Identication & Authentication

Slides:



Advertisements
Verwante presentaties
8 november 2006Frank Robben. Gebruikers- en toegangsbeheer: beschikbare diensten Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid.
Advertisements

Carenet End of Life => Migratie Ziekenhuizen
Blok 7: netwerken Les 7 Christian Bokhove.
27/7/2011 SURFfederatie Een overzicht. (C) 2008 SURFnet B.V.1 Overzicht 1.SURFnet 2.Authenticatie, Autorisatie 3.Federaties 4.SURFfederatie 5.Diensten.
Metadata proces april 2009 train de trainers. Waar in het werkproces metadata Binnen de organisatie zal afgesproken moeten worden van welke data er metadata.
DHO Technische Architectuur
Het eHealth-platform: concept en stand van zaken Frank Robben Administrateur-generaal Kruispuntbank van de Sociale Zekerheid Sint-Pieterssteenweg 375 B-1040.
Webconferentie 27 september 2007
De elektronische identiteitskaart
State-of-the-Art beveiliging met Windows Identity Foundation
Eenduidig en verantwoord elektronisch bestuurlijk verkeer
Een visie op elektronische samen- werking in de gezondheidszorg, gebaseerd op de ervaring in de sociale sector, en de mogelijke rol van een Be-Health platform.
eGovernment, eHealth en bescherming van de privacy
De aanbeveling van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer inzake gebruikers- en toegangsbeheer in de overheidssector volgens.
1 Belcotax on web Belcotax on web De eID configureren De eID configureren.
Basic Web Services Technology Matthijs Smith & Roel Arents tbv ISS 2005/2006.
DHO – Web Services Resultaten
Designing Knowledge Systems b Hoofdstuk 11 van Knowledge Engineering and Management. The CommonKADS Methodology. b A.Th. Schreiber, J.M. Akkermans, A.A.Anjewierder,
Geïntegreerd elektronisch gebruikers- en toegangsbeheer in de sociale en gezondheidssector op basis van de elektronische identiteitskaart
Het elektronische zorgplan Aanmeldprocedure
Digipoort Eerste bijeenkomst SBR en Digipoort Datum:
Erik Weytjens CEO - Certipost
Eduroam BELnet bezoek, 18 juli 2005
Hoogwaardig internet voor hoger onderwijs en onderzoek eduroam BELNET, Brussel, 29 September 2005
SURFnet introductie, 1 juni 2005
EduRoam SEC seminar, 22 februari 2005
Your GateWay to the Finest Academic Research papers in the Netherlands Technische aspecten: de ARNO archive server Thomas Place KUB.
Minicollege Service Oriented Architecture
Technische Architectuur
EBir th © Fedict All rights reserved Elektronische kennisgeving van geboorte Informatie dag eHealth 08 Oktober 2009.
22/10/2014 Business Case ADIB : Naar een 100% klantgerichte organisatie.
Subsidie individueel vervoer:
Federated Authentication Benchmarking Framework
Fedict Identity Authentication & Authorisation Informatievergadering M1016 – OPEN OFFERTEAANVRAAG VOOR DIENSTEN E-GOVERNMENT FEDICT PLATFORM.
Durven met dienstverlening 15 oktober 2015
21 oktober 2015 Gebruikerscomité Servercertificaten Problemen en oplossingen Eric Roelandt.
Java & het Web Programma: Contexts Listeners Scope/Attributes Thread safety.
Informatiseringscentrum Marijke Vandecappelle Tormo van Schuppen 5 december 2012 UvA IDM in 15 minuten.
Change support Tactisch support Strategisch support Management support Monitoring Educatie Gebruikers- ondersteuning Management- informatie Data- beheer.
Contract- management Behoefte- management Transitie Testen Realisatie Ontwerp Require- ments man. Gebruikers- ondersteuning Educatie Monitoring Data- beheer.
Gebruikers- ondersteuning Change support Tactisch support Strategisch support Management support Monitoring Educatie Management- informatie Behoefte- management.
Technische Architectuur. p. 2 Instellingen Q WS SSL Certificaat voor digitale handtekening Cert SSL client certificaat Web service Consumer SSL server.
Bevindingen Proefopstelling OSO op EK Overstap Service Onderwijs op Edukoppeling One small step for (a) man…
Gegarandeerde Aflevering. p. 2  Referte : unieke identificatie van berichten, vragen en antwoorden Vraag / Antwoord : De afzender dient voor elke vraag.
SharePoint Alles over metadata In de Private en Public cloud.
Gebruiksmogelijkheden
Het eHealth-platform ICT InfoDay 2 maart 2011
Elektronische kennisgeving van geboorte
TranSearch Real Time Document & Asset Management Web Client
Het verwijzingsrepertorium Implementatie van het project "Hubs-Metahub" 1.
Recip-e Elektronisch ambulant voorschrift
End-to-end vercijfering
Strategisch support Management support Strategie Tactisch support
Technische Architectuur & Discimus
SLTN Inter Access ontzorgt ICT
Strategisch support Management support Strategie Tactisch support
The Hybrid Workspace Gino van Essen Technical Consultant.
GEU – PO - ENTREE Edu-K H-P Köhler, domeinmanager.
Een volgende stap voor het succesvolle EDISON verhaal
Kerberos Authenticatie
Digitale documenten woensdag 19 september 2018.
Michaël Hompus Principal developer,
Praegus B.V.. .
M5 Datacommunicatie Transportlaag
Strategisch support Management support Strategie Tactisch support
M5 Datacommunicatie Netwerklaag
ASP.NET MVC Web Development
EMandate Gebruiksmogelijkheden in het kader van Medattest (Bestellen van getuigschriften voor verstrekte hulp en overeenstemmingsstroken)
Flow Approvals op verschillende manieren
Strategisch support Management support Strategie Tactisch support
Transcript van de presentatie:

