Internet-authenticatie management (A-select) Erik Flikkenschild
[email protected]
Inhoud:
• Begrippenkader gezondheidszorg • A-select scope • A-select architectuur • LUMC implementatie • De uitdaging voor 8 UMC’s
Computable seminar: goede authenticatie essentieel
2
23 maart 2006
Gezondheidszorg: begrippenkaders EPD
Elektronisch Patiënten Dossier
EMD
Elektronisch Medicatie Dossier
NICTIZ
Nationaal ICT instituut in de Zorg
AORTA
Landelijke basisinfrastructuur (landelijk schakelpunt)
CIBG
Centraal Informatiepunt voor Beroepen in de Gezondheidszorg
UZI
Unieke Zorgverlener Identificatieregister (UZI pas)
BSN
Burger Service Nummer in de zorg (identificatie van patiënten)
Computable seminar: goede authenticatie essentieel
3
23 maart 2006
A-select scope • Open source middleware met als doel user authenticatie en autorisatie tussen netwerklaag en applicatie te implementeren
• Doelgroep inmiddels bijna de gehele (NL) overheid; in de gezondheidszorg alleen het LUMC • Doelstelling A-select is het afhandelen van userauthenticatie vanaf het internet netwerk (toegang tot webapplicaties) • Draagt bij aan Reduced Sign-On binnen organisatie maar ook tussen organisaties (federatief)
Computable seminar: goede authenticatie essentieel
4
23 maart 2006
Key concepts: User Identificatie en Authenticatie
Single logon / Single logout
(IAA )
UMC Zorgverlener Student/docent Onderzoeker Ondersteuner
User autorisatie
Accounting En Logging (auditing)
uur t c u r t s e ev Federati ird party th Trusted Computable seminar: goede authenticatie essentieel
5
23 maart 2006
Complexiteitsreductie: reduced Sign On
Identity Crisis
Joe’s Fish Market.Com Tropical, Fresh Water, Shell Fish, Lobster,Frogs, Whales, Seals, Clams
Reduced Sign On ! Computable seminar: goede authenticatie essentieel
6
23 maart 2006
A-select: architectuur
arts
UMC
EPD
Computable seminar: goede authenticatie essentieel
7
23 maart 2006
Technical Architecture
User Authentication Authentication Authority (HS)
Applications Attribute Authority (AA)
mod_shib, isapi_shib, etc.
Protocol Engine IdP Core
Protocol Engine
NameID Attribute ARP Resolver Resolver Engine
SP Core
Shibboleth Core Metadata OpenSAML Computable seminar: goede authenticatie essentieel
8
Session Attribute Cache Filtering
Trust
Access Control
Credentials
23 maart 2006
A-select functionaliteit Internet Login: Password:
Externe Service provider
Citrix Web applicatie LUMCnet A-Select
Web applicatie In DMZ
Authenticatie manager
Computable seminar: goede authenticatie essentieel
9
23 maart 2006
A-select: Ondersteunde AuthN-middelen
SURFkey met Rabobank card
User/passwrd via RADIUS
SURFkey met ABN AMRO card
User/passwrd uit LDAP
SURFkey GSM
MySQL/database
PKI/Soft certificate
IP-adres
RSA token via RADIUS
MS Passport
Passfaces
(experimentele demonstrator) Op de agenda ING bank, BVE-kaart?
Computable seminar: goede authenticatie essentieel
10
23 maart 2006
UZI-pas of bankpas?
• 3 Functies • Authenticatie • Vertrouwelijkheid en integriteit • Onweerlegbaarheid / handtekening
• • • • •
Normen voor productie, uitgifte en kaartlezer Uitgifte door UZI-register / CIBG via postkantoor Introductie per project Eerste applicaties / ervaringen Info: www.uzi-register.nl
Computable seminar: goede authenticatie essentieel
11
23 maart 2006
LUMC remote toegang overview remote site
firewall
voorwaarde: windows XP (sp2)
Outlook 2003 client
RPC over http berichten ophalen
OWA in (any) browse r
ISA server
Webcommunity server Front-End met outlook web access
lezen Radius
LUMCnet
standaard netwerkdrives (H-I- J schijf)
mailbox server(s)
Plugin Nfuse (Citrix client) A-select
banquaire user authenticatie Computable seminar: goede authenticatie essentieel
authentication manager
12
Nfuse portal: Metaframe applicaties (Outlook 2000) 23 maart 2006
remote desktop: opstarten van een applicatie
Computable seminar: goede authenticatie essentieel
13
23 maart 2006
De authenticatie uitdaging voor 8 UMC’s
• Remote toegang: soepel kunnen migreren van wachtwoorden naar 2-way authenticatie • Interne toegang: (snelle) authenticatiemogelijkheid met als doel een single sign on • Ook in poli onderzoekkamers snelle afhandeling naar landelijk schakelpunt (landelijk Electronisch Patientendossier) • Federatieve vertrouwensstructuren (Shibboleth, SAML 2.0) voor (UZI?) pas gebruikers tussen 8 UMC authenticatieservers of LSP?
Computable seminar: goede authenticatie essentieel
14
23 maart 2006
Federative Simplified Sign-On No longer need to provide authentication for each service. Once a user has authenticated she can use the other services directly and securely.
LUMC
Identity Provider
ABN Erik E-dentifier xxx
LUMC AD
Initial Authentication
Shared Authentication Domain
Access federated services Erasmus-MC
Service Provider Erasmusnet
Welkom Erik Flikkenschild You’re signed on.
Computable seminar: goede authenticatie essentieel
Source: Liberty Alliance
15
23 maart 2006
Hoe nu verder?
A-select?
Computable seminar: goede authenticatie essentieel
16
23 maart 2006