Helhetlig og sentralisert tilgangskontroll Den norske Dataforening 25. oktober 2011 Robert Knudsen, Sikkerhetsarkitekt Arbeids- og velferdsdirektoratet NAV
NÅ-situasjon Hent Saksbehandling Brukere Tilgangskontroll Hent Arkiv/Journal Økonomi Hent IdM Bruker- NAV, 26.10.2011 Side 2
NÅ-situasjon Hent Saksbehandling Brukere Tilgangskontroll Hent Arkiv/Journal Hent Økonomi Tjenesteorientert arkitektur IdM Bruker- Partner e NAV, 26.10.2011 Side 3
Målbilde? Hent Saksbehandling Brukere Tilgangskontroll Hent Arkiv/Journal Hent Økonomi Tjenesteorientert arkitektur IdM Bruker- Partner e NAV, 26.10.2011 Side 4
Målbilde (forts.)? Hent Saksbehandling Brukere Tilgangskontroll Hent Arkiv/Journal Hent Økonomi Tjenesteorientert arkitektur IdM Bruker- Partner e NAV, 26.10.2011 Side 5
Helhetlig og sentralisert tilgangskontroll Eksisterende IAM løsninger tilbyr Ofte mer statiske tilgangskontroll konfigurasjoner Grovgranulerte tilgangskontroll konfigurasjoner. Dagens og fremtidens forretningsprosesser krever Mer dynamiske og fingranulerte stjenester Felles og sentralisert for løsningene Det er et behov for Mer fleksibilitet Støtte for hyppige endringer Kostnadseffektive sløsninger ved forvaltning av applikasjoner/løsninger? NAV, 26.10.2011 Side 6
Helhetlig og sentralisert tilgangskontroll Det er behov for mer fremtidsrettede sløsninger. Økt integrasjon mellom løsningene Økt behov for selvbetjening Økt samhandling med eksterne partnere. Økt samhandling med tjenester i Skyen? Hva er utfordringene med å konsolidere eksisterende innebygde tilgangskontrollfunksjonalitet i løsningene? Hvilke utfordringer gir fremtidens økte behov for samhandling på sområdet? Kan vi kombinere tradisjonell IAM med mer dynamisk og fingranulert felles tilgangskontroll? Hva er utfordringene knyttet til implementasjon av felles og gjenbrukbare stjenester på tvers av løsninger? Er en felles policybasert modell for håndhevelse av fingranulert tilgangskontroll løsningen? NAV, 26.10.2011 Side 7
Prinsipp for tilgangskontroll (policy-basert modell) Tilgangsinformasjon Meta Roller Org. info Kataloger Brukerinformasjon Policy Forvaltning (regler) Policy beslutning Tjeneste katalog Tjenester (Innh. filtrering) Tilgangskontroll Applikasjon Rolle- og Identitets forvaltning Autentisering Autorisering Føderering (Idporten) NAV, 26.10.2011 Side 8
Referansearkitektur tilgangskontroll 1. Sluttbruker forespør en tjeneste. 2. Tilgangskontrollen sjekker om sluttbruker har tilgang til tjenesten, i hovedsak om sluttbrukeren har rett virksomhetsrolle. 3. Tjenesten henter opp informasjonen som blir forespurt. 4. Tilgangskontrollen sjekker om sluttbruker har tilgang til informasjonen som er hentet fram. sluttbrukeren ikke har tilgang til, filtreres bort. Andre policyer kan også sjekkes her, for eksempel vil policy for tjenestedeling sjekke at saksbehandler og beslutter ikke er samme person 5. Eventuelle forpliktelser som kreves for tilgang til informasjonen gjennomføres, for eksempel at lesing av sensitiv informasjon skal logges. 6. Bruker får tilgang til den informasjonen han har tilgangsrettigheter til. NAV, 26.10.2011 Side 9
Spørsmål? NAV, 26.10.2011 Side 10
Helhetlig og sentralisert tilgangskontroll Status og krav Rollehåndtering og -modellering (Role Management) Identhåndtering og forsyning (Ident Management) Tilgangskontroll (Access Management) Autentisering Føderering autorisering Felles håndtering av: Sertifikater og validering av signaturer (PKI) kryptering og dekryptering Signering (meld., dok., info) Føderering Felles Kontroll på flyt av informasjon Etterlevelse av (Compliance) Audit/Logging og rappoertering Sporing Regulativer og lover (POL, Sarbanes-Oxley, ) Sikkerhetsovervåkning NAV, 26.10.2011 Side 11