Behörighetstjänst

Kort beskrivning

Här läggs beskrivningen in från Bilaga 6 – Tjänstekatalog

Övrig information

Här läggs ”Övrig information” in från Bilaga 6 – Tjänstekatalog

Funktionell beskrivning

Denna tjänst hanterar behörighetsbeslut på ett flexibelt sätt. Dels erbjuds färdiga integrationer för tjänster, dels finns möjligheten att skapa anpassade integrationer med valfria tjänster i kundens miljö. Detta ger enhetliga regler för hur man kombinerar valfri inloggningsmetod med rollbegrepp och andra attribut för att skapa ett behörighetsbeslut i ett verksamhetssystem. Åtkomstkontrollen i Behörighetstjänsten säkerställer att en behörig användare bara kan komma åt det data eller den tjänst som han/hon har rätt att se och använda. När användaren har identifierats, kontrolleras hans eller hennes tillgång till efterfrågad data eller tjänst. Reglerna sätts upp via ett grafiskt användargränssnitt, som gör det enkelt och intuitivt att definiera och testa olika åtkomstregler.

Teknisk beskrivning

Tjänsten är byggd enligt Service Oriented Architecture (SOA) modellen och tillhandahåller Web Service gränssnitt som gör det enkelt att integrera med andra applikationer och tekniska plattformar, t.ex. Java-baserade system. I tjänsten utformas åtkomst med hjälp av användarnas egenskaper, med en teknik som kallas Attribut Based Access Control (ABAC). Tjänsten kan baserat på dessa attribut bevilja tillgång till information med hjälp av en policy. Detta sätt att ge användaren åtkomst ger mycket större flexibilitet än traditionella passersystem baserat på grupper eller roller. Detta flexibla åtkomstsystem minskar administrationen av grupper och roller då många olika tillämpningar som kan nås med hjälp av tjänstens Single Sign-On funktionalitet. Reglerna sätts upp via ett grafiskt användargränssnitt, som gör det väldigt enkelt och intuitivt att definiera och testa olika åtkomstregler.

Säkerhet

När användaren har identifierats, kontrolleras hans eller hennes möjlighet att få tillgång till data eller applikationer. Åtkomstprocessen utförs på samma sätt över i alla tjänster. Åtkomsten för olika användare definieras med hjälp av regler som baseras på eXtensible Access Control Markup Language (XACML). XACML är ett OASIS-standardiserat XML-språk som förutom möjligheten att uttrycka åtkomstkontroll också ger möjlighet att formulera hur reglerna skall tolkas och kombineras. Detta görs genom att applicera reglerna på de attribut som de ingående aktörerna har. Åtkomstpolicies och de definierade reglerna för åtkomst lagras i en databas.

De kommande avsnitten ger en översikt av åtkomstsprocessen och funktionen PEP (Policy Enforcement Point) och PDP (Policy Decision Point). Identifieringstjänsten levererar en SAML biljett som innehåller den anropande aktörens attribut. Denna biljett processas av PEP och PDP i enlighet med de åtkomstpolicys som definierats med hjälp av XACML.

PEP Alla anrop till en verksamhetstjänst passerar en kontrollpunkt som hjälper tjänsten att avgöra om en begäran av en aktivitet skall utföras eller om anropet inte ska godtas. Denna funktion kallas PEP (Policy Enforcement Point). Detta program tar inte detta beslut på egen hand, utan dess uppgift är att samla in alla fakta om egenskaperna hos den som anropar, attributen för den begärda resursen och andra fakta om den kontext i vilken anropet sker. All denna information packas ihop och skickas till tjänstens server som fattar beslut om förfrågan ska godkännas eller nekas.

PDP Rätten att få tillgång till resurser bygger på anroparens attribut och attributen för den resurs som begärs. Denna funktion kallas PDP (Policy Decision Point) och ligger i tjänstens server. Informationen skickas som en XACML Request Context. Åtkomstbesluten görs baserat på policies, regler och information från PEP. Beslutet skickas tillbaka till PEP i en XACML Response Context. Applikationen kan då få ett beslut från PEP och, beroende på svaret, ge den som anropar tillgång till den begärda resursen eller inte.

Gränssnitt och integration

Alla existerande behörighetssystem för kunden kan integreras in i denna enhetliga behörighetstjänst. Exempelvis ett gruppbaserat behörighetskontrollsystem kan integreras ihop med denna tjänst genom:

  • SAML biljetten fylls på med den grupp som användaren tillhör,
  • inloggningen till det gruppbaserade behörighetskontrollsystemet anpassas mot att gruppen hämtas från SAML biljetten,
  • förändring av var behörighetsbeslutet tas och att ett anrop sker till Behörighetstjänstens PEP fuktion istället, som därmed löser upp åtkomstbeslutet.

Till denna tjänst kan följande tjänster beställas som tillägg:

  • Identifieringstjänst, CCE-112
  • Loggningstjänst, CCE-120

Prisuppgifter


Övriga Infrastrukturella tjänster
ID Rad Beskrivning Startpris (sek) Månadspris (sek) Månadspris per användare (sek) Per ärende (sek) Per ärende och månad (sek) Notering
CCE-119 Behörighetstjänst 12 200 100