Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

26
Dr. Arne Tauber Eisenstadt, 03.06.2014 Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Identitätsmanagement der nächsten Generation …mit der österreichischen Handy- Signatur

description

Mit der Neuauflage der Open-Source Software MOA-ID in der Version 2.0 wurde im März 2014 ein neuer Meilenstein im Bereich des Identitätsmanagements für Bürgerkarte und Handy-Signatur erreicht. Modulare Schnittstellen ermöglichen die Unterstützung von beliebigen Identitätsprotokollen wie SAML 2 (PVP 2) oder das in der Industrie weit verbreitete OpenID Connect (OAuth) Protokoll und somit eine nahtlose Integration in die unternehmenseigene Identitätsmanagementinfrastruktur. Aber auch Enterprise Features wie Clusterfähigkeit (für einen verteilten Betrieb), Mandantenfähigkeit, Vertretungsmanagement oder Single-Sign-On (SSO) zählen nunmehr zur Standardausführung. Mit der Unterstützung der PVP2 bzw. STORK Schnittstellen ist zudem ein digitaler Brückenschlag zwischen der nationalen eID in Form der Bürgerkarte bzw. Handy-Signatur und der heimischen Infrastruktur des Portalverbunds bzw. europäischen eID Infrastruktur gelungen. Der Vortrag beleuchtet die wesentlichen Neuerungen der Open-Source Software MOA-ID der Plattform Digitales Österreich und zeigt welche Vorteile sich durch eine Integration sowohl für die Verwaltung als auch Unternehmen ergeben.

Transcript of Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Page 1: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Dr. Arne TauberEisenstadt, 03.06.2014

Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des

Bundeskanzleramtes und der TU Graz

Identitätsmanagement der nächsten

Generation…mit der österreichischen Handy-Signatur

Page 2: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 2

Eindeutige Identität

Page 3: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 3

Starke Authentifizierung

Page 4: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 4

Einfache Bedienung

Page 5: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 5

EU E-Government Benchmark 2014

(Good Practices)

» “It is an easy-to-use qualified electronic signature that fosters trust and security, reliability and authenticity for Government and beyond.”

» “Austria literally achieved in squaring the circle: with this innovative solution a qualified electronic signature can be created in the easiest possible way by simply using a standard mobile phone. Barriers from the need of soft- or hardware installation and additional investments completely fall away.”

Page 6: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 6

Erfolgsmodell Handy-Signatur

Page 7: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 7

MOA-ID 1.x – State of the art?

» Bürgerseite» Aktuellste SL-Spezifikation» Sämtliche BKUs

» Identity/Service Provider» Identitätsprotokolle

» SAML 1.0 (2002)» Artifact Resolution

» Weitere IdP-Features?

Seite: http://evateuling.blogspot.co.at

Page 8: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 8

MOA-ID 1.x – State of the art?

» Bürgerseite» Aktuellste SL-Spezifikation» Sämtliche BKUs

» Identity/Service Provider» Identitätsprotokolle

» SAML 1.0 (2002)» Artifact Resolution

» Weitere IdP-Features?

Seite: http://evateuling.blogspot.co.at

Isolierter Betrieb

Page 9: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 9

IdentitätsmanagementAktuelle Trends

» Mobile Computing» MDM, BYOD, …

» Cloud Computing» IaaS, PaaS, SaaS, XaaS, …» Pulic, Private, Community, Hybrid cloud

» Interoperabilität» Federation, Broker, Bridges, …

Page 10: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 10

Identity Management as a Service (IDMaaS)

» Handy-Signatur eine Art „Cloud Service“?» Ziele eines „zentralisierten“ Betriebs

» Hochverfügbarkeit / Skalierbarkeit» Kostenreduktion» Multi-tenancy (Mandatenfähigkeit)

» Modelle» Public Cloud (Datenschutzbedenken)» Private Cloud» Hybrid Cloud (Enterprise & Cloud)» Shared Service

Page 11: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 11

Identity Management as a Service (IDMaaS)

» Handy-Signatur eine Art „Cloud Service“?» Ziele eines „zentralisierten“ Betriebs

» Hochverfügbarkeit / Skalierbarkeit» Kostenreduktion» Multi-tenancy (Mandatenfähigkeit)

» Modelle» Public Cloud (Datenschutzbedenken)» Private Cloud» Hybrid Cloud (Enterprise & Cloud)» Shared Service

