4. ffo-meeting 14. Nov. 2011 IAM-Lösungsarchitektur CH ffo B2.06 Dienste für Identifikation und Berechtigungsverwaltung ech FG-IAM Identity & Access Management Referent: Hans Häni AFI TG, Co-Leiter ffo B2.06 und ech-fg IAM
Inhalt IT-Architekturwandel und Konsequenzen für IAM IAM in neuer Businessarchitektur Grund-Herausforderungen für das IAM Vorhandene Resultate IAM-Lösungsarchitektur / Konzepte CH Der schweizweite IAM-Dienst SuisseTrustIAM Bedeutung für das IAM in Bund, Kantonen und Gemeinden 2
IT-Architekturwandel Alt Neu User Öff. Verwaltung User E-Economy Applikation geschlossen, monolitisch SOA s + IAM offen standardisiert Cloud Register Verzeichn. Daten Daten / Dokumente monolitisch, inkl. Register-Stammdaten Appl.Daten / Dokumente verteilt 3
Konsequenzen für IAM Neue IT-Architektur bedeutet: Medienbruchfreie IT-Lösungen, zusammengesetzt durch integrierte und/oder gekoppelte Teillösungen in eigenen oder fremden Domänen Der bis anhin gewährte Schutz der Applikation in der eigenen Domäne (sog. Perimeterschutz) muss durch weitergehende logische Schutzvorkehrungen gesichert werden Ein domänenübergreifendes IAM für alle Fach-Lösungsteile in eigenen und fremden Domänen, insbesondere bei Einbezug von Cloud Computing, ist Voraussetzung für den integralen Schutz 4
IAM in neuer Business-Architektur ID / Role Management ISO 9001, ISO 2700x ID Role Registers ID / Role Services ID / Role Lifecycle Service Lifecycle Business Offering egov Vertrieb / Produktion Services Ressources Registers Ressource Services Service Management ISO 20000, ISO 2700x Management Basisdienste Register, IAM, Business Mgmt Personal ID Owner Service Ressource Owner Corporate Mgmt 5
Grund-Herausforderungen für das IAM IAM ist eine Haupt-Basiskomponente für GRC - G = Governance (Führung, Steuerung) - R = Riskmanagement (Risiko- und Haftungstransparenz) - C = Compliance (Gesetzes-, Regel- und Vertragskonformität) Legislative (Vorgaben) Governance Festlegung Policy Festlegung Organisation Zusammenarbeit Interdomäne Definition von Rollen mit AKV Riskmanagement Identifikation Schutzbedarf Risikoanalyse Risikomanagement ISDS Konzept Compliance Review IAM Regulationen Audit IAM Prozesse Sicherstellung Einhaltung Vorgaben Exekutive (Verwaltung, Betrieb) Management Prozesse Registrieren / Erstellen Administrieren / Ändern Revozieren / Löschen Runtime Identitäten Identifikatoren Access Control Authentifizierung Authorisierung Credentials Claims Zugriffsregeln 6
Vorhandene Resultate (u.a. aus Stabi3eGov B2.06 IAM) Version 1 der IAM-Lösungsarchitektur CH vorhanden Dazugehörige IAM-Prozesse in BPMN (ech-0096) ech-0107 IAM-Gestaltungsprinzipien verifiziert, als Standard in www.ech.ch: deutsch seit 13.4.11, französisch seit Anfangs Okt. 2011 BFH-Studie Organisatorische Gestaltung IAM Teilkonzepte für MS-ADS, SAP, Nevis, Identity Lifecycle, Ermächtigung, etc. Teilkonzept Claim Assertion Service CAS-Suisse Trust Eingang der Resultate und des Wissens in über 30 IAM-Projekte (Projekte Bund, Kantone- und Gemeinden, i.s. ASA2011, INSIEME, egris). Hauptresultate sind herunterladbar unter http://www.ech.ch/vechweb/page?p=page&site=/gremien/fachgruppen/iam/dokumente 7
