Haeni 2010 IAM Loesungsarchitektur CH

IAM-Lösungsarchitektur CH
ffO B2.06 „Identifikation und Berechtigungsverwaltung“

eCH FG-IAM „Identity & Access Management“
eGov Lunch BFH 26.08.2010, Bern
Autor: Hans Häni AFI TG, Co-Leiter e-CH-FG IAM

und Co-Leiter E-Gov ffO B2.06 IAM
Strategie, Anforderungen  Architektur
3 Aussagen zur Vision (Strategie) E-Gov (NR R. Noser, 17.3.2010)
• Der Staat (Verwaltung, Rechtspflege, …) darf nicht Daten vom Einwohner

oder Unternehmen verlangen, welche er schon hat.
• Der Einwohner oder das Unternehmen kann diese verlangten Daten rund
um die Uhr, von überall auf der Welt liefern.
• Der Einwohner oder das Unternehmen kann jederzeit mit einem autorisierten
Zugriff alle seine Daten einsehen und angezeigt bekommen, wer darauf
Zugriff hat.
 Grob-Anforderungen für das IAM
eGov Lunch_BFH_Bern_26.08.2010
2
Governance, Risk-Management, Compliance (GRC)
Identity und Access Management:

• Ist Bestandteil und Grundlage für einen rechtlich und operationell
sicheren E-Sozial- und E-Wirtschaftsraum
• Unterstützt die Informationssicherheit gemäss ISO 27001
• Risiko-Analyse aus Sicht Angebot bestimmt Schutzbedarf für IAM
• Garantiert den Datenschutz in jedem Rechtskontext
• Basiert auf Interoperabilität, national und international
• Basiert auf international kompatiblen Modellen und Architekturen
• Ist möglichst schlank, transparent und robust
• Ist verifizierbar und auditierbar
 Anforderungen für das IAM
3
Anforderungen SuisseID an IAM
Szenarium 3: zus. externe Provider
Verschiedene Szenarien mit zusätzlichen externen Profil-Daten-Providern, z.B.:

11-13 Benutzer erbringt Nachweis als Notar aus dem Register der Urkundspersonen;
21-22 Die Anwendung holt selbst Zeichnungs-Berechtigung im Handelsregister;
31-33 Harte Authentisierung mit SuisseID bei Server für Federated Identity
EVD/SECO/DSKU/eGov-KMU
4
SIK-Arbeitsgruppe „SuisseID“
Umsetzungsstrategie mit:
• Erwartungen und Forderungen der SIK an SuisseID
 Anforderungsmanagement der SIK
• Koordinationsteam der SIK für SuisseID/IAM
• Modellvorgehen für den Einsatz der SuisseID
• Modellarchitektur für die Verwendung von SuisseID mit
möglichen Betriebsorganisationen SuisseID/IAM
• Prozesse der SIK für die SuisseID/IAM
• Priorisierte Projekte und mögliche Kosten
• Standardvorgehen für die Migration von bestehenden Anwendungen
• Informationsplattform der SIK für SuisseID/IAM
• eCH-Standardisierungsbedarf
• Massnahmen 2010 für SuisseID/IAM
• Quickwin‘s
5
IAM Referenzmodell (seit 2007)
6
IAM-Prozesse und Architektur
IAM-Meta-Prozesse
Legislative = Prozess-Organisation
Autorisierung des Angebots
Autorisierung der „Zugriffsautorisierer“ und Regeln
- Prozessorganisations-Verantwortlicher (Prozess-Autorisierung)
- Prozess-Beteiligte (Identity-, Service Provider) (Autorisierungs-Management)
- Prozess-Auditor (Revision)
Exekutive = Prozess-Management
Registrierung
Authentisierung
Applikation/Service-Autorisierung
- Prozess-Manager (Rolle, Attribute, Regeln) (User-Autorisierung)
- Prozess-Verwaltungsmitglieder (User-Management)
- Prozess-Security-Verantwortlicher (Monitoring)
IAM-IT-Architektur = SOA (Service Oriented Architecture)

