IAM-Lösungsarchitektur CH

Transkript

1 IAM-Lösungsarchitektur CH ffo B2.06 Identifikation und Berechtigungsverwaltung ech FG-IAM Identity & Access Management egov Lunch BFH , Bern Autor: Hans Häni AFI TG, Co-Leiter e-ch-fg IAM und Co-Leiter E-Gov ffo B2.06 IAM

2 Strategie, Anforderungen Architektur 3 Aussagen zur Vision (Strategie) E-Gov (NR R. Noser, ) Der Staat (Verwaltung, Rechtspflege, ) darf nicht Daten vom Einwohner oder Unternehmen verlangen, welche er schon hat. Der Einwohner oder das Unternehmen kann diese verlangten Daten rund um die Uhr, von überall auf der Welt liefern. Der Einwohner oder das Unternehmen kann jederzeit mit einem autorisierten Zugriff alle seine Daten einsehen und angezeigt bekommen, wer darauf Zugriff hat. Grob-Anforderungen für das IAM 2

3 Strategie, Anforderungen Architektur Governance, Risk-Management, Compliance (GRC) Identity und Access Management: Ist Bestandteil und Grundlage für einen rechtlich und operationell sicheren E-Sozial- und E-Wirtschaftsraum Unterstützt die Informationssicherheit gemäss ISO Risiko-Analyse aus Sicht Angebot bestimmt Schutzbedarf für IAM Garantiert den Datenschutz in jedem Rechtskontext Basiert auf Interoperabilität, national und international Basiert auf international kompatiblen Modellen und Architekturen Ist möglichst schlank, transparent und robust Ist verifizierbar und auditierbar Anforderungen für das IAM 3

4 Anforderungen SuisseID an IAM Szenarium 3: zus. externe Provider Verschiedene Szenarien mit zusätzlichen externen Profil-Daten-Providern, z.b.: Benutzer erbringt Nachweis als Notar aus dem Register der Urkundspersonen; Die Anwendung holt selbst Zeichnungs-Berechtigung im Handelsregister; Harte Authentisierung mit SuisseID bei Server für Federated Identity EVD/SECO/DSKU/eGov-KMU 4

5 SIK-Arbeitsgruppe SuisseID Umsetzungsstrategie mit: Erwartungen und Forderungen der SIK an SuisseID Anforderungsmanagement der SIK Koordinationsteam der SIK für SuisseID/IAM Modellvorgehen für den Einsatz der SuisseID Modellarchitektur für die Verwendung von SuisseID mit möglichen Betriebsorganisationen SuisseID/IAM Prozesse der SIK für die SuisseID/IAM Priorisierte Projekte und mögliche Kosten Standardvorgehen für die Migration von bestehenden Anwendungen Informationsplattform der SIK für SuisseID/IAM ech-standardisierungsbedarf Massnahmen 2010 für SuisseID/IAM Quickwin s 5

6 IAM Referenzmodell (seit 2007) 6

7 IAM-Prozesse und Architektur IAM-Meta-Prozesse Legislative = Prozess-Organisation Autorisierung des Angebots Autorisierung der Zugriffsautorisierer und Regeln - Prozessorganisations-Verantwortlicher (Prozess-Autorisierung) - Prozess-Beteiligte (Identity-, Service Provider) (Autorisierungs-Management) - Prozess-Auditor (Revision) Exekutive = Prozess-Management Registrierung Authentisierung Applikation/Service-Autorisierung - Prozess-Manager (Rolle, Attribute, Regeln) (User-Autorisierung) - Prozess-Verwaltungsmitglieder (User-Management) - Prozess-Security-Verantwortlicher (Monitoring) IAM-IT-Architektur = SOA (Service Oriented Architecture) - Portal Zugang im Berechtigungskontext - Services Koordinations-, Kommunikations- und Portaldienste - Register Funktionsnachweise - Repositories Gesetze, Verträge, Serviceleistungen - Monitoring Security, Revision 7

