tekniska möjligheter att förenhetliga inloggning …...2013/10/31 · lösning:...

UBISECURE SOLUTIONS, INC.

Tekniska möjligheter att

förenhetliga inloggning

med öppna standarder och

gränssnitt

Agenda

§  Ubisecure – vem vi är

§  Allmänna problembeskrivningar – varför federera?

§  Lösningar och nyttor med en federationstjänst – vad är det?

§  Om integritetsskydd – hur gör man det rätt?

§  Demo federerad access till e-läromedel – hur gör man det enkelt?

•  IAM solutions for the business ecosystem

•  HQ in Finland, with sales office in Sweden

•  100+ installations at corporations and public organizations

•  Revenues 2012: EUR 1,5 million and profitable

•  20+ internal professionals plus network of 150 integrators

•  Strong IPR portfolio and active standardization in IAM-industry

Company Profile

78% of all companies and 40% of all citizens in Finland use Ubisecure every month

123 million authentications cumulatively

Offentliga sektorn Industri, handel och service Finans och försäkring

Kunder och referenser i olika segment

Folkpensionsanstalten

Svenska motsvarigheter till nyckelreferenserna

Facility Services

Services Retail Finance/ Insurance Energy

Authorities Municipalities Gaming

Agenda






Varför federera

§  Kommuner och landsting har interna portaler och externa tjänster

§  Interna portaler nås med användarkonton som kommuner och landsting själva administrerar

§  Externa tjänsterna nås med konton som andra kommuner och landsting, eller tjänsteleverantör administrerar, tom. 30 olika Extranät

§  Användarhanteringen hakar upp sig, det uppstår dolda kostnader, informationen blir opålitlig, integriteten kan lida

Uppsala

SMI

Östergötaland

Stockholm

Skåne

Västra Götaland

21 landsting 290 kommuner (11 186 företag)


96 721 integrationer

En federation – användervänlig, kostnadseffektiv, säker

§  En federation som ger kommuner och landsting åtkomst till tjänster med deras egna användarkonton

§  Färdiga tekniska standarder, federationsavtal och regelverk av SIS

§  .SE sköter löpande verksamhet som drift, kundtjänst, metadata…

§  Exempel Skolfederationen, SAMBI, SWAMID, etc.

Uppsala

SMI

Östergötaland

Stockholm

Skåne

Västra Götaland

311 integrationer

Federation



Problembeskrivning: Anslutning till en federation

§  Kommunen vill ansluta sig till SAMBI och Skolfederationen

§  Federationerna kräver stöd för saml2int profilen samt mappning av attribut och kontinuerlig uppdatering av metadata

§  Kräver inställningar, konfigurering, Powershell scripting och anpassningar, vilket kan vara arbetsdrygt som projekt och i drift

§  Kommuner vill dessutom begränsa tillgången till attribut per tjänsteleverantör enligt avtal

IdP

Katalog

IDP Patientjournal Läkare, skötare

Lärare, elever

E-läromedel

?



Register Register

Agenda






Lösning: Federation som tjänst

§  Kommunen kan ansluta sitt existerande system till federationerna över en tjänst, ingen ny programvara behövs

§  Kommunen utbyter endast metadata med tjänsten och beaktar federationens avtal i sin katalog

§  Tjänsten sköter om konvertering av profiler och attribut samt uppdatering av metadata

§  Kommunen får automatiskt tillgång till federationens nya egenskaper som tillitsnivåer, anvisning, single-log-out, mm.

