Autentisering, hantering och provisionering av användare : Ett koncepttest med PhenixID

Hellberg, Axel

January 2021

The goal of this project has been to configure and present a solution that covers a customer’s needs for user authentication, identity and access management and identity provisioning. The solution consists of products from PhenixID and the configuration is carried out on behalf of a company acting as a consultant. At the same time, the project is intended to generate new knowledge within the company about the possibilities and functions of the products used. The resulting solution enables the provisioning of users from a simple CSV file to a central user directory, and from this directory to Google. Identity Provisioning software is used for this purpose. The solution includes a recommendation for the same process to Azure through a first-party solution from Microsoft. The solution includes a configuration of the PhenixID Authentication Services system that can be used by the provisioned users to log in to Google and Microsoft services, so-called single sign-on, SSO. This authentication is SAML-based and adopts multi-factor authentication through a mobile application. A web-based and role-based identity and access management system, Identity Manager, is configured to manage users in the central user directory. Through this system, roles with associated rights are used with the purpose of delegating user management to the necessary instances of the customer’s organization. The overall configuration represents a proof of concept of the products for the customer's use cases and is therefore relatively fundamental in nature. / Målet med detta arbete har varit att konfigurera och presentera en lösning som omfattar en kunds behov av system för autentisering, hantering och provisionering av användare. Lösningen tillämpar produkter från PhenixID och konfigurationsarbetet sker på uppdrag av en verksamhet som här agerar konsult åt kunden. Arbetet ämnar samtidigt att ge upphov till ny kunskap inom verksamheten om de tillämpade verktygens möjligheter och funktioner. Den resulterande lösningen möjliggör provisionering av användare från en enkel CSV-fil till ett central användarkatalog, via denna katalog till Google. Till detta används programvaran Identity Provisioning. Lösningen omfattar en rekommendation för samma process till Azure genom ett första-partslösning från Microsoft. Lösningen omfattar konfiguration av autentiseringssystemet PhenixID Authentication Services som kan användas av de provisionerade användarna till att logga in på tjänster från Google och Microsoft, så kallad single sign-on, SSO. Denna autentisering är SAML-baserad och tillämpar multifaktorsautentisering genom en mobilapplikation. Ett webbaserat system för rollbaserad användarhantering, Identity Manager, konfigureras till att hantera användare i den centrala användarkatalogen. Genom detta system tillämpas roller med associerade rättigheter vars syfte är att delegera användarhanteringen till de nödvändiga instanserna av en verksamhet. Den sammantagna konfigurationen utgör ett koncepttest av produkterna för kundens användningsområden och är därför relativt grundläggande till naturen.

provisionering

autentisering

användarhantering

behörighetsstyrning

SAML

SSO

Computer Engineering

Datorteknik

Designing and comparing access control systems / Design, jämförelse och framtidsanalys av behörighetssystem

Boberg, Hannes

January 2016

Access control systems are an important concept in the area of computer security. In this master thesis different solutions are analyzed. The focus is on a tool called DW Access. DW Access is developed by Pdb Datasystem AB. A comparison was done that showed that DW Access is lacking some important functionality. After the comparison a base model for an access control system was designed. The new design includes concepts like relation- ships, replacements and time limited access. It also works for generic subjects and objects in the system. This design was later partly implemented in DW Access. The conclusions from this thesis work is that DW Access is a unique tool and there is a market for the application or similar applications. The new functionality was one step forward and the evaluation showed that the potential users liked the new concepts. But it is a very open area because of very unique requirements on the market.

computer science

computer security

access control

behörighetsstyrning

datateknik

datavetenskap

datasäkerhet

Computer Sciences

Datavetenskap (datalogi)

Behovet av en strategisk behörighetsstyrning för att skydda patientens integritet : En kvalitativ beskrivande innehållsanalys av regionernas styrande dokument för elektronisk åtkomst till patientuppgifter / The need for strategic access control to protect patient integrity : A qualitatively descriptive content analysis of the regions' governing documents for electronic access to patient data

Johansson, Angelica

January 2021

Vid upprepade tillfällen har Integritetsskyddsmyndighetens tillsyn funnit brister i vårdgivares efterlevnad av juridiska krav som avser dokumenterad behörighets-styrning och behörighetsgrundande behovs- och riskanalys. Dessutom har tillsyn identifierat fall där hälso- och sjukvårdspersonal haft mer behörigheter än vad arbetsuppgiften kräver, vilket medför att patienter saknar det integritetsskydd de har rätt till. Bristerna kan tyda på en osäkerhet hos vårdgivare avseende hur dessa juridiska krav bör tillämpas i praktiken. Därför är studiens syfte att sammanfatta hur regionerna beskriver tillåten åtkomst till patientuppgifter och behörighetsgrundande behovs- och riskanalys i sina styrande dokument. Studien ska dessutom lyfta fram förslag på hur en behörighetsgrundande behovs- och riskanalys kan genomföras och dokumenteras. Arbetet har bedrivits som en deskriptiv kvalitativ studie med en induktiv ansats, vilken utifrån empiririska data ska besvara studiens frågeställningar. De empiriska data som insamlats avser textuella data i form av styrande dokument som erhållit från 17 av de 21 regionerna genom begäran om allmän handling. För dataanalys av dessa styrande dokument har en konventionell innehållsanalys valt som metod, som på manifest nivå sammanställt innehållet i dessa styrande dokument. Resultatet diskuteras därefter utifrån Integritetsskyddsmyndighetens vägledning samt Da Veiga och Eloffs ramverk för styrning av informationssäkerhet. Resultatet visar både likheter och skillnader i regionernas styrande dokument, exempelvis återfinns beskrivning om tillåten och otillåten åtkomst till patient-uppgifter hos samtliga regioner. Den största likheten avser dock beskrivning av verksamhetschefens ansvar för medarbetarnas behörigheter samt behovs- och riskanalys, där det sista skiljer sig markant från Integritetsskyddsmyndighetens vägledning vilken anger att behovs- och riskanalys ska ske på en strategisk nivå. Resultatet visar dessutom att det inte finns någon generell metod hos regionerna som kan rekommenderas för genomförande och dokumentation av den behörighets-grundande behovs- och riskanalysen. Däremot kan Integritetsskyddsmyndighetens vägledning utgöra ett stöd vid genomförandet av en strategisk behovs- och riskanalys. Slutsatsen är att en behörighetspolicy, tillsammans med en strategisk behovs- och riskanalys, skulle kunna ge stöd vid utformning av en ändamålsenlig och enhetlig behörighetsstruktur. Dessutom kan behörighetspolicyn, tillsammans med resultatet av den strategiska behovs- och riskanalysen, kunna utgöra underlag för krav vid upphandling, utveckling och anpassning av vårdinformationssystem. Genom att kombinera behörighetspolicy och en strategisk analys skulle vårdgivaren kunna uppnå en behovs- och riskbaserad behörighetsstyrning som i slutänden leder till trygghet för patienten utifrån både ett patientsäkerhets- och integritetsperspektiv.

Behörighetsstyrning

Behovs- och riskanalys

Tillåten åtkomst

Integritetsskydd

Informationssäkerhetskultur

Övrig annan medicin och hälsovetenskap

Information Systems