- Portal Zugang im Berechtigungskontext
- Services Koordinations-, Kommunikations- und Portaldienste
- Register Funktionsnachweise
- Repositories Gesetze, Verträge, Serviceleistungen
- Monitoring Security, Revision
7
IAM Prozesse und Architektur
IAM-IT-Architektur = SOA
Exekutiv-Portal Legislativ-Portal
- Prozess-Manager - Prozes-Org.-Verantw.
- Prozess-Verw.-Mitglieder - Prozess-Org.-Mitglieder
- Prozess-Security-Verantw. - Prozess-Auditor
Online, Web-Services
Kommunikations-Service
Event-Bus-Schweiz (SEDEX, ...)
Koordinations-
Service
Benutzer-Autorisierung Prozess-Autorisierung
Federated Repository
Prozes-Service Prozess-Service
- Prozess Verantw. / Mitglieder
- Prozess-Services (Identity-Provider)
- Prozess-Lifecycle
- User Prozess-Monitoring Prozess-Auditing
- Rollen, Attribute, Regeln
Prozess-Service Prozess-Service
- Zertifikate
- Gesetze, Verordnungen
- Verträge, SLA‘s
8
Implementierung von IAM in der Domäne
(Aus S.A.F.E-Grobkonzept D, Dez. 2007)
Recht
SLA‘s
Enterprise Service Bus

z.B. SEDEX-Bus, OSCI2
Applikation / Service Definierter Rechtsraum

(Rolle, Attribute)
eGov Lunch_BFH_Bern_26.08.2010 14
9
IAM-Domänen-Architektur CH (Beispiel eGov)
Public eGov Local
Domain Domain Domain
IdP
eGov-MA Local
IdP IdP
Personal U-MA ClaimP Directory
eGov / eEco
Pers.-Services eGov-IAM-Services Local-Services
Vertrieb Produktion
Produktion
- Prod.-Portal
- Online-Schalter - Fachapplikation
- Fall-Controlling Int.
- Fachdaten
- Einwohner - Workflow Bus - Dokumente
- U-Mitarbeiter
Event Bus CH
10
Aus „eGov IAM Infrastruktur Vision“ (Jan. 2010)
Behörden
trust
Interface
eGov IAM Infrastruktur
2
Schweiz
SuisseID
Suisse
CSP Benutzende Register
ID CA 1
Interface
2’ trust
CSP Infrastruktur
Interface
3
IdP CAS
Firmen
CSP – Certification Provider
IdP – Identity Provider
CAS – Claim Assertion Service
Interface
2’’ trust
11
Eine Sicht der eCH IAM-Modellarchitektur
eGov IAM
Repository
Identity Management
SuisseID Client ID-Register
Service
Access Service
Authentication Credential Management CR-Register

IAM- Service Service
Token
Security
Token Autorization Claim Management CL-Register
Service Service
PEP
Security
Token
Ressourcen- Ressource Rechteverwaltung
Directory
Interface Policy Enforcement Point
Gemäss eCH-0107 Gestaltungsprinzipien für IAM
12
Interoperabilitäts-Ebenen
- Gesetze, Verordnungen
Politische / Rechtliche Ebene - Vereinbarungen, SLA‘s
Organisatorische Ebene - Standardisierte Prozesse

- Koordinationsprozesse
Semantische Ebene - Terminologien

- Nomenklaturen
Technische Ebene - Internationale Standards

- Nat. und intenat. Normen
Roadmap for a pan-european eIDM-Framework by 2010

eID Interoperability for PEGS (Pan-European E-Gov Services)
EU/IDABC Authentication Policy
EU/STORK Secure Identity Across Borders Linked
13
Ansatz organisatorische/rechtliche Architektur
• Domänen- und Instanzenbetrachtung gemäss Cloud Computing (CSA)
- Public Domain / Instance (CH-Einwohner: Zivilgesetzgebung, …)
- Private Domain / Instance (Öffentl. Verwaltung, Unternehmen: Gesetze, OR, …)
- Community Domain / Instance (SuisseID/IdPs, eGov-IAM, eHealth-IAM: SLA‘s …)
• Jede Domäne stellt ein transparenter geregelter Rechtsraum dar.

