De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Identication & Authentication

GepubliceerdChristel Bakker Laatst gewijzigd meer dan 6 jaar geleden

Verwante presentaties

Presentatie over: "Identication & Authentication"— Transcript van de presentatie:

1 Identication & Authentication
1

2 Algemene principes

3 Policy Enforcement Model ( 1 / 7 )
gebaseerd op het generieke Policy Enforcement Model Acroniemen Policy Enforcement Point (PEP) Policy Decision Point (PDP) Policy Information Point (PIP) Policy Administration Point (PAP) “Access Control”-principes Role Based Access Control (RBAC) Attribute Based Access Control (ABAC) AuthoriZation Based Access Control (ZBAC)

4 Policy Enforcement Model ( 2 / 7 )
Een gebruiker wil toegang tot een applicatie

5 Policy Enforcement Model ( 3 / 7 )
PEP contacteert PDP met de vraag: Wat zijn de attributen van gebruiker X met identificatie-attributen Y,Z ? Wat zijn de rollen van gebruiker X met identificatie-attributen Y,Z? Heeft gebruiker X met identificatie-attributen Y,Z toegang tot de DTW?

6 Policy Enforcement Model ( 4 / 7 )
PDP antwoordt op de vraag die de PEP stelde

7 Policy Enforcement Model ( 5 / 7 )
gebaseerd op de antwoorden ontvangen van de PDP PEP bepaalt of gebruiker al dan niet toegang heeft tot de applicatie

8 Policy Enforcement Model ( 6 / 7 )

9 Policy Enforcement Model ( 7 / 7 )
beheren van de verschillende policies beheerd door gekwalificeerd personeel beveiligde omgeving

10 SSO voor web services

11 SSO algemene principes (1/2)
Doel Vervolledigt het geïntegreerde user and access management Toegang tot verschillende services binnen één sessie. Belangrijkste kenmerken ondersteuning voor ABAC- en ZBAC-principes gebaseerd op het SAML1.1-protocol Termen WSC : web service consumer WSP : web service provider STS : Secure Token Service

12 SSO algemene principes (2/2)

13 STS Request/Response (1/7)
Beschrijven van flow (1) en (2) Illustratie met volgende attributen Erkende arts

14 STS Request/Response (2/7) Algemene request-structuur
header bevat alle informatie die STS nodig heeft voor de security. x509 identificatiecertificaat eID eHealth-certificaat Bijvoorbeeld: x509: eID van de arts

15 STS Request/Response (3/7) Request : SAML elementen
Confirmation method: Holder-of-Key Subject SAML assertion Identificatie-attributen AttributeDesignator Alle gevraagde attributen Bijvoorbeeld certified: erkende arts

16 STS Request/Response(4/7) Response algemene structuur
Algemene karakteristieken globale Status assertion getekend door eH Antwoord op gevraagde attributen Example certified: erkende arts TRUE

17 STS Request/Response (5/7) Remarks
Attributen bijvoorbeeld certified: erkende dokter TRUE certified erkende verpleegkundige FALSE Technische fouten Wanneer een fout optreedt tijdens het verwerken van een request Request wordt afgebroken Error-boodschap wordt naar de WSC gestuurd. REQ-01: Checks on ConfirmationMethod failed Geldigheidsduur Elke gecertificeerd attribuut heeft een geldigheidsduur

18 WSC/WSP communication (1/3)
Beschrijven van flow (3) en (2) Illustratie met volgende attributen Erkende arts

19 WSC/WSP communication (2/3) Request general structure
'header' bevat alle informatie die WSP nodig heeft voor de security Identificatie gebaseerd op de SAML assertion Bijvoorbeeld: SAML assertion geleverd door eHealth

20 WSC/WSP communication (3/3)
Controles die de WSP dient uit te voeren Validatie van het x509 certificate Certificate Revocation List (CRL) Trusted Certificate Authority Controle van de SAML assertion Ondertekend door eHealth Is de assertion nog steeds geldig (cfr. geldigheidsduur) controle “Holder-Of-Key”-profiel SAML assertion & x509 en, uiteraard, de verdere toegangsregels

21 Basisprincipes

22 Identificatiemechanismen
elektronische identiteitskaart eHealth-certificaat (zorgverstrekker) eHealth-certificaat (software-eigenaar) encryptietoken authenticatiecertificaat encryptietoken authenticatiecertificaat

23 Opstarten van een sessie
Identificatiecertificaat: eID eHealth certificate (zorgverstrekker) HOK-certificaat: eHealth certificate (software) Attributen: applicatie-attributen bijvoorbeeld: APP1 urn:be:fgov:person:ssin:ehealth:1.0:doctor:nihii11 APP2 urn:be:fgov:person:ssin:ehealth:1.0:doctor:boolean

24 Aanvragen van een SAMLToken
Stap voor Stap

25 Stap 1: generatie van assertion
Toevoegen van “subject assertion”-attributen Issuer subject DN van de eID IssuerInstant huidige tijd Toevoegen van subject samlConditions NotBefore huidige tijd NotOnOrAfter gewenste lengte van SAMLToken Toevoegen van subject attributeStatements SAMLNameIdentifiers subject DN van de eID Confirmation Method holder-of-key Identificatie-attributen

