Teknik - Skolfederation
Download
Report
Transcript Teknik - Skolfederation
Att bli medlem i
Skolfederationen ur ett
tekniskt perspektiv
Peter Lidholm
[email protected]
Vem är jag?
• Arbetat i Uppsala kommun sedan 2008
• Anställd hos den interna IT leverantören Teknik & service
• Arbetar som IT-strateg åt kommunledningskontoret
Bakgrund
• Kommunstyrelsen, via kommunledningskontoret, äger och
ansvarar för kommungemensamma system och
kommungemensamma infrastrukturtjänster.
– Exempel som berörs av skolfederationen: Åtkomst, autentisering,
identitetshantering
• Kommunstyrelsen fattar även beslut om styrande dokument
såsom riktlinjer
Utgångsläge
• Traditionell uppdelning nätmässigt mellan skola och övrig
verksamhet.
• En användarkatalog (AD) på den administrativa sidan plus flera
olika kataloger på skolsidan.
• Användarkategorier; anställda och elever
• Utmaningar: fler användarkategorier – medborgare och
utförare. Skall vi ha en eller flera användarkataloger? Åtkomst
till system (inte VPN)?
Första steget
• Införande av PortWise och infratjänst från Logica (CGI) vilket
gav oss:
–
–
–
–
En enkel lösning att komma igång med
Stöd för olika autentiseringslösningar
Möjlighet att slå upp användare i olika kataloger
Stöd för SAML
• Kommungemensam tjänst för externåtkomst till system och
tillämpningar.
• Införande av olika system och tillämpningar för externåtkomst
– Stötte på en del system och tillämpningar som stod hos externa
leverantörer
Funderingar: Hur skall vi ha kontroll på olika identiteter och
inloggningar? Singel - sign on?
Lösning: Federering – SAML, punkt till punkt.
Skolfederation
• Skolfederationens huvudmän ska ha förmågan att identifiera
och autentisera användare, exempelvis elever, och som ett
resultat av detta ställa ut ett intyg.
• Skolfederationen har likt andra federativa initiativ som ambition
att använda följande SAMLv21- profiler:
– Implementationsprofilen eGov22 (beskriver vilka SAML-förmågor
som erfordras)
– Deploymentprofilen saml2int3 (beskriver hur SAML-förmågorna
ska användas)
• Utbyta SAML - metadata
Sammarbete mellan intern driftleverantör (Teknik och service)
Nexus och Certezza resulterade i:
– Nexus levererade en beta version av PortWise med utökat SAML
stöd för att fungera i skolfederationen.
Sammarbete mellan intern driftleverantör (Teknik och service) och
skolan resulterade i:
– Utökning av integration mellan skoladministrativa system och
katalog för att fylla på med information som behövs för
skolfederationens attribut.
Tillitsramverk
Tilliten till de identiteter och attribut som används inom
Skolfederation är beroende av alla medlemmars kvalitet och
säkerhet. Om en part missköter sin hantering kan det leda till att
tilliten till alla medlemmars identiteter och attribut försämras. För
att säkerställa en hög tillit till identiteter och attribut inom
Skolfederation måste därför alla medlemmar leva upp till kraven i
det för medlemmarna i Skolfederation gemensamma regelverk för
säkerhet och tillit.
Styrning informationssäkerhet
• Policy – KF (principer)
• Riktlinjer – KS (vad)
• Anvisningar – Nämnd, verksamhet (hur)
• Riktlinje för styrning av åtkomst
• Anvisningar för styrning av åtkomst – t.ex. hur gör man när man
skapar en ny användare? Hur förmedlar man användarnamn
och identitetsbevis (lösenord) till personer?