De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Identication & Authentication

Verwante presentaties


Presentatie over: "Identication & Authentication"— Transcript van de presentatie:

1 Identication & Authentication
1

2 Algemene principes

3 Policy Enforcement Model ( 1 / 7 )
gebaseerd op het generieke Policy Enforcement Model Acroniemen Policy Enforcement Point (PEP) Policy Decision Point (PDP) Policy Information Point (PIP) Policy Administration Point (PAP) “Access Control”-principes Role Based Access Control (RBAC) Attribute Based Access Control (ABAC) AuthoriZation Based Access Control (ZBAC)

4 Policy Enforcement Model ( 2 / 7 )
Een gebruiker wil toegang tot een applicatie

5 Policy Enforcement Model ( 3 / 7 )
PEP contacteert PDP met de vraag: Wat zijn de attributen van gebruiker X met identificatie-attributen Y,Z ? Wat zijn de rollen van gebruiker X met identificatie-attributen Y,Z? Heeft gebruiker X met identificatie-attributen Y,Z toegang tot de DTW?

6 Policy Enforcement Model ( 4 / 7 )
PDP antwoordt op de vraag die de PEP stelde

7 Policy Enforcement Model ( 5 / 7 )
gebaseerd op de antwoorden ontvangen van de PDP PEP bepaalt of gebruiker al dan niet toegang heeft tot de applicatie

8 Policy Enforcement Model ( 6 / 7 )

9 Policy Enforcement Model ( 7 / 7 )
beheren van de verschillende policies beheerd door gekwalificeerd personeel beveiligde omgeving

10 SSO voor web services

11 SSO algemene principes (1/2)
Doel Vervolledigt het geïntegreerde user and access management Toegang tot verschillende services binnen één sessie. Belangrijkste kenmerken ondersteuning voor ABAC- en ZBAC-principes gebaseerd op het SAML1.1-protocol Termen WSC : web service consumer WSP : web service provider STS : Secure Token Service

12 SSO algemene principes (2/2)

13 STS Request/Response (1/7)
Beschrijven van flow (1) en (2) Illustratie met volgende attributen Erkende arts

14 STS Request/Response (2/7) Algemene request-structuur
header bevat alle informatie die STS nodig heeft voor de security. x509 identificatiecertificaat eID eHealth-certificaat Bijvoorbeeld: x509: eID van de arts

15 STS Request/Response (3/7) Request : SAML elementen
Confirmation method: Holder-of-Key Subject SAML assertion Identificatie-attributen AttributeDesignator Alle gevraagde attributen Bijvoorbeeld certified: erkende arts

16 STS Request/Response(4/7) Response algemene structuur
Algemene karakteristieken globale Status assertion getekend door eH Antwoord op gevraagde attributen Example certified: erkende arts TRUE

17 STS Request/Response (5/7) Remarks
Attributen bijvoorbeeld certified: erkende dokter TRUE certified erkende verpleegkundige FALSE Technische fouten Wanneer een fout optreedt tijdens het verwerken van een request Request wordt afgebroken Error-boodschap wordt naar de WSC gestuurd. REQ-01: Checks on ConfirmationMethod failed Geldigheidsduur Elke gecertificeerd attribuut heeft een geldigheidsduur

18 WSC/WSP communication (1/3)
Beschrijven van flow (3) en (2) Illustratie met volgende attributen Erkende arts

19 WSC/WSP communication (2/3) Request general structure
'header' bevat alle informatie die WSP nodig heeft voor de security Identificatie gebaseerd op de SAML assertion Bijvoorbeeld: SAML assertion geleverd door eHealth

20 WSC/WSP communication (3/3)
Controles die de WSP dient uit te voeren Validatie van het x509 certificate Certificate Revocation List (CRL) Trusted Certificate Authority Controle van de SAML assertion Ondertekend door eHealth Is de assertion nog steeds geldig (cfr. geldigheidsduur) controle “Holder-Of-Key”-profiel SAML assertion & x509 en, uiteraard, de verdere toegangsregels

21 Basisprincipes

22 Identificatiemechanismen
elektronische identiteitskaart eHealth-certificaat (zorgverstrekker) eHealth-certificaat (software-eigenaar) encryptietoken authenticatiecertificaat encryptietoken authenticatiecertificaat

23 Opstarten van een sessie
Identificatiecertificaat: eID eHealth certificate (zorgverstrekker) HOK-certificaat: eHealth certificate (software) Attributen: applicatie-attributen bijvoorbeeld: APP1 urn:be:fgov:person:ssin:ehealth:1.0:doctor:nihii11 APP2 urn:be:fgov:person:ssin:ehealth:1.0:doctor:boolean

24 Aanvragen van een SAMLToken
Stap voor Stap

25 Stap 1: generatie van assertion
Toevoegen van “subject assertion”-attributen Issuer subject DN van de eID IssuerInstant huidige tijd Toevoegen van subject samlConditions NotBefore huidige tijd NotOnOrAfter gewenste lengte van SAMLToken Toevoegen van subject attributeStatements SAMLNameIdentifiers subject DN van de eID Confirmation Method holder-of-key Identificatie-attributen

26 Stap 2: generatie van SAMLrequest
Creatie van een SAMLAttributeQuery Subject Key info “Holder-Of-Key”-certificaat eHealth certificate (software) subjectConfirmationData SAMLAssertion (stap 1) AttributeDesignator Ondertekenen van de SAMLAttributeQuery met HOK-certificate

27 Stap 3: versturen van de SAMLquery
SAMLquery wordt in de body geplaatst. Let op: niets wijzigen aan de SAMLquery Volgende security moet toegepast worden Toevoegen van een timestamp Toevoegen van het certificaat van de eID Ondertekenen met de eID, de body, timestamp BinarySecurityToken (certificaat)

28 Stap 4: ontvangen van SAMLresponse
De ontvangen SAMLassertion mag NIET gewijzigd worden

29 WSP-documentatie

30 WSP-documentatie Technische bibliotheek 1 document per WSP
Specificatie SecureTokenService Stap voor stap oproepen van STS in Java 1 document per WSP Volledige beschrijving van hoe WSP moet opgeroepen worden WSDL / XSD / URL's van alle diensten STS: overzicht benodigde attributen inclusief first testcases inclusief testprocedure

31 Toekomstige evoluties

32 Toekomstige evoluties
Ondersteuning voor SAMLv2 Ondersteuning voor WS-Trust

33 u ! Vragen ?


Download ppt "Identication & Authentication"

Verwante presentaties


Ads door Google