UBISECURE SOLUTIONS, INC.
Tekniska möjligheter att
förenhetliga inloggning
med öppna standarder och
gränssnitt
Agenda
§ Ubisecure – vem vi är
§ Allmänna problembeskrivningar – varför federera?
§ Lösningar och nyttor med en federationstjänst – vad är det?
§ Om integritetsskydd – hur gör man det rätt?
§ Demo federerad access till e-läromedel – hur gör man det enkelt?
• IAM solutions for the business ecosystem
• HQ in Finland, with sales office in Sweden
• 100+ installations at corporations and public organizations
• Revenues 2012: EUR 1,5 million and profitable
• 20+ internal professionals plus network of 150 integrators
• Strong IPR portfolio and active standardization in IAM-industry
Company Profile
78% of all companies and 40% of all citizens in Finland use Ubisecure every month
123 million authentications cumulatively
Offentliga sektorn Industri, handel och service Finans och försäkring
Kunder och referenser i olika segment
Folkpensionsanstalten
Svenska motsvarigheter till nyckelreferenserna
Facility Services
Services Retail Finance/ Insurance Energy
Authorities Municipalities Gaming
Agenda
§ Ubisecure – vem vi är
§ Allmänna problembeskrivningar – varför federera?
§ Lösningar och nyttor med en federationstjänst – vad är det?
§ Om integritetsskydd – hur gör man det rätt?
§ Demo federerad access till e-läromedel – hur gör man det enkelt?
Varför federera
§ Kommuner och landsting har interna portaler och externa tjänster
§ Interna portaler nås med användarkonton som kommuner och landsting själva administrerar
§ Externa tjänsterna nås med konton som andra kommuner och landsting, eller tjänsteleverantör administrerar, tom. 30 olika Extranät
§ Användarhanteringen hakar upp sig, det uppstår dolda kostnader, informationen blir opålitlig, integriteten kan lida
Uppsala
SMI
Östergötaland
Stockholm
Skåne
Västra Götaland
21 landsting 290 kommuner (11 186 företag)
21 landsting 290 kommuner (11 186 företag)
96 721 integrationer
En federation – användervänlig, kostnadseffektiv, säker
§ En federation som ger kommuner och landsting åtkomst till tjänster med deras egna användarkonton
§ Färdiga tekniska standarder, federationsavtal och regelverk av SIS
§ .SE sköter löpande verksamhet som drift, kundtjänst, metadata…
§ Exempel Skolfederationen, SAMBI, SWAMID, etc.
Uppsala
SMI
Östergötaland
Stockholm
Skåne
Västra Götaland
311 integrationer
Federation
21 landsting 290 kommuner (11 186 företag)
21 landsting 290 kommuner (11 186 företag)
Problembeskrivning: Anslutning till en federation
§ Kommunen vill ansluta sig till SAMBI och Skolfederationen
§ Federationerna kräver stöd för saml2int profilen samt mappning av attribut och kontinuerlig uppdatering av metadata
§ Kräver inställningar, konfigurering, Powershell scripting och anpassningar, vilket kan vara arbetsdrygt som projekt och i drift
§ Kommuner vill dessutom begränsa tillgången till attribut per tjänsteleverantör enligt avtal
IdP
Katalog
IDP Patientjournal Läkare, skötare
Lärare, elever
E-läromedel
?
21 landsting 290 kommuner (11 186 företag)
21 landsting 290 kommuner (11 186 företag)
Register Register
Agenda
§ Ubisecure – vem vi är
§ Allmänna problembeskrivningar – varför federera?
§ Lösningar och nyttor med en federationstjänst – vad är det?
§ Om integritetsskydd – hur gör man det rätt?
§ Demo federerad access till e-läromedel – hur gör man det enkelt?
Lösning: Federation som tjänst
§ Kommunen kan ansluta sitt existerande system till federationerna över en tjänst, ingen ny programvara behövs
§ Kommunen utbyter endast metadata med tjänsten och beaktar federationens avtal i sin katalog
§ Tjänsten sköter om konvertering av profiler och attribut samt uppdatering av metadata
§ Kommunen får automatiskt tillgång till federationens nya egenskaper som tillitsnivåer, anvisning, single-log-out, mm.
