välkomna till introduktionskurs i sambi · 9. att kravställa federativ förmåga i varje tjänst....
TRANSCRIPT
![Page 1: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/1.jpg)
Välkomna till introduktionskurs i Sambi
![Page 2: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/2.jpg)
Vad är IIS?
Internetstiftelsen i Sverige
https://www.youtube.com/watch?v=PfNaUgrf4_Q
![Page 3: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/3.jpg)
IIS är federationsoperatör
![Page 4: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/4.jpg)
Sambis styrgrupp
Från vänster: Petter Könberg, Inera, Danny Aerts, IIS (styrgruppsordförande), Carina Landberg, KSL/SLL. Saknas på bilden: Kristina Fridensköld, eHälsomyndigheten och Stephen Dorch, eHälsomyndigheten.
![Page 5: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/5.jpg)
Dagens agenda09.00 Varför Sambi?
10.00 Fika
10.15 Vad är Sambi och hur fungerar Sambi?
12.00 Lunch
12.45 Teknik, SSO, SAML, Metadata
14.15 Fika
14.30 Status, pågående arbeten, komma igång, sammanfattning, examensprov! J
16.00 SLUT
![Page 6: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/6.jpg)
Kort presentation av deltagarna
Vilka är ni och varför ni är intresserade av Sambi?Vad förväntar ni er av kursen?
![Page 7: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/7.jpg)
Varför Sambi?
![Page 8: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/8.jpg)
2007 Swamid - Den tekniska förebilden
2011 SIS/TK450 - Skolfederation
2012 De 16 principerna för samverkanIT-forum, Kommunförbundet Stockholms län (KSL)
2012 Förstudie Sambi, för sektorn vård, omsorg och e-hälsaEtt samarbete mellan eHälsomyndigheten, Inera och IIS – Värd att läsa!
Bakgrund & Historia
![Page 9: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/9.jpg)
Informationssäkerhet1. att ha en antagen informationssäkerhetspolicy, eller motsvarande, med tillhörande styrande dokument
2. att ha minst en utsedd person som leder och samordnar informationssäkerhetsarbetet
3. att tillämpa en likvärdig metod och jämförbara nivåer för informationsklassning
4. att utifrån återkommande riskanalyser och inträffade incidenter vidta nödvändiga åtgärder för att upprätthålla rätt skyddsnivåer
Tillit5. att tillämpa gemensamma tillitsramverk för att skapa tillit över huvudmannagränser
6. att koppla informationstillgångar till relevanta tillitsnivåer
De 16 principerna för samverkan (KSL)
![Page 10: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/10.jpg)
Federering7. att ha förmågan att utfärda och/eller konsumera
elektroniska identitets- och behörighetsintyg.
8. att säkerställa att alla delar i det elektroniska
identitets- och behörighetsintyget följer aktuella
tillitsramverk.
9. att kravställa federativ förmåga i varje tjänst.
10. att tillämpa gemensamma respektive
sektorsrelaterade attribut som används i samverkan.
Signering
11. att medverka till teknik- och leverantörsneutrala
lösningar för elektroniska underskrifter.
Grundläggande infrastruktur12. att tillse att all gränsöverskridande
kommunikation kan ske över internet.
13. att verka för att kommunikation över
öppen infrastruktur signeras och krypteras.
14. att säkerställa robusthet i för samverkan
vitala infrastrukturkomponenter.
15. att den egna källan för tid är spårbar till
den svenska nationella tidsskalan.
16. att kravställning bör bygga på nationellt
framtagna informationsstrukturer.
De 16 principerna för samverkan, forts.
-Är reviderat!
![Page 11: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/11.jpg)
• Utgå ifrån invånarnas behov• Upprätthåll rätt nivå på
informationssäkerhet och integritet• Delegerat mandat och ansvar• Låt behov och nytta vara styrande• Säkerställ ledning och styrning av
informationssäkerhetsarbetet• Aktivt arbeta med federation och
tillit
Principer för digital samverkan, i Sthlms län
• Tillämpa gemensamma begrepp och informationsstrukturer• Tillgängliggör information
som öppna data• Hämta information vid källan• Använd standarder• Säkerställ digitala tjänsters
tillgänglighet
![Page 12: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/12.jpg)
• Syfte
Principerna för digital samverkan syftar till att få regional samsyn kring digital samverkan, uttrycka vilka som är prioriterade principer i Stockholms län och även att underlätta utbyte av information mellan aktörerna vilket skapar förutsättningar att både förenkla och effektivisera för både invånare och verksamhet.
Principer för digital samverkan, i Sthlms län
• Målgrupp
Principerna har indelats i grund- och arkitekturprinciper för digital samverkan. Grundprinciperna vänder sig till högre tjänstemän/chefer och arkitekturprinciperna vänder sig till IT-beslutsfattare i kommuner eller landstinget. De områden som är mest prioriterade för digital samverkan i Stockholms län är informationsdelning, federation och tillit. Våra arkitekturprinciper har därför extra tyngdvikt på dessa områden.
![Page 13: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/13.jpg)
Förstudie Sambi, för sektorn vård, omsorg och e-hälsa• Ett samarbete mellan eHälsomyndigheten, CeHis, Inera och IIS.
Rapporten kom 2012-06-15
• Uppdraget var att ta fram en tjänstebeskrivning avseende en identitets- och behörighetsfederation för vård och omsorg
• Visionen: Federationen skall fungera som en nationell mötesplats för säkra e-tjänster genom att vara det infrastrukturella navet som sammanlänkar e-tjänster och användarorganisationer i en lösning som bygger på tillit och skydd för den personliga integriteten
• Rapporten blev en kravställning och underlag till projektdirektiv för hur Sambi skulle byggas upp
![Page 14: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/14.jpg)
Ref: CeHis Handlingsplan 2013 - 2018
Mål som Sambi kan stötta
90% av medarbetarna kan år 2016 nå sina professionella verksamhetssystem med en samordnad, enkel och säker inloggning (single-sign-on)
?
![Page 15: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/15.jpg)
Mål för Sambi
• Tillhandahålla en infrastrukturlösning för säker åtkomst av e-tjänster för
hela sektorn eHälsa.
• Vara det självklara valet för organisationer som vill uppnå en optimerad nivå på
hanteringen av identiteter och behörigheter samt skyddet av den personliga
integriteten i sina verksamheter.
• Underlätta för informationsägare att fullgöra de skyldigheter som bland annat
följer av personuppgiftsansvaret.
Ur förstudierapporten ”Identitets- och behörighetsfederation för eHälsa”
![Page 16: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/16.jpg)
Mål för Sambi, forts.
• Vara ett självklart alternativ till att utforma separata lösningar för hanteringen av identiteter och behörigheter, separat för varje enskilt system, i varje enskild organisation.
• Tillhandahålla en gemensam och tydlig infrastruktur, baserad på standard, som erbjuder marknaden en tydlig bas för tillhandahållande av effektiva e-tjänster.
• Fungera som ett forum som verkar för medlemmarnas gemensamma intressen, verkar för samverkan, kunskapsutveckling, erfarenhetsutbyte och där spridning av goda exempel möjliggörs.
Ur förstudierapporten ” Identitets- och behörighetsfederation för eHälsa”
![Page 17: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/17.jpg)
TJÄNSTELEVERANTÖR• Underlätta för informationsägare att
fullgöra sina skyldigheter som bland annat följer av personuppgiftsansvaret
• Slippa administration av användare• Enklare integration av vårdgivare
ANVÄNDARE• SSO, en inloggning till alla tjänster
ANVÄNDARORGANISATION• Valfrihet att välja sin egen lösning• Enklare tjänsteintegration• Enhetlig administration av användare
SEKTORN• Ökad säkerhet• Stimulera utveckling
![Page 18: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/18.jpg)
Kommuner
Landsting
Privata vårdgivare
Myndigheter
Apoteksaktörer
Tandläkare
Regionförbund
Privata omsorgsgivare
Veterinärer
Invånare
Informations-infrastruktur
. . .
Målgrupper för Sambi enligt förstudierapporten
![Page 19: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/19.jpg)
Tänkbara medlemmar?
• 4 departement, 20 statliga myndigheter och
20 forskningsinstitutioner
• 21 landsting
• 291 kommuner
• 1 284 apoteksaktörer
• 1 933 tandläkarmottagningar
![Page 20: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/20.jpg)
Tänkbara medlemmar?
• 15 000 privata vård- och omsorgsgivare
• 1000-tals offentliga vård- och omsorgsgivare
• 1 185 företag med veterinärverksamhet
• Leverantörer, färdtjänst, varor, journalsystem, läkemedel, etc.
