Technische Integration der SuisseID

Verein Trägerschaft SuisseID

Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern Verein Trägerschaft SuisseID

Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

SuisseID Provider Forum 2013 Technische Integration

Nick Hangartner [email protected]

August 2013 1


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

Agenda

Was ist die SuisseID?

Technische Grundlagen

Integrationsmöglichkeiten

Login

Digitale Unterschrift

August 2013 2


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern


• Die SuisseID ist der schweizerische Standard für einen

elektronischen Identitätsausweis im Internet, der die

rechtliche und technische Voraussetzung für digitale

Geschäftsprozesse schafft.

• Die SuisseID bietet eine einfache Nutzung hochwertiger

Sicherheitstechnologie für ein sicheres Login und die

rechtsgültige digitale Signatur.

August 2013 3


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

Woraus besteht die SuisseID?

• Öffentlicher Standard

Die SuisseID Spezifikationen

• Marke

Erkennbar und unverwechselbar

• Technische Hilfsmittel

SuisseID Zertifikate, Smartcard, SuisseID IdP, SuisseID SDK

• Services

SuisseID Services

August 2013 4


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

Welche Anforderungen deckt die SuisseID ab?

August 2013 5

Anwender

• Einfach und sicher

• Benutzerfreundlich

• Passepartout

• Vertraulichkeit

Service Provider

• Fokussierung auf Kernprozesse

• Zugriffssicherheit

• Automatiserung von Prozessen

• Service-Erweiterung

Gesetz

• OR Art. 14 Abs 2bis

• ZertES

• ElDI-V


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

Agenda



Anwendungsintegration

Login


August 2013 6


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

Konzept SuisseID

Einordnung in Identity and Access Management IAM

August 2013 7

Identität

Authentisierung

Autorisierung

Ressourcen

• Auf Stufe Pass / Identitätskarte

• Verifizierte Angaben

• Eindeutige Identifikation

• 2 Faktor

• Hardware Token

• Authentisierungs-Service


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

August 2013 8

Bezug

• Face to face

• Behörden, Post, Unternehmen

• Logistik

Inbetriebnahme

• Installation

• Aktivierung

Wartung

• Ersatz

• Passwort / PUK

• Erneuerung

• Sperrung

Support

• Online

• Telefon


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

Konzept SuisseID

Technische Komponenten

• SuisseID Smartcard Token • Vorname, Name, SuisseID Nummer

• E-Mail-Adresse

• Authentisierungzertifikat (IAC) / Signaturzertifikat (QC)

• SuisseID Identity Provider (IdP) • Cloud Service

• Erweiterte validierte Daten

• Alternative Authentisierungs-Methoden / Tokens

• Freigabe unter Kontrolle vom Benutzer

• Teilweise anonymisiert – z. B. 16 / 18 Jahre alt oder älter

August 2013 9


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

Agenda




Login


August 2013 10


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern


Client und Cloud

• Client: Wie integriere ich die SuisseID auf einem Client?

Wie kann der Benutzer die SuisseID nutzen?

• Cloud: Wie integriere ich die SuisseID Funktionalität in

meine Cloud- / Web-Applikation?

August 2013 11


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

Erfolgskritische Fragen vor der Integration

• Welche Güte soll die Identifikation haben – rechtlich,

Branchenvorgaben, interne Policy?

• Welche Qualität soll die Authentisierung haben?

• Können verifizierte Daten Registrierungs- oder

Authorisierungsprozesse vereinfachen?

• Wie hängen Identitäten und Accounts zusammen?

• Integration in Anwendung direkt oder über Proxy /

Firewall?

• Support von technischen Standards / Schnittstellen?