• Jede Instanz, jede Domäne hat ein zugeordneter geregelter Namensraum.
• Die für die Applikation benötigten IAM-Dienste (SOA, Workloads) sind
rechtlich-organisatorisch klar im Kontext der jeweiligen Domäne definiert.
• Die rechtlichen und vertraglichen Anforderungen einer Applikation ergeben
sich aus dem Gesamtkontext der von der Applikation beanspruchten Domänen-
und Instanzen-Landschaft.
14
Ansatz semantische Architektur
• Fachschaftsbetrachtung (Fachdomänen, Fachinstanz)
- Fach-Standardisierungsgremien („Steuern“, „Umwelt“, ASA20111, …)
- Fach-Communities (Switch, SWIFT, …, „IAM-Community“?)
• Jede Fachschaft hat ihre festgelegten und gepflegten semantischen

Komponenten dieser Fachinstanz in den relevanten Namensräumen.
• Jede Fachschaft hat einen klaren Bezug zu den relevanten Rechtsräumen.
• Die für die Applikation benötigten IAM-Dienste (SOA, Workloads) verwenden
nachvollziehbare semantische Komponenten im Namensraum, in welchem
sie eingebettet sind.
• Diese semantischen Komponenten der IAM-Dienste, welche eine Applikation
verwendet, sind rechtlichen und vertraglichen gesichert (Trust, Federation).
15
Ansatz technische Architektur
• Technische Domänen- und Instanzenbetrachtung
- Local-Directory der Applikation
- Local-Directory des IAM-Dienstes
- „Cloud“-Metadirectory für die IAM-Dienste
- „Cloud“-Instanzen der IAM-Dienste (Register, Repositories)
• Jede Applikation und jeder von ihr verwendete IAM-Dienst hat ein ihr/ihm
am nächsten stehendes Directory (Local-Directory der Ressource).
• Die Local-Directories in der Local Domain haben untereinander eine
Federation-Beziehung und ein Trust-Verhältnis.
16
Strukturierung gem. Cloud Security Alliance (CSA)
NIST Visual Model of Cloud Computing Definition

17
IAM
Mapping the Cloud Model to the Security Control & Compliance Model
C Cloud Security Alliance

18
Cloud Computing Deployment Models

C Cloud Security Alliance
19
Extending the Enterprise to the Cloud
Internal Cloud (On-Site) External Cloud (Off-Site)
GOVERNANCE AND COMPLIANCE
Business Business Business

Service Service Service Software as
Management Management Management
a Service
IT Service IT Service IT Service Platform as

Management Management Management a Service
Infrastructure
Existing Virtualized New as a Service
Internal Internal External
Capacity Capacity Capacity
© Novell, Inc. All rights reserved. Firewall
20
Kurzbeschreibung Stabi3eGov Vorhaben B2.06
• Schnüren eines Gesamtpaketes per 30.04.2010, für Gelder von Stabi3eGov

