IAM-Lösungsarchitektur CH

ffO B2.06 „Identifikation und Berechtigungsverwaltung“ eCH FG-IAM „Identity & Access Management“

eGov Lunch BFH 26.08.2010, Bern
Autor: Hans Häni AFI TG, Co-Leiter e-CH-FG IAM und Co-Leiter E-Gov ffO B2.06 IAM

Strategie, Anforderungen  Architektur
3 Aussagen zur Vision (Strategie) E-Gov (NR R. Noser, 17.3.2010) • Der Staat (Verwaltung, Rechtspflege, …) darf nicht Daten vom Einwohner oder Unternehmen verlangen, welche er schon hat. • Der Einwohner oder das Unternehmen kann diese verlangten Daten rund um die Uhr, von überall auf der Welt liefern. • Der Einwohner oder das Unternehmen kann jederzeit mit einem autorisierten Zugriff alle seine Daten einsehen und angezeigt bekommen, wer darauf Zugriff hat.

 Grob-Anforderungen für das IAM

eGov Lunch_BFH_Bern_26.08.2010

2

Strategie, Anforderungen  Architektur
Governance, Risk-Management, Compliance (GRC) Identity und Access Management:
• • • • • • • • Ist Bestandteil und Grundlage für einen rechtlich und operationell sicheren E-Sozial- und E-Wirtschaftsraum Unterstützt die Informationssicherheit gemäss ISO 27001 Risiko-Analyse aus Sicht Angebot bestimmt Schutzbedarf für IAM Garantiert den Datenschutz in jedem Rechtskontext Basiert auf Interoperabilität, national und international Basiert auf international kompatiblen Modellen und Architekturen Ist möglichst schlank, transparent und robust Ist verifizierbar und auditierbar  Anforderungen für das IAM

eGov Lunch_BFH_Bern_26.08.2010

3

Anforderungen SuisseID an IAM
Szenarium 3: zus. externe Provider

Verschiedene Szenarien mit zusätzlichen externen Profil-Daten-Providern, z.B.: 11-13 Benutzer erbringt Nachweis als Notar aus dem Register der Urkundspersonen; 21-22 Die Anwendung holt selbst Zeichnungs-Berechtigung im Handelsregister; 31-33 Harte Authentisierung mit SuisseID bei Server für Federated Identity

EVD/SECO/DSKU/eGov-KMU eGov Lunch_BFH_Bern_26.08.2010 4

SIK-Arbeitsgruppe „SuisseID“
Umsetzungsstrategie mit: • Erwartungen und Forderungen der SIK an SuisseID  Anforderungsmanagement der SIK • Koordinationsteam der SIK für SuisseID/IAM • Modellvorgehen für den Einsatz der SuisseID • Modellarchitektur für die Verwendung von SuisseID mit möglichen Betriebsorganisationen SuisseID/IAM • Prozesse der SIK für die SuisseID/IAM • Priorisierte Projekte und mögliche Kosten • Standardvorgehen für die Migration von bestehenden Anwendungen • Informationsplattform der SIK für SuisseID/IAM • eCH-Standardisierungsbedarf • Massnahmen 2010 für SuisseID/IAM • Quickwin‘s
eGov Lunch_BFH_Bern_26.08.2010

5

IAM Referenzmodell (seit 2007)

eGov Lunch_BFH_Bern_26.08.2010

6

IAM-Prozesse und Architektur
IAM-Meta-Prozesse
Legislative = Prozess-Organisation
Autorisierung des Angebots Autorisierung der „Zugriffsautorisierer“ und Regeln - Prozessorganisations-Verantwortlicher - Prozess-Beteiligte (Identity-, Service Provider) - Prozess-Auditor (Prozess-Autorisierung) (Autorisierungs-Management) (Revision)

Exekutive = Prozess-Management
Registrierung Authentisierung Applikation/Service-Autorisierung - Prozess-Manager (Rolle, Attribute, Regeln) - Prozess-Verwaltungsmitglieder - Prozess-Security-Verantwortlicher (User-Autorisierung) (User-Management) (Monitoring)

IAM-IT-Architektur = SOA (Service Oriented Architecture)
- Portal - Services - Register - Repositories - Monitoring
eGov Lunch_BFH_Bern_26.08.2010

Zugang im Berechtigungskontext Koordinations-, Kommunikations- und Portaldienste Funktionsnachweise Gesetze, Verträge, Serviceleistungen Security, Revision
7

IAM Prozesse und Architektur
IAM-IT-Architektur = SOA
Exekutiv-Portal
- Prozess-Manager - Prozess-Verw.-Mitglieder - Prozess-Security-Verantw.

Legislativ-Portal
- Prozes-Org.-Verantw. - Prozess-Org.-Mitglieder - Prozess-Auditor

Online, Web-Services

Kommunikations-Service
KoordinationsService Event-Bus-Schweiz (SEDEX, ...)