• Patienter, exempel: diabetes appar för barn
![Page 21: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/21.jpg)
Sambi = underlätta realisering av SSOHösten/vintern 2015 genomförde Inera en SSO-förstudie på uppdrag av SLIT
Landstingsrepresentanter utsedda av SLIT• Region Skåne, VG region, Östergötland, Västmanland, Örebro, Uppsala,
SLL, Region Gotland, Gävleborg, Jämtland-Härjedalen, Dalarna.
• Inom Strategi, Arkitektur, Klient, Katalog, Identitet och åtkomsthantering,
SSO-projekt, SITHS, och så vidare.
• Enkäter, intervjuer/diskussioner, insamling material.
![Page 22: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/22.jpg)
Underlätta realisering av SSO, forts.
• Avstämningar och möten
• Delrapport (nulägesanalys och inriktning) och en Slutrapport
Presentationer av rapporten i olika forum (SLIT, olika
program/projekt, etcetera).
![Page 23: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/23.jpg)
SSO-rapporten
Innehåll i rapporten• Orienterande beskrivning av området Identitets-och
åtkomsthantering (IAM)• Nuläget i regioner och landsting och pågående initiativ• Problemställningar och hinder• Strategiska vägval• Beslutsunderlag med styrande principer och
åtgärdsförslag
![Page 24: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/24.jpg)
Applikationer som saknar stöd (ingen SSO)
Enkelriktade uthoppslösningar
AD-integrerad inloggning
Direkt kortinloggning i applikationen
Klientbaserad SSO-agent, Enterprise SSO
Klientbaserad applikationsportal - ”Navigator”
Biljettbaserad standardiserad SSO (med
federationsstöd)
funktionalitetAn
tala
nslu
tna
appl
ikat
ione
r
Nuläge SSO
90 % har SSO år 2016?
![Page 25: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/25.jpg)
Övningsuppgift3-3 * 6 + 2 =
Eller?-13
![Page 26: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/26.jpg)
Fika10.00 – 10.15
![Page 27: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/27.jpg)
Vad är Sambi?
![Page 28: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/28.jpg)
Vad är en federation?
Federation kommer från det latinska ordet för fördrag, fœdus, som in sin tur kommer från latinets fidere, att lita på, och betyder heller inte mycket mer än så; ett fördrag mellan parter som litar på varandra.
Vilka som sluter fördraget, vad det går ut på, hur omfattande det är, vad som ska avgöras gemensamt och vad som ska avgöras av parterna var för sig, det vill säga vad slags stat som krävs, varierar från federation till federation.
/Göran Rosenberg
![Page 29: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/29.jpg)
Vad är en identitetsfederation?
En identitetsfederation är en sammanslutning av organisationer som har kommit överens om att lita på varandras elektroniska identiteter och behörighetsstyrande attribut för att underlätta användarnas åtkomst till elektroniska tjänster och skydda den personliga integriteten.
Sambifederationen blir vad federationens medlemmar vill att Sambi ska bli!
![Page 30: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/30.jpg)
I denna kontext:
Den hantering som krävs för att en användare ska få erforderlig behörighet till ett IT-system
IT-system
Vad är identitetshantering?
DB
![Page 31: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/31.jpg)
• Ett vanligt scenario för en användare är behov
av åtkomst till flera IT-system
• I varje enskilt system administreras användaren
och användarens behörighet separat
Hur sker vanlig identitetshantering?
Journalsystem
Labsystem
Röntgensys
Adm.system DB
DB
DB
DB
![Page 32: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/32.jpg)
Undvik olika typer av integrationer
Användar-Organisation C
Tjänsteleverantör Be-tjänst
IdP
IdP
IdP
SP
SP
SP
Detta problem vill Sambi adressera
Tjänsteleverantör Ae-tjänst
Tjänsteleverantör Ce-tjänst
Användar-Organisation B
Användar-Organisation A
![Page 33: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/33.jpg)
TJÄNSTELEVERANTÖRERANVÄNDARORGANISATIONER
FEDERATION
Gemensam regler,
standard och infrastruktur
En standard för integrationen
![Page 34: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/34.jpg)
Användarorganisation
E-TJÄNSTSP
IdPSITHSE-LEGID
Inloggning
INTYG
Användar-uppgifter
Användaradministration och kontohantering hos användarorganisationen
IdP - Identity Provider
SP - Service Provider
Det handlar om säkerställda identiteter och attribut
![Page 35: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/35.jpg)
ANVÄNDARORGANISATION TJÄNSTELEVERANTÖR
E-TJÄNST
INTYGSUTGIVARE
Intyget ska innehålla uppgifter för att E-tjänsten ska kunna fatta beslut om åtkomst
INTYGpseudonym
+ attribut
SAML 2.0 är den tekniska standarden
![Page 36: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/36.jpg)
ANVÄNDARORGANISATION TJÄNSTELEVERANTÖR
E-TJÄNST
ATTRIBUTS-REGISTER
INTYGSUTGIVARE
INTYGpseudonym
+ attribut
Distribuerat ansvar
Varje Användarorganisation ansvarar för att dess kataloguppgifter är korrekta
![Page 37: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/37.jpg)
ANVÄNDARORGANISATION TJÄNSTELEVERANTÖR
E-TJÄNST
ATTRIBUTS-REGISTER
-SITHS-e-LEG-BankID
INTYGSUTGIVARE
INTYGpseudonym
+ attribut
Distribuerat ansvar
Varje användarorganisation ansvarar för sin e-Legitimationslösning och användarhantering
Inloggnings-metoden
valfri
![Page 38: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/38.jpg)
ANVÄNDARORGANISATION TJÄNSTELEVERANTÖR
E-TJÄNST
ATTRIBUTS-REGISTER
SITHSE-LEGID
INTYGSUTGIVARE
MEDLEMSREGISTER
INTYGpseudonym
+ attribut
Behov av en federationsoperatör
![Page 39: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/39.jpg)
Gemensam infrastruktur
Behörighets-styrandeattribut
Krav på säkerhet
Teknisk standard
SAMVERKAN
Sambi
![Page 40: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/40.jpg)
Gemensam infrastruktur
Behörighets-styrandeattribut
Krav på säkerhet
Teknisk standard
SAMVERKAN
Tillit
![Page 41: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/41.jpg)
Hur?
• ”Federationen skall fungera som en nationell mötesplats för säkra e-tjänster genom … en lösning som bygger på tillit och skydd för den personliga integriteten”
• ”Underlätta för informationsägare att fullgöra sina skyldigheter som bland annat följer av personuppgiftsansvaret”
![Page 42: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/42.jpg)
E-TJÄNSTSPSITHS
E-LEGID
Användar-uppgifter
Hur ”underlätta för informationsägare att fullgöra de skyldigheter som bland annat följer av personuppgiftsansvaret”?
![Page 43: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/43.jpg)
Användarorganisation(huvudman)
E-TJÄNSTSP
Användar-uppgifter
Användarorganisation
…klargöra och följa upp huvudmännens ansvar för sina användare och deras identitetshantering.
Bygg tillit över huvudmannagränser!
![Page 44: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/44.jpg)
Medlem – ett fundamentalt begreppAnvändarorganisation: Organisation vars huvudsakliga uppdrag är att utföra tjänster inom hälso- sjukvårds eller omsorgsområdet. Detta inkluderar organisation med:
• verksamhet som har skyldighet att följa Hälso- och sjukvårdslagen, Socialtjänstlagen (SoL, Lag om stöd och service till vissa funktionshindrade (LSS),
• verksamhet som för att utföra sitt uppdrag har personal i verksamheten och där personalen är skyldig att följa Patientsäkerhetslagen (PSL) eller
• vård- och omsorgsverksamheter som lyder under respektive lag och som också har anmälningsplikt/tillståndsplikt hos IVO.
Tjänsteleverantör: Organisation som tillhandahåller en eller flera E-tjänster åt Användarorganisationer.
![Page 45: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/45.jpg)
Vad är Tillit?
• Vi kan ha tillit till någon utan att ha fullständig information om denna
• Inte bara en tro på människors goda avsikter, utan en välgrundad tro att vissa principer är uppfyllda
![Page 46: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/46.jpg)
Tillitsnivåer - ett koncept för identiteter i federationer
LoA, Level of Assurance
• LoA 1 Ingen eller liten tillit till identitetenTyp Facebook, Google, Hotmail
• LoA 2 Begränsad tillit till identitetenAD-identitet, företagsinternt, domänspecifikt
• LoA 3 Hög tillit till identitetenSvensk e-legitimation, SITHS, Pass, körkort
• LoA 4 Mycket hög tillit till identiteten
OBS! Klassningen gäller endast för identiteter, inte för de behörighetsstyrande attributen.
