OIO-it-arkitekturkomitémøde, 13. december 2007 Pkt. 1. Dagsorden ...
OIO-it-arkitekturkomitémøde, 13. december 2007 Pkt. 1. Dagsorden ...
OIO-it-arkitekturkomitémøde, 13. december 2007 Pkt. 1. Dagsorden ...
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Cover<br />
<strong>Dagsorden</strong>spunkt 1, <strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>éen, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
Orientering/Beslutning<br />
<strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>émøde, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
<strong>Pkt</strong>. <strong>1.</strong> <strong>Dagsorden</strong><br />
Sagstype: Orientering/Beslutning<br />
<strong>Dagsorden</strong><br />
Velkomst godkendelse af dagsorden og referat (O/B)<br />
<strong>1.</strong> Velkomst godkendelse af dagsorden og referat fra mødet d. 1<strong>1.</strong> oktober<br />
<strong>2007</strong> (O/B)<br />
2. Meddelelser (O)<br />
3. Godkendelse af dansk SAML 2.0 føderationsprofil (B)<br />
4. Status på tiltag for konvergens af standarder indenfor føderationsområdet<br />
(O)<br />
5. Godkendelse af <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI (B)<br />
6. Standardiseringsorganisationers åbenhed (D)<br />
7. Oversigt over standarder og beslutning om prior<strong>it</strong>ering af tekniske<br />
standarder (O/B)<br />
8. Vejledning om åbne dokumentformater (O)<br />
9. Ark<strong>it</strong>ekturkrav (D)<br />
10. Eventuelt (O)<br />
Punkter mærket B, D, E, O er til henholdsvis:<br />
(B) Beslutning<br />
(D) Drøftelse<br />
(E) Efterretning<br />
(O) Orientering<br />
5. <strong>december</strong> <strong>2007</strong><br />
IT- og Telestyrelsen<br />
Sagsbehandler<br />
Kasper Færgemann<br />
Telefon 3337 9215<br />
Telefax 3337 9299<br />
E-post kaf@<strong>it</strong>st.dk
Cover<br />
<strong>Dagsorden</strong>spunkt 1, referat fra mødet den 1<strong>1.</strong> oktober <strong>2007</strong>, <strong>OIO</strong>-<strong>it</strong>ark<strong>it</strong>ekturkom<strong>it</strong>éen,<br />
<strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
Orientering/Beslutning<br />
<strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>émøde, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
<strong>Pkt</strong>. <strong>1.</strong> Referat fra mødet den 1<strong>1.</strong> oktober<br />
Sagstype: Orientering/Beslutning<br />
Deltagere:<br />
Michael Busk-Jepsen, IT- og Telestyrelsen<br />
Michael Bang Kjeldgaard, IT- og Telestyrelsen<br />
Jeannette Nielsen, IT- og Telestyrelsen<br />
Kasper Færgemann, IT- og Telestyrelsen<br />
Søren Klostergaard Pedersen, IT- og Telestyrelsen<br />
David Graff Nielsen, Erhvervs- og Selskabsstyrelsen<br />
Helle Martinussen, Miljøministeriet<br />
Torben Sløk-Andersen, Vejdirektoratet<br />
Anders Bo Nielsen, Rigsarkivet<br />
Jan Danielsen, Københavns Kommune<br />
Peter Madsen, Indenrigs- og Sundhedsministeriet<br />
Afbud:<br />
Vagn Lauersen<br />
Michael Hald, KL<br />
Stefan Lars Jensen, Region Hovedstaden<br />
Kristian Hjort-Madsen, Den Dig<strong>it</strong>ale Taskforce<br />
Henrik Karsbøl, Rektorkollegiet<br />
Referat<br />
<strong>1.</strong> Velkomst Godkendelse af dagsorden og referat fra møde d.<br />
30.08.07 (O/B)<br />
Velkomst ved Michael Busk-Jepsen, IT- og Telestyrelsen. Bordrunde og<br />
velkomst. Referat fra mødet d. 30. august blev godkendt uden bemærkninger.<br />
<strong>Dagsorden</strong>en til dagens møde blev ligeledes godkendt.<br />
2. Meddelelser (O)<br />
Orientering ved Michael Busk-Jepsen.<br />
Brugerstyring<br />
5. <strong>december</strong> <strong>2007</strong><br />
IT- og Telestyrelsen<br />
Sagsbehandler<br />
Kasper Færgemann<br />
Telefon 3337 9215<br />
Telefax 3337 9299<br />
E-post kaf@<strong>it</strong>st.dk
Styregruppen omkring brugerstyring er blevet enige om en single-sign-on til<br />
portaler.Den nye borgerportal går i luften i løbet af 2008. Det er meningen, at alle<br />
skal være i stand til at logge på.<br />
Åbne standarder<br />
Regeringen og de kommunale parter har truffet beslutninger om åbne standarder.<br />
Det betyder, at B 103 skal gælde for hele den offentlige sektor. Den danske<br />
beslutning om anvendelsen af obligatoriske åbne standarder på tværs i det<br />
offentlige får bred udenlandsk interesse.<br />
E-business<br />
Videnskabsministeriet og Rådet for Teknologi og Innovation har etableret et nyt<br />
center for e-Business, http://www.ibiz-center.dk. Centret etableres i et<br />
samarbejde mellem Teknologisk Inst<strong>it</strong>ut og Delta.<br />
Videnskabsministeren åbnede d. 8. oktober en ny konference om Nem e-<br />
Business, hvor et nyt in<strong>it</strong>iativ, NemHandel, blev lanceret. In<strong>it</strong>iativet skal gøre det<br />
muligt at sende forretningsdokumenter hurtigt og sikkert via internettet.<br />
<strong>OIO</strong> EA kurser<br />
IT- og Telestyrelsen afholder kursus i anvendelsen af <strong>OIO</strong> EA. Der afholdes både<br />
kurser for offentlige myndigheder og kurser målrettet for <strong>OIO</strong> leverandører.<br />
Kurserne afholdes i Århus, Odense og København. Læs mere på:<br />
http://ea.oio.dk/arrangement<br />
3. Vurderingskr<strong>it</strong>erier for standarder (B)<br />
Oplæg til beslutning ved Søren Klostergaard Pedersen, IT- og Telestyrelsen.<br />
Hele oplægget kan findes på:<br />
http://www.<strong>it</strong>st.dk/ark<strong>it</strong>ektur-og-standarder/fora/ark<strong>it</strong>ekturfora/oio-<strong>it</strong>ark<strong>it</strong>ekturkom<strong>it</strong>een/moder/mode-i-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>een-den-11-10.07<br />
Det fremlagte beslutningsforslag er stort set identisk med høringsversionen<br />
af anvendelsesrapporten. Den eneste ændring er, at tilgængelighed er<br />
indarbejdet som et krav på opfordring fra Dansk Blindesamfund i<br />
høringsperioden.<br />
I forlængelse af oplægget blev det diskuteret, hvorvidt antallet af<br />
vurderingskr<strong>it</strong>erier var passende.<br />
Bl.a. blev det foreslået, at man grafisk opererer med simple farvekoder: rød,<br />
gul og grøn. Man fastholder dog stadig en registrering på de foreslåede<br />
niveauer, men for at lette overblikket vises standarderne i en eventuel<br />
oversigt kun i forhold til tre farvekoder.<br />
<strong>OIO</strong> kataloget vil i fremtiden revurdere standarder ud fra de foreslåede<br />
vurderingskr<strong>it</strong>erier.<br />
IT- og Telestyrelsen<br />
Side 2
Beslutningsforslaget for vurderingskr<strong>it</strong>erier for standarder blev herefter<br />
godkendt.<br />
4. Køreplan for arbejdet med <strong>OIO</strong>-kataloget (O)<br />
Orientering ved Søren Klostergaard Pedersen. Hele oplægget kan hentes<br />
her:<br />
http://www.<strong>it</strong>st.dk/ark<strong>it</strong>ektur-og-standarder/fora/ark<strong>it</strong>ekturfora/oio-<strong>it</strong>ark<strong>it</strong>ekturkom<strong>it</strong>een/moder/mode-i-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>een-den-11-10.07<br />
I arbejdet med <strong>OIO</strong> kataloget foregår der i øjeblikket en undersøgelse af,<br />
hvor mange standarder, der skal have ændret status. Omfanget ser ud til at<br />
være omkring 15 standarder, mens forventning var omkring 60.<br />
Gennemgangen af standarder med henblik på revidering af status forventes<br />
afsluttet ultimo oktober. Indtil videre følger arbejdet planen.<br />
5. Pilotforsøg om åbne dokumentformater kort om vejledning (D)<br />
Præsentation ved Tim Hansen, Devoteam, projektansat i IT- og Telestyrelsen i<br />
forbindelse med pilotforsøget om åbne dokumentformater.<br />
Oplægget kan hentes her:<br />
http://www.<strong>it</strong>st.dk/ark<strong>it</strong>ektur-og-standarder/fora/ark<strong>it</strong>ekturfora/oio-<strong>it</strong>ark<strong>it</strong>ekturkom<strong>it</strong>een/moder/mode-i-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>een-den-11-10.07<br />
Status på projektet er, at alle pilottest er i gang, laboratorietesten er i gang,<br />
og parathedsvurderingen forventes udsendt inden længe. Fokus vil i den<br />
kommende tid gå på at få høstet resultaterne af disse undersøgelser og få<br />
omsat dem i vejledningsindsatsen.<br />
En af de ting man bl.a. kan læse i vejledningen er, at Edag 1 og edag2<br />
beslutningen står stadig ved magt, f.eks. i forbindelse med pdf. Det obligatoriske<br />
krav er, at I skal kunne modtage i formaterne og håndtere formaterne. Internt i<br />
jeres myndigheder, er det i forlængelse heraf relevant at overveje, hvilket<br />
amb<strong>it</strong>ionsniveau I har.<br />
På projektets hjemmeside, http://dokumentformater.oio.dk, er der lavet en<br />
konverteroversigt, som det vil være relevant, at I som myndighed kigger på.<br />
Hvorvidt I har behov for en kval<strong>it</strong>etssikringsprocedure er op til de enkelte<br />
myndigheder.<br />
Man kunne evt. forestille sig, at flere myndigheder deltog i et samarbejde for at<br />
få defineret behovene. Det besværlige er, at ingen konverter passer på alle, da<br />
implementeringen foregår meget forskelligt i hver enkelt myndighed.<br />
I pilotforsøg er det forsøgt at lave en repræsentativ opdeling, så både det<br />
statslige, kommunale og det regionale område dækkes. I pilotforsøget er metoden<br />
defineret, så nye konvertere relativt let kan sættes ind i systemet og prøvekøres.<br />
6. Høringer, oversigt over standarder (O)<br />
IT- og Telestyrelsen<br />
Side 3
Orientering ved Kasper Færgemann, IT- og Telestyrelsen.<br />
Der blev i forbindelse med fremlæggelse af oversigten over standarder stillet<br />
spørgsmål til, hvornår BPMN, en ny standard for forretningsprocesser, som<br />
afventer WS-BPEL, forventes. KL anvender allerede p.t. BPMN-standarden.<br />
Fra IT- og Telestyrelsens side blev det meldt ud, at man gennem en intern høring<br />
vil undersøge status og tidshorisont for BPMN-standarden frem til næste<br />
kom<strong>it</strong>émøde.<br />
Det blev desuden bemærket, at WiMax måske hører hjemme i en anden sølje i<br />
IT- og Telestyrelsen.<br />
7. IT-ark<strong>it</strong>ekturkonferencen 2008 (D)<br />
Oplæg til drøftelse ved Michael Bang Kjeldgaard, IT- og Telestyrelsen. Et<br />