Federated Repository
- Prozess Verantw. / Mitglieder - Prozess-Services (Identity-Provider) - Prozess-Lifecycle - User - Rollen, Attribute, Regeln - Zertifikate - Gesetze, Verordnungen - Verträge, SLA‘s

Benutzer-Autorisierung
Prozes-Service

Prozess-Autorisierung
Prozess-Service

Prozess-Monitoring
Prozess-Service

Prozess-Auditing
Prozess-Service

eGov Lunch_BFH_Bern_26.08.2010

8

Implementierung von IAM in der Domäne
(Aus S.A.F.E-Grobkonzept D, Dez. 2007)

Recht SLA‘s

Enterprise Service Bus
z.B. SEDEX-Bus, OSCI2

Applikation / Service
(Rolle, Attribute)
eGov Lunch_BFH_Bern_26.08.2010

Definierter Rechtsraum
14
9

IAM-Domänen-Architektur CH (Beispiel eGov)
Public Domain
IdP
Personal

eGov Domain
IdP
eGov-MA

Local Domain
Local Directory Local-Services

IdP
U-MA

ClaimP
eGov / eEco

Pers.-Services

eGov-IAM-Services

Vertrieb
- Online-Schalter - Einwohner - U-Mitarbeiter

Produktion
- Prod.-Portal - Fall-Controlling - Workflow

Produktion Int. Bus
- Fachapplikation - Fachdaten - Dokumente

Event Bus CH

eGov Lunch_BFH_Bern_26.08.2010

10

Aus „eGov IAM Infrastruktur Vision“ (Jan. 2010)
Behörden
Interface

trust

eGov IAM Infrastruktur Schweiz
SuisseID Suisse CSP

2

ID CA

1

Benutzende 2’
Interface

Register

Interface

CSP Infrastruktur IdP CAS

trust

3

Firmen
Interface

CSP – Certification Provider IdP – Identity Provider CAS – Claim Assertion Service

2’’

trust

eGov Lunch_BFH_Bern_26.08.2010

11

Eine Sicht der eCH IAM-Modellarchitektur
eGov IAM Repository

SuisseID

Client

Identity Management Service

ID-Register

Access Service

IAMToken
PEP

Authentication Service
Security Token

Credential Management Service

CR-Register

Autorization Service

Claim Management Service

CL-Register

Security Token

RessourcenDirectory

Ressource
Interface Policy Enforcement Point

Rechteverwaltung

Gemäss eCH-0107 Gestaltungsprinzipien für IAM

eGov Lunch_BFH_Bern_26.08.2010

12

Strategie, Anforderungen  Architektur
Interoperabilitäts-Ebenen Politische / Rechtliche Ebene Organisatorische Ebene Semantische Ebene Technische Ebene
- Gesetze, Verordnungen - Vereinbarungen, SLA‘s - Standardisierte Prozesse - Koordinationsprozesse - Terminologien - Nomenklaturen - Internationale Standards - Nat. und intenat. Normen

Roadmap for a pan-european eIDM-Framework by 2010 eID Interoperability for PEGS (Pan-European E-Gov Services) EU/IDABC Authentication Policy EU/STORK Secure Identity Across Borders Linked
eGov Lunch_BFH_Bern_26.08.2010 13

Ansatz organisatorische/rechtliche Architektur
• Domänen- und Instanzenbetrachtung gemäss Cloud Computing (CSA)
(CH-Einwohner: Zivilgesetzgebung, …) - Public Domain / Instance - Private Domain / Instance (Öffentl. Verwaltung, Unternehmen: Gesetze, OR, …) - Community Domain / Instance (SuisseID/IdPs, eGov-IAM, eHealth-IAM: SLA‘s …)

• Jede Domäne stellt ein transparenter geregelter Rechtsraum dar. • Jede Instanz, jede Domäne hat ein zugeordneter geregelter Namensraum. • Die für die Applikation benötigten IAM-Dienste (SOA, Workloads) sind rechtlich-organisatorisch klar im Kontext der jeweiligen Domäne definiert. • Die rechtlichen und vertraglichen Anforderungen einer Applikation ergeben sich aus dem Gesamtkontext der von der Applikation beanspruchten Domänenund Instanzen-Landschaft.

eGov Lunch_BFH_Bern_26.08.2010

14

Ansatz semantische Architektur
• Fachschaftsbetrachtung (Fachdomänen, Fachinstanz) - Fach-Standardisierungsgremien („Steuern“, „Umwelt“, ASA20111, …) - Fach-Communities (Switch, SWIFT, …, „IAM-Community“?) • Jede Fachschaft hat ihre festgelegten und gepflegten semantischen Komponenten dieser Fachinstanz in den relevanten Namensräumen. • Jede Fachschaft hat einen klaren Bezug zu den relevanten Rechtsräumen. • Die für die Applikation benötigten IAM-Dienste (SOA, Workloads) verwenden nachvollziehbare semantische Komponenten im Namensraum, in welchem sie eingebettet sind. • Diese semantischen Komponenten der IAM-Dienste, welche eine Applikation verwendet, sind rechtlichen und vertraglichen gesichert (Trust, Federation).

