Access Gateway 2.0. Gateway Lösung zur Nutzung von HIN Identitäten. Oktober 2016 Aaron Akeret

Größe: px

Ab Seite anzeigen:

Download "Access Gateway 2.0. Gateway Lösung zur Nutzung von HIN Identitäten. Oktober 2016 Aaron Akeret"

Gregor Kaufer
vor 7 Jahren
Abrufe

1 Access Gateway 2.0 Gateway Lösung zur Nutzung von HIN Identitäten Oktober 2016 Aaron Akeret

2 HIN Plattform Health Info Net AG 2016 IAM Experten Forum 2

3 HIN als IDP Identitäten IDP gemäss EPDG Vorbereitung um Vorgaben des Bundes zu erfüllen Health Info Net AG 2016 IAM Experten Forum 3

4 Attribute einer HIN Identität HIN Identität Basisattribute Gesundheitsberuf Identifikator(en) Org. Zugehörigkeit Hauptadresse cmuster Arzt - Praxis Dr. Carl Muster Praxis Dr. Carl Muster Carl Muster A Bahnhofstrasse 8 carl.muster@hin.ch carl.muster@hin.ch 8400 Winterthur Dr. med. CH Health Info Net AG 2016 IAM Experten Forum 4

5 Applikationsanschluss - Arten der Integration Arten des Applikationsanschlusses VPN- / SSL-basierte Lösung Token-basierte Lösung mit SAML Health Info Net AG 2016 IAM Experten Forum 5

6 Applikationsanschluss - VPN- / SSL-basiert Applikationsnutzer Praxis HIN Rechenzentrum Applikationsanbieter Arbeitsstation Browser http HIN Client https HIN Access Control Services (inkl. ACL) VPN http(s) Webapplikation Soft Token mit HIN Identität des Users, oder HIN Identität des Teams TLS mit beidseitiger Authentisierung SSL https Webapplikation «HIN Login»-Credential wird im http-header-feld «X-HIN-LOGIN-NAME» übermittelt Health Info Net AG 2016 IAM Experten Forum 6

7 Applikationsanschluss - Token-basiert Applikationsnutzer Praxis Applikationsanbieter Arbeitsstation Initialer Zugriff (https) Weiterleitung zu HIN (Redirect / Post) Webapplikation Response (https) Browser HIN Rechenzentrum AuthnRequest (http) HIN Client AuthnRequest (https) HIN IDP Response (http) Response (https) Health Info Net AG 2016 IAM Experten Forum 7

8 Applikationsanschluss - VPN / SSL vs. Token basiert Merkmal VPN / SSL basiert Token basiert Authentisierung Ja Ja Access Control (Autorisierung) Grobautorisierung durch HIN WAF durch HIN Ja Nein Keine Autorisierung durch HIN. Lieferung der Identitäts- Credentials, Autorisierung durch Applikationsanbieter Traffic Weiteres Gesamter Traffic über HIN Plattform Verbindung HIN RZ und Applikationsanbieter via VPN oder https. HIN Plattform nur bei Authentisierung involviert. Bekannter Standard HIN ausschliesslich IDP Health Info Net AG 2016 IAM Experten Forum 8

9 Applikationsanschluss - TrustLevel TrustLevel Eingesetzte Software Authentisierung Beschreibung 1 AGW 1.5 Authentisierung des Users im institutionellen Active Directory. User ist in der Institution bekannt und authentisiert. 2 AGW 2.0 Wie Trust Level 1 Wie Trust Level 1, und zusätzlich: User hat eine HIN Identität. 3 HIN Client Alternative Authentisierung AGW 2.0 Starke Authentisierung (z.b. via PKI, Smartcard) Wie Trust Level 2, und zusätzlich: Die HIN Identität des Users wurde stark authentisiert. Health Info Net AG 2016 IAM Experten Forum 9

10 AGW Funktionsweise Applikationsnutzer Institution HIN Rechenzentrum Applikationsanbieter Arbeitsstation Browser http HIN Access Gateway https HIN Access Control Services VPN / SSL http(s) Webapplikation Soft Token mit HIN Identität des Devices der Institution TLS mit beidseitiger Authentisierung «HIN Login»-Credential wird im http-header-feld «X-HIN-LOGIN-NAME» übermittelt Ponte Vecchio Health Info Net AG 2016 IAM Experten Forum 10

11 AGW Ziele Nutzung HIN Identität Nutzung der persönlichen HIN Identitäten im Spitalumfeld Bestehenden Authentisierungsmittel einbinden Institution Gateway-Lösung ohne Proxy Kein Betrieb eigener PKI Identitätshandling durch HIN Health Info Net AG 2016 IAM Experten Forum 11

12 AGW Konzept Trustbeziehung zu Active Directory Verifikation AD-Login über AGW Appliance Verknüpfung AD-Login und HIN-Identität (Mapping) Verarbeitung in HIN RZ Erkennung Request von AGW 2.0 Mapping erkennen Trust Level Health Info Net AG 2016 IAM Experten Forum 12

13 AGW Verwendung der HIN Identität Technische Aktivierung HIN Identität Initiale Aktivierung Alternative Authentisierungsmethode aktivieren (bspw. SMS) Anmeldung an Mapping App Authentisierung an Mapping App Durch das Login wird das Mapping automatisch vorgemerkt Mapping autorisieren Vorgemerktes Mapping bestätigen Health Info Net AG 2016 IAM Experten Forum 13

14 AGW Institutionswechsel GFP ist Besitzer der HIN Identität Stammdatenservice durch HIN Neues Mapping über Mapping App anlegen Bestehende Mappings aufheben AGW Spital 1 AGW Spital 2 cmuster cmuster Health Info Net AG 2016 IAM Experten Forum 14

15 AGW Funktionsweise Übermittlung der AD-Login «HIN Login»-Credential wird im http-header-feld «X-HIN-LOGIN-NAME» übermittelt Applikationsnutzer Institution HIN Rechenzentrum- Applikationsanbieter Arbeitsstation https HIN IDM: Mapping AD-Login zu HIN Identität HIN Access Control Services VPN / SSL http(s) Webapplikation Browser https HIN Access Gateway SAML Token https Webapplikation «HIN Login»-Credential wird in Assertion mitgegeben Active Directory (AD) Verifikation AD-Identität Health Info Net AG 2016 IAM Experten Forum 15

16 AGW Trust Level 3 / Step Up Prozess Zweiter Faktor -> Trust Level 3 Step Up von Trust Level 2 auf 3 SMS SuisseID FMH-HPC Weitere Health Info Net AG 2016 IAM Experten Forum 16

17 AGW Ablaufdiagramm Health Info Net AG 2016 IAM Experten Forum 17

18 AGW HIN Medical Boards, virtuelle Tumorboard Lösung Swiss Cancer Network Health Info Net AG 2016 IAM Experten Forum 18

19 AGW HIN Filebox Health Info Net AG 2016 IAM Experten Forum 19

20 AGW Mitgliederbereich Ärzteverein Health Info Net AG 2016 IAM Experten Forum 20

Ähnliche Dokumente

Einsatz für das EPDG Pragmatische Erfüllung der hohen Sicherheitsanforderungen

Einsatz für das EPDG Pragmatische Erfüllung der hohen Sicherheitsanforderungen Oktober 2016 Christian Greuter, Geschäftsführer Health Info Net AG Agenda Anforderungen gemäss EPDG/EPDV HIN eid als Identifikationsmittel