programudkast blev omdelt til deltagerne på mødet.<br />
Overskriften for IT-ark<strong>it</strong>ekturkonferencen 2008 er Efter reformerne med fokus<br />
på:<br />
Governance<br />
Modernisering<br />
EA<br />
Åbne standarder<br />
PÅ baggrund af forskellige inputs gennemløber programmet en række revisioner.<br />
En af de overordnede tendenser er dog mindre teori og mere praksis med oplæg<br />
fra dem der har praktiske erfaringer.<br />
Sessionerne vil blive forlænget med et kvarter til en time, så der minimum er et<br />
kvarter til spørgsmål og diskussion. Derudover vil der blive afholdt flere seancer<br />
i den store sal. Farvekoderne i programmet henviser til formidlingsformen, dvs.<br />
om der er tale om et plenumoplæg, en session eller en min<strong>it</strong>utorial.<br />
Hvad angår forskellen på governance og styring, så henviser governance til den<br />
overordnede dagsorden, mens styringssporet kigger mere på styringen af det<br />
enkelte projekt.<br />
Umiddelbart ligner mange af overskrifterne på programmet, overskrifterne fra<br />
sidste år, men der vil altid være mulighed for at finde andre spor, da flere spor<br />
kører simultant.<br />
Det blev foreslået, at starttidspunktet rykkes til kl. 10, da det ellers kan blive<br />
meget svært at nå konferencens start for deltagere fra København.<br />
Lean i det offentlige blev desuden foreslået som sessionsemne.<br />
8. Ark<strong>it</strong>ekturkrav (O)<br />
Orientering ved Leif Andersen, IT- og Telestyrelsen. Læs hele oplægget her:<br />
http://www.<strong>it</strong>st.dk/ark<strong>it</strong>ektur-og-standarder/fora/ark<strong>it</strong>ekturfora/oio-<strong>it</strong>ark<strong>it</strong>ekturkom<strong>it</strong>een/moder/mode-i-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>een-den-11-10.07<br />
IT- og Telestyrelsen<br />
Side 4
Projektet om ark<strong>it</strong>ekturkrav tager udgangspunkt i dig<strong>it</strong>aliseringsstrategiens<br />
in<strong>it</strong>iativ 32 er og gennemføres af IT-ark<strong>it</strong>ekturkontoret i IT- og<br />
Telestyrelsen. Kom<strong>it</strong>éen forventes at spille en central rolle i gennemførelsen<br />
af projektet, herunder fastlæggelse af koncept og konkrete anbefalinger til<br />
den fremtidige portefølje af krav samt ramme for porteføljestyring og<br />
måling af fremdrift.<br />
Et ark<strong>it</strong>ekturkrav er, et princip om anvendelse af en ark<strong>it</strong>ekturkomponent<br />
(et princip eller et løsningsmønster) (herunder metoder, platforme, teknikker<br />
og standarder).<br />
Projektet vil prior<strong>it</strong>ere at identificere krav/principper med stor<br />
samfundsmæssig værdi. Projektet skal kunne måle, at ark<strong>it</strong>ekturkravene<br />
giver værdi i anskaffelsesprocessen. Der er et potentiale i, at det man<br />
kalder model på forretningsniveau også samtidig skal forholde sig til form.<br />
Fremdriften som skal måles, er en fremdrift i overholdelse af<br />
ark<strong>it</strong>ekturkrav/principper, ikke nødvendigvis en måling af fremdrift i<br />
forhold til økonomi. Som udgangspunkt vil der i mange tilfælde allerede<br />
være lavet en business case, som undersøger, hvor meget værdi en given<br />
service giver, f.eks. elektronisk faktura.<br />
I drøftelsen blev bl.a. bemærket, at det kunne være interessant at medtage<br />
specifikke versionskrav til softwaren. I et konkret projekt, ekalender, var det<br />
faktisk en nødvendighed at have en nyere version af Outlook for at kunne få<br />
adgang til ekalender. Dette forhold kunne sagtens være gældende med<br />
meget andet software i andre projekter.<br />
9. Kom<strong>it</strong>éens fremtidige rolle og arbejdsopgaver (D/B)<br />
Oplæg til beslutning ved Michael Bang Kjeldgaard.<br />
Kom<strong>it</strong>éens fremtidige rolle og arbejdsopgaver har flere gange været drøftet i<br />
kom<strong>it</strong>éen. IT- og Telestyrelsen foreslår nu, at <strong>OIO</strong> <strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>éen og<br />
<strong>OIO</strong> Datastandardiseringskom<strong>it</strong>éen slås sammen. Sagen drøftes nu parallelt<br />
i de to kom<strong>it</strong>éer og lægges derefter til beslutning i KIU.<br />
Planen er, at mest muligt af sagsbehandlingen lægges ud i domænekom<strong>it</strong>éerne,<br />
eller specifikke arbejdsgrupper.<br />
Både hvad angår data- og tekniske standarder, er kompetencen i kom<strong>it</strong>éerne ikke<br />
på nuværende tidspunkt stærk nok. Fokus er at få styrket governance.<br />
Beslutningsforslag blev godkendt af kom<strong>it</strong>éen.<br />
10. En indgang til åbne standarder (O)<br />
Orientering ved Cecile Christensen, IT- og Telestyrelsen.<br />
IT- og Telestyrelsen har påbegyndt en gennemgribende videreudvikling og<br />
IT- og Telestyrelsen<br />
Side 5
samling af eksisterende og planlagte ark<strong>it</strong>ektur- og<br />
standardiseringsplatforme.<br />
Med udgangspunkt i InfoStrukturBasen, <strong>OIO</strong>-kataloget og et annonceret<br />
Fællesoffentligt Servicekatalog, er det målet at lave én indgang til åbne<br />
standarder, offentlig ark<strong>it</strong>ektur og standardisering. Det amb<strong>it</strong>iøse<br />
udviklingsprojekt er et samarbejde mellem Datastandardiseringskontoret,<br />
IT-ark<strong>it</strong>ekturkontoret og Center for<br />
Serviceorienteret Infrastruktur.<br />
De forskelligee dele af ISB en skal kunne fungere hver for sig. Målet er at<br />
udbyde en fleksibel løsning med delleverandører, hvor det hele er samlet i én<br />
løsning. Udviklingen bliver lettere, når vi selv har rettighederne til de enkelte<br />
delelementer.<br />
Den nye ISB har haft udgangspunkt i den gamle ISB som en samling for<br />
datastandarder, men ISB2 vil være bredere orienteret end den gamle ISB.<br />
1<strong>1.</strong> Evt. (O)<br />
Der var ingen bemærkninger under eventuelt.<br />
(B) Beslutning<br />
(D) Drøftelse<br />
(E) Efterretning<br />
(O) Orientering<br />
IT- og Telestyrelsen<br />
Side 6
Cover<br />
<strong>Dagsorden</strong>spunkt 3, <strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>éen, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
Beslutning<br />
<strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>émøde, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
<strong>Pkt</strong>. 3, Godkendelse af dansk SAML 2.0 føderationsprofil (B)<br />
Sagstype: Beslutning<br />
Resumé<br />
Center for Serviceorienteret Infrastruktur har haft dansk SAML 2.0<br />
føderationsprofil i offentlige høring i eftersommeren <strong>2007</strong>. Profilen foreskriver<br />
reglerne for tværgående SSO, som blandt andet Borgerportalen v2.0 er afhængig<br />
af. Der indkom 16 høringssvar, som generelt støttede det hørte profil-udkast.<br />
Svarene har givet anledninger til mindre præciseringer, herunder ændring af<br />
profilens navn til: <strong>OIO</strong> Web SSO Profile V2.0.<br />
Der er dog ikke foretaget væsentlige indholdsmæssige ændringer i forhold til det<br />
hørte udkast.<br />
Sagsfremstilling<br />
Version 2.0 af den danske SAML 2.0 profil samt et bilag med eksempler har<br />
været i høring på høringsportalen fra 20. august til 2<strong>1.</strong> september <strong>2007</strong>.<br />
Til advisering af høringen er anvendt udsendelseslisten knyttet til <strong>OIO</strong><br />
Standarder samt en række særlige interessenter udvalgt af Styrelsen.<br />
Der indkom i alt 16 svar på høringen fra flg. organisationer: KMD, Novell<br />
Danmark, Region Hovedstaden, Region Syddanmark, Datatilsynet,<br />
Statsbiblioteket/DKAAI, Trafikstyrelsen, Banedanmark, Computer Associates,<br />
Erhvervs- og Byggestyrelsen, Økonomi- og Erhvervsministeriet,<br />
Forsvarsministeriet, IBM, Integrationsministeriet, Just<strong>it</strong>sministeriet /<br />
Departementet og Oracle.<br />
Derudover har en række internationale eksperter fra bl.a. HP og Liberty bidraget<br />
med kommentarer separat fra den formelle høringsproces.<br />
Blandt ovennævnte svarere havde flg. organisationer egentlige kommentarer til<br />
profilens indhold: KMD, Novell Danmark, Region Hovedstaden, Region<br />
Syddanmark, Datatilsynet, Statsbiblioteket/DKAAI og IBM. Disse har alle været<br />
inv<strong>it</strong>eret til møder i Styrelsen med henblik på dybere drøftelser og forklaringer.<br />
De øvrige svarere har enten oplyst, at de ingen kommentarer havde til profilen,<br />
tilkendegivet tilfredshed med profilen, at deres kommentarer allerede var givet<br />
som en del af det forudgående forløb, eller oplyst om understøttelse i produkter.<br />
Generelt har mange udtrykt tilfredshed med valget af den åbne SAML 2.0<br />
5. <strong>december</strong> <strong>2007</strong><br />
IT- og Telestyrelsen<br />
Sagsbehandler<br />
Søren Peter Nielsen<br />
Telefon 2567 0783<br />
Telefax 3337 9299<br />
E-post spn@<strong>it</strong>st.dk
standard fra OASIS som fundament for den fællesoffentlige brugerstyring,<br />
ligesom der udtrykkes støtte til Styrelsens arbejde med at etablere en lokal dansk<br />
profil af denne. Derudover kan det nævnes, at en række leverandører udtrykker,<br />
at deres produkter vil kunne understøtte praktiske implementationer af profilen.<br />
En anden generel tilbagemelding fra høringssvarerne har været, at man ser behov<br />
for yderligere profiler i den nærmeste fremtid, eksempelvis i forbindelse med<br />
ident<strong>it</strong>etsbaserede web services. Styrelsen er enig i mange af disse overvejelser<br />
og vil adressere disse behov og ønsker via arbejdet i Center for Serviceorienteret<br />
Infrastruktur og i samspil med faserne i det fællesoffentlige<br />
brugerstyringsprojekt.<br />
Indstilling<br />
Det indstilles, at kom<strong>it</strong>éen godkender <strong>OIO</strong> Web SSO Profile V2.0<br />
Bilag<br />
Høringsnotat vedrørende godkendelse af dansk SAML 2.0<br />
føderationsprofil<br />
Dokument som opsummerer profilkravene - <strong>OIO</strong> Web SSO Profile V2.0 -<br />
Requirements Summary<br />
Følgende dokumenter kan hentes på:<br />