26 Stap 2: generatie van SAMLrequest
Creatie van een SAMLAttributeQuery Subject Key info “Holder-Of-Key”-certificaat eHealth certificate (software) subjectConfirmationData SAMLAssertion (stap 1) AttributeDesignator Ondertekenen van de SAMLAttributeQuery met HOK-certificate

27 Stap 3: versturen van de SAMLquery
SAMLquery wordt in de body geplaatst. Let op: niets wijzigen aan de SAMLquery Volgende security moet toegepast worden Toevoegen van een timestamp Toevoegen van het certificaat van de eID Ondertekenen met de eID, de body, timestamp BinarySecurityToken (certificaat)

28 Stap 4: ontvangen van SAMLresponse
De ontvangen SAMLassertion mag NIET gewijzigd worden

29 WSP-documentatie

30 WSP-documentatie Technische bibliotheek 1 document per WSP
Specificatie SecureTokenService Stap voor stap oproepen van STS in Java 1 document per WSP Volledige beschrijving van hoe WSP moet opgeroepen worden WSDL / XSD / URL's van alle diensten STS: overzicht benodigde attributen inclusief first testcases inclusief testprocedure

31 Toekomstige evoluties

32 Toekomstige evoluties
Ondersteuning voor SAMLv2 Ondersteuning voor WS-Trust

33 u ! Vragen ?

Download ppt "Identication & Authentication"

Verwante presentaties

8 november 2006Frank Robben. Gebruikers- en toegangsbeheer: beschikbare diensten Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid.

8 november 2006Frank Robben. Gebruikers- en toegangsbeheer: beschikbare diensten Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid.
Carenet End of Life => Migratie Ziekenhuizen

Carenet End of Life => Migratie Ziekenhuizen
Blok 7: netwerken Les 7 Christian Bokhove.

Blok 7: netwerken Les 7 Christian Bokhove.
27/7/2011 SURFfederatie Een overzicht. (C) 2008 SURFnet B.V.1 Overzicht 1.SURFnet 2.Authenticatie, Autorisatie 3.Federaties 4.SURFfederatie 5.Diensten.

27/7/2011 SURFfederatie Een overzicht. (C) 2008 SURFnet B.V.1 Overzicht 1.SURFnet 2.Authenticatie, Autorisatie 3.Federaties 4.SURFfederatie 5.Diensten.
Metadata proces april 2009 train de trainers. Waar in het werkproces metadata Binnen de organisatie zal afgesproken moeten worden van welke data er metadata.

Metadata proces april 2009 train de trainers. Waar in het werkproces metadata Binnen de organisatie zal afgesproken moeten worden van welke data er metadata.
DHO Technische Architectuur

DHO Technische Architectuur
Het eHealth-platform: concept en stand van zaken Frank Robben Administrateur-generaal Kruispuntbank van de Sociale Zekerheid Sint-Pieterssteenweg 375 B-1040.

Het eHealth-platform: concept en stand van zaken Frank Robben Administrateur-generaal Kruispuntbank van de Sociale Zekerheid Sint-Pieterssteenweg 375 B-1040.
Webconferentie 27 september 2007

Webconferentie 27 september 2007
De elektronische identiteitskaart

De elektronische identiteitskaart
State-of-the-Art beveiliging met Windows Identity Foundation

State-of-the-Art beveiliging met Windows Identity Foundation
Eenduidig en verantwoord elektronisch bestuurlijk verkeer

Eenduidig en verantwoord elektronisch bestuurlijk verkeer
Een visie op elektronische samen- werking in de gezondheidszorg, gebaseerd op de ervaring in de sociale sector, en de mogelijke rol van een Be-Health platform.

Een visie op elektronische samen- werking in de gezondheidszorg, gebaseerd op de ervaring in de sociale sector, en de mogelijke rol van een Be-Health platform.
eGovernment, eHealth en bescherming van de privacy

eGovernment, eHealth en bescherming van de privacy
De aanbeveling van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer inzake gebruikers- en toegangsbeheer in de overheidssector volgens.

De aanbeveling van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer inzake gebruikers- en toegangsbeheer in de overheidssector volgens.
1 Belcotax on web Belcotax on web De eID configureren De eID configureren.

1 Belcotax on web Belcotax on web De eID configureren De eID configureren.
Basic Web Services Technology Matthijs Smith & Roel Arents tbv ISS 2005/2006.

Basic Web Services Technology Matthijs Smith & Roel Arents tbv ISS 2005/2006.
DHO – Web Services Resultaten

DHO – Web Services Resultaten
Designing Knowledge Systems b Hoofdstuk 11 van Knowledge Engineering and Management. The CommonKADS Methodology. b A.Th. Schreiber, J.M. Akkermans, A.A.Anjewierder,

Designing Knowledge Systems b Hoofdstuk 11 van Knowledge Engineering and Management. The CommonKADS Methodology. b A.Th. Schreiber, J.M. Akkermans, A.A.Anjewierder,
Geïntegreerd elektronisch gebruikers- en toegangsbeheer in de sociale en gezondheidssector op basis van de elektronische identiteitskaart frank.robben@ksz.fgov.be.

Geïntegreerd elektronisch gebruikers- en toegangsbeheer in de sociale en gezondheidssector op basis van de elektronische identiteitskaart
Het elektronische zorgplan Aanmeldprocedure

Het elektronische zorgplan Aanmeldprocedure

Verwante presentaties

Ads door Google