You are on page 1of 24

IAM-Lösungsarchitektur CH

ffO B2.06 „Identifikation und Berechtigungsverwaltung“
eCH FG-IAM „Identity & Access Management“

eGov Lunch BFH 26.08.2010, Bern

Autor: Hans Häni AFI TG, Co-Leiter e-CH-FG IAM
und Co-Leiter E-Gov ffO B2.06 IAM
Strategie, Anforderungen  Architektur
3 Aussagen zur Vision (Strategie) E-Gov (NR R. Noser, 17.3.2010)

• Der Staat (Verwaltung, Rechtspflege, …) darf nicht Daten vom Einwohner
oder Unternehmen verlangen, welche er schon hat.

• Der Einwohner oder das Unternehmen kann diese verlangten Daten rund
um die Uhr, von überall auf der Welt liefern.

• Der Einwohner oder das Unternehmen kann jederzeit mit einem autorisierten
Zugriff alle seine Daten einsehen und angezeigt bekommen, wer darauf
Zugriff hat.

 Grob-Anforderungen für das IAM

eGov Lunch_BFH_Bern_26.08.2010
2
Strategie, Anforderungen  Architektur
Governance, Risk-Management, Compliance (GRC)

Identity und Access Management:
• Ist Bestandteil und Grundlage für einen rechtlich und operationell
sicheren E-Sozial- und E-Wirtschaftsraum
• Unterstützt die Informationssicherheit gemäss ISO 27001
• Risiko-Analyse aus Sicht Angebot bestimmt Schutzbedarf für IAM
• Garantiert den Datenschutz in jedem Rechtskontext
• Basiert auf Interoperabilität, national und international
• Basiert auf international kompatiblen Modellen und Architekturen
• Ist möglichst schlank, transparent und robust
• Ist verifizierbar und auditierbar

 Anforderungen für das IAM

eGov Lunch_BFH_Bern_26.08.2010
3
Anforderungen SuisseID an IAM
Szenarium 3: zus. externe Provider

Verschiedene Szenarien mit zusätzlichen externen Profil-Daten-Providern, z.B.:
11-13 Benutzer erbringt Nachweis als Notar aus dem Register der Urkundspersonen;
21-22 Die Anwendung holt selbst Zeichnungs-Berechtigung im Handelsregister;
31-33 Harte Authentisierung mit SuisseID bei Server für Federated Identity
EVD/SECO/DSKU/eGov-KMU

eGov Lunch_BFH_Bern_26.08.2010
4
SIK-Arbeitsgruppe „SuisseID“
Umsetzungsstrategie mit:
• Erwartungen und Forderungen der SIK an SuisseID
 Anforderungsmanagement der SIK
• Koordinationsteam der SIK für SuisseID/IAM
• Modellvorgehen für den Einsatz der SuisseID
• Modellarchitektur für die Verwendung von SuisseID mit
möglichen Betriebsorganisationen SuisseID/IAM
• Prozesse der SIK für die SuisseID/IAM
• Priorisierte Projekte und mögliche Kosten
• Standardvorgehen für die Migration von bestehenden Anwendungen
• Informationsplattform der SIK für SuisseID/IAM
• eCH-Standardisierungsbedarf
• Massnahmen 2010 für SuisseID/IAM
• Quickwin‘s

eGov Lunch_BFH_Bern_26.08.2010
5
IAM Referenzmodell (seit 2007)

eGov Lunch_BFH_Bern_26.08.2010
6
IAM-Prozesse und Architektur
IAM-Meta-Prozesse
Legislative = Prozess-Organisation
Autorisierung des Angebots
Autorisierung der „Zugriffsautorisierer“ und Regeln
- Prozessorganisations-Verantwortlicher (Prozess-Autorisierung)
- Prozess-Beteiligte (Identity-, Service Provider) (Autorisierungs-Management)
- Prozess-Auditor (Revision)

Exekutive = Prozess-Management
Registrierung
Authentisierung
Applikation/Service-Autorisierung
- Prozess-Manager (Rolle, Attribute, Regeln) (User-Autorisierung)
- Prozess-Verwaltungsmitglieder (User-Management)
- Prozess-Security-Verantwortlicher (Monitoring)

IAM-IT-Architektur = SOA (Service Oriented Architecture)
- Portal Zugang im Berechtigungskontext
- Services Koordinations-, Kommunikations- und Portaldienste
- Register Funktionsnachweise
- Repositories Gesetze, Verträge, Serviceleistungen
- Monitoring Security, Revision

eGov Lunch_BFH_Bern_26.08.2010
7
IAM Prozesse und Architektur
IAM-IT-Architektur = SOA

Exekutiv-Portal Legislativ-Portal
- Prozess-Manager - Prozes-Org.-Verantw.
- Prozess-Verw.-Mitglieder - Prozess-Org.-Mitglieder
- Prozess-Security-Verantw. - Prozess-Auditor