• Gesamtplanung: Umsetzung des Projektes Stabi3eGov mit Unterstützung AWK
• 3 Teilprojekte:
- IAM-Lösungsarchitektur für Pilotinfrastruktur
- Parallel zu erstellende notwendige eCH-IAM-Standardisierung
- Nachhaltige Organisation B2.06 und Folgejahre
• IAM-Lösungsarchitektur: - Kernprojekt AWK
- Pro Pilot-Applikation IAM-Studie AWK
- „Proof of Concept“ IAM CH für Pilot-Applikationen
• eCH-IAM-Standardisierung: FG IAM mit fremder Unterstützung, u.a. AWK
• Organisation: Berner Fachhochschule, K. Walser
• Eventuell weitere Finanzierung Stabi3eGov per 31.08.2010
21
Darstellung Stabi3eGov, Projekt B2.06 „IAM“
Projekt Stabi3eGov
B2.06 / BFH
Gesamtplanung/Koord.
B2.06 / AWK
Organisation B2.06 IAM
eCH / B2.06
eCH IAM-Standardisierung
AWK / B2.06
IAM-Lösungsarchitektur
und „Proof of Concept“
IAM IAM IAM

IAM Swisscom
BIT ASA eGRIS Teilprojekt 3
IAM IAM
IAM Kern- BK R eGov
Bedag Projekt
Teilprojekt 2
IAM IAM
IAM ZH …
IAM
Abraxas/VRSG SG
Teilprojekt 1
Gesamtprojekt
22
Roadmap Stabi3eGov Projekt B2.06 „IAM“
Initialisierung Organisation (BFH) (Recht)
AWK plus Partner

Rahmendokument
Lösungsarch. Lösungsarch IAM
update
(Gesch,. Inform.) eGov
Cleanup WS
Mapping
Geschäftsarch., update
Inform.arch. pro Vorh. Nächst
e
Schritte
Konzept PoC pro Vorhaben
Techn. Konzept und Umsetzung PoC pro

Vorhaben
Initialisierung Standardisierung (z.B. update eCH-0107)
Ende Juni Ende Juli Mitte Sept. Mitte Okt. Ende 2010
23
Danke für die Aufmerksamkeit
24

Haeni 2010 IAM Loesungsarchitektur CH

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Haeni 2010 IAM Loesungsarchitektur CH

Hochgeladen von

Copyright:

Verfügbare Formate

IAM-Lösungsarchitektur CH

ffO B2.06 „Identifikation und Berechtigungsverwaltung“

eGov Lunch BFH 26.08.2010, Bern

Autor: Hans Häni AFI TG, Co-Leiter e-CH-FG IAM

• Der Staat (Verwaltung, Rechtspflege, …) darf nicht Daten vom Einwohner

 Grob-Anforderungen für das IAM

Identity und Access Management:

 Anforderungen für das IAM

Verschiedene Szenarien mit zusätzlichen externen Profil-Daten-Providern, z.B.:

IAM-IT-Architektur = SOA (Service Oriented Architecture)

(Aus S.A.F.E-Grobkonzept D, Dez. 2007)

Enterprise Service Bus

Applikation / Service Definierter Rechtsraum

Pers.-Services eGov-IAM-Services Local-Services

Authentication Credential Management CR-Register

Interface Policy Enforcement Point

Gemäss eCH-0107 Gestaltungsprinzipien für IAM

Organisatorische Ebene - Standardisierte Prozesse

Semantische Ebene - Terminologien

Technische Ebene - Internationale Standards

Roadmap for a pan-european eIDM-Framework by 2010

• Jede Domäne stellt ein transparenter geregelter Rechtsraum dar.

• Jede Fachschaft hat ihre festgelegten und gepflegten semantischen

NIST Visual Model of Cloud Computing Definition

C Cloud Security Alliance

Cloud Computing Deployment Models

Internal Cloud (On-Site) External Cloud (Off-Site)

GOVERNANCE AND COMPLIANCE

Business Business Business

IT Service IT Service IT Service Platform as

© Novell, Inc. All rights reserved. Firewall

• Schnüren eines Gesamtpaketes per 30.04.2010, für Gelder von Stabi3eGov

IAM IAM IAM

Initialisierung Organisation (BFH) (Recht)

AWK plus Partner

Techn. Konzept und Umsetzung PoC pro

Initialisierung Standardisierung (z.B. update eCH-0107)

Das könnte Ihnen auch gefallen