleverd door eHealth
WSC/WSP communication (3/3) Controles die de WSP dient uit te voeren Validatie van het x509 certificate Certificate Revocation List (CRL) Trusted Certificate Authority Controle van de SAML assertion Ondertekend door eHealth Is de assertion nog steeds geldig (cfr. geldigheidsduur) controle “Holder-Of-Key”-profiel SAML assertion & x509 en, uiteraard, de verdere toegangsregels
Basisprincipes
Identificatiemechanismen elektronische identiteitskaart eHealth-certificaat (zorgverstrekker) eHealth-certificaat (software-eigenaar) encryptietoken authenticatiecertificaat encryptietoken authenticatiecertificaat
Opstarten van een sessie Identificatiecertificaat: eID eHealth certificate (zorgverstrekker) HOK-certificaat: eHealth certificate (software) Attributen: applicatie-attributen bijvoorbeeld: APP1 urn:be:fgov:person:ssin:ehealth:1.0:doctor:nihii11 APP2 urn:be:fgov:person:ssin:ehealth:1.0:doctor:boolean
Aanvragen van een SAMLToken Stap voor Stap
Stap 1: generatie van assertion Toevoegen van “subject assertion”-attributen Issuer subject DN van de eID IssuerInstant huidige tijd Toevoegen van subject samlConditions NotBefore huidige tijd NotOnOrAfter gewenste lengte van SAMLToken Toevoegen van subject attributeStatements SAMLNameIdentifiers subject DN van de eID Confirmation Method holder-of-key Identificatie-attributen
Stap 2: generatie van SAMLrequest Creatie van een SAMLAttributeQuery Subject Key info “Holder-Of-Key”-certificaat eHealth certificate (software) subjectConfirmationData SAMLAssertion (stap 1) AttributeDesignator Ondertekenen van de SAMLAttributeQuery met HOK-certificate
Stap 3: versturen van de SAMLquery SAMLquery wordt in de body geplaatst. Let op: niets wijzigen aan de SAMLquery Volgende security moet toegepast worden Toevoegen van een timestamp Toevoegen van het certificaat van de eID Ondertekenen met de eID, de body, timestamp BinarySecurityToken (certificaat)
Stap 4: ontvangen van SAMLresponse De ontvangen SAMLassertion mag NIET gewijzigd worden
WSP-documentatie
WSP-documentatie Technische bibliotheek 1 document per WSP https://www.ehealth.fgov.be/nl/page/website/home/platform/technicallibrary.html Specificatie SecureTokenService Stap voor stap oproepen van STS in Java 1 document per WSP Volledige beschrijving van hoe WSP moet opgeroepen worden WSDL / XSD / URL's van alle diensten STS: overzicht benodigde attributen inclusief first testcases inclusief testprocedure
Toekomstige evoluties
Toekomstige evoluties Ondersteuning voor SAMLv2 Ondersteuning voor WS-Trust
D@nk u ! Vragen ?