Identication & Authentication 1

Algemene principes

Policy Enforcement Model ( 1 / 7 ) gebaseerd op het generieke Policy Enforcement Model Acroniemen Policy Enforcement Point (PEP) Policy Decision Point (PDP) Policy Information Point (PIP) Policy Administration Point (PAP) “Access Control”-principes Role Based Access Control (RBAC) Attribute Based Access Control (ABAC) AuthoriZation Based Access Control (ZBAC)

Policy Enforcement Model ( 2 / 7 ) Een gebruiker wil toegang tot een applicatie

Policy Enforcement Model ( 3 / 7 ) PEP contacteert PDP met de vraag: Wat zijn de attributen van gebruiker X met identificatie-attributen Y,Z ? Wat zijn de rollen van gebruiker X met identificatie-attributen Y,Z? Heeft gebruiker X met identificatie-attributen Y,Z toegang tot de DTW?

Policy Enforcement Model ( 4 / 7 ) PDP antwoordt op de vraag die de PEP stelde

Policy Enforcement Model ( 5 / 7 ) gebaseerd op de antwoorden ontvangen van de PDP PEP bepaalt of gebruiker al dan niet toegang heeft tot de applicatie

Policy Enforcement Model ( 6 / 7 )

Policy Enforcement Model ( 7 / 7 ) beheren van de verschillende policies beheerd door gekwalificeerd personeel beveiligde omgeving

SSO voor web services

SSO algemene principes (1/2) Doel Vervolledigt het geïntegreerde user and access management Toegang tot verschillende services binnen één sessie. Belangrijkste kenmerken ondersteuning voor ABAC- en ZBAC-principes gebaseerd op het SAML1.1-protocol Termen WSC : web service consumer WSP : web service provider STS : Secure Token Service

SSO algemene principes (2/2)

STS Request/Response (1/7) Beschrijven van flow (1) en (2) Illustratie met volgende attributen Erkende arts

STS Request/Response (2/7) Algemene request-structuur header bevat alle informatie die STS nodig heeft voor de security. x509 identificatiecertificaat eID eHealth-certificaat Bijvoorbeeld: x509: eID van de arts