August 2013 12


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

Agenda




Login


August 2013 13


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

Zertifikats-Login

Mutual SSL

• Browser mit Smartcard-Unterstützung

• Konfiguration in Webserver (z. B. Apache „SSLRequire”),

Applikationsserver, Proxy, Firewalls

• Zertifikatsdaten in Variablen, HTTP-Header, Cookies

August 2013 14

1. Access protected resource

2. Request certificate 3. Authenticate

4. Provide credentials

Browser

Service Provider SuisseID

Smartcard


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

Zertifikats-Login

Identifikationsmerkmal im IAC Zertifikat

August 2013 15

CN=Hans Muster (Authentication) Vorname Nachname

/serialNumber=1300-xxxx-xxxx-xxxx SuisseID Nummer einer Person gehörend

/eMail= [email protected] E-Mail-Adresse (optional)

/O=Firma, /OU=Einheit, /C=Land Organisation (optional)


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

IDP-Login

SAML Login und Attribute Query

August 2013 16

User Agent (Web Browser)

Service Provider (Web-Anwendung)

SuisseID Smartcard / SMS

Identity Provider

http://www.google.ch/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=qOz9HZMK6-QsHM&tbnid=LVzwrV1tNAm1lM:&ved=0CAUQjRw&url=http://www.123rf.com/clipart-vector/handphone.html&ei=nGMLUoGFKMLiO5OIgagK&bvm=bv.50723672,d.Yms&psig=AFQjCNEv54pWFW4TJuKzp48yOiZeo7Z4Hw&ust=1376564476560839


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

August 2013 17

IDP-Login

SAML 2.0 Technischer Ablauf

//upload.wikimedia.org/wikipedia/en/0/04/Saml2-browser-sso-redirect-post.png


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

Schnittstelle Definition

Service Provider

• Eindeutig über SAML Issuer identifiziert, z. B. http://sp.mycompany.ch

• SAML 2.0 AuthnRequest (Login) / AttributeQuery (Datenabfrage)

• SuisseID SDK for Java (OpenSAML) und .NET

• 3rd party SDK / Library (PHP: SimpleSAML etc.)

• Response end point SAML ConsumerURL

• QC Signed Attributes / Plain Attributes

Identity Provider

• Neu : eine IdP für alle SuisseID‘s

August 2013 18

http://sp.mycompany.ch/


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

Vorname Art des Ausweisdokuments

Name Ausgabeland des Ausweisdokuments

Evtl. Pseudonym Ausgabebehörde des Ausweisdokuments

Geburtsdatum Ausgabedatum des Ausweisdokuments

Teilweises Geburtsdatum Ablaufdatum des Ausweisdokuments

Geburtsort Alter

Heimatort und Bürgerort > 16 Jahre

Geschlecht > 18 Jahre

Nationalität Vollendetes Altersjahr

Nummer des

Ausweisdokuments

Schweizer Bürger(in)

August 2013 Seite 19

IDP-Login

Abfrageattribute


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

IDP-Login

Integration und Support

• Service Provider Registration

• www.post.ch/suisseid/support/techdoc/service-provider-

registration

• Information über Wartungsarbeiten, Neuerungen

• Produktion und Testumgebungen

• Test mit Soft-Zertifikaten möglich

• Demo Service Provider (Teil des SDK)

https://idp.signdemo.com/webapp-sp

August 2013 20

http://www.post.ch/suisseid/support/techdoc/service-provider-registration









Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

Agenda




Login


August 2013 21


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern


Rechtsgültig unterschreiben

Client mit Anwendung SuisseID Smartcard Token

• PKCS#11 Libraries: Java, BouncyCastle (Java), iText (PDF),

Microsoft .NET

• SuisseID bietet PKCS#11 Schnittstelle auf Windows, Mac OS X,

Linux


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern


Digitale Unterschrift – Beispiel PDF Signatur


Geschäftsstelle

Steinerstrasse 37

CH-3006 Bern

Ressourcen

Weitere Informationen für die Integration

• SuisseID Spezifikation

www.suisseid.ch/unternehmen/technik

• SuisseID Software Development Kit (SDK)

develop.suisseid.ch

• Technische Dokumentation

www.post.ch/suisseid/de/support/techdoc

• SuisseID Mobile Service

www.post.ch/suisseid/mobileservice


http://www.suisseid.ch/unternehmen/technik

http://www.develop.suisseid.ch/

http://www.post.ch/suisseid/de/support/techdoc

http://www.post.ch/suisseid/mobileservice

Technische Integration der SuisseID

Technology

Transcript of Technische Integration der SuisseID