Federoinnin vaikeat käyttötapaukset palveluntarjoajille (SP) Kim Westerlund johtava konsultti, Nixu We must defend the Customer from risks, but purely defensive approach may prevent us from seeing opportuni:es.
Nixun taustaa Useita WebSSO + SAML -projekteja julkishallinnossa ja suuryrityksille Projektit ovat usein muuta kuin suoraviivaisia SAMLintegraatioprojekteja Nixulla on käyttöönottoon keskittyvä menetelmä, koska tekniikka on liian helppoa (johtaa). SARA apurahahakemuspalvelu tutkijoille >7 000 käy9äjää 60% 70% käy9äjiä KTJ selainaetopalvelu kunnille, viranomaisille, kiinteistöväli9äjille ja luotonantajille >10 000 käy9äjää Paljon käy9äjiä
SP:n tulee tunnistaa käyttötapaukset Yhdistä paikalliseen tunnukseen Yhdiste9yjen Alien hallinta Kirjautuminen Ongelmanhallinta Federoitu tunnus SSO Käy9övaltuushallinta Pääkäyttäjä Logout Tilin luominen Paikallinen tunnus Rekisteröityminen Palauta unohtunut salasana Sisäinen käyttäjä Vaihda salasana Omien k.aetojen hallinta Koskee vain paikallisia Koskee vain federoituja käyttäjiä Koskee molempia käyttötapauksia
Esimerkki Akatemian SARA-SP:n suunnittelusta
Muistilista SP:lle Onko järjestelmässä paikallinen tili tai profiili? Luodaanko käyttäjä automaattisesti? Miten tili poistuu kun käyttäjältä poistuu syy käyttää järjestelmää? Miten paikallisten tilien yhdistäminen hoidetaan? Mitä tehdään yhdistetyn tilin paikalliselle salasanalle? Säilyykö tili organisaatiovaihdon yhteydessä? Miten omat käyttäjät tunnistetaan? Entä pääkäyttäjät? Valitse tunnistustasot hyväksytäänkö weak kaikkiin toimintoihin? Miten tarkistetaan että virtuhomeorganization vastaa IdP:n organisaatiota Mihin palvelun käyttövaltuudet perustuvat? Mitä tietoja (attribuutteja) palvelu tarvitsee esim. tilin provisiointiin? Miten hoidetaan käyttäjän hätäpoisto/-muokkaus? Miten hoidetaan valvonta ja end-to-end ongelmanselvitys? h9p://www.csc.fi/sivut/virtu/tekniikka/ohjeet_ja_suositukset/sp kay9oono9osuunnitelma.pdf h9p://www.csc.fi/sivut/virtu/tekniikka/ohjeet_ja_suositukset/idp kay9oono9osuunnitelma.pdf
Miten Nixu voi auttaa liittymään luottamusverkkoon? Poistamalla yllätykset! Esiselvitys Käy9ötapaukset VaaAmusmääri9ely [Prosessikartoitus] Tietoturvatason määri9ely Hankinta Tarjouspyyntö (valmistohjelmisto tai palvelu) VaaAmustenmukaisuuden arvioina Sopimusneuvotelut Toteutus Ke9erä tekninen toteutus [Uusien prosessien määri9ely] Testaus eri IdP/SP tahojen kanssa Tietoturva auditoina Käy9ööno9o Palvelun rekisteröina CSC:lle/VIP:lle 2 kk:n pilo` Käy9öönoton suunni9elu Ratkaisutuki jatkuvana palveluna
Kiitos nixu.sales@nixu.com tai kim.westerlund@nixu.com p. 040 5123 125
Nixu kumppanina Pohjoismaiden suurin tietoturvan asiantuntijapalveluyritys 80 henkeä Perustettu 1988, liikevaihto > 8 M Sertifioitu maksukorttitietoturvan (PCI DSS) auditoija Tuotteistetut menetelmät ja jatkuva kehitys n. 100 asiakasta yli 200 projektissa vuonna 2008 95 % asiakkaistamme on valmis suosittelemaan kollegalleen (kevät 09) www.nixu.fi 2/4/10 Nixu 2009
Nixun palvelualueet Advise ohjeistaa Build rakentaa Develop kehi+ää Inspect tarkastaa Tietoturvastrategia Riskienhallinta Jatkuvuussuunnittelu Tietoturvapolitiikat ja ohjeistot Tietoturvakulttuurin luonti ja jalkautus Vaatimustenmukaisuus Identiteetinhallinnan konsultointi ja toteutus Pääsynhallinta PKI kehitys Lokienhallinnan konsultointi Turva-arkkitehtuuri Turvallinen ohjelmistokehitys Linux/embedded ohjelmistokehitys Secure SDLC PCI DSS auditoinnit Tietoturva-auditoinnit Verkon murtotestaus Web-sovellusten murtotestaus Forensiikka Testausautomaatio Feb-4-10 Nixu 2009