STS Request/Response (3/7) Request : SAML elementen Confirmation method: Holder-of-Key Subject SAML assertion Identificatie-attributen AttributeDesignator Alle gevraagde attributen Bijvoorbeeld certified: erkende arts

STS Request/Response(4/7) Response algemene structuur Algemene karakteristieken globale Status assertion getekend door eH Antwoord op gevraagde attributen Example certified: erkende arts TRUE

STS Request/Response (5/7) Remarks Attributen bijvoorbeeld certified: erkende dokter TRUE certified erkende verpleegkundige FALSE Technische fouten Wanneer een fout optreedt tijdens het verwerken van een request Request wordt afgebroken Error-boodschap wordt naar de WSC gestuurd. REQ-01: Checks on ConfirmationMethod failed Geldigheidsduur Elke gecertificeerd attribuut heeft een geldigheidsduur

WSC/WSP communication (1/3) Beschrijven van flow (3) en (2) Illustratie met volgende attributen Erkende arts

WSC/WSP communication (2/3) Request general structure 'header' bevat alle informatie die WSP nodig heeft voor de security Identificatie gebaseerd op de SAML assertion Bijvoorbeeld: SAML assertion geleverd door eHealth

WSC/WSP communication (3/3) Controles die de WSP dient uit te voeren Validatie van het x509 certificate Certificate Revocation List (CRL) Trusted Certificate Authority Controle van de SAML assertion Ondertekend door eHealth Is de assertion nog steeds geldig (cfr. geldigheidsduur) controle “Holder-Of-Key”-profiel SAML assertion & x509 en, uiteraard, de verdere toegangsregels

Basisprincipes

Identificatiemechanismen elektronische identiteitskaart eHealth-certificaat (zorgverstrekker) eHealth-certificaat (software-eigenaar) encryptietoken authenticatiecertificaat encryptietoken authenticatiecertificaat

Opstarten van een sessie Identificatiecertificaat: eID eHealth certificate (zorgverstrekker) HOK-certificaat: eHealth certificate (software) Attributen: applicatie-attributen bijvoorbeeld: APP1 urn:be:fgov:person:ssin:ehealth:1.0:doctor:nihii11 APP2 urn:be:fgov:person:ssin:ehealth:1.0:doctor:boolean

Aanvragen van een SAMLToken Stap voor Stap

Stap 1: generatie van assertion Toevoegen van “subject assertion”-attributen Issuer subject DN van de eID IssuerInstant huidige tijd Toevoegen van subject samlConditions NotBefore huidige tijd NotOnOrAfter gewenste lengte van SAMLToken Toevoegen van subject attributeStatements SAMLNameIdentifiers subject DN van de eID Confirmation Method holder-of-key Identificatie-attributen

Stap 2: generatie van SAMLrequest Creatie van een SAMLAttributeQuery Subject Key info “Holder-Of-Key”-certificaat eHealth certificate (software) subjectConfirmationData SAMLAssertion (stap 1) AttributeDesignator Ondertekenen van de SAMLAttributeQuery met HOK-certificate

Stap 3: versturen van de SAMLquery SAMLquery wordt in de body geplaatst. Let op: niets wijzigen aan de SAMLquery Volgende security moet toegepast worden Toevoegen van een timestamp Toevoegen van het certificaat van de eID Ondertekenen met de eID, de body, timestamp BinarySecurityToken (certificaat)

Stap 4: ontvangen van SAMLresponse De ontvangen SAMLassertion mag NIET gewijzigd worden

WSP-documentatie

WSP-documentatie Technische bibliotheek 1 document per WSP https://www.ehealth.fgov.be/nl/page/website/home/platform/technicallibrary.html Specificatie SecureTokenService Stap voor stap oproepen van STS in Java 1 document per WSP Volledige beschrijving van hoe WSP moet opgeroepen worden WSDL / XSD / URL's van alle diensten STS: overzicht benodigde attributen inclusief first testcases inclusief testprocedure

Toekomstige evoluties

Toekomstige evoluties Ondersteuning voor SAMLv2 Ondersteuning voor WS-Trust

D@nk u ! Vragen ?