Autentisering av ansatte Øivind Grinde, Difi Norstella eid fagutvalg 20.3.2014
Strategi for ID-porten Mandat Levere en strategi med besluttbare tiltak og løsningsalternativer på identifiserte områder. Prosjektets tidsperiode Startet 21. november 2013 og løper til sommeren 2014 Ressurser Tre interne og tre eksterne på til sammen 320% stilling. 04.02.14
Mål Virksomheter som benytter IDporten kan planlegge sitt arbeid opp mot ID-portens utviklingsplan. Difis forvaltning av ID-porten profesjonaliseres og beslutninger rundt videreutvikling av ID-porten gjennomføres i tråd med den kommuniserte visjon og strategi. ID-porten fungerer i sammenheng med øvrige nasjonale felleskomponenter. JMfoto.no
BAKGRUNN OG BEHOV
Begreper Ansatte: En fysisk person som representerer en virksomhet. Ansatt som definert i arbeidsmiljøloven etc. og registrert i AAregisteret Frilanser, styremedlem, konsulent, vikar, student, hospitant, regnskapsfører, osv. Arbeidsgiver: En virksomhet som representeres av en fysisk person ved tilgang til en tjeneste. Tjenesteeier: En virksomhet som tilbyr en tjeneste for ansatte.
Begreper Identifisering Autentisering Autorisering
Det store bildet Autentisering Roller Fullmakter Autorisasjon Tilgang ID-porten Informasjon virksomheten besitter som tjenesteeier må ha for å gi riktig tilgang Tjenesteeier
Autentisering av ansatte Autentisering av ansatte er autentisering der tjenesten har behov for både å kjenne identiteten til personen som autentiserer seg, og arbeidsgiveren hun representerer. Autentisering av ansatte dekker ikke området roller og autorisasjoner, altså hvilken rolle personen har i virksomheten, og hva personen har tillatelse til å gjøre i tjenesten.
Avgrensninger for dette møtet Internasjonale aspekter holdt utenom nå e-id Utenlandske virksomheter (juridiske personer) Fysiske personer uten norsk fødselsnummer/d-nummer Eget temamøte for autentisering av utenlandske personer. ID-porten leverer ikke e-id, men forholder seg til de som eksisterer.
Autentisering av ansatte DAGENS SITUASJON
Behov hos tjenesteeier Tilgangskontroll Basert på arbeidsgiver/fullmakt/rolle i virksomheten Basert på person Oppslag i eksterne registre Kontroll på brukerutstyret. For eksempel kan det være policy om et sikkerhetsnivå på ITutstyret som ikke kan tilfredsstilles av hjemmemaskiner. Unngå forvekslingsfare Sporbarhet Iretteføringsmulighet ved misbruk Sporbarhet på individnivå Tilstrekkelig at arbeidsgiver har det / eller tjenesteeier ha det selv? Innsyn på tvers av systemer Tjenestekvalitet Tilpasse tjenesten til personen som autentiserer seg, som for eksempel for å fortsette dialogen der den ble avbrutt. Flere ansatte må samarbeide på tjenesten Tilstrekkelig sikkerhet
Behov hos arbeidsgiver Enkelt å ta i bruk tjenester for ansatte Enkelt å vedlikeholde roller og autorisasjoner Delegering/fullmakt både for administratorer og brukere Eks. en tjeneste i Altinn, som rolleregister og autorisasjonsregister. Enkel pålogging Eks. integrere lokal autentisering med tjenestens autentisering Hindre at jobbrelatert informasjon eksponeres utenom virksomheten Mangelfull kontroll på e-id Bruk av hjemme-pc
Behov hos den ansatte Unngå risiko for at privat informasjon eksponeres ved bruk av tjenester for ansatte Glemt utlogging Ondsinnet kode Tjeneste med blandet informasjon Brukervennlighet Lett å forstå risiko ved bruk av løsningene Slippe gjentatt autentisering på ofte brukte tjenester Tjenester som brukes i sammenheng Føderering av lokal innlogging (f.eks. unødvendig med DFØ-pålogging når en allerede er logget på arbeidsplassens maskin)
Dagens løsninger Tjenesteeierne løser dette på ulike måter i dag Folkeregistret: Store offentlige virksomheter har egne kopier av Folkeregisteret som benyttes av virksomhetens ansatte (SSB, Politiet ) Infotorg-tjenesten hos EVRY. Brukernavn og passord tilgjengelig fra hvor som helst. EVRY har ansvar for brukeradministrasjon Altinn: Virksomhetssertifikatet knyttes til en virksomhetsbruker. Virksomhetsbrukeren opprettes av en fysisk person med rettigheter til å representere virksomheten. Ansatte må forholde seg til flere ulike løsninger
Knytning mellom fysisk person og virksomhet Knytning mellom fysisk person og virksomhet eksisterer i følgende registre: Ansattelister hos den enkelte virksomhet (lønnssystem, adgangskontrollsystem, active directory og andre) Arbeidsgiver- og arbeidstakerregisteret Altinn Enhetsregisteret Statens tjenestemannsregister DFØ Andre knytninger: Ansattsertifikater E-postadresse
Ulike e-id-er Personlige e-id-er Buypass, BankID, Commfides MinID Ansatt e-id e-id for virksomheter Virksomhetssertifikater Smartkort eller fil Personlig disponert virksomhetssertifikat Ikke personlig Andre/bransje e-id-er
Identifisering Personopplysningsloven 12 «Fødselsnummer og andre entydige identifikasjonsmidler kan bare nyttes i behandlingen når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.» Ofte prinsipielle standpunkter Vanskelig å få grep om den bakenforliggende risiko ved bruk av entydig identifisering i jobbsammenheng. Erfaringer fra andre land Sverige, Tyskland, Storbritannia og Nederland
Autentisering av ansatte ID-PORTENS ROLLE
Autentisering av ansatte RELASJON MELLOM FYSISK PERSON OG VIRKSOMHET
A) Ansattforhold fra e-id ID-porten leser ansattforhold i e-id-en, og leverer dette videre til tjenesten. Fordeler: Ingen eksterne registre nødvendig Eksisterende infrastruktur Ulemper: Lav utbredelse av e-id i dag Krever egen e-id per ansattforhold Unødvendig resurskrevende for små bedrifter som rapporterer noen få gang i året. Vanskelig for virksomheter med hyppige endringer (eks. organisasjonslivet) Håndtering av ulike måter å fordele oppgaver i en virksomhet, for eksempel ved bruk av vikarer og konsulenter.