Page 12: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 12

Interoperabilität

» Fragmentierte IDM Landschaft» Unzählige Produkte, Systeme, Plattformen

» Microsoft, IBM, Oracle, …

» Trend geht in Richtung Interoperabilität» Federation / Standards

» SAML 2, OAuth, OpenID, CAS, WS-Federation

» Bridges» Identity Broker (Skidentity)

Page 13: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 13

Interoperabilität

» Fragmentierte IDM Landschaft» Unzählige Produkte, Systeme, Plattformen

» Microsoft, IBM, Oracle, …

» Trend geht in Richtung Interoperabilität» Federation / Standards

» SAML 2, OAuth, OpenID, CAS, WS-Federation

» Bridges» Identity Broker (Skidentity)

Page 14: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 14

Paradigmenwechsel

Isolierter Betrieb Zentraler Betrieb Interoperabilität

Page 15: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 15

Modulares Identitätsmanagement

» Trennung von Programmlogik & Daten» Persistente Daten (Konfiguration)» Flüchtige Daten (Session Informationen)

» Identitätsprotokolle» SAML1, SAML2 (PVP2), STORK, OAuth, …

» Authentifizierungsmechanismen» Handy-Signatur / STORK / Next?

Page 16: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 16

MOA-ID 2.x Architektur

Page 17: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 17

Features (1)

» Clusterfähigkeit / Skalierbarkeit» 1 Datenbank – n MOA Instanzen

» Multi-tenancy» DB-basierte Konfiguration» GUI-basierte Registrierung / Verwaltung

» Plugin-basierte Identitätsprotokolle» PVP2 (Verwaltung) als Standardvariante» OAuth für Privatwirtschaft» STORK (ausl. Identitäten)» SAML1 (Abwärtskompatibilität)

Page 18: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 18

SAML 2 (PVP2 Profil)

» PVP 2.1» E-Government Attribut Profil

Page 19: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 19

Features (2)

» Single-Sign-On (SSO)» 1x Authentifizieren, n-mal Anmelden

» Federated SSO» Weitergabe von Anmeldedaten zwischen

MOA Instanzen» Single-Logout (SLO)» Statistikfunktion (DB)» Integrierte Monitoringfunktionalität» Fehlerhandling, Templategenerierung, …

Page 20: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 20

SSO von MyHelp zu FinanzOnline

(Gleiche Domäne)» Link Klick „FON“» Redirect zu FON» FON holt

Identitätsdaten von MOA 2.0 (BRZ) ab über» Assertion von MOA

berechnet

» Voraussetzungen:» MOA 2.0

MOA 2.0(Help.gv.at)

CACHEPersB+Signatur

MyHelp

IdentitätsdatenBereich (SA)

FON

Page 21: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 21

Features (2)

» Single-Sign-On (SSO)» 1x Authentifizieren, n-mal Anmelden

» Federated SSO» Weitergabe von Anmeldedaten zwischen

MOA Instanzen» Single-Logout (SLO)» Statistikfunktion (DB)» Integrierte Monitoringfunktionalität» Fehlerhandling, Templategenerierung, …

Page 22: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 22

SSO von MyHelp zu Zustelldienst

(Unterschiedliche Domänen)» Link Klick „ZD-X“» Redirect zu MOA (2.0)

des ZD» MOA 2.0 (ZD) holt

Identitätsdaten von MOA 2.0 (Help) ab über» PVP 2.1 (C2GToken)» Berechnung bPK aus PersB

Cache

» Voraussetzungen:» MOA 2.0 / PVP 2.1

» Anmerkung: Abholung von Zustellstücken über PVP2.1 Signatur = automatisiert ausgelöste Signatur nach §35(3) ZustG

Page 23: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 23

Features (2)

» Single-Sign-On (SSO)» 1x Authentifizieren, n-mal Anmelden

» Federated SSO» Weitergabe von Anmeldedaten zwischen

MOA Instanzen» Single-Logout (SLO)» Statistikfunktion (DB)» Integrierte Monitoringfunktionalität» Fehlerhandling, Templategenerierung, …

Page 24: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 24

Automatische Templategenerierung

Page 25: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne TauberEisenstadt, 03.06.2014 25

Ausblick

» Neue Technologien» SMS Alternativen, …

» Modularisierung Attribute Provider» Derzeit Online-Vollmachten» Weitere Registerabfragen (ZMR, …)

» Betrieb als kritische Infrastruktur

Page 26: Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur

Arne Tauber – [email protected]

Vielen Dank für die Aufmerksamkeit!