Sikkerhed i skyen
Flere og flere af kommunens applikationer er placeret eksternt - i ”skyen”. For at opnå sammenhængende, effektive og sikre processer er der behov for et tværgående sikkerhedsmæssigt fundament, der kan sammenbinde interne og eksterne applikationer.
Fundamentet må ikke fordyre projekterne unødigt, så kravene til leverandører af applikationer og integrationer skal være simple, standardiserede og billige at leve op til. Samtidig skal der være overensstemmelse med best practice, kommunens it-arkitekturprincipper og nationale anbefalinger.
FIOL
FIOL (Fødereret Identitets- og OrganisationsLøsning) er et konkret bud på at realisere dette. Målet med
FIOL har været at implementere en model for
1. Sikker og effektiv
adgangsstyring af eksterne applikationer, med SSO imellem dem, herunder håndtering af
autentifikation (for AD og ikke-AD brugere),
autorisation (roller, attributter) og
organisation (APOS).
2. Klare og simple krav til leverandører af applikationer, der skal indgå i føderationen.
3. Applikationers og brugeres adgang til interne systemer.
4. Administration af adgangsroller på den lettest mulige måde, evt. dynamisk udledt af FORM og organisatorisk placering.
5. Tiltag til forøgelse af sikkerhedsniveauet, hvor dette er påkrævet.
Status
1. del af FIOL gik i drift ultimo marts 2011 som infrastrukturkomponent til Odense Kommunes eksternt hostede Medarbejderportal. FIOL implementeres i flere faser. 1. fase er autentifikation af både AD-brugere og ikke-AD brugere (med NemID og NemLogin) til kommunens Medarbejderportal og videre herfra til andre tilknyttede løsninger - uden nyt login.
Perspektiver
FIOL er en grundlæggende basis-infrastruktur, som rummer mange perspektiver på kort og lang sigt, f.eks.:
- Mulighed for ekstern adgang for AD-brugere: AD-brugere vil – hvor dette er ønskeligt og konfigureret i DNS m.v. – få mulighed for at logge på systemer i Odense Kommune udelukkende ved brug af deres AD-brugernavn og adgangskode, eller, hvor dette er ønskeligt, ved brug af endnu en sikkerhedsfaktor, f.eks. sms.
- Privacy: Behovet for beskyttelse af it-brugeres privatliv bliver mere og mere presserende. FIOL vil kunne understøtte løsninger, hvor kun de i konteksten relevante dele af brugerens identitet røbes for Service Provideren. Der pågår afklaringer i ITST inden for dette felt, og Odense Kommune vil følge udviklingen tæt og drage nytte af erfaringerne.
- Integration til andre føderations- og logintjenester, f.eks. WAYF med henblik på at opnå forretningsmæssige fordele.
Mulighed for konsolidering af eksisterende proxyløsninger til adgangsstyring.
- Rollebaseret adgangsstyring – RBAC – med forretningsorienterede, ikke tekniske, roller er et længe næret ønske. Kombinationen af FORM og APOS (”vi ved hvad du laver, og vi ved hvem din chef er”) giver et fundament, hvoraf forretningsorienterede rolle kan afledes vha. permanente generelle regler. Disse roller vil kunne videresendes i den SAML-token, der udstedes til applikationen.
- Konsolidering eller sammenkobling med eksisterende access management- eller provisionerings-komponenter.
- Brugerstyring på borgersiden: Det vil være muligt at håndtere (grupper af) borgeres adgang på forskellig vis, uden større behov for manuel brugeradministration.
For yderligere information om FIOL: Kontakt it-arkitekt
Lars Nico Høgfeldt eller it-arkitekt
Peter Hauge Jensen.