IAM-Lösungsarchitektur: Basis- und Metadomänen Subjekt Ressource Subjekt Ressource Zugriffsregel Zugriffsregel Credential Identität Claim Credential Identität Claim Identifikator Basisdomäne A Identifikator Basisdomäne B trust trust Service Schnittstelle Metadomäne Dokumente DMS für Ablage Web-Auftritt Dokumentation Services für Formatdefinitionen Semantikregeln Konsolidierung Verbund Services Services für Management / Betrieb der Metadomäne Management Services Domäne A Verzeichnis Id Verbund Metadirectory Domäne B Verzeichnis CAS Domäne n Verzeichnis IdPs 8
Einbettung in IT-Infrastruktur E-Economy Suisse egemeinde ekanton Föderale Ebenen öffentlich-rechtliche Domänen ebund eeducation egov ehealth E-Business E-Social E-Economy Infrastruktur SuisseID, SuisseTrustIAM, Event-Bus, Register E-Economy Suisse national CH-Infrastruktur öffentlich-rechtliche, privat-rechtliche, wirtschafts-rechtliche Domänen EU - STORK STORK ENISA ENISA SPOCS SPOCS international US - NSTIC NSTIC 9
IAM-Infrastrukturdienst SuisseTrustIAM (1) Register Verzeichnis Unternehmen Benutzer (ID/Claim) Registrierung rechtl. B-Registrierer Funktionsnachweis Registrierung & Authentisierung Lösungs- Anbieter (Ressource) IDP SuisseID Funktionsnachweis & Autorisierung SuisseTrust IAM (CAS) = = Mapping ID/Claims zu Ressource Claim Assertion Service CH-Infrastruktur-Domäne 10
IAM-Infrastrukturdienst SuisseTrustIAM (2) Unternehmen Benutzer SuisseTrustIAM Register Verzeichnis Präsentation Prozess & Integration Trust & Federation Präsentation Portal Prozess & Integration Appl.-Portal / Bus Register Verzeich. HR/UID NR Web-Applikation IAM-Service Basisservice IAM-Services AR BV Daten, Dokumente Directory L Daten, Dokumente Directory, Repository LV Fachapplikation Lösungsanbieter IAM Lokal Meta-IAM ( IAMaaS ) Datenlieferant 11
IAM-Infrastrukturdienst SuisseTrustIAM (3) Status 11.11.2011: Grobkonzept SuisseTrustIAM erstellt durch ISB/Siemens und durch Mithilfe E-Gov ffo B2.06 (bis Ende April 2011). Interesse seitens privater Provider und Entscheid für Swisscom. Start 5.05.2011 Vorprojekt SuisseTrustIAM durch Swisscom, mit dem Produkt von Atos/Siemens (Projektleiter Patrick Graber) Enge Projektmitarbeit Atos/Siemens und ffo B2.06 / ech FG IAM. Kick-off 26.08.2011 Proof of Concept durch Swisscom Termine: - Konzipierung PoC s Sept.-Dez. 2011 (i-web/zh, eservicestg, ) - PoC s/pilote bis April 2012 Swisscom ist bewusst, dass sie nicht alleiniger Provider sein kann und echstandardisierte Servicefunktionen zu implementieren sind. SuisseTrustIAM von Swisscom ist Innovationsobjekt eines KTI-Projektes unter Führung der Berner Fachhochschule, für die Erarbeitung der dazugehörigen ech-standardisierung und Klärung organisatorischer sowie rechtlicher Fragen (positiver Entscheid Ende Okt. 2011 erfolgt). 12
Bedeutung für das IAM in Bund, Kantonen und Gemeinden Durch das Vorhandensein eines schweizweiten SuisseTrustIAM, angeboten durch private Provider, lässt sich in den öffentlichen Verwaltungen der jeweilige Aufwand für ein Meta-IAM erheblich verringern. Dieser IAM-Cloud-Service ist eine Realisierungsvariante für die Erweiterung des lokalen IAM, um die Sicherheitsanforderungen der von Applikation(en) domänenübergreifend zu garantieren. Ein Evaluationsangebot für PoC s von Use Cases in Bund, Kantone, und Gemeinden, mit relativ bescheidenem Ressourcen- und Finanzierungsbedarf. Begleitung durch E-Gov ffo B2.06 via SIK für die IT und via FG e-gov der E-Government-Verantwortlichen der BK/SK s. Eventuell Sondervereinbarungen für gemeinsame Umsetzungsprojekte in Kantonen und Gemeinden iniziert durch Vorhaben ffo B2.06, gemäss der E-Government-Rahmenvereinbarung CH. 13
Vielen Dank für Ihre Aufmerksamkeit 14