Online, Web-Services
Kommunikations-Service
Event-Bus-Schweiz (SEDEX, ...)
Koordinations-
Service

Benutzer-Autorisierung Prozess-Autorisierung
Federated Repository
Prozes-Service Prozess-Service
- Prozess Verantw. / Mitglieder
- Prozess-Services (Identity-Provider)
- Prozess-Lifecycle
- User Prozess-Monitoring Prozess-Auditing
- Rollen, Attribute, Regeln
Prozess-Service Prozess-Service
- Zertifikate
- Gesetze, Verordnungen
- Verträge, SLA‘s

eGov Lunch_BFH_Bern_26.08.2010
8
Implementierung von IAM in der Domäne

(Aus S.A.F.E-Grobkonzept D, Dez. 2007)

Recht
SLA‘s

Enterprise Service Bus
z.B. SEDEX-Bus, OSCI2

Applikation / Service Definierter Rechtsraum
(Rolle, Attribute)

eGov Lunch_BFH_Bern_26.08.2010 14
9
IAM-Domänen-Architektur CH (Beispiel eGov)
Public eGov Local
Domain Domain Domain
IdP
eGov-MA Local
IdP IdP
Personal U-MA ClaimP Directory
eGov / eEco

Pers.-Services eGov-IAM-Services Local-Services

Vertrieb Produktion
Produktion
- Prod.-Portal
- Online-Schalter - Fachapplikation
- Fall-Controlling Int.
- Fachdaten
- Einwohner - Workflow Bus - Dokumente
- U-Mitarbeiter

Event Bus CH

eGov Lunch_BFH_Bern_26.08.2010
10
Aus „eGov IAM Infrastruktur Vision“ (Jan. 2010)

Behörden

trust

Interface
eGov IAM Infrastruktur
2
Schweiz

SuisseID
Suisse
CSP Benutzende Register
ID CA 1

Interface
2’ trust
CSP Infrastruktur
Interface

3
IdP CAS

Firmen
CSP – Certification Provider
IdP – Identity Provider
CAS – Claim Assertion Service

Interface
2’’ trust

eGov Lunch_BFH_Bern_26.08.2010
11
Eine Sicht der eCH IAM-Modellarchitektur
eGov IAM
Repository

Identity Management
SuisseID Client ID-Register
Service
Access Service

Authentication Credential Management CR-Register
IAM- Service Service
Token
Security
Token Autorization Claim Management CL-Register
Service Service
PEP

Security
Token
Ressourcen- Ressource Rechteverwaltung
Directory

Interface Policy Enforcement Point

Gemäss eCH-0107 Gestaltungsprinzipien für IAM

eGov Lunch_BFH_Bern_26.08.2010
12
Strategie, Anforderungen  Architektur
Interoperabilitäts-Ebenen

- Gesetze, Verordnungen
Politische / Rechtliche Ebene - Vereinbarungen, SLA‘s

Organisatorische Ebene - Standardisierte Prozesse
- Koordinationsprozesse

Semantische Ebene - Terminologien
- Nomenklaturen

Technische Ebene - Internationale Standards
- Nat. und intenat. Normen

Roadmap for a pan-european eIDM-Framework by 2010
eID Interoperability for PEGS (Pan-European E-Gov Services)
EU/IDABC Authentication Policy
EU/STORK Secure Identity Across Borders Linked

eGov Lunch_BFH_Bern_26.08.2010
13
Ansatz organisatorische/rechtliche Architektur
• Domänen- und Instanzenbetrachtung gemäss Cloud Computing (CSA)
- Public Domain / Instance (CH-Einwohner: Zivilgesetzgebung, …)
- Private Domain / Instance (Öffentl. Verwaltung, Unternehmen: Gesetze, OR, …)
- Community Domain / Instance (SuisseID/IdPs, eGov-IAM, eHealth-IAM: SLA‘s …)

• Jede Domäne stellt ein transparenter geregelter Rechtsraum dar.
• Jede Instanz, jede Domäne hat ein zugeordneter geregelter Namensraum.
• Die für die Applikation benötigten IAM-Dienste (SOA, Workloads) sind
rechtlich-organisatorisch klar im Kontext der jeweiligen Domäne definiert.
• Die rechtlichen und vertraglichen Anforderungen einer Applikation ergeben
sich aus dem Gesamtkontext der von der Applikation beanspruchten Domänen-
und Instanzen-Landschaft.

eGov Lunch_BFH_Bern_26.08.2010
14
Ansatz semantische Architektur
• Fachschaftsbetrachtung (Fachdomänen, Fachinstanz)
- Fach-Standardisierungsgremien („Steuern“, „Umwelt“, ASA20111, …)
- Fach-Communities (Switch, SWIFT, …, „IAM-Community“?)