![Page 47: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/47.jpg)
Sambis TillitsramverkSyftet är att medlemmarna ska känna tillit till varandra eftersom de vet att medlemmarna uppnår en känd säkerhetsnivå.
• Ramverket är uppdelat i följande delar• Generella krav• E-legitimationsutfärdare• Attributsutgivare• Identitetsintygsutgivare• Tjänsteleverantör• Sambiombud
![Page 48: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/48.jpg)
Sambis Tillitsramverk – och granskning
Syftet med granskning och godkännande:
”Ge förlitande parter en försäkran om att vissa principerär uppfyllda utan att alla behöver ha direkt insyn”
![Page 49: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/49.jpg)
Rätt avtalspart är en viktig del i ”Sambis” förtroendekedja
Lagar och föreskrifter à Riktlinjer för medlemskap i Sambi à Godkänna medlemskap i Sambi
Federationsoperatörens ansvar
• Garant för att endast behöriga Användarorganisation blir medlemmar i federationen
• Kontroll av att rätt organisationsuppgifter för medlemmen läggs in i federationens metadata
Användarorganisationens ansvar
• Ansvara för Användarna
• Utfärda av korrekt SAML-intyg
Tjänsteleverantörens ansvar
• Kontroll av organisationsuppgiften i SAML-intyget stämmer överens med metadata för Användarorganisationen
• Kontroll av övriga behörighetsstyrande attribut
• Beslut om åtkomst till E-tjänsten
![Page 50: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/50.jpg)
Bensträckare 5 minuter
![Page 51: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/51.jpg)
Övningsuppgifter• Vad är federationsoperatörens ansvar?
• Garant för att endast behöriga Användarorganisation blir medlemmar i federationen • Kontroll av att rätt organisationsuppgifter för medlemmen läggs in i federationens metadata
• Vad är användarorganisationens ansvar?• Hålla koll på sina uppgifter kring sin organisation och medarbetare• Utfärdare av korrekt SAML-intyg
• Vad är tjänsteleverantörens ansvar?• Kontroll av organisationsuppgiften i SAML-intyget stämmer överens med metadata för Användarorganisationen• Kontroll av övriga behörighetsstyrande attribut• Beslut om åtkomst till E-tjänsten
![Page 52: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/52.jpg)
Gemensam infrastruktur
Behörighets-styrandeattribut
Krav på säkerhet
Teknisk standard
SAMVERKAN
Attributsförvaltning
![Page 53: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/53.jpg)
53
Omfattning för Sambi attributshantering
• De attribut för behörighetsstyrning som sänds i intyget från Användarorganisationen
• Inte ”förbjudet” för tjänsten att använda ytterligare attribut• T.ex. efter inloggningen hämta attribut från annan lämplig katalog, ex
en lokal AD-katalog
![Page 54: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/54.jpg)
Status för attributförvaltningen
![Page 55: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/55.jpg)
![Page 56: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/56.jpg)
Statusrapport för attributförvaltningen
![Page 57: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/57.jpg)
Stöd för versionshantering• Namngivningen för attribut i Sambi stödjer versionshantering genom att major-version av attributet ingår i
dess namn. • Exempel där major-versionen är ”1”: • http://sambi.se/attributes/1/personalIdentityNumber
Exempel på användning• Nedan är ett exempel på användning av attributen i SAML2.0 intyg:
<saml2:Attribute Name="http://sambi.se/attributes/1/personalIdentityNumber"NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" FriendlyName="personalIdentityNumber">
<saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">191212121212</saml2:AttributeValue>
</saml2:Attribute>
![Page 58: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/58.jpg)
Samverkan mellan Sambi och katalogtjänster• Sambi står för en gemensam standard och regler, inte en
attributkatalog
• HSA, EK etc är viktiga attributkataloger för Sambi (då de utgör en stor del av användarorganisationernas beskrivning av sina organisationer & medarbetare)
• Gemensamt intresse av attributkvalité
![Page 59: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/59.jpg)
Vad Sambi inte är!
![Page 60: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/60.jpg)
TJÄNSTELEVERANTÖRERANVÄNDARORGANISATIONER
Ej central inloggning
Sambi är ett ramverk, INTE en central inloggningstjänst
![Page 61: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/61.jpg)
TjänsteleverantörAnvändarorganisation
Avtal
Intyg med
attribut
Sambi
Sambi förändrar inte ansvaret för åtkomstkontroll
![Page 62: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/62.jpg)
Inte GDPR
• Båda Sambis tillitsramverk och GDPR förutsätter att det bedrivs ett strukturerat arbete men deras omfattning är olika
• GDPR avser hantering av personuppgifter, medan Sambis tillitsgranskning endast avser tillit till identiteter och attribut
• Sambi underlättar för informationsägare att fullgöra sina skyldigheter som följer av personuppgiftsansvaret
![Page 63: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/63.jpg)
Vem ansvarar för utfärdande av identitet?
A. Intygsutgivaren (IdP:n)
B. Användarorganisationen
C. Sambi
Övningsuppgift
![Page 64: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/64.jpg)
Vem ansvarar för att avgöra behörighets-beslutet?
A. Intygsutgivaren (IdP:n)
B. Användarorganisationen
C. e-Tjänsten
Övningsuppgift
![Page 65: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/65.jpg)
Hur kan e-tjänsten fatta ett behörighetsbeslut?
A. Att inloggningsbiljetten är utställd av en betrodd utfärdare
B. Baserar sitt beslut på attributen i inloggningsbiljetten
C. Att biljetten är utställd till e-tjänsten
Övningsuppgift
![Page 66: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/66.jpg)
• Vilken LOA-nivå krävs det för hantering av patientinformation?
A. 1
B. 4
C. 3
Övningsuppgift
![Page 67: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/67.jpg)
Vilka attribut är obligatoriska i Sambi?
A. HSAid-medarbetare, LOA-nivå, organisationstillhörighet
B. PNR-medarbetare, LOA-nivå
C. Inga alls
Övningsuppgift
![Page 68: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/68.jpg)
Bensträckare 5 minut
![Page 69: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/69.jpg)
Hur fungerar Sambi?(hur arbetar man i Sambi?)
![Page 70: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/70.jpg)
Sambis styrgrupp
Från vänster: Petter Könberg, Inera, Danny Aerts, IIS (styrgruppsordförande), Carina Landberg, KSL/SLL. Saknas på bilden: Kristina Fridensköld, eHälsomyndigheten och Stephen Dorch, eHälsomyndigheten.
![Page 71: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/71.jpg)
Sambis organisationSambis styrgrupp
Sambisarbetsgrupp
Referensgrupp
Sambis Federationstjänst
Sambis Attributstandard
Federationstjänstens förvaltningsråd
Sambis löpande verksamhet
Sambis Tillitsgranskningstjänst
![Page 72: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/72.jpg)
Sambis arbetsgruppSyftet
• En grupp för utbyte av information och kunskaper och bidraga till vidareutveckling av Sambi
• Är även en referensgrupp för gemensamma frågor inom Sambi
Består av deltagare till exempel från:
• eHälsomyndigheten, Inera, IIS, landsting, kommuner
• Leverantörer: Tieto, Nexus, Svensk e-identitet, Pulsen, med flera.
Träffas regelbundet, se webben
![Page 73: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/73.jpg)
Sambis arbetsgrupp
![Page 74: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/74.jpg)
Sambis förvaltningsrådSyftet• Att hantera och kommunicera planerade förändringar inom infrastruktur
och gemensamma objekt inom federationen
• Tjäna som en CAB inom Sambi
• Kommer ev även att hantera incident & problem
Består bl.a med deltagare från
• Inera, SLL, IIS, eHmTräffas vid behov, oftast i samband med arbetsgruppsmöten
![Page 75: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/75.jpg)
Infrastruktur - ändringar
![Page 76: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/76.jpg)
Sambi attributsförvaltning
• Förvaltningen är organisatoriskt placerad på Inera, som en del av Säkerhetstjänsternas förvaltning, men uppdraget är att förvalta för Sambi
• Uppdraget omfattar att etablera och underhålla standard för federationens attribut
• Att ta fram och kommunicera en ensad ”bruttolista” på i Sambi överenskomna attribut
• Omfattar inte lagring av attributen
![Page 77: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/77.jpg)
Samverkan utgående från olika kulturer och förutsättningar
• Landsting, kommunal, apoteksaktörer, …
• Internet och akademiska federationer
• Offentlig och privata aktörer
• Regionala samarbeten
• Nationella initiativ som Svensk e-legitimation
• EU, Electronic identification and trust services (eIDAS)
Samverkan
![Page 78: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/78.jpg)
Federationsoperatören
Internetstiftelsen, IIS är federationsoperatören för Sambi.Dess uppgift är att:
• Att stötta och bidraga till förvaltningen och utvecklingen av Sambi
• Att tjäna som federationsoperatör
![Page 79: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/79.jpg)
Medlemshantering
Metadatahantering
Drift av infrastrukturen
Attributförvaltning
Tilliten till identiteter och attribut
AttributförvaltningInformation
Sambis federationsdrift idag
![Page 80: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/80.jpg)
Tillitsgranskningsprocessen
![Page 81: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/81.jpg)
Vad granskas?