http://www.<strong>it</strong>st.dk/ark<strong>it</strong>ektur-og-standarder/fora/ark<strong>it</strong>ekturfora/oio-<strong>it</strong>ark<strong>it</strong>ekturkom<strong>it</strong>een/moder/mode-i-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>een-den-13-12-07<br />
<strong>OIO</strong> Web SSO Profile V2.0 - version til godkendelse i <strong>OIO</strong>-<strong>it</strong>ark<strong>it</strong>ekturkom<strong>it</strong>éen<br />
<strong>OIO</strong> Web SSO Profile V2.0 - version med angivelse af ændringer siden<br />
høringsversionen<br />
<strong>OIO</strong> Web SSO Profile - Examples V<strong>1.</strong>3 - dokument med eksempler fra<br />
anvendelse af profilen<br />
IT- og Telestyrelsen<br />
Side 2
Baggrundsnotat<br />
<strong>Dagsorden</strong>spunkt 3 , <strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>éen, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
Behandles som: Beslutning<br />
<strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>émøde, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
<strong>Pkt</strong>. 3, Høringsnotat vedrørende godkendelse af dansk SAML 2.0<br />
føderationsprofil (B)<br />
Den danske profil vedrørende Web Single Sign-on (SSO) benævnes i det<br />
følgende DK-SAML 2.0. Profilen samt et bilag med eksempler har været i høring<br />
på høringsportalen fra 20. august til 2<strong>1.</strong> september <strong>2007</strong>.<br />
Til advisering af høringen er anvendt udsendelseslisten knyttet til <strong>OIO</strong><br />
Standarder samt en række særlige interessenter udvalgt af Styrelsen.<br />
Der indkom i alt 16 svar på høringen fra flg. organisationer: KMD, Novell<br />
Danmark, Region Hovedstaden, Region Syddanmark, Datatilsynet 1 ,<br />
Statsbiblioteket/DKAAI, Trafikstyrelsen, Banedanmark, Computer Associates,<br />
Erhvervs- og Byggestyrelsen, Økonomi- og Erhvervsministeriet,<br />
Forsvarsministeriet, IBM, Integrationsministeriet, Just<strong>it</strong>sministeriet /<br />
Departementet og Oracle.<br />
Derudover har en række internationale eksperter fra bl.a. HP og Liberty bidraget<br />
med kommentarer separat fra den formelle høringsproces.<br />
Blandt ovennævnte svarere havde flg. organisationer egentlige kommentarer til<br />
profilens indhold: KMD, Novell Danmark, Region Hovedstaden, Region<br />
Syddanmark, Datatilsynet, Statsbiblioteket/DKAAI og IBM. Disse har alle været<br />
inv<strong>it</strong>eret til møder i Styrelsen med henblik på dybere drøftelser og forklaringer.<br />
De øvrige svarere har enten oplyst, at de ingen kommentarer havde til profilen,<br />
tilkendegivet tilfredshed med profilen, at deres kommentarer allerede var givet<br />
som en del af det forudgående forløb, eller oplyst om understøttelse i produkter.<br />
Generelt har mange udtrykt tilfredshed med valget af den åbne SAML 2.0<br />
standard fra OASIS som fundament for den fællesoffentlige brugerstyring,<br />
ligesom der udtrykkes støtte til Styrelsens arbejde med at etablere en lokal dansk<br />
profil af denne. Derudover kan det nævnes, at en række leverandører udtrykker,<br />
at deres produkter vil kunne understøtte praktiske implementationer af profilen.<br />
En anden generel tilbagemelding fra høringssvarerne har været, at man ser behov<br />
for yderligere profiler i den nærmeste fremtid, eksempelvis i forbindelse med<br />
ident<strong>it</strong>etsbaserede web services. Styrelsen er enig i mange af disse overvejelser<br />
1 Datatilsynets svar kom senere end de øvrige svar på høringsportalen, da datatilsynet ved<br />
en fejl ikke blev adviseret ved høringens start..<br />
26. november <strong>2007</strong><br />
IT- og Telestyrelsen<br />
Sagsbehandler<br />
Søren Peter Nielsen<br />
Telefon 2567 0783<br />
Telefax 3337 9299<br />
E-post spn@<strong>it</strong>st.dk
og vil adressere disse behov og ønsker i senere faser af det fællesoffentlige<br />
brugerstyringsprojekt.<br />
Nedenfor gennemgås høringssvarene punkt for punkt sammen med Styrelsens<br />
svar. Høringssvarene er redaktionelt opdelt i enkeltpunkter, dersom den indsendte<br />
tekst ikke måtte være det. Endvidere er nedenfor kun medtaget svar, der går på<br />
profilens indhold, og således ikke leverandørers oplysninger om mulig<br />
produktunderstøttelse, støttetilkendegivelser mv.<br />
Som konsekvens af høringssvarene er der planlagt en opdatering af profilen i en<br />
revideret udgave. I den reviderede udgave redegøres for ændringerne i forhold til<br />
høringsversionen.<br />
Kommentarer fra Novell<br />
Kommentar 1<br />
SAML2 is better for B2B services, where everything is administrator driven,<br />
Liberty is better in B2C or B2B services, where the user is given more control of<br />
their ident<strong>it</strong>y. The latter becomes important as the evolution of DK SAML will<br />
begin to encompass the option to allow more granular user governed<br />
authorizations (DK: fuldmagt), in such a way that individual c<strong>it</strong>izens can grant<br />
access to specific private information and change rights to specific groups or<br />
individuals w<strong>it</strong>hin the governmental sector such as Healthcare, Social Services<br />
and so on and so forth (see section 1<strong>1.</strong>4 in the hearing document). The evolution<br />
of this functional<strong>it</strong>y is driven by the Ident<strong>it</strong>y Governance Framework in<strong>it</strong>iative<br />
driven by Liberty. The hearing document states that <strong>it</strong> will be considered as <strong>it</strong><br />
matures into standardization, but the base platform is already well established<br />
and we recommend that current COTS implementations of this functional<strong>it</strong>y ( as<br />
in Novell Access Manager 3) are deployed to test and evaluate possible near term<br />
and long term implementations.<br />
Styrelsens svar<br />
Som en generel ark<strong>it</strong>ekturmæssig betragtning er det korrekt, at Liberty har flere<br />
facil<strong>it</strong>eter i s<strong>it</strong> rammeværk. Vigtigt er dog også udbud af kommercielle produkter<br />
og services, som understøtter de valgte standarder. Det vil blive vurderet, hvilke<br />
af dele af Liberty rammeværket så vel som andre standarder, det kan være<br />
relevant at inddrage i kommende brugerstyringsprofiler.<br />
Kommentar 2<br />
Taking not only necessary core user attributes to complete authentication<br />
assertions into consideration, the potential of Federated Provisioning should be<br />
considered and the basic attribute requirements for user object creation in the<br />
most predominant directories/name systems in the governmental sector.<br />
Styrelsens svar<br />
"Federated Provisioning" er udenfor scope af SAML profilen, men er som<br />
sådan relevant for brugerstyringsprojektet, som vil behandle emnet i senere<br />
faser af projektet.<br />
2<br />
IT- og Telestyrelsen<br />
Side 2
Kommentarer fra KMD<br />
Kommentar 3<br />
Ifølge dokumentets forside er profilen udgivet af Center for<br />
Serviceorienteret Infrastruktur (CSI), som også har udsendt andre profiler og<br />
standarder. De øvrige profiler navngives med prefix <strong>OIO</strong> hvorimod denne<br />
prefikses med DK. Det står ikke helt klart hvorfor denne profil sættes i en<br />
DK kontekst i mod-sætning til de andres <strong>OIO</strong> kontekst. Udover den enkle<br />
forskel i navngivning, er der en stor forskel i <strong>OIO</strong> og DK<br />
profildokumenternes dispos<strong>it</strong>ion. <strong>OIO</strong>-profilerne er rene specifikationer med<br />
tydelig angivelse af hvilke <strong>OIO</strong>-præciseringer der er lavet i forhold til<br />
bagved liggende internationale standarder, suppleret med anvendelses-,<br />
implemente-rings- og argumentationsdokumenter. Det foreliggende DK-<br />
SAML dokument indeholder lidt af det hele udover selve specifikationen.<br />
Desuden er der nogle unødige historiske henvisninger til tidligere udgaver<br />
af DK-SAML. En fælles konsekvent redaktionel stil for alle CSI profiler bør<br />
overvejes, og KMD vil anbefale at stilen fra <strong>OIO</strong>-profilerne anvendes<br />
generelt til alle CSI profil specifikationer.<br />
Styrelsens svar<br />
Styrelsen har valgt at følge den redaktionelle stil fra de internationale<br />
OASIS SAML-standarder, som profilen knytter sig til, fremfor stilen i <strong>OIO</strong><br />
dokumenterne. Dette gælder såvel navngivning, layout og indhold, hvor<br />
profilen eksempelvis indeholder de bagvedliggende use cases og scenarier,<br />
som det kendes fra OASIS dokumenterne. Dette valg er skønnet at<br />
fremhæve de forståelsesmæssige aspekter af dokumentet.<br />
Styrelsen har dog besluttet at udarbejde et separat dokument med et resumé<br />
med de normative krav i punktform.<br />
Kommentar 4<br />
Da profilen klart relaterer sig til tidligere CSI udgivelser som har fire<br />
forskellige scenarier, vil det være hensigtsmæssigt at få redegjort for<br />
hvordan profilen tænkes anvendt i forhold til netop de fire scenarier, specielt<br />
hvis profilen har preference for nogle af scenarierne. Denne beskrivelse er<br />
ikke en del af specifikationen, men et tilhørende anvendelsesdokument.<br />
Styrelsens svar<br />
Her er det uklart, om der tænkes på de fire scenarier i dokumentet<br />
"Anbefaling om fælles ark<strong>it</strong>ektur for tværgående autent<strong>it</strong>etssikring". I givet<br />
fald kan man sige, at profilen beskriver nye scenarier og flows der afspejler,<br />
at ark<strong>it</strong>ekturen er blevet ændret (bl.a. er autent<strong>it</strong>etssikringsportalen ikke<br />
med). Endvidere beskriver profilen i afsn<strong>it</strong> <strong>1.</strong>2 baggrunden for ændringerne<br />
og i appendix A findes en detaljeret oversigt over profilændringer.<br />
3<br />
IT- og Telestyrelsen<br />
Side 3
Styrelsen vil i forbindelse med godkendelse af profilen opdatere det nævnte<br />
ark<strong>it</strong>ektur-dokument med information om at dette dokument ikke længere er<br />
gældende.<br />
Kommentar 5<br />
Den valgte profil forudsætter, at der etableres et common domain, til at<br />
hånd-terer udvekslingen af SAML tokens i cookies. KMD finder det<br />
