Internet-authenticatie management (A-select) Erik Flikkenschild

Internet-authenticatie management (A-select) Erik Flikkenschild [email protected]

Inhoud:

• Begrippenkader gezondheidszorg • A-select scope • A-select architectuur • LUMC implementatie • De uitdaging voor 8 UMC’s

Computable seminar: goede authenticatie essentieel

2

23 maart 2006

Gezondheidszorg: begrippenkaders EPD

Elektronisch Patiënten Dossier

EMD

Elektronisch Medicatie Dossier

NICTIZ

Nationaal ICT instituut in de Zorg

AORTA

Landelijke basisinfrastructuur (landelijk schakelpunt)

CIBG

Centraal Informatiepunt voor Beroepen in de Gezondheidszorg

UZI

Unieke Zorgverlener Identificatieregister (UZI pas)

BSN

Burger Service Nummer in de zorg (identificatie van patiënten)


3

23 maart 2006

A-select scope • Open source middleware met als doel user authenticatie en autorisatie tussen netwerklaag en applicatie te implementeren

• Doelgroep inmiddels bijna de gehele (NL) overheid; in de gezondheidszorg alleen het LUMC • Doelstelling A-select is het afhandelen van userauthenticatie vanaf het internet netwerk (toegang tot webapplicaties) • Draagt bij aan Reduced Sign-On binnen organisatie maar ook tussen organisaties (federatief)


4

23 maart 2006

Key concepts: User Identificatie en Authenticatie

Single logon / Single logout

(IAA )

UMC Zorgverlener Student/docent Onderzoeker Ondersteuner

User autorisatie

Accounting En Logging (auditing)

uur t c u r t s e ev Federati ird party th Trusted Computable seminar: goede authenticatie essentieel

5

23 maart 2006

Complexiteitsreductie: reduced Sign On

Identity Crisis

Joe’s Fish Market.Com Tropical, Fresh Water, Shell Fish, Lobster,Frogs, Whales, Seals, Clams

Reduced Sign On ! Computable seminar: goede authenticatie essentieel

6

23 maart 2006

A-select: architectuur

arts

UMC

EPD


7

23 maart 2006

Technical Architecture

User Authentication Authentication Authority (HS)

Applications Attribute Authority (AA)

mod_shib, isapi_shib, etc.

Protocol Engine IdP Core

Protocol Engine

NameID Attribute ARP Resolver Resolver Engine

SP Core

Shibboleth Core Metadata OpenSAML Computable seminar: goede authenticatie essentieel

8

Session Attribute Cache Filtering

Trust

Access Control

Credentials

23 maart 2006

A-select functionaliteit Internet Login: Password:

Externe Service provider

Citrix Web applicatie LUMCnet A-Select

Web applicatie In DMZ

Authenticatie manager


9

23 maart 2006

A-select: Ondersteunde AuthN-middelen

SURFkey met Rabobank card

User/passwrd via RADIUS

SURFkey met ABN AMRO card

User/passwrd uit LDAP

SURFkey GSM

MySQL/database

PKI/Soft certificate

IP-adres

RSA token via RADIUS

MS Passport

Passfaces

(experimentele demonstrator) Op de agenda ING bank, BVE-kaart?


10

23 maart 2006

UZI-pas of bankpas?

• 3 Functies • Authenticatie • Vertrouwelijkheid en integriteit • Onweerlegbaarheid / handtekening

• • • • •

Normen voor productie, uitgifte en kaartlezer Uitgifte door UZI-register / CIBG via postkantoor Introductie per project Eerste applicaties / ervaringen Info: www.uzi-register.nl


11

23 maart 2006

LUMC remote toegang overview remote site

firewall

voorwaarde: windows XP (sp2)

Outlook 2003 client

RPC over http berichten ophalen

OWA in (any) browse r

ISA server

Webcommunity server Front-End met outlook web access

lezen Radius

LUMCnet

standaard netwerkdrives (H-I- J schijf)

mailbox server(s)

Plugin Nfuse (Citrix client) A-select

banquaire user authenticatie Computable seminar: goede authenticatie essentieel

authentication manager

12

Nfuse portal: Metaframe applicaties (Outlook 2000) 23 maart 2006

remote desktop: opstarten van een applicatie


13

23 maart 2006

De authenticatie uitdaging voor 8 UMC’s

• Remote toegang: soepel kunnen migreren van wachtwoorden naar 2-way authenticatie • Interne toegang: (snelle) authenticatiemogelijkheid met als doel een single sign on • Ook in poli onderzoekkamers snelle afhandeling naar landelijk schakelpunt (landelijk Electronisch Patientendossier) • Federatieve vertrouwensstructuren (Shibboleth, SAML 2.0) voor (UZI?) pas gebruikers tussen 8 UMC authenticatieservers of LSP?


14

23 maart 2006

Federative Simplified Sign-On No longer need to provide authentication for each service. Once a user has authenticated she can use the other services directly and securely.

LUMC

Identity Provider

ABN Erik E-dentifier xxx

LUMC AD

Initial Authentication

Shared Authentication Domain

Access federated services Erasmus-MC

Service Provider Erasmusnet

Welkom Erik Flikkenschild You’re signed on.


Source: Liberty Alliance

15

23 maart 2006

Hoe nu verder?

A-select?


16

23 maart 2006

Internet-authenticatie management (A-select) Erik Flikkenschild

Recommend Documents