eGov Lunch_BFH_Bern_26.08.2010

15

Ansatz technische Architektur
• Technische Domänen- und Instanzenbetrachtung - Local-Directory der Applikation - Local-Directory des IAM-Dienstes - „Cloud“-Metadirectory für die IAM-Dienste - „Cloud“-Instanzen der IAM-Dienste (Register, Repositories) • Jede Applikation und jeder von ihr verwendete IAM-Dienst hat ein ihr/ihm am nächsten stehendes Directory (Local-Directory der Ressource). • Die Local-Directories in der Local Domain haben untereinander eine Federation-Beziehung und ein Trust-Verhältnis.

eGov Lunch_BFH_Bern_26.08.2010

16

Strukturierung gem. Cloud Security Alliance (CSA)

NIST Visual Model of Cloud Computing Definition
eGov Lunch_BFH_Bern_26.08.2010 17

Strukturierung gem. Cloud Security Alliance (CSA)
IAM

Mapping the Cloud Model to the Security Control & Compliance Model
C

Cloud Security Alliance
18

eGov Lunch_BFH_Bern_26.08.2010

Strukturierung gem. Cloud Security Alliance (CSA)

Cloud Computing Deployment Models
C

Cloud Security Alliance

eGov Lunch_BFH_Bern_26.08.2010

19

Extending the Enterprise to the Cloud
Internal Cloud (On-Site) External Cloud (Off-Site)

GOVERNANCE AND COMPLIANCE Business Service Management IT Service Management Business Service Management IT Service Management Business Service Management IT Service Management

Software as a Service Platform as a Service Infrastructure as a Service

Existing Internal Capacity

Virtualized Internal Capacity

New External Capacity

© Novell, Inc. All rights reserved.
eGov Lunch_BFH_Bern_26.08.2010

Firewall

20

Kurzbeschreibung Stabi3eGov Vorhaben B2.06
• Schnüren eines Gesamtpaketes per 30.04.2010, für Gelder von Stabi3eGov • Gesamtplanung: Umsetzung des Projektes Stabi3eGov mit Unterstützung AWK • 3 Teilprojekte: - IAM-Lösungsarchitektur für Pilotinfrastruktur - Parallel zu erstellende notwendige eCH-IAM-Standardisierung - Nachhaltige Organisation B2.06 und Folgejahre • IAM-Lösungsarchitektur: - Kernprojekt AWK - Pro Pilot-Applikation IAM-Studie AWK - „Proof of Concept“ IAM CH für Pilot-Applikationen • eCH-IAM-Standardisierung: FG IAM mit fremder Unterstützung, u.a. AWK • Organisation: Berner Fachhochschule, K. Walser • Eventuell weitere Finanzierung Stabi3eGov per 31.08.2010

eGov Lunch_BFH_Bern_26.08.2010

21

Darstellung Stabi3eGov, Projekt B2.06 „IAM“
Projekt Stabi3eGov
Gesamtplanung/Koord. B2.06 / AWK
B2.06 / BFH

Organisation B2.06 IAM
eCH / B2.06

eCH IAM-Standardisierung
AWK / B2.06

IAM-Lösungsarchitektur und „Proof of Concept“
IAM BIT IAM Bedag IAM ASA IAM eGRIS IAM BK IAM ZH IAM Swisscom IAM R eGov IAM … Teilprojekt 1 Teilprojekt 2 Teilprojekt 3

KernProjekt
IAM SG

IAM Abraxas/VRSG

Gesamtprojekt

eGov Lunch_BFH_Bern_26.08.2010

22

Roadmap Stabi3eGov Projekt B2.06 „IAM“
Initialisierung

Organisation (BFH) (Recht) Rahmendokument Lösungsarch. (Gesch,. Inform.) AWK plus Partner Lösungsarch IAM eGov

update

Cleanup WS

Mapping Geschäftsarch., Inform.arch. pro Vorh.

update

Konzept PoC pro Vorhaben

Nächst e Schritte

Techn. Konzept und Umsetzung PoC pro Vorhaben
Initialisierung

Standardisierung (z.B. update eCH-0107)

Ende Juni
eGov Lunch_BFH_Bern_26.08.2010

Ende Juli
23

Mitte Sept.

Mitte Okt.

Ende 2010

Danke für die Aufmerksamkeit

eGov Lunch_BFH_Bern_26.08.2010

24