IAM-Lösungsarchitektur CH

Transkript

1 3. ffo-meeting 8. November in Bern IAM-Lösungsarchitektur CH ffo B2.06 Identifikation und Berechtigungsverwaltung ech FG-IAM Identity & Access Management ffo-projekt Stabi3eGov B2.06 Autor: Hans Häni AFI TG, Co-Leiter ffo B2.06 IAM

2 Kurzbeschreibung Projekt Stabi3eGov B2.06 Schnüren eines Gesamtpaketes per , für Gelder von Stabi3eGov Gesamtplanung: Umsetzung des Projektes Stabi3eGov mit Unterstützung AWK 3 Teilprojekte: - IAM-Lösungsarchitektur für Pilotinfrastruktur - Parallel zu erstellende notwendige ech-iam-standardisierung - Nachhaltige Organisation B2.06 und Folgejahre IAM-Lösungsarchitektur: - Architektur/Konzept-Ausarbeitung - Pilot-IAM-Applikationen und IAM-Plattformen - Proof of Concept IAM für Pilot-Applikationen ech-iam-standardisierung: FG IAM mit bezahlter Unterstützung Organisation: Berner Fachhochschule, K. Walser Zusätzliche Gelder von Stabi3eGov, beantragt per für IAM-Plattform Reference egov / Behördenverzeichnis Bewilligte Gelder Stabi3eGov, von Fr plus Fr

3 Darstellung Stabi3eGov, Projekt B2.06 IAM Projekt Stabi3eGov Gesamtplanung/Koord. B2.06 / AWK B2.06 / BFH Organisation B2.06 IAM ech IAM-Standardisierung AWK / B2.06 IAM-Lösungsarchitektur und Proof of Concept ech / B2.06 IAM BIT IAM ASA IAM egris IAM Swisscom Teilprojekt 3 IAM Bedag IAM Abraxas/VRSG Kern- Projekt IAM SG IAM BK IAM ZH IAM R egov IAM Teilprojekt 2 Teilprojekt 1 Gesamtprojekt 3

4 Strategie, Anforderungen Architektur 3 Aussagen zur Vision (Strategie) E-Gov (NR R. Noser, ) Der Staat (Verwaltung, Rechtspflege, ) darf nicht Daten vom Einwohner oder Unternehmen verlangen, welche er schon hat. Der Einwohner oder das Unternehmen kann diese verlangten Daten rund um die Uhr, von überall auf der Welt liefern. Der Einwohner oder das Unternehmen kann jederzeit mit einem autorisierten Zugriff alle seine Daten einsehen und angezeigt bekommen, wer darauf Zugriff hat. Anforderungen aus Cloud Computing (offen, international) Grob-Anforderungen für das IAM 4

5 Strategie, Anforderungen Architektur Governance, Risk-Management, Compliance (GRC) Identity und Access Management: Ist Bestandteil und Grundlage für einen rechtlich und operationell sicheren E-Sozial- und E-Wirtschaftsraum Unterstützt die Informationssicherheit gemäss ISO Risiko-Analyse aus Sicht Angebot bestimmt Schutzbedarf für IAM Garantiert den Datenschutz in jedem Rechtskontext Basiert auf Interoperabilität, national und international Basiert auf international kompatiblen Modellen und Architekturen Ist möglichst schlank, transparent und robust Ist verifizierbar und auditierbar Anforderungen für das IAM 5

6 Anforderungen SuisseID an IAM Szenarium 3: zus. externe Provider Verschiedene Szenarien mit zusätzlichen externen Profil-Daten-Providern, z.b.: Benutzer erbringt Nachweis als Notar aus dem Register der Urkundspersonen; Die Anwendung holt selbst Zeichnungs-Berechtigung im Handelsregister; Harte Authentisierung mit SuisseID bei Server für Federated Identity EVD/SECO/DSKU/eGov-KMU 6

7 Anforderungen SIK-Arbeitsgruppe SuisseID Umsetzungsstrategie mit: Erwartungen und Forderungen der SIK an SuisseID Anforderungsmanagement der SIK Koordinationsteam der SIK für SuisseID/IAM Modellvorgehen für den Einsatz der SuisseID Modellarchitektur für die Verwendung von SuisseID mit möglichen Betriebsorganisationen SuisseID/IAM Prozesse der SIK für die SuisseID/IAM Priorisierte Projekte und mögliche Kosten Standardvorgehen für die Migration von bestehenden Anwendungen Informationsplattform der SIK für SuisseID/IAM ech-standardisierungsbedarf Massnahmen 2010 für SuisseID/IAM Quickwin s 7