betænkeligt, at man udelukker andre udvekslingsmekanismer, der ikke har<br />
denne begrænsning. Hermed bliver anvendelsen af hele den dig<strong>it</strong>ale<br />
infrastruktur afhængig af, at dette common domæne er tilgængeligt.<br />
Ydermere udelukkes supplerende autentifikationstjenester i at deltage i en<br />
mere bred Single Signon med risiko for at der skabes en lukket anvendelse,<br />
hvor det vanskeliggøres at etablere samarbejdenede<br />
autentifikationstjenester. Det bør være et styrende princip at der tilstræbes<br />
mest mulig åbenhed med frie muligheder for deltagelse og udbydelse af<br />
services. Hvis der vælges afgrænsninger bør det ske i<br />
implementeringsmodellen og ikke i profil specifikationen.<br />
Styrelsens svar<br />
Baggrunden for valget er, at common domain metoden er pt. den eneste<br />
standardiserede metode til "IdP discovery", som er en vigtig mekanisme i<br />
føderationer. Der findes således både en OASIS profil og bred<br />
produktunderstøttelse for denne. Det skal endvidere understreges, at cookies<br />
ikke bliver brugt til transport af data.<br />
Det er uklart, hvad der menes med, at domænet skal være tilgængeligt?!<br />
Domænet vil bestå af en række (logiske) servere hos Service- og Ident<strong>it</strong>y<br />
Providere, men det giver så vidt det kan vurderes ikke anledning til nye<br />
problemstillinger i forhold til tilgængelighed. Brug af common domains<br />
udelukker endvidere ikke, at der kan opereres med flere uafhængige Ident<strong>it</strong>y<br />
Providers - tværtimod giver det en løsere kobling mellem Service og<br />
Ident<strong>it</strong>y Providere.<br />
Kommentar 6<br />
Det er hensigtsmæssigt, at det sæt af attributter der sættes til mandatory, i sig selv<br />
er tilstrækkeligt til formålet. Der er i profilen optional attributter med<br />
informationer som allerede er til stede i mandatory delen. Håndteringen af mange<br />
optionelle felter, der tilfører redundant information, kan gøre en implementering<br />
unødigt omkostningskrævende og giver mulighed for inkonsistent information.<br />
Vi finder at det kunne være en fordel for præcisionen i kommende<br />
implementeringer, at der var færre optional attributter.<br />
Styrelsens svar<br />
At attributinformation kan optræde på flere måder skyldes ønsket om at efterleve<br />
forskellige typer anbefalinger, herunder fællesoffentlige anbefalinger om<br />
kerneattributter samt anbefalinger i "SAML Deployment Profile Draft for X.509<br />
Subjects". Disse giver et vist overlap. Styrelsen vurderer det som usandsynligt at<br />
4<br />
IT- og Telestyrelsen<br />
Side 4
optionelle attributter vil skabe interoperabil<strong>it</strong>etsproblemer, da Service og Ident<strong>it</strong>y<br />
Providere i praksis altid vil skulle indgå en rækker aftaler - herunder aftale en<br />
attributkontrakt.<br />
Styrelsen vil dog tydeliggøre i profilen, hvorledes valg mellem forskellige<br />
attributprofiler kan ske, samt hvad der er obligatorisk og valgfr<strong>it</strong>.<br />
Kommentarer fra Erhvervs- og Selsskabsstyrelsen<br />
Kommentar 7<br />
Profilen har ingen direkte virkning på erhvervslivet, men vil indirekte kunne<br />
være medvirkende til, at der i fremtiden skabes administrative lettelser for<br />
erhvervslivet, da profilen skal udgøre det tekniske grundlag for en kommende<br />
fællesoffentlig brugerstyringsløsning.<br />
Styrelsens svar<br />
Det lyder pos<strong>it</strong>ivt og hensigten er netop at forenkle sammenkoblingen af IT<br />
systemer.<br />
Kommentarer fra Region Hovedstaden<br />
Kommentar 8<br />
Hvorfor understøttes kun portaler og browsere? Det ser ud til at mekanismen er<br />
den samme for WS-integration.<br />
Styrelsens svar<br />
Webapplikationer og browsere er målet for den første fase af det fællesoffentlige<br />
brugerstyringsprojekt, der bl.a. skal understøtte behovene i borger.dk og virk.dk.<br />
På dette område er standarder og leverandørunderstøttelse længst fremme. I<br />
senere faser af brugerstyringsprojektet analyseres bl.a. ident<strong>it</strong>etsbaserede web<br />
services, hvor behovet for standarder og profiler også er erkendt.<br />
Konceptuelt er mekanismen nogenlunde den samme, men ikke konkret. Det er af<br />
stor vigtighed, at der til vedtagne profiler findes åbne standarder såvel som bred<br />
kommerciel understøttelse. Dette arbejdes der stadig på at få på plads, og<br />
Styrelsen deltager aktivt i dette arbejde.<br />
Kommentar 9<br />
Regionens ønske en sømløs brugeroplevelse i tilgangen til interne og eksterne<br />
services og web sider i vores portal. Hvis kun portaler og browsere understøttes<br />
af DK-SAML, kan vi så opnå SSO, når der i samme portal anvendes en blanding<br />
af framed løsninger og WS integrationer? Det er ikke acceptabelt, hvis<br />
klinikkeren skal logge på med sin dig<strong>it</strong>ale signatur to eller flere gang for at<br />
anvende løsninger i samme portal (en logon til DK-SAML og en/flere til WS).<br />
Styrelsens Svar<br />
S<strong>it</strong>uationen vil afhænge af, hvorledes sikkerheden i det konkrete tilfælde<br />
håndteres i web service integrationen. Det er netop målet med det kommende<br />
arbejde for ident<strong>it</strong>etsbaserede web services (se forrige svar), at en sådan sømløs<br />
overgang er mulig.<br />
5<br />
IT- og Telestyrelsen<br />
Side 5
Kommentar 10<br />
Hvis klinikeren anvender flere portaler, kan de så dele adgangen (det ser ud til, at<br />
det handler om fælles anvendelse af en cookie)?<br />
Styrelsens svar<br />
En bruger vil kunne anvende vilkårligt mange web applikationer (herunder<br />
portaler) med single-sign on.<br />
Kommentar 11<br />
Tankerne om forenkling er gode og understøtter hvidbogens tanker om<br />
interoperabil<strong>it</strong>et, men er det ikke et problem, at vi løsriver os fra Oasis SAML<br />
med disse tiltag?<br />
Styrelsens svar<br />
Da SAML er ganske fleksibel er der behov for en dansk profil for at sikre<br />
interoperabil<strong>it</strong>et, konsistens og hensynet til forhold i den danske offentlige sektor,<br />
herunder OCES in<strong>it</strong>iativet.<br />
Der sker ikke en "løsrivning", men blot præciseringer i forhold til OASISstandarderne,<br />
som stadig overholdes.<br />
Kommentar 12<br />
Vi kan ikke "blot" satse på at købe produkt der understøtter SAML, men skal<br />
specifikt sikre os, at det understøtter DK-SAML.<br />
Styrelsens svar<br />
Det er tilstræbt, at DK-SAML i så høj grad som muligt kan understøttes med<br />
standardprodukter, der er tilgængelige på markedet. Arbejdsgruppen bag profilen<br />
har været i dialog med flere leverandører for at sikre dette.<br />
Bortset fra enkelte ekstra krav som er specifikt dokumenteret opfylder<br />
standardprodukter, som overholder OASIS conformance krav også de danske<br />
krav - så gevinsten ved at basere sig på markedsudbredte standarder er bibeholdt.<br />
Kommentar 13<br />
Hvilken opgave omkring løbende vedligehold og compliance påtager vi og resten<br />
af DK os hermed?<br />
Styrelsens svar<br />
Som tidligere nævnt indeholder den danske profil blot præciseringer og<br />
afgrænsninger. I forhold til SAML 2.0, som er stabil, forventes ikke noget<br />
specielt behov for vedligehold. Compliance er i meget høj grad dækket af Liberty<br />
Interoperabil<strong>it</strong>etstest, som Danmark får "gratis". Det er således primært, hvis vi<br />
ønsker at drage nytte af videreudvikling på området - fx. med profiler, som<br />
effektiviserer den in<strong>it</strong>ielle opkobling mellem IdP og SP, at Danmark skal<br />
anvendes væsentlige ressourcer.<br />
6<br />
IT- og Telestyrelsen<br />
Side 6
Kommentar 14<br />
Har andre (fx USA eller New Zealand) gjort sig erfaringer der understøtter, at<br />
dette er den rigtige vej, og kan vi få tyngde i vores valg ved at bygge profilen i<br />
fællesskab med dem?<br />
Styrelsens svar<br />
Den danske SAML profil bygger i høj grad på erfaringerne fra især USA men<br />
også New Zealand. Der er dog mindre nationale forskelle, der gør at hvert land<br />
har brug for deres egen profil (f.eks. OCES PKI infrastrukturen og lokale<br />
attributter som CPR, CVR, PID i Danmark).<br />
Danmark samarbejder også i Liberty e-Government Special Interest Group på at<br />
analysere muligheden for at definere en fælles eGov profil/ramme<br />
Kommentar 15<br />
Nogle krav er meget hårde - fx s.30: "All other statements are disallowed". Uden<br />
at have undersøgt det specifikke indhold af felterne, ville det være attraktivt at<br />
opbløde dette krav, hvis det er muligt - fx ved at modtager af data skal se bort fra<br />
disse data, eller ved at de "skrælles bort" under forsendelsen. Er dette muligt, kan<br />
vi potentielt opnå et bredere udvalg af applikationsleverandører.<br />
Styrelsens svar<br />
De hårde krav er stillet for at sikre interoperabil<strong>it</strong>et på områder, der har vist sig<br />
problematiske. Den konkrete sætning udelukker, at man anvender SAML<br />
assertions til at bære autorisationsbeslutninger, da denne del er på vej ud af<br />
SAML og erstattes med XACML standarden. Kravet er i øvrigt i<br />
overensstemmelse med SAML's egen Web SSO profil og vil derfor ikke betyde<br />
indskrænkninger i antallet af potentielle leverandører.<br />
Kommentar 16<br />
Hvordan skal klinikeren vide hvilken IdP han skal vælge? Det giver ikke mening<br />
at bede en kliniker om at tage stilling til dette, og i akutte s<strong>it</strong>uationer, vil det være<br />
en alvorlig stressfaktor. Kan vi finde en anden (teknisk) løsning - fx ved at der i<br />
servicekaldet angiver ønsket IdP?<br />
Styrelsens svar<br />
Formuleringen i DK-SAML giver Service Provideren et valg mellem at anvende<br />
en default Ident<strong>it</strong>y Provider eller spørge brugeren. Dette betyder, at en<br />
sundhedsfaglig applikation kan vælge ikke at spørge klinikeren men i stedet<br />
anvende en foretrukken Ident<strong>it</strong>y Provider i sundhedsvæsnet.<br />
Kommentar 17<br />
Klinikeren vil skifte pc flere gange på en arbejdsdag. Dette ønsker vi at<br />
understøtte ved at samle applikationerne i en portal, og her fastholde kontekst fra<br />