8 IAM Prozesse und Architektur IAM-IT-Architektur = SOA Exekutiv-Portal - Prozess-Manager - Prozess-Verw.-Mitglieder - Prozess-Security-Verantw. Legislativ-Portal - Prozes-Org.-Verantw. - Prozess-Org.-Mitglieder - Prozess-Auditor Online, Web-Services Kommunikations-Service Koordinations- Service Event-Bus-Schweiz (SEDEX,...) Federated Repository - Prozess Verantw. / Mitglieder - Prozess-Services (Identity-Provider) - Prozess-Lifecycle - User - Rollen, Attribute, Regeln - Zertifikate - Gesetze, Verordnungen - Verträge, SLA s Benutzer-Autorisierung Prozes-Service Prozess-Monitoring Prozess-Service Prozess-Autorisierung Prozess-Service Prozess-Auditing Prozess-Service 8

9 Implementierung von IAM in der Domäne (Aus S.A.F.E-Grobkonzept D, Dez. 2007) Recht SLA s Enterprise Service Bus z.b. SEDEX-Bus, OSCI2 Applikation / Service (Rolle, Attribute) Definierter Rechtsraum 9 14

10 IAM-Domänen-Architektur CH (Beispiel egov) Public Domain egov Domain IdP egov-ma IdP IdP Personal U-MA ClaimP egov / eeco Local Domain Local Directory Pers.-Services egov-iam-services Local-Services Vertrieb - Online-Schalter - Einwohner - U-Mitarbeiter Produktion - Prod.-Portal - Fall-Controlling - Workflow Int. Bus Produktion - Fachapplikation - Fachdaten - Dokumente Event Bus CH 10

11 Aus egov IAM Infrastruktur Vision (Jan. 2010) Behörden egov IAM Infrastruktur Schweiz 2 Interface trust SuisseID Suisse CSP ID CA 1 Benutzende Register CSP Infrastruktur IdP CSP Certification Provider IdP Identity Provider CAS Claim Assertion Service CAS Interface Interface Interface Firmen trust trust 11

12 Eine Sicht der ech IAM-Modellarchitektur egov IAM Repository SuisseID Client Identity Management Service ID-Register IAM- Token PEP Access Service Security Token Authentication Service Autorization Service Credential Management Service Claim Management Service CR-Register CL-Register Security Token Ressourcen- Directory Ressource Rechteverwaltung Interface Policy Enforcement Point Gemäss ech-0107 Gestaltungsprinzipien für IAM 12

13 Strategie, Anforderungen Architektur Interoperabilitäts-Ebenen Politische / Rechtliche Ebene - Gesetze, Verordnungen - Vereinbarungen, SLA s Organisatorische Ebene Semantische Ebene Technische Ebene - Standardisierte Prozesse - Koordinationsprozesse - Terminologien - Nomenklaturen - Internationale Standards - Nat. und intenat. Normen Roadmap for a pan-european eidm-framework by 2010 eid Interoperability for PEGS (Pan-European E-Gov Services) EU/IDABC Authentication Policy EU/STORK Secure Identity Across Borders Linked 13

14 Ansatz organisatorische/rechtliche Architektur Domänen- und Instanzenbetrachtung gemäss Cloud Computing (CSA) - Public Domain / Instance (CH-Einwohner: Zivilgesetzgebung, ) - Private Domain / Instance (Öffentl. Verwaltung, Unternehmen: Gesetze, OR, ) - Community Domain / Instance (SuisseID/IdPs, egov-iam, ehealth-iam: SLA s ) Jede Domäne stellt ein transparenter geregelter Rechtsraum dar. Jede Instanz, jede Domäne hat ein zugeordneter geregelter Namensraum. Die für die Applikation benötigten IAM-Dienste (SOA, Workloads) sind rechtlich-organisatorisch klar im Kontext der jeweiligen Domäne definiert. Die rechtlichen und vertraglichen Anforderungen einer Applikation ergeben sich aus dem Gesamtkontext der von der Applikation beanspruchten Domänenund Instanzen-Landschaft. 14