• Jede Fachschaft hat ihre festgelegten und gepflegten semantischen
Komponenten dieser Fachinstanz in den relevanten Namensräumen.
• Jede Fachschaft hat einen klaren Bezug zu den relevanten Rechtsräumen.
• Die für die Applikation benötigten IAM-Dienste (SOA, Workloads) verwenden
nachvollziehbare semantische Komponenten im Namensraum, in welchem
sie eingebettet sind.
• Diese semantischen Komponenten der IAM-Dienste, welche eine Applikation
verwendet, sind rechtlichen und vertraglichen gesichert (Trust, Federation).

eGov Lunch_BFH_Bern_26.08.2010
15
Ansatz technische Architektur
• Technische Domänen- und Instanzenbetrachtung
- Local-Directory der Applikation
- Local-Directory des IAM-Dienstes
- „Cloud“-Metadirectory für die IAM-Dienste
- „Cloud“-Instanzen der IAM-Dienste (Register, Repositories)

• Jede Applikation und jeder von ihr verwendete IAM-Dienst hat ein ihr/ihm
am nächsten stehendes Directory (Local-Directory der Ressource).
• Die Local-Directories in der Local Domain haben untereinander eine
Federation-Beziehung und ein Trust-Verhältnis.

eGov Lunch_BFH_Bern_26.08.2010
16
Strukturierung gem. Cloud Security Alliance (CSA)

NIST Visual Model of Cloud Computing Definition
eGov Lunch_BFH_Bern_26.08.2010
17
Strukturierung gem. Cloud Security Alliance (CSA)
IAM

Mapping the Cloud Model to the Security Control & Compliance Model

C Cloud Security Alliance
eGov Lunch_BFH_Bern_26.08.2010
18
Strukturierung gem. Cloud Security Alliance (CSA)

Cloud Computing Deployment Models
C Cloud Security Alliance

eGov Lunch_BFH_Bern_26.08.2010
19
Extending the Enterprise to the Cloud

Internal Cloud (On-Site) External Cloud (Off-Site)

GOVERNANCE AND COMPLIANCE

Business Business Business
Service Service Service Software as
Management Management Management
a Service

IT Service IT Service IT Service Platform as
Management Management Management a Service

Infrastructure
Existing Virtualized New as a Service
Internal Internal External
Capacity Capacity Capacity

© Novell, Inc. All rights reserved. Firewall

eGov Lunch_BFH_Bern_26.08.2010
20
Kurzbeschreibung Stabi3eGov Vorhaben B2.06

• Schnüren eines Gesamtpaketes per 30.04.2010, für Gelder von Stabi3eGov
• Gesamtplanung: Umsetzung des Projektes Stabi3eGov mit Unterstützung AWK
• 3 Teilprojekte:
- IAM-Lösungsarchitektur für Pilotinfrastruktur
- Parallel zu erstellende notwendige eCH-IAM-Standardisierung
- Nachhaltige Organisation B2.06 und Folgejahre
• IAM-Lösungsarchitektur: - Kernprojekt AWK
- Pro Pilot-Applikation IAM-Studie AWK
- „Proof of Concept“ IAM CH für Pilot-Applikationen
• eCH-IAM-Standardisierung: FG IAM mit fremder Unterstützung, u.a. AWK
• Organisation: Berner Fachhochschule, K. Walser
• Eventuell weitere Finanzierung Stabi3eGov per 31.08.2010

eGov Lunch_BFH_Bern_26.08.2010
21
Darstellung Stabi3eGov, Projekt B2.06 „IAM“

Projekt Stabi3eGov
B2.06 / BFH
Gesamtplanung/Koord.
B2.06 / AWK
Organisation B2.06 IAM

eCH / B2.06
eCH IAM-Standardisierung

AWK / B2.06
IAM-Lösungsarchitektur
und „Proof of Concept“

IAM IAM IAM
IAM Swisscom
BIT ASA eGRIS Teilprojekt 3

IAM IAM
IAM Kern- BK R eGov
Bedag Projekt
Teilprojekt 2
IAM IAM
IAM ZH …
IAM
Abraxas/VRSG SG

Teilprojekt 1
Gesamtprojekt

eGov Lunch_BFH_Bern_26.08.2010
22
Roadmap Stabi3eGov Projekt B2.06 „IAM“

Initialisierung Organisation (BFH) (Recht)

AWK plus Partner
Rahmendokument
Lösungsarch. Lösungsarch IAM
update
(Gesch,. Inform.) eGov
Cleanup WS
Mapping
Geschäftsarch., update
Inform.arch. pro Vorh. Nächst
e
Schritte
Konzept PoC pro Vorhaben

Techn. Konzept und Umsetzung PoC pro
Vorhaben

Initialisierung Standardisierung (z.B. update eCH-0107)

Ende Juni Ende Juli Mitte Sept. Mitte Okt. Ende 2010

eGov Lunch_BFH_Bern_26.08.2010
23
Danke für die Aufmerksamkeit

eGov Lunch_BFH_Bern_26.08.2010
24