• De generella kraven i Sambis Tillitsramverk, vilka utgörs av generella krav på:
verksamheten, säkerhetsarbetet, kryptografiska säkerhet, ansvar för underleverantörer, handlingars bevarande och tillhandahållande av information
• För användarorganisationer och deras underleverantörer granskas Tillitsramverkets specifika krav på hanteringen av deras funktioner för e-legitimationsutfärdare, attribututgivare och identitetsintygsutgivare
• För tjänsteleverantör och deras underleverantörer granskas hur de uppfyller Tillitsramverkets specifika krav för tjänsteleverantörer
![Page 82: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/82.jpg)
Sambiombud
Sambiombud
TGFederationsoperatör
Användarorganisation
![Page 83: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/83.jpg)
Sambiombud
• Sambiombudets uppgift är att förenkla Användarorganisationers anslutning till Sambi genom att paketera en teknisk och administrativ tjänst inom Sambis ramar och bistå Användarorganisationen med att lever upp till kraven i Sambis Tillitsramverk.
![Page 84: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/84.jpg)
![Page 85: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/85.jpg)
Intresse att bli Sambiombud
• Svensk e-identitet (arbete pågår)• Inera planerar att bli Sambiombud
![Page 87: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/87.jpg)
Övningsuppgift
? * 7 = 42? * 6 = 30? * 5 = 20? * 3 = X
6542 6
![Page 88: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/88.jpg)
Teknikhttps://www.sambi.se/teknik/
![Page 89: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/89.jpg)
Agenda, teknik
• SAML 2.0
• SSO, SLO
• Metadata
• Anvisningstjänst/Discovery Service
• Profiler
• Tekniska miljöer
Därefter fika!
![Page 90: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/90.jpg)
www.e-service.se
Användarorganisation Användare E-tjänst
Traditionell inloggning
Vad är det för fel på det här då?
www.e-service.se
Användarnamn
**********
DB
![Page 91: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/91.jpg)
www.e-service.se
• Administration av behörigheter/tjänst
• Inloggning per tjänst• Lösenord per tjänst
• Säkerhetskrav• Lösenordssupport
Exempel på problem med traditionell inloggning som SAML angriper
www.e-service.se
Användarnamn
**********
DB
• Dålig användarupplevelse
• Bristfällig säkerhet
• Onödiga administrativa kostnader
![Page 92: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/92.jpg)
SP-initierad inloggninghttps://www.eordinationpascal.se/
Välkommen!DB
Intyg
3
45
Intyg
2Begäran
Begäran
Begär åtkomst
1
https://www.eordinationpascal.se/
![Page 93: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/93.jpg)
Exemplet väcker några frågor
• Hur vet SP:n vilken IdP användaren kan logga in på?
• Hur vet e-tjänsten att den kan lita på intyget från IdP:n?
• Vad är det för information i intyget?
![Page 94: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/94.jpg)
Hur vet SP:n vilken IdPanvändaren kan logga in på?
https://www.eordinationpascal.se/
![Page 95: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/95.jpg)
www.e-service.se
Välkommen!Intyg
12 3
IntygIis.se/portal
Hur vet SP:n vilken IdP användaren vill logga in på?
idp.iis.se/sso=www.e-service1.se*
e-service1e-service2e-service3
Exempel: IdP-initierad inloggning
![Page 96: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/96.jpg)
Hur vet tjänsten att den kan lita på intyget?
www.e-service.se
CertifikatX.509
Metadata
Certifikat
Metadata”Out of Band”
Intyg
Signera Verifiera
![Page 97: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/97.jpg)
Information i intyget (förenklat)
• Name ID• Ex. transient / persistent ID (pseudonym)
• Iuerfn#y873yniuw%eyr847
• Användarens attribut• Namn: Kalle Karlsson• E-post: [email protected]• Organisation: Ronneby Vårdcentral• Roll: Läkare
• Livslängd• Giltig till och med 2016-02-25/13:54
![Page 98: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/98.jpg)
<SAML AuthnRequest>Exempel på hur en SAML Request kan se ut i verkligheten
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"ID="_5e26e081472a56ebdd4db1be6f23ed643facddf2f3"Version="2.0"IssueInstant="2015-08-06T12:51:42Z"Destination="https://idp.example.com/simplesaml/saml2/idp/SSOService.php"AssertionConsumerServiceURL="https://sp.example.com/simplesaml/module.php/saml/sp/saml2-acs.php/default-sp"ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST”>
<saml:Issuer>https://sp.example.com/simplesaml/module.php/saml/sp/metadata.php/default-sp</saml:Issuer><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email” AllowCreate="true”/>
</samlp:AuthnRequest>
![Page 99: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/99.jpg)
Exempel på hur ett SAML Response Message kan se ut i verkligheten
<SAML Response><samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"ID="_dc151d8adbd6eea9236ad0bd832da03a4903c2bfd3"Version="2.0"IssueInstant="2015-08-06T12:51:52Z"Destination="https://sp.example.com/simplesaml/module.php/saml/sp/saml2-acs.php/default-sp"InResponseTo="_5e26e081472a56ebdd4db1be6f23ed643facddf2f3">
<saml:Issuer>https://idp.example.com/simplesaml/saml2/idp/metadata.php</saml:Issuer><ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo><ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /><ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" /><ds:Reference URI="#_dc151d8adbd6eea9236ad0bd832da03a4903c2bfd3">
<ds:Transforms><ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" /><ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
</ds:Transforms><ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" /><ds:DigestValue>6kF9zznKEPhlVP/pp3P9eXb46BM=</ds:DigestValue>
</ds:Reference></ds:SignedInfo><ds:SignatureValue>qzWzEHTyazDSSarw3pb7UOrMB61eFe0XcqjyOb3LIIvOJSlUmJgwS44L5BpEBBVx+d/LK8SItYFKTaaD7XALaO7f2wp48bs8NZ0pd18
siuIwPNTw99EKRXtQfuE6ujDzUHctPsU7fOen2yBGQSqKmMBF4VZUzsKfVtGbV/i0QqD0Nz8tKFQZE1C9GqrS21oJmEMkvVYLlKGG6lqjgJdfNC8Ly4IYmGEIMLDKC8hRRwEL/VoFtmwpitHBiCLHRQiJWFeseCwlTynZZcto8m/BF/7GFHVvMftGRDmsrdDnfY+ScsURcE0umznQ9xBzFpeCtnACudQgI02h+0phYLWXGA==</ds:SignatureValue>
<ds:KeyInfo><ds:X509Data>
<ds:X509Certificate>MIIDszCCApugAwIBAgIJAP7RfQ50pS1JMA0GCSqGSIb3DQEBCwUAMHAxCzAJBgNVBAYTAlNFMRIwEAYDVQQIDAlTdG9ja2hvbG0xEjAQBgNVBAcMCVN0b2NraG9sbTEMMAoGA1UECgwDSUlTMQwwCgYDVQQLDANGZWQxHTAbBgNVBAMMFHNhbWxpZHAubXlkb21haW4ubG9jMB4XDTE1MDgwNDExNDMzNloXDTIwMDgwMzExNDMzNlowcDELMAkGA1UEBhMCU0UxEjAQBgNVBAgMCVN0b2NraG9sbTESMBAGA1UEBwwJU3RvY2tob2xtMQwwCgYDVQQKDANJSVMxDDAKBgNVBAsMA0ZlZDEdMBsGA1UEAwwUc2FtbGlkcC5teWRvbWFpbi5sb2MwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDT1HIQFaO7i5Zxt/Nf6kyHzy7gDXXaxLO++E7cjbMnaWUg/5dsWU0oBLpme+1m+7DybQQsIg9+yjqkJkS22z/2go3MB9PBnxmiaplhAYjWN7oBGpo1R1dwofYQZnLo/iBH0rT+odzv8RvxkhLtGASpNR/b5MIwrnIpWLXgcSybAHNQPi/9peW5eNIq26AHF7QwxgUOHnSazNPCWkSjTye00uFHx8xHYQ7Fjq2pifzhTrDABZgtc3ws/bxOwxz2XnbLWAYhivUCSXCtNErLO68yO0X2NILtUJpJJ6JD+yRFjjBp6KFFwcsEIOHnJ7TW+jk+gAYFrRLRZb9Xp/yjO+JFAgMBAAGjUDBOMB0GA1UdDgQWBBTDeQkkzM7pXo6WQmW74xYTvPf5GDAfBgNVHSMEGDAWgBTDeQkkzM7pXo6WQmW74xYTvPf5GDAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBCwUAA4IBAQBawGnUJabQ/V9UG6/+tCZwKCge4qZKVQ67feu4NAIiQKrcnuuQb0U0g/CrwrJ2TTwHzRVJscf5KW9bWhK4Xuwm2Pq+ySTExHputJW8VaAYZ5J5G7K4M7H4zjCRJwdDSSNI3Jv4+Bs/sOi5jcLQ7wk0oCjQkiARFbB6On22WeAun618AHBTVgn0TsP2JasJyJJomrP6IqVF2Ox6/NB0GEr1gRAv5Apzvxvgra72JN9DcPjgsceJrRpTa8BBAglj87SFPq9khCrv1mnu2PQU0KM7aw35IjvgOdAXnBVmMX+S1UvB6UkT6L2T8PbjAR4Y3k8B4lbJxPVfk807TmA07bYF</ds:X509Certificate>