IdP

Katalog

IDP Patientjournal Läkare, skötare

Lärare, elever

E-läromedel



Register

Federations-anslutning som tjänst

Register

Nyttorna med en federationstjänst

Uppsala

SMI

Östergötaland

Stockholm

Skåne

Västra Götaland

Win SSO

SAML

AAD

WSF

SAML

IIS Filter

§  Kommuner och landsting kan ansluta sig den teknologi de har och behärskar - IdP

§  Tjänsteleverantörerna ansluter sig med sin befintliga teknologi - SP



IdP SP

Federations-anslutning som tjänst

Ubisecure Identity Broker Engine i centrum av tjänsten

Active DirectoryActive DirectoryActive DirectoryActive Directory

Metakataloger

SQL SQL Active DirectoryActive DirectoryActive DirectoryActive Directory

•  Validering •  Mapping av attribut •  Berikning av attribut

•  Identitetskapning •  Sessionshantering •  Mapping till grupp

•  Auktorisering

Autentiseringskällor Identity Broker Engine

Ålder över 16

Kön

Personnummer

REST

Ubisecure Identity Broker Engine i centrum av tjänsten

§  Exempel på mapping av SWAMID och SAMBI attribut

§  T.ex. en forskare som ska ha access till en databas

Nyttorna med en federationstjänst

400 tkr per år

HEAVY

Tjänsteleverantörers policyn

Olika användarkonton Nya grupper Nya lösenord

Tjänst

140 tkr projekt 50 tkr per år

HEAVY

Drift Profiler

Servrar och programvara Metadata

Konsulteringsdagar

Uppdateringar

Dolda kostnader

Enkel anslutning Teknik som tjänst

Alltid upp-to-date

59 tkr per år

Utan federation Federationsprojekt Federationstjänst

Agenda






Integritetsfråga: Anslutning till Skolfederationen

§  Kommunen vill ansluta sig till Skolfederationen för single-sign-on till olika e-läromedel

§  Vill begränsa tillgången till attribut per tjänsteleverantör enligt avtal med tjänsteleverantör

Användargrupper Skolfederation.se Intern IdP

Katalog

IDP Liber Online

Kräver inte ålder Lärare Elever

Gleerups Kräver ålder

Learnify Elevregister

Vilka attribut?

Skolfederationens attribut

Basattribut

§  name-id

§  organisation

§  årskurs

Standardattribut

§  persistent id

§  förnamn

§  efternamn

§  visat namn

§  skolhuvudman (orgnummer)

§  skolenhet (SCB-kod)

§  kursgrupper och klass

§  roll

Utökade attribut

§  adress, box, postnummer, postort, land

§  telefon

§  mobil

§  födelsedatum

§  kön

§  personnummer

§  vårdnadshavare

Lösning 1: Minimum attribut och queries

Användargrupper Skolfederation.se Extern IdP

Lärare Elever

Katalog

IDP

§  En minimimängd attribut skickas till tjänsteleverantören, som ber om attribut via en AD/SQL/LDAP/REST query

§  Kräver integrationer mellan tjänsteleverantörer och kataloger

§  Kommunerna borde enas om ett standardgränssnitt

§  Kan kräva personnummer som nyckel till kataloger

Elevregister

Minimum attribut Liber Online

Gleerups

Learnify Query

Lösning 2: SAML-biljett editering

Användargrupper Skolfederation.se Extern IdP

Lärare Elever

Katalog

IDP

§  SAML-biljett editering: kommunen definierar per tjänsteleverantör vilka attribut skickas ut med SAML-biljetten

§  Editeringen av SAML-biljetter kan ske med en del IDP lösningar

§  Kräver ingen integrationer mellan tjänsteleverantörer och kataloger

§  Single-sign-on lider inte, vid behov återvänder sessionen till IdP:n för att hämta nya attribut – utan att användren ens ser det

Elevregister

Olika attribut Liber Online

Gleerups

Learnify

Lösning 2: Exempel på SAML-ticket editering

§  Kommunen ser en lista med tjänsteleverantörer

Lösning 2: Exempel på SAML-ticket editering

§  Kommunen kan editera attributen som går ut till Gleerups

Agenda






Lösning: Skolfederationstjänst i Azure

Skolhuvudman Skolfederation.se Extern IdP

Lärare Elever

AAD

O365

Azure tjänst

Azure tjänst

§  Kommunens lärare och elever med O365 konton får automatiskt tillgång till Skolfederationens tjänster över en Azure tjänst

§  Kommunens O365 admin aktiverar tjänsten i Azure, ingen programvara krävs

§  Tjänsten sköter om konvertering av profiler och attribut samt uppdatering av metadata

§  Kommunen får automatiskt tillgång till federationens nya egenskaper som tillitsnivåer, anvisning, single-log-out, mm.