8 Anforderungen Architektur Grob-Anforderungen IAM Stakeholders (Beteiligte) und deren Interessen IAM-Prozesse IAM-Services Vorgehen und Lösungsstruktur gemäss TOGAF IAM-Architekturen: organisatorische/rechtliche Architektur (Domänen, Cloud) semantische Architektur (Domänen, Name Spaces) Technische Architektur (technische Standards, Cloud) 8

9 Strategie, Anforderungen Architektur EU: Interoperabilitäts-Ebenen Politische / Rechtliche Ebene - Gesetze, Verordnungen - Vereinbarungen, SLA s Organisatorische Ebene Semantische Ebene Technische Ebene - Standardisierte Prozesse - Koordinationsprozesse - Terminologien - Nomenklaturen - Internationale Standards - Nat. und intenat. Normen Roadmap for a pan-european eidm-framework by 2010 eid Interoperability for PEGS (Pan-European E-Gov Services) EU/IDABC Authentication Policy EU/STORK Secure Identity Across Borders Linked 9

10 IAM Referenzmodell (seit 2007) 10

11 IAM-Prozesse und Architektur IAM-Meta-Prozesse Legislative = Prozess-Organisation Autorisierung des Angebots Autorisierung der Zugriffsautorisierung und Regeln - Prozessorganisations-Verantwortlicher (Prozess-Autorisierung) - Prozess-Beteiligte (Identity-, Service Provider) (Autorisierungs-Management) - Prozess-Auditor (Revision) Exekutive = Prozess-Management Registrierung Authentisierung Applikation/Service-Autorisierung - Prozess-Manager (Rolle, Attribute, Regeln) (User-Autorisierung) - Prozess-Verwaltungsmitglieder (User-Management) - Prozess-Security-Verantwortlicher (Monitoring) IAM-IT-Architektur = SOA (Service Oriented Architecture) - Portal Zugang im Berechtigungskontext - Services Koordinations-, Kommunikations- und Portaldienste - Register, Verzeichn. Funktionsnachweise - Repositories Gesetze, Verträge, Serviceleistungen - Monitoring Security, Revision 11

12 Eine Sicht der ech IAM-Modellarchitektur egov IAM Repository SuisseID ID-Register IAM- Token CR-Register CL-Register Ressourcen- Directory Gemäss ech-0107 Gestaltungsprinzipien für IAM 12

13 Aus egov IAM Infrastruktur Vision (Jan. 2010) Behörden egov IAM Infrastruktur Schweiz 2 Interface trust SuisseID Suisse CSP ID CA 1 Benutzende Register CSP Infrastruktur IdP CSP Certification Provider IdP Identity Provider CAS Claim Assertion Service CAS Interface Interface Interface Firmen trust trust 13

14 Strukturierung gem. Cloud Security Alliance (CSA) NIST Visual Model of Cloud Computing Definition 14

15 Strukturierung gem. Cloud Security Alliance (CSA) IAM Mapping the Cloud Model to the Security Control & Compliance Model C Cloud Security Alliance 15

16 IAM-Prozesslandkarte (Stabi3eGov B2.06) Legislative (Steuerung) L1: Governance Festlegung Policy Festlegung Organisation / Zusammenarbeit Zusammenarbeit Interdomäne Definition von Rollen mit AKV L2: Riskmanagement Identifikation Schutzbedarf Risikoanalyse Risikomanagement ISDS Konzept L3: Compliance Review IAM Regulationen Audit IAM Prozesse Sicherstellung Einhaltung Vorgaben Exekutive (Verwaltung, Betrieb) Management Prozesse mit den Schwerpunkten Registrieren / Erstellen Administrieren / Ändern Revozieren / Löschen Runtime M1: Identitäten M3: Credentials M4: Claims M2: Identifikator R1: Access Control Authentifizierung Authorisierung M5: Zugriffsregeln Prozesse sind dokumentiert in BPMN (ech-0096) 16

17 IAM-Datenarchitektur (Stabi3eGov B2.06) Subjekt 0..n besitzt ist Ressource hat Credential 0..n besitzt 1..n Digitale Identität besitzt 0..n 1..n Claim verwendet Zugriffsregel 0..n hat einen Identifikator 1 Domäne hat Vertrauen (Trust) 0..n 17