</ds:X509Data></ds:KeyInfo>
</ds:Signature><samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" /></samlp:Status><saml:Assertion xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xs="http://www.w3.org/2001/XMLSchema"ID="_e7b74db5970e2c0479c4c461d2131da110c75f84d5"Version="2.0"IssueInstant="2015-08-06T12:51:52Z">
<saml:Issuer>https://idp.example.com/simplesaml/saml2/idp/metadata.php</saml:Issuer><ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo><ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /><ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" /><ds:Reference URI="#_e7b74db5970e2c0479c4c461d2131da110c75f84d5">
<ds:Transforms><ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" /><ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
</ds:Transforms><ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" /><ds:DigestValue>N0bGOzPrM6cNwMv49IkUcE2zSxU=</ds:DigestValue>
</ds:Reference></ds:SignedInfo><ds:SignatureValue>YGbGmrRcDkGtAyUBCXKpnTfJZzvs636IOPnKMlMLqkc4edkYkJC7N2n9GrXvYYeQIh+uSsdcWooRnVIwhuBSLf9Zz+xnNfAWZG4U
Nt4H+DSWwYgGNowW66L8ZKhUySpaYIPq0bvQ8uVyzJNs3b1xcliu+v8LTR7okmE9lXyh1RTJsE/OBwNj7bbFXUi4TsZICd7pB2mgjp+76gU3yh+585jdkzYvK4jcE/G4Xpp22yPQ3jGfHZpSAgggj8kAbf2jCQiQsf+xbMwkKOyhiAcCnkHWCplIYrW6mJ0yi6ua0YkL5zn6jUbMpm2TVQTtKzBLtviwGrqKmHQQUWO6WFhrWg==</ds:SignatureValue>
<ds:KeyInfo><ds:X509Data>
<ds:X509Certificate>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</ds:X509Certificate>
</ds:X509Data></ds:KeyInfo>
</ds:Signature><saml:Subject>
<saml:NameID SPNameQualifier="https://sp.example.com/simplesaml/module.php/saml/sp/metadata.php/default-sp"Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">_7e8eee69632e14392716b67c49f4998096f86ea90d</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"><saml:SubjectConfirmationData NotOnOrAfter="2015-08-06T12:56:52Z"
Recipient="https://sp.example.com/simplesaml/module.php/saml/sp/saml2-acs.php/default-sp"InResponseTo="_5e26e081472a56ebdd4db1be6f23ed643facddf2f3"/>
</saml:SubjectConfirmation></saml:Subject><saml:Conditions NotBefore="2015-08-06T12:51:22Z"
NotOnOrAfter="2015-08-06T12:56:52Z">
<saml:AudienceRestriction><saml:Audience>https://sp.example.com/simplesaml/module.php/saml/sp/metadata.php/default-sp</saml:Audience>
</saml:AudienceRestriction></saml:Conditions><saml:AuthnStatement AuthnInstant="2015-08-06T12:51:52Z"
SessionNotOnOrAfter="2015-08-06T20:51:52Z"SessionIndex="_cab37416a1a1ffb6190d07517331302f092dc50cd2">
<saml:AuthnContext><saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</saml:AuthnContextClassRef>
</saml:AuthnContext></saml:AuthnStatement><saml:AttributeStatement>
<saml:Attribute Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6"NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml:AttributeValue xsi:type="xs:string">[email protected]</saml:AttributeValue></saml:Attribute><saml:Attribute Name="urn:oid:0.9.2342.19200300.100.1.3"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml:AttributeValue xsi:type="xs:string">[email protected]</saml:AttributeValue></saml:Attribute>
</saml:AttributeStatement></saml:Assertion>
</samlp:Response>
![Page 100: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/100.jpg)
Initiering av SAML-inloggning,sammanfattning
• IdP-initierad inloggningInloggningen startar hos användarorganisationen som i det tidigare exemplet
• SP-initierad inloggningInloggningen startar hos e-tjänsten (det vanligaste).
![Page 101: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/101.jpg)
Hur vet SP:n vilken IdP som kan ställa ut intyg för användaren?
www.e-service.se?
Anvisningstjänst
Borås
Gävle
Krokom
![Page 102: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/102.jpg)
IdP-discovery (exempel)
• Tjänsten tillhandahåller en unik URL för respektive användarorganisation
(www.iis.e-service.se, www.skatteverket.e-service.se)
• Tjänsten känner till användarorganisationens IP-adressrymd
• Tjänsten listar alla aktuella IdP:er i en anvisningstjänst och användaren
får aktivt välja sin IdP
E-tjänster kan använda flera smarta metoder i kombination för att underlätta autentiseringen av användaren
![Page 103: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/103.jpg)
Anvisningstjänst
E-tjänstSP
Anvisningstjänst
Borås
Krokom
OrganizationDisplayName
Borås
Gävle
Krokom
1
2
34
Allt informationsutbyte sker genom omdirigering av användarens webbläsare
GävleGävle
![Page 104: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/104.jpg)
www.e-service.se
• Administration av behörigheter
• Inloggning per tjänst• Lösenord per tjänst
• Säkerhetskrav• Lösenordssupport
Exempel på problem med traditionell inloggning som SAML angriper
www.e-service.se
Användarnamn
**********• Dålig användarupplevelse
• Bristfällig säkerhet
• Onödiga administrativa kostnader
![Page 105: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/105.jpg)
Bensträckare 5 minut
![Page 106: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/106.jpg)
Övningsuppgift
+ + = 30
+ + = 18
= ??
- = 2
+ * 21
![Page 107: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/107.jpg)
Men…Vi har nya problem i en annan dimension
![Page 108: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/108.jpg)
Anslutning mellan parter
www.e-service.se
Certifikat
Metadata
Certifikat
Metadata”Out of Band”
Förutsätter att parterna enats om:• Teknik/standard• Tillämpning• Information• Format• Tillit/säkerhet• Rutiner• …
![Page 109: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/109.jpg)
Användarorganisationens perspektiv
IdP
Följ min standard!SP
SP
SP
![Page 110: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/110.jpg)
E-tjänstens perspektiv
Följ min standard!
IdP
IdP
IdP
SP
![Page 111: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/111.jpg)
Sektorns perspektiv
SP
SP
SP
IdP
IdP
IdP
En integration per anslutning
Hundratals eller tusentals organisationer
![Page 112: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/112.jpg)
En standard för integrationen
FEDERATION
Gemensam standard och infrastruktur
![Page 113: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/113.jpg)
Gemensam standard
• Sambis tekniska krav & ramverk
• SAML 2.0
• Implementationsprofil eGov2 2.0• beskriver vilka delar av SAML som måste implementeras
• Deploymentprofilen saml2int• beskriver vilka delar av SAML som måste vara i bruk samt hur dessa ska användas
• Namnstandard för anvisningstjänst
• Attributsprofiler
![Page 114: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/114.jpg)
Andra federationer
![Page 115: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/115.jpg)
eduGAINeduGAIN is an international interfederation service interconnecting research and education identity federations. It enables the secure exchange of information related to identity, authentication and authorisation between participating federations. The service is managed by a team led by TERENA. eduGAIN® is a registered trademark of DANTE.