session til session. Af nødvendighed er det ok at logge på igen, men er der nogle<br />
problemer ved fornyet logon - fx at IdP ikke vil autentificere samme bruger, når<br />
vedkommende allerede har en igangværende session?<br />
7<br />
IT- og Telestyrelsen<br />
Side 7
Styrelsens svar<br />
Der er ikke noget til hinder for dette i DK-SAML eller de omgivende OASIS<br />
standarder, da disse ikke foreskriver, hvorledes IdP'en specifikt skal håndtere<br />
sessioner med brugeren.<br />
Kommentar 18<br />
Hvor ligger rettighedsstyringen? Er denne opgave isoleret til det arbejde<br />
Økonomiministeriet har i gang, og er det tænkt sammen med dette arbejde? Uden<br />
sammenhæng mellem de to projekter er anvendelsesområdet meget begrænset.<br />
Styrelsens svar<br />
Rettighedsstyring er en del af det fællesoffentlige brugerstyringsprojekt og vil<br />
blive behandlet i en senere fase. Det er udenfor scope af DK-SAML, som indgår i<br />
den første fase af projektet.<br />
Kommentar 19<br />
AttributeQuery - er det overvejet hvilke data man vil overfører her, og hvem +<br />
hvordan vedligehold af disse data sker? Man kunne få den tanke at "snige" en<br />
form for rettighedsstyring ind via attributter. Dette vil hurtigt udvikle sig til en<br />
meget problematisk model, og det må anbefales ikke at gå denne vej. Vi kunne<br />
hurtigt ønske en masse domaine specifikke attributer. Det skal overvejes, om<br />
dette er en hensigtsmæssig løsning på den opgaven man adressere, eller<br />
attributter er en "løsnings-rodekasse".<br />
Styrelsens svar<br />
Det er tanken, at en fællesoffentlig Ident<strong>it</strong>y Provider kun skal udstille attributter<br />
som reelt er fællesoffentlige (eksempelvis Produktionsnummer attributten for<br />
virksomheder). På sigt vil domænespecifikke registerdata kunne udbydes som<br />
attributservices, der er uafhængige af en Ident<strong>it</strong>y Provider.<br />
Det er brugerstyringssekretariatet under Økonomistyrelsen, som vil står for<br />
governance af hvilke attributter, der skal udstilles fællesoffentligt.<br />
Kommentar 20<br />
Metadata - "All ent<strong>it</strong>ies supporting the DK-SAML profiles must support the<br />
SAML Meta Data Specification" - hvad kræver dette af os som service anvender<br />
og som service udstiller?<br />
Styrelsens svar<br />
Dette betyder reelt, at man som Service Provider skal stille krav om<br />
understøttelse af meta data, når man erhverver en SAML løsning. Dette er<br />
standardfunktional<strong>it</strong>et i en lang række produkter.<br />
Kommentar 21<br />
Logon er sat til at time ud efter 15 minutter. Er disse 15 minutter defineret efter<br />
vurdering af brugerbehovet? Hvis en klinikker sidder og bearbejder nationalt<br />
udstillede data sammen med vores interne data, kan han være løbende aktiv, men<br />
uden at ramme nationale services så hyppigt. Det vil være et stort<br />
8<br />
IT- og Telestyrelsen<br />
Side 8
irr<strong>it</strong>ationsmoment, hvis han skal logge på op til 4 gang pr. time. Brugerbehovet<br />
bør undersøges.<br />
Styrelsens svar<br />
De omtalte 15 min er en redaktion fejl - det burde have stået tydeligere i profilen,<br />
at det var et eksempel. Time-out pol<strong>it</strong>ik vil blive fastlagt af de føderationer, der<br />
anvender profilen.<br />
Bemærk at en bruger vil have en session med både Ident<strong>it</strong>y Provider og hver<br />
Service Provider. Dette betyder, at så længe han er aktiv hos en Service Provider<br />
(og ikke timer ud her), da vil han ikke have behov for at logge på igen før han<br />
skifter til en ny Service Provider.<br />
Kommentar 22<br />
Afs. <strong>13.</strong>2 Authentication level in requests. Problemet ser ikke ud til at være løst.<br />
Hvordan understøttes det, at en service kræver logon på sikkerheds niveau 4, hvis<br />
IdPen ikke får denne oplysning og fr<strong>it</strong> kan vælge autentifications niveau?<br />
Styrelsens svar<br />
Problemet løses ved at der tilknyttes en logisk IdP til hvert niveau af<br />
autentifikation. Dermed vælger Service Provideren niveau ved at vælge logisk<br />
IdP.<br />
Styrelsen er enig i, at det ville være en fordel, hvis niveau et kunne angives i<br />
forespørgslen, men dette er ikke medtaget, da det ville give problemer i forhold<br />
til standardprodukter. Styrelsen arbejder på at få dette ind som et krav i<br />
internationale interoperabil<strong>it</strong>etstest, hvorved produktunderstøttelse vil følge med<br />
og kravet kunne indføres i profilen.<br />
Kommentar 23<br />
Flere steder får man den overvejelse, om man bør være logget på nationalt fra<br />
starten af sessionen. Dette er en uønsket løsning set fra regionen, da<br />
systemadgangen er særdeles kr<strong>it</strong>isk. En løsning der adresserede behovet for at<br />
være logget på lokalt og nationalt parallelt kunne være at etablere en "bro"<br />
mellem den lokale ident<strong>it</strong>et og den nationale ident<strong>it</strong>et.<br />
Styrelsens svar<br />
Det er ikke hensigten, at brugeren skal være tvunget til at logge på en<br />
fællesoffentlig Ident<strong>it</strong>y Provider for at tilgå løsninger i hans egen hjemorganisation.<br />
Brobygning mellem lokale og nationale ident<strong>it</strong>eter håndteres i<br />
senere faser af det det fællesoffentlige brugerstyringsprojekt.<br />
Kommentarer fra Region Syddanmark<br />
Kommentar 24<br />
Region Syddanmark opfordrer It- og Telestyrelsen til at arbejde på en national<br />
SAML 2.0 profil for web-services (eller flere nationale profiler, der tillader<br />
etablering af tillidsforhold, "trusts" mellem de forskellige sikkerhedsdomæner /<br />
9<br />
IT- og Telestyrelsen<br />
Side 9
føderationer). Regionen opfordrer endvidere Styrelsen til at lade et sådant<br />
arbejde tage afsæt i erfaringerne fra sundhedsområdet.<br />
Styrelsens svar<br />
Dette behandles i de kommende faser af det fællesoffentlige<br />
brugerstyringsprojekt, og vi takker for mulighed for at inddrage<br />
sundhedsområdets erfaringer, hvilket vi absolut vil gøre sammen med andre<br />
relevante erfaringer.<br />
Kommentar 25<br />
Endelig vil Region Syddanmark opfordre It- og telestyrelsen til at arbejde for, at<br />
viden om det anvendelsesscenarium for SAML 2.0 indenfor sundhedssektoren<br />
(med minimering af antallet af signon's og antallet af eksterne opslag) bibringes<br />
relevante internationale fora, idet problemstillingerne indenfor <strong>it</strong>-understøttelsen<br />
af sundhedsområdet må antages at være parallelle med problemstillinger i andre<br />
lande.<br />
Styrelsens svar<br />
Det vil Styrelsen gerne for så vidt som vi fagligt er i stand til at dække emnet.<br />
Der er dog områder, hvor vores faglige viden kommer til kort, fx har Liberty<br />
Alliance en Healthcare special interest group, hvor et engagement fra regionerne<br />
vil være velkomment.<br />
Kommentarer fra Statsbiblioteket<br />
Kommentar 26<br />
I introduktionen lægges ud med at skrive at profilen(DK-SAML2.0) skal bruges<br />
til føderationer indenfor den danske offentlige sektor. Afgrænsningen synes ikke<br />
at være defineret præcist nok, specielt når man tager de begrænsende valg der<br />
foretages i betragtning. DK-SAML2.0 efterlader det indtryk, at dokumentet er<br />
skrevet med en bestemt føderation for øje - eller til en gruppe af meget homogene<br />
føderationer.<br />
Styrelsens svar<br />
Profilen er ikke skrevet med en bestemt føderation for øje men henvender sig til<br />
føderationer formeret af danske myndigheder. Dette udelukker dog ikke hverken<br />
private eller internationale medlemmer af en sådan føderation. Profilens sigte er<br />
at sikre interoperabil<strong>it</strong>et og ikke at begrænse føderationers<br />
udfoldelsesmuligheder. Dersom en føderation indenfor målgruppen har<br />
væsentlige argumenter for at fravælge profilen, kan dette gøres. Det skal dog<br />
samtidig bemærkes, at profilen tillader stor fleksibil<strong>it</strong>et mht. imødekommelse af<br />
sektor-specifikke behov f.eks. gennem nye attributprofiler.<br />
Profilen opdateres så ovennævnte forhold er tydeligere.<br />
Kommentar 27<br />
Fokus for DK-SAML2.0 er primært føderationer bestående af offentlige<br />
myndigheder, deres ansatte og borgerne. Der er kun lidt fokus på føderationer<br />
indholdende private tjenesteudbydere eller føderationer, som går på tværs af<br />
10<br />
IT- og Telestyrelsen<br />
Side 10
landegrænser. Dette gør det formentlig svært at leve op til profilen i alle hjørner<br />
af de føderationer, som vil opstå i offentligt regi. Derfor bør scope't enten<br />
defineres mere præcist eller også bør visse begrænsninger fjernes.<br />
Styrelsens svar<br />
Se svar til kommentar 26.<br />
Kommentar 28<br />
Det primære DK-AAI scenarium er ikke omfattet af de beskrevne scenarier. I<br />
DK-AAI er brugerne for det meste anonyme i forhold til SP'en. I nogle tilfælde er<br />
der behov for en persistent relation (pseudonym), men ikke nødvendigvis kontilinking.<br />
I andre tilfælde er det nok at IdP'en siger god for brugeren og at<br />
vedkommende eksempelvis er studerende. I dette tilfælde er der ikke behov for<br />
persistering af relationen, men der skal tilgengæld overføres en række<br />
rollelignende attributter.<br />
Styrelsens svar<br />
Det er ikke umiddelbart til at afgøre om DK-AAI har særlige behov, der ikke kan<br />
tilgodeses af DK-SAML, men hvis det er tilfælde kan det være relevant at<br />
supplere DK_SAML meden anden SAML profil.<br />
Kommentar 29<br />
Følgende tekst er taget fra: http://www.oasisopen.org/comm<strong>it</strong>tees/download.php/11785/sstc-saml-exec-overview-2.0-draft-<br />
06.pdf 'Generally, a profile of SAML defines constraints and/or extensions in<br />
support of the usage of SAML for a particular application - the goal being to<br />
enhance interoperabil<strong>it</strong>y by removing some of the flexibil<strong>it</strong>y inev<strong>it</strong>able in a<br />
general-use standard. For instance, the Web Browser SSO Profile specifies how<br />
SAML authentication assertions are communicated between an ident<strong>it</strong>y provider<br />
