segf 2015 | herausforderungen in der berechtigungsverwaltung (iam) für verwaltungsangestellte und...
TRANSCRIPT
Kanton St.Gallen
Dienst für Informatikplanung
Finanzdepartement
Herausforderungen in der Berechtigungs-
verwaltung (IAM) für Verwaltungsangestellte
und Bürger
St. Gallen, 03.04.2015
Marcel Eberle, Projektleiter IAM
Dienst für Informatikplanung
Kanton St. Gallen
Kanton St.Gallen
Seite 2
Ausgangslage
Informatikorganisation Kanton St. Gallen
24. Februar 2015
Dienst für Informatikplanung
• Der Dienst für Informatikplanung (DIP) ist die
Strategie-, Planungs- und Steuerungsstelle für
die Informatik des Kantons St.Gallen und
übernimmt somit eine Querschnittsfunktion
• Der DIP ist beim Finanzdepartement
eingegliedert
• Der Kanton St.Gallen lässt die Informatik durch
unterschiedliche Betreiber erbringen
(Outsourcing)
Kanton St.Gallen
Seite 3
Ausgangslage
Domänen, Provider und Anwendungsumfeld
24. Februar 2015
Dienst für Informatikplanung
• Viele gemeinsame Anwendungen / IT-Services
zwischen kantonalen und kommunalen Stellen
existieren
• E-Mail-Dienst
• Steuern natürliche Personen
• Anwendung für Bürgerrecht und Zivilstand
• Kollaboration mit Sharepoint, …
• …
• Mehrere Provider / Out-Sourcing Partner, die IT-
Services erbringen
Kanton St.Gallen
Seite 4
Ausgangslage
Domänen, Provider und Anwendungsumfeld
24. Februar 2015
Dienst für Informatikplanung
Identitäten werden bei jedem Provider gepflegt und
sind nicht vom HR-System geführt
Kanton St.Gallen
Seite 5
Verbindung von HR- und IT-Prozessen
Trennung Identität und Access
Vision
Domänen, Provider und Anwendungsumfeld
24. Februar 2015
Dienst für Informatikplanung
Kanton St.Gallen
Seite 6
Architekturüberlegungen
Varianten 1 - 3
24. Februar 2015
Dienst für Informatikplanung
1. HR-Daten verteilen an
jeden Provider
2. Identitäten
synchronisieren
3. Meta-Domäne
Kanton St.Gallen
Seite 7
Realisierte Architektur
24. Februar 2015
Dienst für Informatikplanung
Identitätsaustausch mittels Schnittstellen
Vertrauensmodell Identitätsdomäne / Provider
Kanton St.Gallen
Seite 8
Realisierte Architektur
Nutzen und Vorteile
24. Februar 2015
Dienst für Informatikplanung
• Keine redundante Identität
• Unterschiedliche HR- und Identitätsprozesse
(kantonal / kommunal) sind möglich
• Attribute (Organisation) können einer Identität
zugeordnet werden und stehen allen Providern
zur Verfügung
• Interne und externe Identitäten sind zentral
zusammengeführt
• Verantwortlichkeiten sind transparentVerantwortlich für Identität Vorgesetzter
Verantwortlich für Zugriff Datenowner, Prozessverantw.
Kanton St.Gallen
Seite 9
Realisierte Architektur
Nutzen und Vorteile (2)
24. Februar 2015
Dienst für Informatikplanung
• Berechnung des Lebenszyklus ist komplex und
wird nur einmal pro Identitätsdomäne gemacht
• Innerhalb von 24 h sind alle Zugriffe gesperrt
• Minimieren des administrativen Aufwands
• Föderierte Architekturen (SAML) können auch
integriert werden
• Erweiterbarkeit mit Identitätsdomänen und
Providern ist möglich
Kanton St.Gallen
Seite 10
Ausblick und Weiterentwicklung
24. Februar 2015
Dienst für Informatikplanung
Kanton St.Gallen
Seite 11
Herausforderungen des E-Government gestern
24. Februar 2015
Dienst für Informatikplanung
24. Februar 2015
Regel:Ritter sind autorisiert an
Ritterspielen teilzunehmen
und repräsentieren ihr
Königreich
Schlag zum
Ritter
Ritter auf
Lebenszeit
Schlag zum
Ritter
Für jedes Tournier haben sich die Ritter
eingeschrieben.
Ist die Identität unter der Rüstung echt?
Ist die Rolle "Ritter" gültig?
Ist der Ritter in den Diensten des Königs?
Kanton St.Gallen
Seite 12
Herausforderungen des E-Government heute
24. Februar 2015
Dienst für Informatikplanung
Ist die Person
"Ritter"
Ist die Person in den
Diensten des Königs?
Anmeldung
Liste der Personen in
den Diensten des Königs
Liste der Personen die
"Ritter" sind
Kanton St.Gallen
Seite 13
IAM-Lösung des E-Government morgen
24. Februar 2015
Dienst für Informatikplanung
Vermittlerinfrastruktur
STIAM Plattform
Infrastruktur um dem Extranetportal die authentifizierte
Benutzeridentität und die Attribute
«z.B. Firmenzugehörigkeit» zur Verfügung zu stellen
Attribute-Authorities
z.B. Mitarbeiterregister Firma X
Authentication-Authorities
z.B. SuisseID
Subjekt
z.B. Mitarbeiter der Firma X
Relying Party
z.B. Extranet-Portal der Firma Y
Vermittlerinfrastruktur
Informationslieferanten Authentication
Informationslieferanten Attribut
Informationskonsument
Kanton St.Gallen
Seite 15
Kontakt
24. Februar 2015
Dienst für Informatikplanung
Kantonale Verwaltung St. Gallen
Marcel Eberle
Leiter Informationssicherheit
Davidstrasse 35
9001 St. Gallen
Kanton St.Gallen
Seite 16
Identity Federation Hub and SuisseTrust IAM
24. Februar 2015
Dienst für Informatikplanung
Cloud App
Identity Federation Hub
Office
SAML ProxyAuthorization
ID Vault
Trusts IFH
eGov Service Provider
Strong Trust
Weak Trustto IFH
Attribute Receiver
eGov Attribute Provider
SAML Proxy
ID Provider