B) Oppslag fra tjenesteeier En fysisk person autentiserer seg overfor tjenesten. Tjenesten gjør oppslag i registre for å skaffe nødvendig informasjon om personens ansattforhold. Fordeler: Oppslagstjenesten kan brukes utenom autentiseringen. Oppslagstjenesten kan videreutvikles uavhengig av ID-porten. Informasjon fra oppslagstjenesten er ikke innom tredjepart. Ulemper: Ekstra integrasjon for hver tjenesteeier. Vanskelig å skjule personens fødselsnummer.
C) Oppslag fra ID-porten En fysisk person autentiserer seg overfor tjenesten. IDporten gjør nødvendige oppslag i autoritative registre Fordeler: Enkelt for tjenesten Noe eller all informasjon om den fysiske personen kan tas vekk Ulemper: Større kompleksitet med flere avhengigheter for ID-porten Informasjon fra oppslagstjenesten blir tilgjengelig for ID-porten. Ingen autoritative registre for dette formålet finnes i dag.
D) Virksomheten autentiseres og identifiserer den ansatte Ser det ikke som naturlig at ID-porten har en rolle. Kommer tilbake til denne under autentisering av virksomheter.
Autentisering av ansatte SEPARASJON MELLOM PRIVATSFÆRE OG JOBB- SFÆRE I ID-PORTEN
Forutsetninger Tjenester må klassifiseres som tjenester for ansatte eller innbyggere (eller begge?)
A) Ikke single sign-on Tjenester for ansatte benytter ikke single sign-on, hverken når en person kommer fra en annen tjeneste, eller går videre til en annen tjeneste. Fordeler (ved deling/misbruk av e-id): En kollega kan ikke gå fra en tjeneste for ansatte til en tjeneste for private, uten ny autentisering. En samboer kan ikke gå fra en tjeneste for private til en tjeneste for ansatte, uten ny autentisering. Ulemper: Mange autentiseringer på grunn av manglende single sign-on. Kan ikke skille jobb og privatliv ved å legge igjen e-id-er på jobb/hjemme. Hindrer ikke misbruk av e-id (e.g. ved deling av e-id)
B) Skille på e-id Tjenester for ansatte kan kun benyttes med e-id for ansatte, og tjenester for private kan ikke benyttes med e-id for ansatte. Fordeler: Tjenester for private kan gjøres helt utilgjengelig på jobb ved ikke å ta med egenanskaffede e-id-er på jobb. Tjenester for ansatte kan gjøres helt utilgjengelig hjemmefra ved ikke å ta med ansatt e-id hjem. Ulemper: Innbygger/ansatt må forholde seg til flere e-id-er. Kostnad ved ekstra e-id.
C) Tillitssirkler for single sign-on ID-porten støtter noen gitte områder der single sign-on kun kan benyttes for tjenestene innenfor området. For eksempel kan følgende områder være aktuelle: Tjenester for ansatte Tjenester helsesektoren tilbyr innbyggere Tjenester for innbyggere utenom helse ID-porten kommer i en "fargedrakt" per område, slik at brukeren kan se hvilke type tjenester hun logger seg på. Tjenester som tilbys både for ansatte og private (f.eks. Altinn) må selv tilpasse sine systemer til å respektere at autentiseringen ikke gjelder for hele bredden av tjenesten.
C) Tillitssirkler for single sign-on Fordeler: Single sign-on innenfor området. Generisk løsning som kan gjenbrukes for flere sektorer. En kollega kan ikke gå fra en tjeneste for ansatte til en tjeneste for private, uten ny autentisering. En samboer kan ikke gå fra en tjeneste for private til en tjeneste for ansatte, uten ny autentisering. Ulemper: Kan ikke skille jobb og privatliv ved å legge igjen e-id-er på jobb/hjemme. Hindrer ikke misbruk av e-id (e.g. ved deling av e-id)