Arbejdsgruppemøde 2 - sikkerhed...Demo System Test mod demo-system Test mod demo-system Title Arbejdsgruppemøde 2 - sikkerhed Author Lise Steensgaard Created Date 1/10/2017 4:10:53

IDENTITY PROVIDERKlar til produktion

Baggrund

• De 98 kommuner i Danmark har nu etableret en lokal Identity

Provider, og aftestet installation mod Støttesystemernes test-

miljø.

• I forbindelse med at BBR går live, skal alle kommunerne

tilslutte deres Identity Provider til Støttesystemernes

produktionsmiljø.

• KOMBIT migrerer tilslutningerne fra testmiljøet, så opgaven

med at tilslutte sig produktionsmiljøet blot er en lokal

konfigurationsopgave i de enkelte kommuners Identity

Providere

OBS!!

• Hvis en kommune har valgt at tilslutte en test-Identity

Provider til Støttesystemernes test-miljø, og de ikke ønsker at

genbruge denne tilslutning i Produktion, så skal dette meldes

til KOMBIT.

• Kommunen melder dette i en mail til [email protected] inden

d. 16. januar

• For de kommuner der ønsker at tilslutte en ny Identity

Provider til produktion, skal de gennemføre den samme

tilslutning i produktion som blev gennemført i test-miljøet

MIGRERINGS-SCNEARIET

LOKALE TILPASNINGER

KOMBIT flytter tilslutningen

KOMBIT bestiller en flytning af den eksisterende tilslutning hos

KMD, og klarmelder når tilslutningen er foretaget i produktion.

Herefter skal kommunen tilpasse opsætningen i deres lokale

Identity Provider.

Lokale tilpasninger

Da kommunen tilsluttede sig til test-miljøet, blev støttesystemerne

opsat som en Service Provider (også kaldet Relying Party).

Denne opsætning i kommunens Identity Provider skal gennemføres én

gang til, denne gang for støttesystemernes produktionsmiljø.

Metadata til produktionsmiljøet kan hentes her

https://adgangsstyring.stoettesystemerne.dk/runtime/saml2auth/metadata.idp

Typisk er registrering af metadata en del af oprettelses-processen når

man opretter en ny Service Provider i sit Identity Provider produkt,

nogle produkt-specifikke screenshots vises på næste slides.

Registrering af metadata i Identity Provider(Safewhere Identify)

Registrering af metadata i kommunal Identity Provider (Safewhere Identify)

Registrering af metadata i Identity Provider(AD FS 3.0)

Registrering af metadata i kommunal Identity Provider(AD FS 3.0)

Registrering af metadata i Identity Provider(OpenAM)

Registrering af metadata i Identity Provider(OpenAM)

NY TILSLUTNING

KOMMUNER DER IKKE ØNSKER AT GENBRUGE

TILSLUTNINGEN FRA TEST-MILJØET

Registring af ny Identity Provider i produktion

For kommuner der ikke ønsker at genbruge deres eksisterende

tilslutning fra test-miljøet, skal der bestilles en ny tilslutning.

Dette kræver at metadata udtrækkes fra den nye Identity

Provider, og sendes til KMD, der behandler bestillingen.

Til formålet skal den samme word-blanket anvendes, som blev

udfyldt ved bestillingen i test-miljøet.

Den samme lokale konfiguration som er nævnt tidligere, skal

også udføres ved ny-tilslutning.

Udtræk metadata fra Identity Provider

Metadata fra kommunens egen IdP kan downloades fra den

server hvor IdP’en er installeret

Safewhere Identify

https://<server>/runtime/saml2/metadata.idp

AD FS

https://<server>/FederationMetadata/2007-06/FederationMetadata.xml

OpenAM

https://<server>/openam/saml2/jsp/exportmetadata.jsp?entityid=<??>

Udtræk metadata fra Identity Provider

Word blanketten udfyldes

Sådan er proceduren….

1. Download blanketI skal udfylde en anmodning om føderationsaftale til det eksterne testmiljø

– hent den på http://www.kombit.dk/sts-implementering

2. Udfyld blanket

3. Send blanketten til KOMBIT- Send den til [email protected]

4. Tilslutningen gennemføres- KOMBIT orienterer jer om at aftalen er oprettet

AFPRØVNING I PRODUKTION

Test mod demo-system

I produktionsmiljøet stiller KOMBIT et demo system til rådighed,

hvor man kan foretage et login.

Systemet har ingen anden funktionalitet end login.

Efter succesfuld login, vises et skærmbillede der viser det token

som demo systemet har modtaget.

Demo System

https://demo-brugervendtsystem.kombit.dk/prod

Test mod demo-system

Test mod demo-system