15 Ansatz semantische Architektur Fachschaftsbetrachtung (Fachdomänen, Fachinstanz) - Fach-Standardisierungsgremien ( Steuern, Umwelt, ASA20111, ) - Fach-Communities (Switch, SWIFT,, IAM-Community?) Jede Fachschaft hat ihre festgelegten und gepflegten semantischen Komponenten dieser Fachinstanz in den relevanten Namensräumen. Jede Fachschaft hat einen klaren Bezug zu den relevanten Rechtsräumen. Die für die Applikation benötigten IAM-Dienste (SOA, Workloads) verwenden nachvollziehbare semantische Komponenten im Namensraum, in welchem sie eingebettet sind. Diese semantischen Komponenten der IAM-Dienste, welche eine Applikation verwendet, sind rechtlichen und vertraglichen gesichert (Trust, Federation). 15

16 Ansatz technische Architektur Technische Domänen- und Instanzenbetrachtung - Local-Directory der Applikation - Local-Directory des IAM-Dienstes - Cloud -Metadirectory für die IAM-Dienste - Cloud -Instanzen der IAM-Dienste (Register, Repositories) Jede Applikation und jeder von ihr verwendete IAM-Dienst hat ein ihr/ihm am nächsten stehendes Directory (Local-Directory der Ressource). Die Local-Directories in der Local Domain haben untereinander eine Federation-Beziehung und ein Trust-Verhältnis. 16

17 Strukturierung gem. Cloud Security Alliance (CSA) NIST Visual Model of Cloud Computing Definition 17

18 Strukturierung gem. Cloud Security Alliance (CSA) IAM Mapping the Cloud Model to the Security Control & Compliance Model C Cloud Security Alliance 18

19 Strukturierung gem. Cloud Security Alliance (CSA) Cloud Computing Deployment Models C Cloud Security Alliance 19

20 Extending the Enterprise to the Cloud Internal Cloud (On-Site) External Cloud (Off-Site) GOVERNANCE AND COMPLIANCE Business Service Management Business Service Management Business Service Management Software as a Service IT Service Management IT Service Management IT Service Management Platform as a Service Existing Internal Capacity Virtualized Internal Capacity New External Capacity Infrastructure as a Service Novell, Inc. All rights reserved. Firewall 20

21 Kurzbeschreibung Stabi3eGov Vorhaben B2.06 Schnüren eines Gesamtpaketes per , für Gelder von Stabi3eGov Gesamtplanung: Umsetzung des Projektes Stabi3eGov mit Unterstützung AWK 3 Teilprojekte: - IAM-Lösungsarchitektur für Pilotinfrastruktur - Parallel zu erstellende notwendige ech-iam-standardisierung - Nachhaltige Organisation B2.06 und Folgejahre IAM-Lösungsarchitektur: - Kernprojekt AWK - Pro Pilot-Applikation IAM-Studie AWK - Proof of Concept IAM CH für Pilot-Applikationen ech-iam-standardisierung: FG IAM mit fremder Unterstützung, u.a. AWK Organisation: Berner Fachhochschule, K. Walser Eventuell weitere Finanzierung Stabi3eGov per

22 Darstellung Stabi3eGov, Projekt B2.06 IAM Projekt Stabi3eGov Gesamtplanung/Koord. B2.06 / AWK B2.06 / BFH Organisation B2.06 IAM ech IAM-Standardisierung AWK / B2.06 IAM-Lösungsarchitektur und Proof of Concept ech / B2.06 IAM BIT IAM ASA IAM egris IAM Swisscom Teilprojekt 3 IAM Bedag IAM Abraxas/VRSG Kern- Projekt IAM SG IAM BK IAM ZH IAM R egov IAM Teilprojekt 2 Teilprojekt 1 Gesamtprojekt 22

23 Roadmap Stabi3eGov Projekt B2.06 IAM Initialisierung Cleanup WS Rahmendokument Lösungsarch. (Gesch,. Inform.) Organisation (BFH) (Recht) update Mapping Geschäftsarch., Inform.arch. pro Vorh. Konzept PoC pro Vorhaben AWK plus Partner Lösungsarch IAM egov update Nächst e Schritte Techn. Konzept und Umsetzung PoC pro Vorhaben Initialisierung Standardisierung (z.b. update ech-0107) Ende Juni Ende Juli Mitte Sept. Mitte Okt. Ende

24 Danke für die Aufmerksamkeit 24