Ny føderationsløsning på vej
16-9 2008
Globeteam er påbegyndt udvikling af endnu en komplet og meget kompleks føderationsløsning til en kunde i den offentlige sektor. 100 offentlige organisationer og ca. 3.000 brugere forventes at komme til at bruge løsningen.
”Det helt overordnede formål med føderationsløsningen er at give kunden et centralt punkt for al bruger- og rollestyring ud mod deres partnere såvel som over mod deres applikationsportefølje. Dette medfører i sagens natur en række væsentlige forbedringer for kunden såvel som kundens partnere, ” siger Morten Strunge Nielsen, Principal for Microsoft Team, Globeteam.
Fordele for partnerne
For partnerne betyder føderationsløsningen, at det bliver væsentligt simplere, konsistent og lettilgængeligt at styre adgangen til kundens systemer samtidig med, at slutbrugerne får single sign-on. Det vil sige, at brugere får adgang til alle kundens systemer med et enkelt login.
Fordele for kunden
For kunden bliver det væsentligt nemmere (og dermed også billigere) at udvikle systemer, idet applikationsudviklerne ikke skal bruge tid på at håndtere selve sikkerheds- og rollestyringen. Applikationsudviklerne behøver således kun at tage stilling til, hvorvidt man er i stand til at benytte nogle af de eksisterende roller, eller der er behov for at indføre applikationsspecifikke roller.
Løsningen betyder tillige, at kunden opnår en væsentlig forbedring af sikkerhedsniveauet, idet det umiddelbart er muligt at se alle administrationshændelser, samt hvornår hver enkelt bruger har logget på hvilket system.
Udviklingen af løsningen blev påbegyndt i juli måned 2008. Den forventes idrifttaget medio december 2008. Løsningen bygger i vid udstrækning på de teknologier og teknikker, som blev udviklet til Danmarks Miljøportal, og som ligeledes vil finde anvendelse i vore fremtidige løsninger.
Læs kundehistorien om Danmarks Miljøportal:
"Single Sign On-løsning er en teknologisk landvinding for Danmarks Miljøportal".
Kort om føderationsløsningen
Løsningen er 100% baseret på den fødererede model og anvender Active Directory til lagring af alle informationer om brugere og roller. Løsningen er i øvrigt baseret på login ved hjælp af OCES-certifikater, og den er baseret på udveksling af SAML 2.0 token i overensstemmelse med DK-SAML standarden.
Indtil videre er løsningen begrænset til kundens traditionelle webapplikationer, og der tilbydes ikke føderation til partnerne. Men det vil være muligt at udbygge den med støtte af web services såvel som føderation ud mod partnerne, såfremt kunden måtte beslutte dette.
Løsningen er tilpasset et meget avancerede rollesystem, hvor rettighedstildelingen sker baseret på fagsystemroller kombineret med nogle separate enhedshierarkier (der tæller ca. 20.000 enheder), som benyttes i den pågældende sektor. Dette betyder i al praksis, at man vil operere med et flerdimensionelt rollesystem, hvilket betyder en eksplosion i antallet af mulige roller.
Løsningen indeholder en web-baseret administratorportal, der gør det muligt for kunden at uddelegere administrationen af brugere og roller til partnerne.
Eftersom løsningen bygger på en føderal model, vil det på sigt være muligt for partnerorganisationerne fx regioner, kommuner og private virksomheder at tilslutte sig via fødereret login, såfremt kunden beslutter sig for at åbne for denne mulighed. Dette vil i givet fald betyde, at slutbrugerne hos partnerne får fuld single sign-on. Det vil sige, at de ikke behøver at udføre et separat login for at få adgang til kundens systemer, men derimod blot udnytter deres allerede udførte login til partnerorganisationen for dette. Ligeledes vil det betyde, at partnerorganisationen ikke behøver at udføre selvstændig administration af deres brugere og disses rolletilhørshold i forhold til kundens systemer.
Løsningen indeholder i øvrigt fuld logning af alle hændelser samt værktøjer til proaktiv identifikation af potentielle angreb samt analyse af forskellige hændelser.