IdP
Katalog
IDP Patientjournal Läkare, skötare
Lärare, elever
E-läromedel
21 landsting 290 kommuner (11 186 företag)
21 landsting 290 kommuner (11 186 företag)
Register
Federations-anslutning som tjänst
Register
Nyttorna med en federationstjänst
Uppsala
SMI
Östergötaland
Stockholm
Skåne
Västra Götaland
Win SSO
SAML
AAD
WSF
SAML
IIS Filter
§ Kommuner och landsting kan ansluta sig den teknologi de har och behärskar - IdP
§ Tjänsteleverantörerna ansluter sig med sin befintliga teknologi - SP
21 landsting 290 kommuner (11 186 företag)
21 landsting 290 kommuner (11 186 företag)
IdP SP
Federations-anslutning som tjänst
Ubisecure Identity Broker Engine i centrum av tjänsten
Active DirectoryActive DirectoryActive DirectoryActive Directory
Metakataloger
SQL SQL Active DirectoryActive DirectoryActive DirectoryActive Directory
• Validering • Mapping av attribut • Berikning av attribut
• Identitetskapning • Sessionshantering • Mapping till grupp
• Auktorisering
Autentiseringskällor Identity Broker Engine
Ålder över 16
Kön
Personnummer
REST
Ubisecure Identity Broker Engine i centrum av tjänsten
§ Exempel på mapping av SWAMID och SAMBI attribut
§ T.ex. en forskare som ska ha access till en databas
Nyttorna med en federationstjänst
400 tkr per år
HEAVY
Tjänsteleverantörers policyn
Olika användarkonton Nya grupper Nya lösenord
Tjänst
140 tkr projekt 50 tkr per år
HEAVY
Drift Profiler
Servrar och programvara Metadata
Konsulteringsdagar
Uppdateringar
Dolda kostnader
Enkel anslutning Teknik som tjänst
Alltid upp-to-date
59 tkr per år
Utan federation Federationsprojekt Federationstjänst
Agenda
§ Ubisecure – vem vi är
§ Allmänna problembeskrivningar – varför federera?
§ Lösningar och nyttor med en federationstjänst – vad är det?
§ Om integritetsskydd – hur gör man det rätt?
§ Demo federerad access till e-läromedel – hur gör man det enkelt?
Integritetsfråga: Anslutning till Skolfederationen
§ Kommunen vill ansluta sig till Skolfederationen för single-sign-on till olika e-läromedel
§ Vill begränsa tillgången till attribut per tjänsteleverantör enligt avtal med tjänsteleverantör
Användargrupper Skolfederation.se Intern IdP
Katalog
IDP Liber Online
Kräver inte ålder Lärare Elever
Gleerups Kräver ålder
Learnify Elevregister
Vilka attribut?
Skolfederationens attribut
Basattribut
§ name-id
§ organisation
§ årskurs
Standardattribut
§ persistent id
§ förnamn
§ efternamn
§ visat namn
§ skolhuvudman (orgnummer)
§ skolenhet (SCB-kod)
§ kursgrupper och klass
§ roll
Utökade attribut
§ adress, box, postnummer, postort, land
§ telefon
§ mobil
§ födelsedatum
§ kön
§ personnummer
§ vårdnadshavare
Lösning 1: Minimum attribut och queries
Användargrupper Skolfederation.se Extern IdP
Lärare Elever
Katalog
IDP
§ En minimimängd attribut skickas till tjänsteleverantören, som ber om attribut via en AD/SQL/LDAP/REST query
§ Kräver integrationer mellan tjänsteleverantörer och kataloger
§ Kommunerna borde enas om ett standardgränssnitt
§ Kan kräva personnummer som nyckel till kataloger
Elevregister
Minimum attribut Liber Online
Gleerups
Learnify Query
Lösning 2: SAML-biljett editering
Användargrupper Skolfederation.se Extern IdP
Lärare Elever
Katalog
IDP
§ SAML-biljett editering: kommunen definierar per tjänsteleverantör vilka attribut skickas ut med SAML-biljetten
§ Editeringen av SAML-biljetter kan ske med en del IDP lösningar
§ Kräver ingen integrationer mellan tjänsteleverantörer och kataloger
§ Single-sign-on lider inte, vid behov återvänder sessionen till IdP:n för att hämta nya attribut – utan att användren ens ser det
Elevregister
Olika attribut Liber Online
Gleerups
Learnify
Lösning 2: Exempel på SAML-ticket editering
§ Kommunen ser en lista med tjänsteleverantörer
Lösning 2: Exempel på SAML-ticket editering
§ Kommunen kan editera attributen som går ut till Gleerups
Agenda
§ Ubisecure – vem vi är
§ Allmänna problembeskrivningar – varför federera?
§ Lösningar och nyttor med en federationstjänst – vad är det?
§ Om integritetsskydd – hur gör man det rätt?
§ Demo federerad access till e-läromedel – hur gör man det enkelt?
