Single Sign On Opstartsmde September 2019 Agenda Velkomst
Single Sign On – Opstartsmøde September 2019
Agenda • Velkomst • Hvad er MODST SSO • Gennemgang af tidsplanen • Implementeringsprocessen • Spørgsmål 2 2
MODST SSO 3
Hvad er MODST SSO? • Single sign-on (SSO) er en adgangskontrol, med den egenskab, at en bruger kan logge på én gang og få adgang til alle systemer uden at blive afkrævet login for hvert system/applikation. • MODST SSO koster ikke ekstra, da det er en del af infrastrukturen for MODST systemer • Moderniseringsstyrelsens Single Sign-On-løsning (MODST SSO) er et ”omstillingsbord” – et klik og brugeren er inde i fagsystemet – MODST SSO formidler tillid (trust) mellem institutionernes brugerkataloger (Identity Provider = Id. P – fx AD) og fagsystemer (Service Provider = SP – fx Ind. Fak/Rejs. Ud) – MODST SSO formidler identifikation af brugere til fagsystemer • Brugerkatalog (Id. P): institutionen varetager brugerstyring i deres AD • Fagsystem (SP): fortsat bruger-/rettighedsadministration, men ikke passwords 4
MODST SSO i overblik - Loginflow 5
Hvordan kædes brugeren og fagsystemet sammen? • MODST SSO gør brugeren genkendelig for fagsystemet ved brug af brugerens email-adresse. – Undtagelse for brug af e-mail, er institutioner, der har lavet særlig aftale om brug af UPN fra institutionens lokale brugerkatalog. • Brugerinformation transporteres med en token mellem Identitetsudbyder, Føderationsudbyder (MODST SSO) og Serviceudbyder – Andre brugerinformationer (Claims) medsendes i denne kommunikation 6
Gennemgang af tidsplan 7
Hovedtidsplan for institutioner og systemer 2019 2020 I drift SIT (alle institutioner) Institutioner prioriteret ift. SBS, HCM (og Atrium (BYGST)) I drift Q 3 + Q 4 Øvrige statsinstitutioner 2019 -Q 3 – 2020 -Q 2 Selvejende institutioner Ind. Fak og Rejs. Ud HCM og Atrium (BYGST)) e. Rekruttering, Serviceportalen, kundeportalen og Campus Evt. konvertering af bruger. ID: Q 4 I drift Q 3/Q 4 Q 1/Q 2 Statens Budgetsystem Navision Stat og LDV (KMD) 8 SLS & HR-løn Q 4/ Q 1 Q 4 2021 Q 2
Tidsplan 9 Kick off Opsætning (test) Uge 36 2019 Uge 37 & 38 Telefonstatusmøde (test) 23 -24. september Opsætning (prod) Uge 39 Telefonstatusmøde (prod) 27. -30. september
Implementeringsprocessen 10
Hvem er ansvarlig for hvad? • Moderniseringsstyrelsens ansvar – Opsætning/konfiguration af SSO – Tilgængelighed – Vejledninger og support – Vedligehold og sikkerhed (ifht. MODST SSO) • Institutionens ansvar – Opkobling af ”AD” mod SSO og sikre korrekte certifikater – Overholde specifikationer for snitflader mod MODST SSO – Brugeradministration (alle brugere skal have en e-mail) – Brugerstyring og kontrol ift. brugerkatalog og fagsystemer – Bruger-/rettighedsstyring – Institutionen har ansvaret for egen IT-sikkerhed 11
Processen for tilslutning - test 1. Institutionen opsætter integration til MODST SSO-testmiljø i deres Id. P 2. Institutionen bestiller konfiguration i MODST SSO-testmiljø via https: //serviceportal. statensadm. dk/tas/public/login/form a) Institutionen sender kontaktperson, metadata url og e-mail-suffixes til Moderniseringsstyrelsen sammen med bestillingen b) Er institutionen ikke oprettet, som bruger af serviceportalen, kan information om oprettelse findes her: https: //statensadm. dk/portaler/serviceportalen/ 3. MODST kobler institutionen på testmiljøet 4. Institutionen afprøver forbindelsen via https: //testsso. modst. dk/samlclaimapp/ a) Ved succesfuldt login forsættes til pkt 5 ellers fejlsøges i samarbejde med MODST eller Institutionens egen tekniker 5. Statusmøde (telefonmøde) om tilslutning i test 12
Processen for tilslutning - produktion 6. Institutionen opsætter integration til MODST SSO-produktion i deres Id. P (meta url til MODST SSO-produktion) 7. MODST opsætter Institutionens Id. P i MODST SSO-produktion pba. metadata url fra pkt. 2 8. Institutionen afprøver forbindelsen via https: //sso. modst. dk/samlclaimapp/ a) Ved succesfuldt login kan institutionen udrulle anvendelse af SSO til MODST systemer. 9. Institutionen godkender tilslutningsaftale til MODST SSO 13
SAML 2. 0 compliant Id. P • AD FS 2. x, 3. 0, 4. 0 • Simple. Saml. Php • Shibboleth’ish • PING • The list goes on. . . VIGTIGT! Vælg den Id. P, som I eller jeres IT-leverandør har erfaring med. MODST Support kan ikke hjælpe med konfigurationen på jeres side. Der kan findes en lang liste på WIKIPEDIA over SAML 2. 0 compliant Id. P’er. ( https: //en. wikipedia. org/wiki/SAMLbased_products_and_services ) 14
SAML-attributter for brugeren • Gennemgang af SAML-attributter fra institutionsvejledning: https: //modst. dk/systemer/faelles-systemer-i-staten/data-og-integrationer/single-signon/ • Vær præcis omkring attributterne, det er en meget ofte set kilde til smerte, at der ikke er styr på disse. – SSO er case-sensitive – derfor er der stor forskel på store og små bogstaver! – Copy-paste tekst når det er muligt! • Claimapp’en validerer at tingene virker, det gælder attributter, Single Sign On og ikke mindst Single Log Out. Brugerne får en fejl, hvis Single log out ikke virker! MODST SSO kan ikke gøre noget ved denne fejl. • Claimapp’en: • https: //testsso. modst. dk/samlclaimapp/ 15
Opsætning af ADFS • Opsætning af ADFS-serveren kan være vanskelig. • Globeteam har udarbejdet en vejledning i, hvordan man opsætter ADFS-serveren, så SAML-tokenen bliver korrekt opfyldt: https: //modst. dk/systemer/faelles-systemer-istaten/data-og-integrationer/single-sign-on/ • Vejledningen er udarbejdet til en ”typisk” konfiguration af AD – men der kan være lokale afvigelser herfra, som vejledningen ikke tager højde for. • Der findes mange konsulenthuse, der kan hjælpe jer. 16
Mere information på MODST. DK • Moderniseringsstyrelsens hjemmeside modst. dk https: //modst. dk/systemer/faelles-systemer-i-staten/data-og-integrationer/single-signon/ • Der vil være løbende opdateringer af –Vejledning, tilslutning, præsentation mv. –Tjekliste for tilslutning –Tips og Tricks 17
Support og hjælp tilslutning brug altid https: //serviceportal. statens-adm. dk 1 3 2 18
Spørgsmål? 19
- Slides: 19