and service provider to enable single sign-on for a browser user.' Vi mener ikke,<br />
at man bør generalisere alle kommende, danske føderationer til 'a particular<br />
application', som det eksempelvis gøres ved alene at tillade HTTP-POST<br />
(ekskluderer SAML-artefact).<br />
Styrelsens svar<br />
Hensigten med at anlægge begrænsninger i en profil er at sikre en højere grad af<br />
interoperabil<strong>it</strong>et, hvilket er en af de primære bevæggrunde for DK-SAML. Ved at<br />
vælge HTTP Post binding fremfor HTTP Artifact binding foretages ingen<br />
indskrænkning af de "forretningsmæssige" muligheder, idet der blot er tale om to<br />
alternative måder at kommunikere på, der er funktionelt ækvivalente (der<br />
overføres en assertion fra A til B).<br />
Yderligere kan det nævnes at ITST faktisk ser DK-SAML 2.0 som beskrivende<br />
den "application", som hedder "Web SSO".<br />
Kommentar 30<br />
Ifølge dokumentet 'Conformance Requirements for the OASIS Secur<strong>it</strong>y Assertion<br />
Markup Language (SAML) V2.03' lever en given profil ikke op til SAML2standarden<br />
hvis ikke http-artefact understøttes.<br />
11<br />
IT- og Telestyrelsen<br />
Side 11
Styrelsens svar<br />
Denne kommentar beror på en mistolkning af SAML conformance dokumentet.<br />
Dette dokument beskriver hvilke SAML funktioner et produkt skal understøtte<br />
for at være i conformance med en række 'operational modes'. Dette har intet at<br />
gøre med SAML profiler.<br />
Kommentar 31<br />
SAML-artefact'er anbefales til overførsel af større datamængder, og giver derfor<br />
god mening at bruge, hvis der tale om måleresultater, patientjournaler,<br />
mediefiler, grid-jobs osv. som ofte udgør større datamængder. Argumentet om at<br />
man i USA har haft problemer med brugen af SAML-artefact er ikke fra<br />
énsbetydende med, at det samme skulle være tilfældet for alle kommende<br />
føderationer i Danmark (afsn<strong>it</strong> 4.5.4). Manglen på diskussion af baggrunden for<br />
dette vigtige fravalg springer i øjnene - især når man tager DK-SAML2.0's<br />
generelle karakter i betragtning.<br />
Styrelsens svar<br />
SAML Artifacts fungerer som referencer til SAML Assertioner. Det forekommer<br />
som misbrug af SAML at indlejre mediefiler, patientjournaler, måleresultater og<br />
lignende i en SAML assertion, så argumentet er svært at forstå. Derimod<br />
forekommer det relevant at skele til erfaringerne fra en af de største<br />
implementationer (USA's egov), der netop peger på HTTP Redirect som den mest<br />
hensigtsmæssige binding.<br />
Kommentar 32<br />
Vi spørger os selv om, hvorfor man ønsker at tvinge udbredelsen af OCES<br />
signatur via dette in<strong>it</strong>iativ? De direkte og afledte krav til brugerne, IdP'erne og<br />
SP'erne vedrørende brug af OCES-certifikater volder problemer i forhold til<br />
profilens generelle anvendelse. Her tænkes særligt på eksisterende PKI'er, som<br />
fungerer til alles tilfredshed. Også det faktum at relativt store beløb allerede er<br />
investeret i certifikater og abbonementsordninger vil konflikte med de mange<br />
krav om brug af OCES-certifikater. Billedet kompliceres yderligere i et<br />
internationalt miljø som det akademiske, hvor interføderering, dvs.<br />
sammenkobling af eksisternde føderationer, allerede er igangsat. Endelig er der<br />
mange IdP'er som ikke bruger OCES i dag, da mobil<strong>it</strong>etsproblematikken med<br />
OCES endnu ikke er løst for de fleste brugere, ikke mindst i<br />
uddannelsessektoren. Og så skal det nævnes, at DK-AAI-brugeren ofte er<br />
anonym i forhold til SP'eren hvorfor overførelse af CPR-nummer eller PID derfor<br />
være uaktuelt.<br />
Styrelsens svar<br />
Styrelsen har valgt at tage kravet om OCES understøttelse ud af profilen hvad<br />
angår signering og kryptering mellem Service og Ident<strong>it</strong>y Providere. Det er<br />
således ladt op til de føderationer, som anvender profilen, at definere passende<br />
trust mekanismer. Det anbefales dog stadig at anvende OCES med mindre der er<br />
væsentlige årsager, som en allerede etableret PKI-infrastruktur, der gør<br />
alternativer relevante.<br />
12<br />
IT- og Telestyrelsen<br />
Side 12
Derimod er OCES attributprofilen bibeholdt, idet denne af<br />
interoperabil<strong>it</strong>etshensyn specificerer, hvilke attributter, der skal udveksles, når<br />
brugeren er autentificeret via en OCES dig<strong>it</strong>al signatur.<br />
Kommentar 33<br />
I afsn<strong>it</strong> 4.4.2 står der at en IdP gerne må supportere forskellige<br />
autentifikationsmekanismer, men "level of authentifikation" må ikke angives i<br />
forespørgslen. Der skal i stedet anvendes forskellige logiske IdP'er - hvilket ikke<br />
giver mening, da auth-niveaer dermed alligevel skal konfigureres. Vi forstår ikke<br />
hvorfor ikke auth-level ikke tillades i authn-request. Det bør efter vores mening<br />
være op til den enkelte føderation at definere. At enkelte stykker software har<br />
svært ved at håndtere forskellige 'levels of assurance', LOA, bør ikke gå ud over<br />
alle. DK-AAI har påvist, at systemopsætningen på IdP-siden kan være ganske<br />
begrænsende for udbredelsen af føderationen. At bede hver enkelt IdP om at<br />
opsætte og administrere flere logiske IdP'er svarende til multible auth-niveauer<br />
tror vi vil være direkte hæmmende - ikke mindst når man tager SAML2understøttelsen<br />
for auth-levels i betragtning. Men også fravalg af fx "level of<br />
authentification" eller tilvalget af "Ident<strong>it</strong>y Discovery profile" volder problemer i<br />
forhold til føderationer med partnere som ikke er en dansk myndighed.<br />
Styrelsens svar<br />
Det er særdeles vigtigt, at DK-SAML let kan implementeres i den offentlige<br />
sektor ved brug af standardprodukter. I forbindelse med arbejdet med profilen<br />
pågik en dialog med en række store leverandører, og det blev klart, at meget få<br />
(om nogen overhovedet) af standardprodukterne vil kunne understøtte udvidelser<br />
af meddelelsen med denne information. Dette ville betyde dyr<br />
og langsommelig customisering hos hver eneste serviceudbyder, hvilket ville<br />
kunne bringe udbredelsen i fare. I stedet er valgt en mere pragmatisk løsning,<br />
hvor en IdP kan konfigurere et antal logiske IdP'er med hver deres<br />
autentifikationsniveau. Dermed kan en SP vælge niveau indirekte ved at vælge<br />
logisk IdP. Det faktisk autentifikationsniveau er bibeholdt i den assertion, der<br />
udstedes, som en custom attribut (dette er nemlig bredt understøttet i produkter).<br />
Som nævnt i svar til kommentar 22 arbejder Styrelsen fremadrettet på at få<br />
produktstøtte for, at AuthnRequest kan indeholde AuthNLevel.<br />
Kommentar 34<br />
Argumentationen i afsn<strong>it</strong> 6 for at anvende HTTP Redirect binding til singlelogout<br />
er problematisk. Hvis man vil fastholde front-channel, skal argumentet<br />
være, at man har mulighed for at prompte brugeren for, om han virkelig vil logge<br />
ud. Brugerens ident<strong>it</strong>et kan også videregives via SOAP binding.<br />
Styrelsens svar<br />
Argumentationen er taget fra OASIS' egen profil for Single Logout (se OASIS<br />
profildokumentet version 2.0 linje 1148-1154 og 1211-1217), så den holder nu<br />
nok vand! Det er en almindelig udbredt teknik at holde en session via cookies,<br />
der kun kan læses, hvis brugeren henvises via en front-channel binding.<br />
13<br />
IT- og Telestyrelsen<br />
Side 13
Endvidere er HTTP-Redirect favoriseret af SAML conformance krav, idet denne<br />
kræves for alle typer "operational modes".<br />
Profilen bliver opdateret, så den ekstra fordel med, at IdP en kan prompte<br />
brugeren, medtages.<br />
Kommentar 35<br />
Common domain og dermed brugen af "Ident<strong>it</strong>y Discovery profile", beskrevet i<br />
afsn<strong>it</strong> 4.2, giver fint mening hvis en SP'er kun er medlem af få forskellige<br />
føderationer. I DK-AAI vil der være kommercielle (udenlandske) SP'ere, som<br />
udbyder deres tjeneste til mange føderationer. Det bliver svært at kræve at disse<br />
skal håndtere mange "commen domains", idet de allerede i dag anvender andre<br />
"discovery" mekanismer, som passer ind i deres forretning for fødereret adgang<br />
til deres tjenester.<br />
Styrelsens svar<br />
Det lader til, at DK-AAI har særlige behov, der ikke kan tilgodeses af DK-<br />
SAML, hvorfor det vil være fornuftigt at anvende en anden SAML profil. Det er<br />
ikke meningen, at DK-SAML skal tilgodese særlige forhold i udenlandske<br />
føderationer, men derimod vælge den mest hensigtsmæssige løsning til den<br />
danske offentlige sektor. Multi-federations er out-of-scope for DK-SAML 2.0.<br />
Kommentar 36<br />
DK-SAML2.0 sætter et meget højt sikkerhedsniveau. I Afsn<strong>it</strong> 4.3.3, 10.8, 10.9 og<br />
1<strong>1.</strong>5 beskrives det, at data på "message level" både skal signeres og krypteres. Da<br />
DK-AAI-brugeren ofte er annonym i forhold til SP'erne, bør et lavere<br />
sikkerhedsniveau i forhold til kryptering kunne anvendes - det skal i øvrigt siges,<br />
at alle attributoverførsler sker via sikre, krypterede forbindelser.<br />
Styrelsens svar<br />
DK-SAML sigter efter et sikkerhedsniveau, hvor personfølsomme oplysninger<br />
kan udveksles på en betryggende måde, herunder overholde Datatilsynets<br />
retningslinjer om brug af stærk kryptering. Dette er et fundamentalt krav i den<br />
offentlige sektor. Bemærk dog, at der er valgfrihed i hvor stærkt en Ident<strong>it</strong>y<br />
Provider autentificerer en bruger, og at det aktuelle niveau skal afspejles i de<br />
adgange, brugeren efterfølgende kan opnå. At DK-AAI på flere punkter så har<br />
andre behov kunne indikere, at det vil være fornuftigt at anvende en anden<br />
SAML profil.<br />
Endvidere kan det tilføjes, at kravene sigter mod hvad der interoperabil<strong>it</strong>etstestes<br />
på, så der vil være produkter, som kan understøtte kravene i praksis.<br />
Kommentar 37<br />
Navngivningen af unikke, sektorspecifikke atributter bør bindes til DNSnavngivningen<br />