18 Datenarchitektur Identität, mehrere Domänen (Stabi3eGov B2.06) Subjekt Ressource Subjekt Ressource Zugriffsregel Zugriffsregel Credential Identität Claim Credential Identität Claim Identifikator Domäne A Identifikator Domäne B trust trust Service Schnittstelle Metadomäne Dokumente DMS für Ablage Web-Auftritt Dokumentation Services für Formatdefinitionen Semantikregeln Konsolidierung Verbund Services Services für Management / Betrieb der Metadomäne Management Services Domäne A Verzeichnis Id Verbund Metadirectory Domäne B Verzeichnis CAS Domäne n Verzeichnis IdPs 18

19 Baugesuchsprozess Ermächtigung (Stabi3eGov B2.06) Bürger Output Bauamt Input Baugesuch Ermächtigung Grundbuchamt GB-Auszug Id= Geschäftsfall! Vom Zuständigkeitsprinzip zum Geschäftsfallprinzip 19

20 Ermächtigung zw. Domänen/Hoheiten (Stabi3eGov B2.06) IdP Applikation Master Domäne A Applikation Slave Domäne B Auftrag A1 Bürger Claim Funkt. Verzeich. CAS Claim s Unter-Auftrag = A1.2 Ermächtigungen Herkunft M-Vorgesetzter für A1 Claim Claim s M-Mitarbeiter für A1 S-Mitarbeiter Unter-Auftrag A1.2 und Ermächtigungen 20

21 Darstellung/Beschreibung Proof of Concept (Stabi3eGov B2.06) Einwohner 4) Bestätigung Enabling 1) Login SuisseID oder anderen Credentials egovcenter i-web Gemeinde SG 2) Mapping Informationen 4) Resultat des Mappings SuisseID Suisse ID CSP CA CSP Infrastruktur 3a) Claimabfragen Internet / Intranet Kantonales Einwohnerregister 3b) Claimabfragen Kanton SG Alternative Prozesse zum Mapping trust Jeder Proof of Concept ist standardmässig beschrieben 21

22 Status Stabi3eGov B2.06: Initialisierung Cleanup WS Rahmendokument Lösungsarch. (Gesch,. Inform.) Organisation (BFH) (Recht) update Mapping Geschäftsarch., Inform.arch. pro Vorh. Konzept PoC pro Vorhaben AWK plus Partner Lösungsarch IAM egov update Nächst e Schritte Techn. Konzept und Umsetzung PoC pro Vorhaben Initialisierung Standardisierung (z.b. update ech-0107) Ende Juni Ende Juli Mitte Sept. Mitte Okt Ende

23 Status Stabi3eGov B2.06 IAM: Spezifikations-Camps veranstaltet mit jeweils ca. 20 Spezialisten (Bund, Kantone, Plattformanbieter, Lösungsanbieter und Berater) 1. vollständige Version der IAM-Lösungsarchitektur CH vorhanden IAM-Prozesse in BPMN (ech-0096) vorhanden Abstimmung mit ech-0107 IAM-Gestaltungsprinzipien vorgenommen 1. Version Organisatorische Gestaltung IAM im Entwurf vorhanden Konzeptionelle Integration der IAM-Plattform Reference egov / BV erfolgt Ca. 15 Proof of Concepts (PoC s) identifiziert, konsolidiert und geplant Erste Rückflüsse aus in IAM-Lösungsarchitektur aus Konzepten PoC s ech-standardisierungsresultate grob festgelegt für Ausarbeitung 23

24 Ausblick Stabi3eGov B2.06 IAM Intensive konsequente Weiterarbeit bis Ende 2010 Zeitlich und formaler Abschluss von Stabi3eGov IAM per mit festgelegten dokumentierten Resultaten: - Finale Version der IAM-Lösungsarchitektur CH mit Einbezug der allfälligen Änderungen aus den PoC-Konzepten - Standarddokumentation mit Lösungs-Mapping der PoC s - Einsatz- und Umsetzungskonzept für die IAM-Plattform Reference egov / BV - Dokument Organisatorische Gestaltung IAM - Formal auszuarbeitende ech-standardisierungsresultate Roadmap der noch technisch vorzunehmenden PoC s Geplantes Weiterarbeiten am Thema, durch Sponsering der interessierten Beteiligten (operationelle Nachhaltigkeit) Schlussbericht Projektleitung Stabi3eGov Beurteilung der Resultate durch ech-fg-iam-gremium 24

25 Einen grossen Dank an alle Beteiligten am Projekt und an alle die uns bei den weiteren Aktivitäten der ffo B2.06 unterstützen 25