Lösning: Skolfederationstjänst i Azure
Skolhuvudman Skolfederation.se Extern IdP
Lärare Elever
AAD
O365
Azure tjänst
Azure tjänst
§ Kommunens lärare och elever med O365 konton får automatiskt tillgång till Skolfederationens tjänster över en Azure tjänst
§ Kommunens O365 admin aktiverar tjänsten i Azure, ingen programvara krävs
§ Tjänsten sköter om konvertering av profiler och attribut samt uppdatering av metadata
§ Kommunen får automatiskt tillgång till federationens nya egenskaper som tillitsnivåer, anvisning, single-log-out, mm.
Liber Online Kräver inte ålder
Gleerups Kräver ålder
Learnify
Demonstratörer: Skolfederation.se tjänst i Azure
§ Anna Admin ansluter Kulskola till Skolfederationen
§ Anslutningen sker automatiskt med Ubisecures Skolfederation.se tjänst
§ Sven loggar in på Liber Online hemifrån för att göra sin matteläxa
§ (hade Sven varit på skolan hade ingen autentisering krävts)
1. Anslutning till Skolfederationen
2. Inloggning på Liber Online
Demo 1: Inbjudan till Anna Admin
§ http://g.microsoftonline.com/0AX00en/172?ClientID=4ede6426-4912-405d-a576-97793113826c (kräver Azure AD admin konto)
§ Inbjudan per e-mail, QR kod eller länk på webben
Demo 1: Aktivering som Anna Admin
§ Anna Admin är kommunens Azure AD admin
§ Hon loggar in på sitt admin konto för Azure
Demo 1: Aktivering som Anna Admin
§ Anna Admin aktiverar Ubisecures tjänst för Skolfederation.se
§ Tjänsten kan läsa användaruppgifter på AAD och kan skicka dem vidare i Skolfederationens format
§ Kan vi ändra på default disclaimern?
Demo 1: Välkomstsida för Anna Admin
§ Anna Admin välkomnas till tjänsten
§ Anna kan använda färdig länkar för att bjuda in elever
§ Anna kan testa att allt fungerar
Demo 1: Verifiering av Anna Admin
§ Anna Admin kan verifiera att tjänsten fungerar på Azure AD
Sänder inbjudan
Klickar länken
Accepterar tjänsten
Tjänsteleverantör Skolhuvudman
1
2
3
1 2 3 och kommunen är med i Skolfderation.se
Demo 1: Sammanfattning
Demo 2: Inloggning på Liber Online
§ Sven ska in på Liber Online och göra sin matteläxa
§ Sven väljer att logga in med sitt O365 konto
Demo 2: Inloggning på Liber Online
§ Sven omdirigeras automatiskt till O365 för inloggning
Demo 2: Inloggning på Liber Online
§ Sven loggar in på O365
Demo 2: Inloggning på Liber Online
§ Sven skickas automatiskt vidare och får tillgång till Liber Online
§ Sven gör sin matteläxa
Väljer inloggning Går på Liber
Loggar in på O365
Tjänsteleverantör Elev
1 2
3
1 2 3 och Sven är inloggad på Liber Online
Demo 2: Sammanfattning
www.ubisecure.com Copyright Ubisecure Solutions, Inc. All rights reserved. www.ubisecure.com © Copyright Ubisecure Solutions, Inc. All rights reserved.
THANK YOU!
Ubisecure Solutions, Inc.
www.ubisecure.com <firstname.lastname>@ubisecure.com
FINLAND: SWEDEN:Tekniikantie 14 WTC, Klarabergsviadukten 70, Box 70396 FIN-02150 Espoo S-10724 Stockholm
tel. +358-9-2517 7250fax +358-9-2517 7070
Registered in Espoo, Finlandreg. nr. FI1748721-4
Ubisecure paves the way for a smoother and safer Internet. Ubisecure software products enable new online business concepts and speed the growth of existing web-based operations by joining separate sites and services into larger trusted areas. The innovative products allow internet users to flexibly and securely move between online services – without encountering repeated login prompts. Ubisecure maintains an extensive network of partners that offer organizations advice, consulting and technical services; and provides high-level training in secure online business through the widely appreciated Ubisecure IAM Academy. Founded in 2002 in Finland, Ubisecure Solutions Inc. is a pioneering provider of standardized identity and access management solutions. For more information, please visit www.ubisecure.com.
Identify and Authorize.Enable secure business.