Liber Online Kräver inte ålder

Gleerups Kräver ålder

Learnify

Demonstratörer: Skolfederation.se tjänst i Azure

§  Anna Admin ansluter Kulskola till Skolfederationen

§  Anslutningen sker automatiskt med Ubisecures Skolfederation.se tjänst

§  Sven loggar in på Liber Online hemifrån för att göra sin matteläxa

§  (hade Sven varit på skolan hade ingen autentisering krävts)

1. Anslutning till Skolfederationen

2. Inloggning på Liber Online

Demo 1: Inbjudan till Anna Admin

§  http://g.microsoftonline.com/0AX00en/172?ClientID=4ede6426-4912-405d-a576-97793113826c (kräver Azure AD admin konto)

§  Inbjudan per e-mail, QR kod eller länk på webben

Demo 1: Aktivering som Anna Admin

§  Anna Admin är kommunens Azure AD admin

§  Hon loggar in på sitt admin konto för Azure

Demo 1: Aktivering som Anna Admin

§  Anna Admin aktiverar Ubisecures tjänst för Skolfederation.se

§  Tjänsten kan läsa användaruppgifter på AAD och kan skicka dem vidare i Skolfederationens format

§  Kan vi ändra på default disclaimern?

Demo 1: Välkomstsida för Anna Admin

§  Anna Admin välkomnas till tjänsten

§  Anna kan använda färdig länkar för att bjuda in elever

§  Anna kan testa att allt fungerar

Demo 1: Verifiering av Anna Admin

§  Anna Admin kan verifiera att tjänsten fungerar på Azure AD

Sänder inbjudan

Klickar länken

Accepterar tjänsten

Tjänsteleverantör Skolhuvudman

1

2

3

1 2 3 och kommunen är med i Skolfderation.se

Demo 1: Sammanfattning

Demo 2: Inloggning på Liber Online

§  Sven ska in på Liber Online och göra sin matteläxa

§  Sven väljer att logga in med sitt O365 konto


§  Sven omdirigeras automatiskt till O365 för inloggning


§  Sven loggar in på O365


§  Sven skickas automatiskt vidare och får tillgång till Liber Online

§  Sven gör sin matteläxa

Väljer inloggning Går på Liber

Loggar in på O365

Tjänsteleverantör Elev

1 2

3

1 2 3 och Sven är inloggad på Liber Online

Demo 2: Sammanfattning

www.ubisecure.com Copyright Ubisecure Solutions, Inc. All rights reserved. www.ubisecure.com © Copyright Ubisecure Solutions, Inc. All rights reserved.

THANK YOU!

Ubisecure Solutions, Inc.

www.ubisecure.com <firstname.lastname>@ubisecure.com

FINLAND: SWEDEN:Tekniikantie 14 WTC, Klarabergsviadukten 70, Box 70396 FIN-02150 Espoo S-10724 Stockholm

tel. +358-9-2517 7250fax +358-9-2517 7070

Registered in Espoo, Finlandreg. nr. FI1748721-4

Ubisecure paves the way for a smoother and safer Internet. Ubisecure software products enable new online business concepts and speed the growth of existing web-based operations by joining separate sites and services into larger trusted areas. The innovative products allow internet users to flexibly and securely move between online services – without encountering repeated login prompts. Ubisecure maintains an extensive network of partners that offer organizations advice, consulting and technical services; and provides high-level training in secure online business through the widely appreciated Ubisecure IAM Academy. Founded in 2002 in Finland, Ubisecure Solutions Inc. is a pioneering provider of standardized identity and access management solutions. For more information, please visit www.ubisecure.com.

Identify and Authorize.Enable secure business.

THANK YOU FOR YOUR INTEREST. PLEASE CONTACT US AT:

UBISECURE SSO UBISECURE SSO Authentication Methods

Mobile OTP

SMSOTP Printout2316 5387

9899 42783320 89876539 84989848 2456

*)

SAML

CallSign

LDAP

*)

Active Directory

SQL

WS-Federation

RFID *)Biometric *)

*)

*)

*)

*)

*)

*) Possible to use. Not readily available as Ubisecure SSO option.