![Page 116: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/116.jpg)
Gemensam infrastruktur
• Aggregerat metadataregister signerat med
federationens nyckel• Central anvisningstjänst
• Verktyg för validering av metadata
• Testmiljöer
![Page 117: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/117.jpg)
Aggregerat metadataregisterAggregerad och
publicerad metadata
Metadata+certifikat 1Metadata+certifikat 2Metadata+certifikat 3Metadata+certifikat 4Metadata+certifikat 5Metadata+certifikat 6
/…/
• Metadata• Certifikat
• Metadata• Certifikat
• Metadata• Certifikat
• Metadata• Certifikat
• Metadata• Certifikat
• Metadata• Certifikat
Aggregerat metadata
Federationsoperatör
Signera och publicera
![Page 118: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/118.jpg)
Aggregerad metadataSkolfederation
![Page 119: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/119.jpg)
Gemensam infrastruktur
• Aggregerat metadataregister signerat med federationens
nyckel
• Central anvisningstjänst• Verktyg för validering av metadata
• Testmiljöer
![Page 120: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/120.jpg)
Anvisningstjänst - exempel
![Page 121: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/121.jpg)
Gemensam infrastruktur
• Aggregerat metadataregister signerat med federationens
nyckel
• Central anvisningstjänst
• Verktyg för validering av metadata• Testmiljöer
![Page 122: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/122.jpg)
![Page 123: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/123.jpg)
Gemensam infrastruktur
• Aggregerat metadataregister signerat med federationens
nyckel
• Central anvisningstjänst
• Verktyg för validering av metadata
•Testmiljöer
![Page 124: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/124.jpg)
Tekniska miljöer i Sambi
![Page 125: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/125.jpg)
Övningsuppgift
Vilka är federationsoperatörens 2 viktigaste uppgifter ?A. Centralt & aggregerat metadataregister samt tekniskt &
regulatoriskt ramverkB. Säkerställa identitetshanteringen samt centralt & aggregerat
metadataregisterC. Säkerställa identitetshanteringen samt tekniskt &
regulatoriskt ramverk
![Page 126: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/126.jpg)
FIKA!Kl 14.15 – 14.30
![Page 127: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/127.jpg)
Agenda, fortsättning
14.30 Fortsättning
• SAML 2.0
• Övningsuppgifter SAML
• Status pågående arbeten
• Komma igång
16:00 Avslut
![Page 128: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/128.jpg)
SAML 2.0Security Assertion Markup
Language
![Page 129: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/129.jpg)
Kort om SAML
• Öppen standard från OASIS
• XML-baserat ramverk för att kommunicera information förautentisering, behörighet och attribut för användare
• 2002 - SAML 1.0
• 2003 – SAML 1.1
• 2005 – SAML 2.0
![Page 130: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/130.jpg)
Profiles
Bindings
Protocols
Assertions
Information om användaren• Authentication statements (hur användaren har autentiserats)• Attribute statements (användarens attribut)• Authorization decision statements (information för att avgöra användarens rättigheter)
Paketering och hantering av SAML-element• Assertion Query and Request Protocol• Authentication Request Protocol• Artifact Resolution Protocol
Mappar SAML-protokoll till andra protokoll• SAML SOAP Binding (based on SOAP 1.1)• Reverse SOAP (PAOS) Binding• HTTP Redirect (GET) Binding
• HTTP POST Binding• HTTP Artifact Binding• SAML URI Binding
Beskriver hur ovanstående kombineras• SSO Profiles• Artifact Resolution Profile
för en specifik tillämpning• Assertion Query/Request Profile• Name Identifier Mapping Profile• SAML Attribute Profiles
SAML 2.0
![Page 131: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/131.jpg)
Övningsuppgift - korv
2
1
3
Homer äter korven
Den grillade korven förbereds för att ätas
Homer grillar en korv
![Page 132: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/132.jpg)
Övningsuppgift - SAML
www.service.se
E-postlösenord
Välkommen!Logga in med:
Välj din intygsutfärdareBoråsGävleKrokom
idp.krokom.se
AnvändarnamnLösenord
Logga in
www.service.se
Välkommen Nisse!
IdP:n har ställt ut ett intyg och dirigerar Nisse tillbaka till SP:n som skickade begäran.
”service.se” har identifierat vilken IdP Nisse använder och dirigerar honom vidare med en AuthnRequest(begäran om intyg).
Nisse vill till tjänsten ”service.se”. Tjänsten finns inte i portalen på Nisses företag.
Nisse vill logga in via en federation. Eftersom han gick direkt till tjänstens webbsida så känner den inte till vilken IdP Nisse använder, utan diririgerarhonom till en anvisningstjänst.
”service.se” har många olika typer av användare och erbjuder därför flera olika alternativ för inloggning.
Nisse har just kommit till jobbet och har ännu inte loggat in i någonstans. Innan han gör något annat vill han klara av ett ärende i tjänsten ”service.se”. Tjänsten finns inte i portalen på Nisses företag. I vilken ordning händer nedanstående?
![Page 133: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/133.jpg)
Övningsuppgift - SAML
www.service.se
E-postlösenord
Välkommen!Logga in med:
Välj din intygsutfärdareBoråsGävleKrokom
idp.krokom.se
AnvändarnamnLösenord
Logga in
www.service.se
Välkommen Nisse!
IdP:n har ställt ut ett intyg och dirigerar Nisse tillbaka till SP:n som skickade begäran.
4 2 5 1 3
”service.se” har identifierat vilken IdP Nisse använder och dirigerar honom vidare med en AuthnRequest(begäran om intyg).
Nisse vill till tjänsten ”service.se”. Tjänsten finns inte i portalen på Nisses företag.
Nisse vill logga in via en federation. Eftersom han gick direkt till tjänstens webbsida så känner den inte till vilken IdP Nisse använder, utan diririgerarhonom till en anvisningstjänst.
”service.se” har många olika typer av användare och erbjuder därför flera olika alternativ för inloggning.
SAML-implementationen i exemplet är inte ett föredöme avseende användarvänlighet. Användaren ställs inför flera val i olika sammanhang under inloggningsflödet. Överkurs: Hur skulle en mer användarvänlig implementation kunna se ut?
![Page 134: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/134.jpg)
Kom ihåg det här
www.e-service.se
Välkommen!
DB
Intyg
12 3
Intyg
Inloggning här! Intyg med användarinformation via omdirigering av webbläsare
www.e-service.se
Användarnamn
**********
![Page 135: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/135.jpg)
Vårdsystem IdP
HSAADetc
T.ex. SITHSKontrollerar certifikat
Hämtar behörighetsstyrandeuppgifter
Användare villlogga in
Vårdsystemet begärautentisering avanvändaren
IdP’n begär användarens inloggning
Användaren loggar in
IdP
Vårdsystem
IdP’n skickar tillbaka användarens inloggningsbiljett till vårdsystemet
Flöde och inblandade system, repetition
![Page 136: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/136.jpg)
Vad är SSO?
• Single sign-on (SSO) – en användare behöver endast logga
in en gång för att nå de system som är anpassade till tjänsten.
Även Single sign-off brukar inkluderas i begreppet
• SSO kan som begrepp dels vara den tekniska delen, dels hur
en inloggning kan upplevas av en användare
• För att kunna sköta det dagliga arbetet handlar det ofta om att
jaga information i 20–30 olika system och applikationer,
förutom patientjournalsystemet. … Man loggar in i och ut ur
system hela tiden … att informationsflödet inte hänger ihop”.
Spretigheten i IT-stödet har blivit en betydande
arbetsmiljöfråga i vården!
![Page 137: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/137.jpg)
Användaren vill logga in
Applikation A
IdP= Identity Provider (intygsutfärdare)SP= Service Provider (e-Tjänst)
Hur fungerar SSO, tekniskt?
![Page 138: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/138.jpg)
Applikation A
SP:n ber användaren logga in
Hur fungerar SSO?
![Page 139: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/139.jpg)
Applikation A
Användaren skickas till IdP:noch får där autentisera sig m.h.aexempelvis ett SITHS-kort och sin PIN-kod.
Hur fungerar SSO?
![Page 140: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/140.jpg)
Applikation A
• IdP:n verkställer autentiseringen och skapar och skickaren SAML-biljett till webläsaren
• Användaren är nu ”inloggad” i IdP:n
Hur fungerar SSO?
![Page 141: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/141.jpg)
Applikation A
Webbläsaren skickar SAML-biljetten vidare till SP:n som använder SAML-biljetten för att logga in användaren i SP:n.