af føderationen (se afsn<strong>it</strong> 7.4, bullet 2).<br />
Styrelsens svar<br />
Korrekt. Dette præciseres i profilen.<br />
14<br />
IT- og Telestyrelsen<br />
Side 14
Kommentarer fra Datatilsynet<br />
Datatilsynet har afgivet høringssvar alene til afsn<strong>it</strong> 1<strong>1.</strong>4 med overskriften<br />
Privacy in a Danish Context . Datatilsynet beskriver i s<strong>it</strong> svar en række<br />
punkter, hvor profilens ikke stemmer overens med defin<strong>it</strong>ioner og indhold i<br />
persondataloven. De enkelte punkter er ikke medtaget i nedenstående, da<br />
Styrelsen har valgt at tage afsn<strong>it</strong>tet ud af profilen og i stedet henvise direkte<br />
til persondataloven.<br />
Kommentar 38<br />
Sammenfattende må konstateres, at omtalen af persondatalovens regler ikke er<br />
retvisende. Eventuelt kan der i profilen blot henvises til Datatilsynet for nærmere<br />
information om persondatalovens regler. Såfremt udkastets afsn<strong>it</strong> 1<strong>1.</strong> 4 med<br />
overskriften Privacy in a Danish Context opretholdes, skal Datatilsynet<br />
anbefale, at afsn<strong>it</strong>tet omarbejdes, så det bringes i overensstemmelse med<br />
persondataloven.<br />
Styrelsens svar<br />
Dette forhold beklages. Det er besluttet, at afsn<strong>it</strong>tet tages ud af profilen som<br />
foreslået, og at der i stedet henvises til persondataloven.<br />
Kommentarer fra IBM<br />
Kommentar 39<br />
Denne profil foretager nogle kraftige fravalg, samtidig med at den fokuserer<br />
meget på de krav der rejses fra offentlige portaler - specielt borger.dk. Den<br />
fremstår derfor som en pragmatisk, taktisk standard og det kunne måske være<br />
en fordel at markere det ved f.eks.<br />
Slet ikke at anvende ordet "SAML" i profilens navn, men noget i retning<br />
af "Profil for offentlig fælles web login <strong>1.</strong>0"<br />
At ændre profilens navn til "DK-SAML 2.0 Web Browser SSO Profile"<br />
Fremhæve denne fokusering i det indledende "prpose" afsn<strong>it</strong>.<br />
Angive en mulig roadmap for kommende versioner eller profiler under<br />
"DK-SAML" - f.eks. "DK-SAML Web Services SSO Profile", DK-SAML<br />
WSRPProfile".<br />
Styrelsens svar<br />
Profilen skal ikke ses som en taktisk standard men snarere første trin i en serie af<br />
profiler, der udvikles i det fællesoffentlige brugerstyringsprojekt. Det indledende<br />
afsn<strong>it</strong> i profilen gøres tydeligere i beskrivelsen af formål og målgruppe for<br />
profilen. Se iøvrigt svar til kommentar 8 for yderligere detaljer.<br />
Med hensyn til navn på profilen er styrelsen enig i at profilens scope kan<br />
signaleres tydeligere, og ændrer derfor navnet til <strong>OIO</strong> Web SSO Profile V2.0<br />
Kortformsreferencen til profilen DK-SAML 2.0 bibeholdes dog også da dette<br />
navn er vel-etableret.<br />
15<br />
IT- og Telestyrelsen<br />
Side 15
Kommentar 40<br />
Med kravet om anvendelse af OCES certifikater afgræner standarden sig til at<br />
være en national standard, som udelukker herboende personer som ikke har<br />
eller kan få et OCES certifikat og udenlandske brugere samt udenlandske<br />
service providers, der skal udvekslke OCES virksomhedscertifikater med ID<br />
provideren.<br />
Det giver også problemer i forhold til internationale leverandører af<br />
sikkerhedsprodukter, som typisk holder sig til internationale standarder (en<br />
af grundene til at vi har dem). IBM's deltagelse i borger.dk proof-of-concept<br />
viste i casen med Rødovre Kommune, at dette godt kan lade sig gøre, men der<br />
skal foretages ekstra konfigurering m.v. for at implementere den nødvendige<br />
nationale tilpasning.<br />
Styrelsens svar<br />
Det er vigtigt at pointere at DK-SAML 2.0 profilen består af en række subprofiler,<br />
som ikke alle skal anvendes på én gang. Hvilke profiler der er relevante<br />
afhænger af hvilken rolle organisationen spiller og hvilke scenarier, der skal<br />
understøttes. OCES Attribut Profil skal kun anvendes hvis login-metoden er<br />
Dig<strong>it</strong>al Signatur. Der er således blot tale om at internationale standardprodukter<br />
skal kunne understøtte forskellige mekanismer til autentic<strong>it</strong>etssikring.<br />
Det er besluttet at tage kravet om OCES certifikater ud af profilen som trustmekanisme<br />
mellem Ident<strong>it</strong>y- og Service Providere. Se iøvrigt svar til kommentar<br />
32.<br />
I relation til produktunderstøttelse baserer såvel DK-SAML som OCES sig på<br />
internationale standarder, hvilket sikrer basis for interoperabil<strong>it</strong>et og anvendelse<br />
af standardprodukter. Der vil naturligvis være behov for konfigurering af<br />
standardprodukter til håndtering af lokale danske forhold som f.eks. CPR og<br />
CVR attributter, men det bør ikke udgøre nogen væsentlig hindring.<br />
Kommentar 41<br />
I det beskrevne scenarie fungerer portalen som en ren gennemstilling via et<br />
link eller en iframe til en service provider(SP). Portalen er imidlertid selv<br />
en SP, som har brug for autentificering af brugere, så de kan tilgå de<br />
portalrelaterede resourcer, som portalen er ansvarlig for - f.eks.<br />
portalsider, portlets på portalsider osv. Portalen kan sikkert også selv have<br />
brug for Attribute Services.<br />
Afgrænsningen til borger.dk med fravalg af f.eks. WRSP virker lidt som en<br />
taktisk, "tilfældig","pragmatisk" afgrænsning i forhold til at denne standard<br />
jo har et bredere sigte. Vedr. WSRP er IBM's support for denne standard i<br />
IBM's portalprodukter meget omfattende. WSRP vil sandsynligvis få stor<br />
betydning for distribuerede portaler med den kommende version 2, hvor der<br />
åbnes på for inter-portlet kommunikation,<br />
Styrelsens svar<br />
Det er korrekt at portalen selv funger som en Service Provider mod Ident<strong>it</strong>y<br />
Provideren, hvilket profilen også beskriver.<br />
16<br />
IT- og Telestyrelsen<br />
Side 16
I relation til WSRP og Web Services er dette et bevidst fravalg og således<br />
udenfor scope af profilen. Se svar til kommentar 8 og 39 for detaljer.<br />
Kommentar 42<br />
Afgrænsning til point-to-point interaktion via https. Da udgangspunktet i<br />
ark<strong>it</strong>ekturen er en point-to-point interaktion via https bliver det aktørernes<br />
(IDP, SP) opgave eksplic<strong>it</strong> at tage hånd om sessioner (cookie baseret), ID<br />
provider addresser, og Attribute server addresser, hvor de sidste to via<br />
deres implementering som web service kald jo kunne routes igennem en broker,<br />
hvis der altså indgik denne mulighed i ark<strong>it</strong>ekturen. På samme måde skal<br />
aktørerne også selv bidrage til transaktionsstyring ved, som det<br />
foreslås,anvendelse af Assertion ID som transaktionsidentifier og logning af<br />
disse til aud<strong>it</strong>formål. Igen opgaver som en brokerbaseret ark<strong>it</strong>ektur kan<br />
håndtere - i brokeren.<br />
Styrelsens svar<br />
Styrelsen har ikke set det hensigtsmæssigt eller relevant at indføre en brokerbaseret<br />
ark<strong>it</strong>ektur til Web Browser SSO scenariet, som DK-SAML profilen<br />
dækker. I senere profiler til ident<strong>it</strong>etsbaserede web services kan dette dog blive<br />
en mulighed, som skal overvejes. Se iøvrigt svar til kommentar 8, 39 og 4<strong>1.</strong><br />
Kommentar 43<br />
I afsn<strong>it</strong> 1<strong>1.</strong>3.1 nævnes noget om at publicere meta data lokationer i DNS<br />
records som en option???<br />
Styrelsens svar<br />
Publicering af meta datas lokation i DNS records er en af de mekanismer, der<br />
beskrives i OASIS SAML Meta Data specifikationen. Denne er dog ikke<br />
medtaget som et obligatorisk krav i DK-SAML profilen, da man meget vel kan<br />
tænke sig, at føderationer vil anvende andre mekanismer.<br />
Kommentar 44<br />
Uklarhed omkring anvendelse af OCES virksomhedscertifikat eller lignende?<br />
Flere steder nævnes det at der skal anvendes OCES virksomhedscertifikat eller<br />
lignende ("or equivalent").<br />
Styrelsens svar<br />
Den lidt løse formulering omkring OCES certifikater flere steder skyldes, at<br />
Styrelsen op til høringen overvejede, hvorvidt en ny type OCES certifikater<br />
(Funktionscertifikater) skulle kunne anvendes som trust mekanisme (udover<br />
Virksomhedscertifikater). Imidlertid er det efterfølgende blevet besluttet, at tage<br />
eksplic<strong>it</strong>te krav om OCES som trust mekanisme ud af profilen, men i forhold til<br />
den fællesoffentlige brugerstyringsorganisation må der forventes indførelse af en<br />
pol<strong>it</strong>ik, som stiller krav om brug af OCES certifikater til signering og kryptering<br />
af meddelelser. Se i øvrigt svar til kommentar 32.<br />
Kommentar 45<br />
Service Provider og IDP MUST forbindes via en SSL sikret linie med anvendelse<br />
af OCES Virksomhedscertifikat. Hvad menes der med "or equivalent" i afsn<strong>it</strong><br />
17<br />
IT- og Telestyrelsen<br />
Side 17
7.<strong>1.</strong>3 side 31? Er alle service providers virksomheder, der har et<br />
virksomhedscertifikat? Hvad med undenlandkse service providers.<br />
Styrelsens svar<br />
Se svar til kommentar 32 og 44. Føderationer beslutter nu selv trust mekanismer,<br />
og kan i princippet godt inkludere udenlandske Service Providers.<br />
Kommentar 46<br />
Afsn<strong>it</strong> 10.9 I starten (side 46) skrives at SP-Attr Servie Provider skal<br />
anvende OCES eller lignende. Senere i afsn<strong>it</strong>tet (side 47 tredje sidste<br />
afsn<strong>it</strong>) skal (MUST) der anvendes et OCES virksomhedscertifikat.<br />
Styrelsens svar<br />
Se svar til kommentar 32 og 44-46.<br />
Kommentar 47<br />
Afsn<strong>it</strong> 1<strong>1.</strong>5.2 skrives det at OCES virksomhedscertifikatet "is generally<br />
mandatory", vil det sige overvejende, altså at undtagelser kan gøres.<br />
Styrelsens svar<br />
Se svar til kommentar 32 og 44-47.<br />
Kommentar 48<br />
Mapning af pseudonym og subject ID hosService Provider. Afsn<strong>it</strong> 9.2 Mapningen<br />