Username+

password

One-Time Passwords

Operator services, SMS-authentication

and others

Certificates, smartcards and tokens

Banks’ ID-services

Federatedand other

UBISECURE SSO

UBISECURE Trust

Ubisecure SSO Out-of-the-box Integration to Your Services

*

*) Examples of existing integrations, not an all inclusive list

The CustomerID external identity lifecycle process

Initial registration: Self-service and/or Delegated entry of basic info

Identity verification against selected Id-provider

Identity enrichment using internal or external attribute services/silos

Identity life-cycle management: Self-service and/or Delegated

1 2 3 … …

UBISECURE CustomerID

… …

SQL Active DirectoryActive DirectoryActive DirectoryActive Directory

WebServices

Case: Federated Access to Insurance Company

PENSION INSURANCE & INVESTMENT

EXTERNAL AUTHENTICATION

SERVICES: PKI AND BANK ID

THE CHALLENGES THE SOLUTION THE BENEFITS

How to improve the customer experience and satisfaction

Facilitate strong user auth. to Microsoft SharePoint based portal

Easier new customer acquisition

Ubisecure SSO to deliver standards based end user

authentication linking to the local user identity providers

Ubisecure Trust to build a federation link to Etera (resale)

partner, Danske Bank

Etera can offer all the relevant authentication methods for end

users

“Switch on” configuration of new authentication methods

Single sign-on from Danske Bank network to Eteral services

Online Services

UBISECURE SSO

Strong authentication for end users

IDENTITY FEDERATION

UBISECURE Trust

New accounts Already customers

Loyalty Portal

Case Retail: The Largest Retail Chain in Finland

RETAIL COMPANY EXTERNAL

AUTHENTICATION SERVICES


User authentication

Security with Ease of use

Identity provisioning and role-based access

Authentication, SSO and Federation w External AuthN

Delegated Identity management

Role-Based Access Control

Centralized deployment of Strong Authentication

alternatives

Low threshold to use secure services

New business concepts multiplying inflow of users

MU

LTIP

LE C

ORP

ORA

TE

PORT

ALS

AN

D S

ERV

ICES

Intranet Portal

Extranet Portal

UBISECURE SSO

CORPORATE IDP

Thousands of external identities Millions of end-users (customers)

Case Energy: Major Municipal Energy Company in Finland

ENERGY COMPANY EXTERNAL



User authentication



Authentication and SSO w External AuthN

Automated Identity provisioning

Role-Based Access Control

Easy self-registration and self-management

Efficient deployment of Strong Authentication

alternatives


MU

LTIP

LE C

ORP

ORA

TE

PORT

ALS

AN

D S

ERV

ICES

Sub- contractor’s

Intranet Portal

Extranet Portal

UBISECURE SSO

CORPORATE IDP

Thousands of external identities 100 000 end-users (customers)


Case Insurance: Leading Insurance Company in Finland

INSURANCE COMPANY EXTERNAL



User authentication



Corporate Authentication and Federation w External AuthN

Automated Identity provisioning

Delegated and automated Identity provisioning

Fast deployment of Strong Authentication

alternatives


New business concepts multiplying inflow of users

MU

LTIP

LE C

ORP

ORA

TE

PORT

ALS

AN

D S

ERV

ICES

Main Customer

Portal

Extranet Portal

Thousands of external identities A million end-users (customers)

UBISECURE SSO

CORPORATE IDP


Go-to-Market Strategy

Medium to large Enterprises and Government Organizations

UBISECURE Technology & Content

Partners IAM Academy

Partner Program Sales & Value Add Partners

The Offering Business

focused IAM

Competitive Landscape

IT and security focused IAM

Focused on Customer

and partner IAM

Focused on internal users

identities

UBISECURE

tekniska möjligheter att förenhetliga inloggning …...2013/10/31 · lösning:...

Documents