Utifrån de behörighetsstyrande attributen i SAML-biljetten får användaren tillgång till de funktioner som användaren får nyttja i SP:n. (SP:n har egentligen inget beroende till autentiseringsmetoden,litar på intyget.)
Hur fungerar SSO?
![Page 142: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/142.jpg)
Applikation A
Hur fungerar SSO?
Användaren har dock en tidsbegränsadinloggningssession i IdP:n.
All kommunikation sker nu bara mellan webbläsaren och SP:n.
IdP:n har ”hjälpt till med” att upprätta en session mellan webbläsaren och SP:noch har nu inte längre något ansvar.
SP:n håller sin session tills användaren loggar ut från SP:n
![Page 143: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/143.jpg)
Applikation A
Användaren vill nu även logga in i en annan tjänst
Hur fungerar SSO?
Applikation B
![Page 144: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/144.jpg)
Applikation A
Applikation B Användaren anropar den andra SP:n
Hur fungerar SSO?
![Page 145: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/145.jpg)
Applikation A
Applikation B SP:n ber användaren logga in och skickar en inloggningsbegäran via webbläsaren till IdP:n
Hur fungerar SSO?
![Page 146: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/146.jpg)
Applikation A
Applikation B
Webbläsaren gör en inloggnings-begäran. IdP:n upptäcker att användaren redan är inloggad och skapar en nySAML-biljett till begärd SP- om inte sessionstiden har gått ut.
Hur fungerar SSO?
![Page 147: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/147.jpg)
Applikation A
Applikation B
IdP:n skickar SAML-biljetten via webbläsaren till SP:nSP:n använder SAML-biljetten för att logga inanvändaren i SP:n.
Utifrån de behörighetsstyrande attributen i SAML-biljetten får användaren till gång till de funktioner som användaren får nyttja i SP:n.
Hur fungerar SSO?
![Page 148: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/148.jpg)
Applikation A
Applikation BAnvändaren kan nu arbeta i bägge applikationerna,baserat på EN inloggning i IdP:n, det vill säga SSO.
Hur fungerar SSO?
![Page 149: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/149.jpg)
Applikation A
Applikation B
Sessionen ligger nu mellan webbläsaren och e-tjänsten, SP:n.När webbläsaren stängs så försvinner sessionen – eller om man loggar ut ur e-tjänstenUrloggning sker således i e-tjänsten!
TLS-session
TLS-session
Hur fungerar SSO?
![Page 150: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/150.jpg)
Användarens ansvar• Är att följa lagar och föreskrifter som är applicerbara inom e-Tjänstens
användningsområde
• Tillse att ingen obehörig har åtkomst till inloggad e-Tjänst. Vilket t ex innebär skyldighet att logga ut & stänga e-Tjänsten då e-Arbetsplatsen lämnas obevakad
e-Arbetsplatsens (PC:n) ansvar• Är att tillse att kommunikationen med e-Tjänsten samt med IdP:n sker med
förväntad säkerhet. För att detta ska kunna uppfyllas krävs att den är rätt konfigurerad och har erforderlig programvara installerad och uppdaterad
Gemensamt ansvar
![Page 151: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/151.jpg)
• IdP:n ansvar• Är att identifiera och autentisera en användare och utställa ett
identitetsintyg (SAML-biljett) till de applikationer som aktören avser att
nyttja
• e-Tjänstens ansvar• Är att validera riktigheten i identitetsintyget (SAML-biljetten) och utifrån
dess behörighetsstyrande attribut tilldela/neka tillgång till funktioner inom e-
Tjänsten
Gemensamt ansvar, forts.
![Page 154: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/154.jpg)
Övningsuppgift
Vilka 3 viktiga saker säkerställer SAML-biljettens riktighet?
• Signerad• ID på inloggningsbegäran
(AuthnRequest Id/InResponseTo)
• Utställd till (Recipient)
![Page 155: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/155.jpg)
Status och pågående arbeten
![Page 156: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/156.jpg)
Referensarkitektur, IAM-framgångsfaktor för inträde i Sambi
Samverkansprojekt drivet av Ineramed representanter från regioner och landsting
ØFörstudie – nuläget, problem, drivkrafter (2015/16)ØReferensarkitektur för Identitet & åtkomst (ht -2016)ØKravunderlag (ht -2016) för upphandling och
utveckling av IT-stöd
Resultatet förvaltas av Inera Arkitektur & Regelverkwww.inera.se/riv-ta
![Page 157: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/157.jpg)
Vad var då problemet?
• Egna varianter av inloggning & behörighet i varje system
• Direktintegration med tekniken• Ett sätt att logga in (”kortet”)
passar inte all verksamhet
àSvårt att realisera Single Sign-On
Dålig förvaltningsbarhetHöga kostnader
A B C D E
![Page 158: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/158.jpg)
En smartare och mer skalbar arkitektur
✓ Investering i säkerhetsteknik kan läggas i gemensam IT-infrastruktur
✓Standardiserad integration (SAML2, OpenID Connect, OAuth2)
✓Möjliggör införande av ny teknik för inloggning, mobila bärare, biometri
✓Underlättar att kvalitetssäkra identitetsdata
Lägg till ny teknik för
![Page 159: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/159.jpg)
Hur kan vi använda referensarkitekturen? Underlag vid anskaffning, vidareutveckling och utformning av
ü e-tjänsterü gemensam och lokal IT-
infrastruktur
www.inera.se/riv-ta
![Page 160: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/160.jpg)
Säker samverkan över
organisationsgränser
Standardiseringminska inlåsning och
kostnader
Mobila arbetssätt
Singelinloggningsnabb, enkel och säker tillgång till information
Kvalitetssäkringav e-identiteter
Nya inloggnings-metoder
Möjligheter!
![Page 161: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/161.jpg)
• Ny tjänst för utfärdande av e-identiteter i samverkan Inera och Försäkringskassan
• Målgrupp: alla inom offentlig sektor• Ersätter både SITHS och Myndighets-CA
• Moderniserade autentiseringslösningar - både e-id på kort och mobilt e-id
• Utformning utfärdandeprocess, tester, anslutning nationella e-tjänster under 2017
• Lanseras i början av 2018
E-identitet för offentlig sektor (EFOS)
E-identitets-utfärdare
Autentiserings-tjänst
Säkerhets-app
e-id
Inloggning
Utfärdande
![Page 162: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/162.jpg)
Användarorganisationer• Stockholms stad• Stockholms Läns Landsting• Danderyds kommun• eHälsomyndigheten
E-tjänster• SLL Beställningsportalen
Status, medlemmar, Sambi
![Page 163: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/163.jpg)
Status, forts.
Inera
• Anpassningsarbete av Ineras Säkerhetstjänster pågår för inträde i Sambi
• Pascal följer därefter
![Page 164: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/164.jpg)
Betrodda parter (tillitsgranskade) utöver medlemmarna
Betrodd part Omfattning Typ
Tieto Sweden AB Brokertjänst Underleverantör till Tjänsteleverantör
Inera AB IdP i Inera Nationella Säkerhetstjänster
Underleverantör till Användarorganisation
Svensk e-identitet IdP Underleverantör till Användarorganisation
Lidingö stad Användarorganisation
![Page 165: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/165.jpg)
GranskningarGodkänd part Godkänd som Återkommande
tillitsgranskning
senast/Notering
Tieto Sweden AB,
Brokertjänst
Leverantör till tjänsteleverantör 2018-06-09
Stockholms läns landsting, Beställningsportalen
(HSF, Avdelningen för Närsjukvård, Rehabilitering,
habilitering och hjälpmedel.)
Tjänsteleverantör 2018-09-21
Stockholms stad Användarorganisation 2018-10-07
Inera AB,
katalogtjänst HSA
Leverantör till Användarorganisation 2018-10-16
![Page 166: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/166.jpg)
GranskningarGodkänd part Godkänd som Återkommande
tillitsgranskning senast/Notering
eHälsomyndigheten,stödtjänster med tillhörande infrastrukturtjänster• Receptexpeditionsstöd – tjänsterna omfattar bland
annat åtkomst till receptregistret, läkemedelsförteckningen, högkostnadstrappan, fullmakter och grunddata.
• E-receptstöd – för att en vårdaktör ska kunna skicka elektroniska recept från ett journalsystem.
• Stöd för att visa privata läkemedel och recept för privatpersoner.
• Stöd för att visa privatpersoners läkemedel och recept för vård- och apotekspersonal.