THANK YOU FOR YOUR INTEREST. PLEASE CONTACT US AT:
UBISECURE SSO UBISECURE SSO Authentication Methods
Mobile OTP
SMSOTP Printout2316 5387
9899 42783320 89876539 84989848 2456
*)
SAML
CallSign
LDAP
*)
Active Directory
SQL
WS-Federation
RFID *)Biometric *)
*)
*)
*)
*)
*)
*) Possible to use. Not readily available as Ubisecure SSO option.
Username+
password
One-Time Passwords
Operator services, SMS-authentication
and others
Certificates, smartcards and tokens
Banks’ ID-services
Federatedand other
UBISECURE SSO
UBISECURE Trust
Ubisecure SSO Out-of-the-box Integration to Your Services
*
*) Examples of existing integrations, not an all inclusive list
The CustomerID external identity lifecycle process
Initial registration: Self-service and/or Delegated entry of basic info
Identity verification against selected Id-provider
Identity enrichment using internal or external attribute services/silos
Identity life-cycle management: Self-service and/or Delegated
1 2 3 … …
UBISECURE CustomerID
… …
SQL Active DirectoryActive DirectoryActive DirectoryActive Directory
WebServices
Case: Federated Access to Insurance Company
PENSION INSURANCE & INVESTMENT
EXTERNAL AUTHENTICATION
SERVICES: PKI AND BANK ID
THE CHALLENGES THE SOLUTION THE BENEFITS
How to improve the customer experience and satisfaction
Facilitate strong user auth. to Microsoft SharePoint based portal
Easier new customer acquisition
Ubisecure SSO to deliver standards based end user
authentication linking to the local user identity providers
Ubisecure Trust to build a federation link to Etera (resale)
partner, Danske Bank
Etera can offer all the relevant authentication methods for end
users
“Switch on” configuration of new authentication methods
Single sign-on from Danske Bank network to Eteral services
Online Services
UBISECURE SSO
Strong authentication for end users
IDENTITY FEDERATION
UBISECURE Trust
New accounts Already customers
Loyalty Portal
Case Retail: The Largest Retail Chain in Finland
RETAIL COMPANY EXTERNAL
AUTHENTICATION SERVICES
THE CHALLENGES THE SOLUTION THE BENEFITS
User authentication
Security with Ease of use
Identity provisioning and role-based access
Authentication, SSO and Federation w External AuthN
Delegated Identity management
Role-Based Access Control
Centralized deployment of Strong Authentication
alternatives
Low threshold to use secure services
New business concepts multiplying inflow of users
MU
LTIP
LE C
ORP
ORA
TE
PORT
ALS
AN
D S
ERV
ICES
Intranet Portal
Extranet Portal
UBISECURE SSO
CORPORATE IDP
Thousands of external identities Millions of end-users (customers)
Case Energy: Major Municipal Energy Company in Finland
ENERGY COMPANY EXTERNAL
AUTHENTICATION SERVICES
THE CHALLENGES THE SOLUTION THE BENEFITS
User authentication
Security with Ease of use
Identity provisioning and role-based access
Authentication and SSO w External AuthN
Automated Identity provisioning
Role-Based Access Control
Easy self-registration and self-management
Efficient deployment of Strong Authentication
alternatives
Low threshold to use secure services
MU
LTIP
LE C
ORP
ORA
TE
PORT
ALS
AN
D S
ERV
ICES
Sub- contractor’s
Intranet Portal
Extranet Portal
UBISECURE SSO
CORPORATE IDP
Thousands of external identities 100 000 end-users (customers)
UBISECURE CustomerID
Case Insurance: Leading Insurance Company in Finland
INSURANCE COMPANY EXTERNAL
AUTHENTICATION SERVICES
THE CHALLENGES THE SOLUTION THE BENEFITS
User authentication
Security with Ease of use
Identity provisioning and role-based access
Corporate Authentication and Federation w External AuthN
Automated Identity provisioning
Delegated and automated Identity provisioning
Fast deployment of Strong Authentication
alternatives
Low threshold to use secure services
New business concepts multiplying inflow of users
MU
LTIP
LE C
ORP
ORA
TE
PORT
ALS
AN
D S
ERV
ICES
Main Customer
Portal
Extranet Portal
Thousands of external identities A million end-users (customers)
UBISECURE SSO
CORPORATE IDP
UBISECURE CustomerID
Go-to-Market Strategy
Medium to large Enterprises and Government Organizations
UBISECURE Technology & Content
Partners IAM Academy
Partner Program Sales & Value Add Partners
The Offering Business
focused IAM
Competitive Landscape
IT and security focused IAM
Focused on Customer
and partner IAM
Focused on internal users
identities
UBISECURE