Identication & Authentication 1

Algemene principes

Policy Enforcement Model ( 1 / 7 ) gebaseerd op het generieke Policy Enforcement Model Acroniemen Policy Enforcement Point (PEP) Policy Decision Point (PDP) Policy Information Point (PIP) Policy Administration Point (PAP) “Access Control”-principes Role Based Access Control (RBAC) Attribute Based Access Control (ABAC) AuthoriZation Based Access Control (ZBAC)

Policy Enforcement Model ( 2 / 7 ) Een gebruiker wil toegang tot een applicatie

Policy Enforcement Model ( 3 / 7 ) PEP contacteert PDP met de vraag: Wat zijn de attributen van gebruiker X met identificatie-attributen Y,Z ? Wat zijn de rollen van gebruiker X met identificatie-attributen Y,Z? Heeft gebruiker X met identificatie-attributen Y,Z toegang tot de DTW?

Policy Enforcement Model ( 4 / 7 ) PDP antwoordt op de vraag die de PEP stelde

Policy Enforcement Model ( 5 / 7 ) gebaseerd op de antwoorden ontvangen van de PDP PEP bepaalt of gebruiker al dan niet toegang heeft tot de applicatie

Policy Enforcement Model ( 6 / 7 )

Policy Enforcement Model ( 7 / 7 ) beheren van de verschillende policies beheerd door gekwalificeerd personeel beveiligde omgeving

SSO voor web services

SSO algemene principes (1/2) Doel Vervolledigt het geïntegreerde user and access management Toegang tot verschillende services binnen één sessie. Belangrijkste kenmerken ondersteuning voor ABAC- en ZBAC-principes gebaseerd op het SAML1.1-protocol Termen WSC : web service consumer WSP : web service provider STS : Secure Token Service

SSO algemene principes (2/2)

STS Request/Response (1/7) Beschrijven van flow (1) en (2) Illustratie met volgende attributen Erkende arts

STS Request/Response (2/7) Algemene request-structuur header bevat alle informatie die STS nodig heeft voor de security. x509 identificatiecertificaat eID eHealth-certificaat Bijvoorbeeld: x509: eID van de arts

STS Request/Response (3/7) Request : SAML elementen Confirmation method: Holder-of-Key Subject SAML assertion Identificatie-attributen AttributeDesignator Alle gevraagde attributen Bijvoorbeeld certified: erkende arts

STS Request/Response(4/7) Response algemene structuur Algemene karakteristieken globale Status assertion getekend door eH Antwoord op gevraagde attributen Example certified: erkende arts TRUE

STS Request/Response (5/7) Remarks Attributen bijvoorbeeld certified: erkende dokter TRUE certified erkende verpleegkundige FALSE Technische fouten Wanneer een fout optreedt tijdens het verwerken van een request Request wordt afgebroken Error-boodschap wordt naar de WSC gestuurd. REQ-01: Checks on ConfirmationMethod failed Geldigheidsduur Elke gecertificeerd attribuut heeft een geldigheidsduur

WSC/WSP communication (1/3) Beschrijven van flow (3) en (2) Illustratie met volgende attributen Erkende arts

WSC/WSP communication (2/3) Request general structure 'header' bevat alle informatie die WSP nodig heeft voor de security Identificatie gebaseerd op de SAML assertion Bijvoorbeeld: SAML assertion geleverd door eHealth

WSC/WSP communication (3/3) Controles die de WSP dient uit te voeren Validatie van het x509 certificate Certificate Revocation List (CRL) Trusted Certificate Authority Controle van de SAML assertion Ondertekend door eHealth Is de assertion nog steeds geldig (cfr. geldigheidsduur) controle “Holder-Of-Key”-profiel SAML assertion & x509 en, uiteraard, de verdere toegangsregels

Basisprincipes

Identificatiemechanismen elektronische identiteitskaart eHealth-certificaat (zorgverstrekker) eHealth-certificaat (software-eigenaar) encryptietoken authenticatiecertificaat encryptietoken authenticatiecertificaat

Opstarten van een sessie Identificatiecertificaat: eID eHealth certificate (zorgverstrekker) HOK-certificaat: eHealth certificate (software) Attributen: applicatie-attributen bijvoorbeeld: APP1 urn:be:fgov:person:ssin:ehealth:1.0:doctor:nihii11 APP2 urn:be:fgov:person:ssin:ehealth:1.0:doctor:boolean

Aanvragen van een SAMLToken Stap voor Stap

Stap 1: generatie van assertion Toevoegen van “subject assertion”-attributen Issuer subject DN van de eID IssuerInstant huidige tijd Toevoegen van subject samlConditions NotBefore huidige tijd NotOnOrAfter gewenste lengte van SAMLToken Toevoegen van subject attributeStatements SAMLNameIdentifiers subject DN van de eID Confirmation Method holder-of-key Identificatie-attributen

Stap 2: generatie van SAMLrequest Creatie van een SAMLAttributeQuery Subject Key info “Holder-Of-Key”-certificaat eHealth certificate (software) subjectConfirmationData SAMLAssertion (stap 1) AttributeDesignator Ondertekenen van de SAMLAttributeQuery met HOK-certificate

Stap 3: versturen van de SAMLquery SAMLquery wordt in de body geplaatst. Let op: niets wijzigen aan de SAMLquery Volgende security moet toegepast worden Toevoegen van een timestamp Toevoegen van het certificaat van de eID Ondertekenen met de eID, de body, timestamp BinarySecurityToken (certificaat)

Stap 4: ontvangen van SAMLresponse De ontvangen SAMLassertion mag NIET gewijzigd worden

WSP-documentatie

WSP-documentatie Technische bibliotheek 1 document per WSP https://www.ehealth.fgov.be/nl/page/website/home/platform/technicallibrary.html Specificatie SecureTokenService Stap voor stap oproepen van STS in Java 1 document per WSP Volledige beschrijving van hoe WSP moet opgeroepen worden WSDL / XSD / URL's van alle diensten STS: overzicht benodigde attributen inclusief first testcases inclusief testprocedure

Toekomstige evoluties

Toekomstige evoluties Ondersteuning voor SAMLv2 Ondersteuning voor WS-Trust

D@nk u ! Vragen ?