Tjänsteleverantör 2018-10-30
![Page 167: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/167.jpg)
GranskningarGodkänd part Godkänd som Återkommande
tillitsgranskning senast/Notering
Inera AB,IdP i Inera Nationella Säkerhetstjänster
Leverantör till Användarorganisation 2019-10-05
Svensk e-identitets IdP Leverantör till Användarorganisation 2020-04-19
SLL Stockholms läns sjukvårdsområde, IdP Användarorganisation Godkänd med krav på komplettering
Danderyds kommun, för användning av• SITHS som Elektronisk identitetsutfärdare• HSA som attributsutgivare• Inera säkerhetstjänst som Identitetsintygsutgivare
Användarorganisation Godkänd med förbehåll
Lidingö stad, för användning av• SITHS som Elektronisk identitetsutfärdare• HSA som attributsutgivare• Inera säkerhetstjänst som Identitetsintygsutgivare
Användarorganisation Godkänd med förbehåll
![Page 168: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/168.jpg)
Inera
• Inera har nu publicerat metadata för Nationella
säkerhetstjänster och Pascal i Sambis Trial-miljö.
![Page 169: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/169.jpg)
KommunerDanderyds kommun
• Medlemsantal med Sambi har tecknats och de önskar komma i gång med SLL:s beställningsportal via Sambi.
Huddinge kommun
• Godkänd som utfärdare av Svensk e-legitimation (Den första!!!)
• De är nu intresserade att komma i gång med att testa lämplig tjänst i Sambi.
Stockholms stad
• Godkänd
![Page 170: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/170.jpg)
Deltagare testbädd• Inera
• MobilityGuard
• Nexus
• Svensk e-identitet
• Tieto
• eHälsomyndigheten
• SLL
• Stockholms stad
![Page 171: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/171.jpg)
Uppdatering av dokumentation och webbplats
Kvalitetsprojekt för Sambis Tillitsgranskningstjänst har avslutats och följande dokumentation har gåtts igenom och publicerats:Se: https://www.sambi.se/tillit/tillitsramverk/
• Anslutningsavtal Sambi• Sambis Bilaga 1 - Definitioner för Sambi• Sambis Bilaga 3- Tillitsramverk• Sambis Bilaga 4 - Föreskrifter för Sambis
Federationsoperatör• Sambis Bilaga 5 - Avgifter • Tjänstebeskrivning för Sambis
Federationstjänst• Tjänstebeskrivning för Sambis
Tillitsgranskningstjänst
• Tillitsgranskningsavtal• Tillitsgranskningsavtal Bilaga 1 –
Tillitsgranskningens omfattning• Tillitsdeklarationsmall• Granskningsinstruktion och Checklista för
tillitsdeklaration • Instruktioner för Sambis Granskare • Sekretessförbindelse med Granskare• …samt ett stort antal interna
rutindokument!
![Page 172: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/172.jpg)
Komma igång
![Page 173: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/173.jpg)
Komma igång – förberedande
• Gör en analys hemma
• Vad ska vi börja med? Vilka vinster gör vi?
• Vilka förutsättningar har vi?
• Identifiera kompetensbehov
• SAML, Identitetshantering, ADFS, WS-Trust?,
• Informationssäkerhet
• Ta hjälp!
![Page 174: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/174.jpg)
Komma igång – förberedande, forts.
• Ta vara på andras erfarenheter
• SLL, Inera• Ta del av Ineras SSO-förstudie samt
Referensarkitekturen för IAM
• Sätt upp mål och resurssätt
• Sätt realistiska mål. Saker tar tid…
![Page 175: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/175.jpg)
• Intresseanmälan
• Använda Trial-miljö
• Tillitsdeklaration
• Avtal
• Produktion
Bli medlem
![Page 176: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/176.jpg)
Vad kostar medlemskap i Sambi?
![Page 177: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/177.jpg)
Medlemsavtal
• Anslutningsavtal • Bilaga 1 – Definitioner
• Bilaga 2 - Tekniska krav
• Bilaga 3 – Tillitsramverk
• Bilaga 4 - Föreskrifter för federationsoperatören
• Bilaga 5 - Avgifter
• Kontaktuppgifter (blankett)
https://www.sambi.se/medlemskap/anslutningsavtal/
![Page 178: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/178.jpg)
Kontaktblankett
![Page 179: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/179.jpg)
Kontaktuppgifter
• Huvudkontakt – övergripande, publiceras på Sambis webbplats
• Teknisk kontakt – den person som blir motringd vid uppladdning av
nytt metadata!
• Incidentansvarig – kan vara en funktionsbrevlåda/-telefon, ska
alltid bevakas
• Fakturakontakt
![Page 180: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/180.jpg)
Metadatahantering
• Validering
• Sänd via formulärhttps://www.sambi.se/teknik/metadata/lamna-nytt-metadata/
• Checksumma
• Kundtjänst motringer teknisk kontakt
• Publicering
![Page 181: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/181.jpg)
Infrastruktur - miljöer
• Test-Idp• Test-SP
![Page 182: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/182.jpg)
Information
• www.sambi.se
• Nyhetsbrev• allmänna
• tekniska
• Kurser
• Arbetsgruppens möten
![Page 183: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/183.jpg)
Vilka är de stora utmaningarna?
• Arvet, behov av att federationsanpassa tjänster och system
• Enas om gemensamma attribut för sektorn
• ”…ett ledningssystem för informationssäkerhet (LIS) som baseras på ISO/IEC 27001 eller motsvarande”
• Börja i tid! Se till att kravställa nya tjänster så att de är federationsanpassade och följer Referensarkitekturen
![Page 184: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/184.jpg)
Sammanfattning, mål för Sambi• Underlätta realisering av SSO
• Underlätta för informationsägare att fullgöra de skyldigheter som bland annat följer av personuppgiftsansvaret
• Vara ett självklart alternativ till att utforma separata lösningar för hanteringen av identiteter och behörigheter, separat för varje enskilt system, i varje enskild organisation
• Tillhandahålla en gemensam och tydlig infrastruktur, baserad på standard, som erbjuder marknaden en tydlig bas för tillhandahållande av effektiva e-tjänster
• Fungera som ett forum som verkar för medlemmarnas gemensamma intressen, verkar för samverkan, kunskapsutveckling, erfarenhetsutbyte och där spridning av goda exempel möjliggörs
![Page 185: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/185.jpg)
Sammanfattning, Sambi är en federation
En identitetsfederation är en sammanslutning av organisationersom har kommit överens om att lita på varandras elektroniska identiteter och behörighetsstyrande attribut för att underlätta användarnas åtkomst till elektroniska tjänster och skydda den personliga integriteten. Genom Sambi och dess ramverk uppnås ovanstående.
Sambifederationen blir vad federationens medlemmar vill att Sambi ska bli!
![Page 186: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/186.jpg)
Sammanfattning, tekniska standarder
![Page 187: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/187.jpg)
ANVÄNDARORGANISATION TJÄNSTELEVERANTÖR
E-TJÄNST
INTYGSUTGIVARE
Intyget ska innehålla uppgifter för att E-tjänsten ska kunna fatta beslut om åtkomst
INTYGpseudonym
+ attribut
SAML 2.0 är den tekniska standarden
![Page 188: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/188.jpg)
ANVÄNDARORGANISATION TJÄNSTELEVERANTÖR
E-TJÄNST
ATTRIBUTS-REGISTER
INTYGSUTGIVARE
INTYGpseudonym
+ attribut
Sammanfattning, distribuerat ansvar
Varje Användarorganisation ansvarar för att dess kataloguppgifter är korrekta
e-Tjänsten fattar åtkomstbeslut baserat på attribut i biljetten
![Page 189: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/189.jpg)
Sammanfattning, Sambis TillitsramverkSyftet är att medlemmarna ska känna tillit till varandra eftersom de vet att medlemmarna uppnår en känd säkerhetsnivå.
• Ramverket är uppdelat i följande delar• Generella krav• E-legitimationsutfärdare• Attributsutgivare• Identitetsintygsutgivare• Tjänsteleverantör• Sambiombud
![Page 190: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/190.jpg)
Examensprov
Vilka 3 viktiga saker säkerställer SAML-biljettens riktighet?
• Signerad
• ID på inloggningsbegäran (AuthnRequest Id/InResponseTo)
• Utställd till (Recipient)
![Page 191: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/191.jpg)
Frågor, kommentarer?
![Page 192: Välkomna till introduktionskurs i Sambi · 9. att kravställa federativ förmåga i varje tjänst. 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används](https://reader033.vdocuments.net/reader033/viewer/2022060601/6055b0014d15132da9215cd3/html5/thumbnails/192.jpg)
Tack för visat intresse!Fyll gärna i utvärderingsformuläret.