mellem Persistent pseudonyme Attribute er det vel kun SP der skal mappe til<br />
det interne subject ID. Derfor ikke "Both Ident<strong>it</strong>y provider... and the<br />
mapping ....." sidste afsn<strong>it</strong> side 42.<br />
Styrelsens svar<br />
Det er et krav, at Ident<strong>it</strong>y Provideren genererer forskellige pseudonymer til<br />
forskellige Service Providere (for samme bruger), så disse ikke kan korollere<br />
oplysninger om brugerens ident<strong>it</strong>et. Det, der ligger i den beskrevne formulering,<br />
er således, at Ident<strong>it</strong>y Provider vil have behov for at mappe fra brugerens interne<br />
ident<strong>it</strong>et til det pseudonym, der skal anvendes til den pågældende Service<br />
Provider.<br />
Kommentar 49<br />
Hvad er årsagen til at 'Transient pseudonym profile' ikke understøttes?<br />
Styrelsens svar<br />
Dette skyldes, at der ikke har været vurderet et stort behov for denne mekanisme<br />
indenfor profilens målgruppe og anvendelsesområde. Profilen er bevidst holdt<br />
fokuseret med henblik på at lette praktiske implementeringer og skabe mest<br />
mulig klarhed for anvenderne. Såfremt der skulle vise sig et vigtigt behov for<br />
denne mekanisme, vil Styrelsen overveje at inkludere denne i profilen. Det er<br />
igen også vigtigt at fastslå at profilen ikke forbyder anvendelse af yderligere dele<br />
af OASIS SAML 2.0 standarden. Der er således intet til hinder for at en<br />
føderation muliggør yderligere funktional<strong>it</strong>et udover hvad der er beskrevet i DK-<br />
SAML 2.0.<br />
18<br />
IT- og Telestyrelsen<br />
Side 18
19<br />
IT- og Telestyrelsen<br />
Side 19
<strong>OIO</strong> Web SSO Profile 2.0 -<br />
Requirements Summary<br />
IT- & Telestyrelsen, Center for Serviceorienteret Infrastruktur<br />
December <strong>2007</strong><br />
>
Contents ><br />
1 Introduction 4<br />
<strong>1.</strong>1 Purpose 4<br />
2 Web SSO Profile 5<br />
2.1 Authentication Request 5<br />
2.2 Authentication 5<br />
2.3 Response 5<br />
2.4 Authentication Assertions 6<br />
2.5 Attribute Encoding Rules 6<br />
2.6 Core Attributes 7<br />
2.7 OCES Attribute Profile 8<br />
2.8 Persistent Pseudonym Profile 8<br />
2.9 Sector-Specific Attributes 8<br />
2.10 Meta Data Requirements 9<br />
2.11 Other Considerations 9<br />
3 Ident<strong>it</strong>y Provider Discovery 10<br />
4 Single Logout Profile 11<br />
5 Attribute Query Profile 12<br />
5.1 Attribute Query Message 12<br />
5.2 Response Message 12<br />
5.3 Processing Rules 13<br />
6 Secur<strong>it</strong>y Requirements 14<br />
Appendix A: References 16
Document History<br />
Version Date In<strong>it</strong>ials Changes<br />
<strong>1.</strong>0 31-10-<strong>2007</strong> TG Document created
1 Introduction<br />
4<br />
<strong>1.</strong>1 Purpose<br />
This document contains a brief summary of the requirements stated in <strong>OIO</strong> Web SSO<br />
Profile V2.0 which also is referred to as DK-SAML 2.0 [DK-SAML]. The profile<br />
document [DK-SAML] is still normative and will take precedence in case of any<br />
conflicts or ambigu<strong>it</strong>ies.<br />
The requirements summary serves as a quick reference and further provides a<br />
checklist that can be given to vendors of SAML products.<br />
>
2 Web SSO Profile<br />
The OASIS Web SSO Profile described in [SAMLProf] must be followed where<br />
nothing else is described.<br />
2.1 Authentication Request<br />
The message MUST be signed by the Service provider w<strong>it</strong>h<br />
a private key bound to an X.509 certificate<br />
HTTP Redirect binding MUST be used w<strong>it</strong>h DEFLATE encoding. The<br />
signature on the MUST be located in the Signature query<br />
string defined in the DEFLATE encoding.<br />
The MUST not contain custom attributes (for example<br />
specifying the desired level of authentication).<br />
The HTTP exchange MUST take place over one-way SSL / TLS.<br />
The RelayState parameter MAY be used, but MUST not reveal any details of<br />
the request (must be opaque).<br />
The Ident<strong>it</strong>y Provider end-points MUST be determined using (previously<br />
exchanged) meta data.<br />
Depending on the used attribute profile, a NameIDPolicy element may be<br />
present in the request:<br />
o When the OCES attribute profile is used, the NameIDPolicy<br />
element SHOULD be avoided. The federation of accounts will not<br />
happen through account linking but through account mapping of<br />
the OCES attributes.<br />
o When the persistent pseudonym profile is used, the NameIDPolicy<br />
element must be present w<strong>it</strong>h the AllowCreate attribute set to<br />
true and the Format attribute set to<br />
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent<br />
2.2 Authentication<br />
The user MUST be able to opt out of SSO at the Ident<strong>it</strong>y Provider such that he<br />
will never be SSO ed to Service Providers.<br />
The Ident<strong>it</strong>y Provider MUST honour the ForceAuth attribute and reauthenticate<br />
the user if <strong>it</strong> is set to true .<br />
2.3 Response<br />
Only Service Providers w<strong>it</strong>h prior agreements (and exchanged meta data)<br />
MUST be served by the Ident<strong>it</strong>y Provider.<br />
The SHOULD not be signed.<br />
A successful response MUST contain exactly one w<strong>it</strong>h exactly<br />
one element. Each assertion's element MUST<br />
contain the unique identifier of the issuing Ident<strong>it</strong>y Provider; the Format<br />
attribute MUST be om<strong>it</strong>ted or have a value of<br />
urn:oasis:names:tc:SAML:2.0:nameid-format:ent<strong>it</strong>y.<br />
><br />
5
6<br />
Any returned Assertions MUST follow the attribute profiles defined in DK-<br />
SAML.<br />
The Service Provider end-points MUST be determined using previously<br />
exchanged SAML meta data.<br />
The HTTP Post binding MUST be used for sending the response.<br />
The HTTP exchange MUST take place over one-way SSL / TLS<br />
2.4 Authentication Assertions<br />
Assertions MUST be signed by the Ident<strong>it</strong>y Provider.<br />
Assertions MUST be encrypted under the Service Provider s public key. No<br />
other elements are perm<strong>it</strong>ted to be encrypted (e.g. attribute encryption).<br />
An Assertion MUST NOT contain an .<br />
An Assertion MUST contain exactly one and one<br />
.<br />
Assertions MUST contain an attribute stating the level of authentication.<br />
The Issuer element is mandatory and MUST contain a string w<strong>it</strong>h the (unique)<br />
Issuer id. The Issuer id MUST be a Uniform Resource Locator containing the<br />
issuer s domain.<br />
The name qualifiers NameQualifier, SPNameQualifier, Format and<br />
SPProvidedID SHOULD not be used.<br />
An assertion MUST contain exactly one element holding the<br />
subject id.<br />
The subject element MUST contain at least one <br />
element containing a Method of<br />
urn:oasis:names:tc:SAML:2.0:cm:bearer.<br />
The bearer element described above MUST contain a<br />
element that has a Recipient attribute containing<br />
the Service Provider's assertion consumer service URL and a NotOnOrAfter<br />
attribute that lim<strong>it</strong>s the window during which the assertion can be delivered. It<br />
MUST NOT contain a NotBefore attribute.<br />
The assertion MUST contain an including the Service<br />
Provider's unique identifier as an .<br />
Advice elements MAY safely be ignored by implementations.<br />
Any authentication statements MUST further include a SessionIndex attribute<br />
to enable per-session logout requests by the Service Provider.<br />
2.5 Attribute Encoding Rules<br />
The following rules for attribute encoding MUST be followed by all attribute profiles:<br />
>
The XML attribute on the element MUST be:<br />
urn:oasis:names:tc:SAML:2.0:attrname-format:uri<br />
Attribute names MUST be a URI (as indicated by the name format above).<br />
The XML attribute MAY be used but implementations<br />
SHOULD not rely on <strong>it</strong>.<br />
Attributes w<strong>it</strong>h an Object Identifier SHOULD use this identifier as their name<br />
(e.g. urn:oid:2.3.4.5 ).<br />
Attributes w<strong>it</strong>hout an Object Identifier which are defined by the National IT<br />
and Telecom Agency SHOULD have the following name prefix:<br />
dk:gov:saml:attribute .<br />
All attribute values MUST be simple text strings w<strong>it</strong>h type xs:string .<br />
Mandatory attributes which have no value MAY be set w<strong>it</strong>h blank values.<br />
Optional attributes SHOULD not have blank values.<br />
Service Provider MUST be able to handle empty mandatory attributes.<br />
Encrypted attributes SHOULD not be used.<br />
2.6 Core Attributes<br />
The following core attributes MUST be included in all attribute statements except for<br />
the persistent pseudonym profile:<br />
sn - Surname<br />
cn - Common name.<br />
uid - User id<br />
mail - email address<br />
AssuranceLevel States how strongly the user was authenticated.<br />
SpecVer States the applied version of the DK-SAML profile.<br />
For details, please consult [DK-SAML].<br />
The following core attribute are optional:<br />
uniqueAccountKey - Unique key to match and synchronize user information<br />
across systems and organisations<br />
cvrNumberIdentifier - An employee s organization identifier<br />
DiscoveryEPR - Contains an end-point reference (EPR) to a Liberty<br />
Discovery Service<br />
A Service MAY ignore these attributes but MUST not halt the processing if they are<br />
present.<br />
><br />
7
8<br />
2.7 OCES Attribute Profile<br />
If the OCES attribute profile is used, the following requirements apply:<br />
When authenticating subjects using an OCES certificate, the <br />
element SHOULD refer to the following authentication context class in an<br />
element:<br />
urn:oasis:names:tc:SAML:2.0:ac:classes:X509.<br />
The Subject should be encoded using the DN from the OCES cert as<br />
recommended by the SAML deployment profile for X.509 subjects.<br />
The Certificate Serial Number MUST be included as an attribute.<br />
The Organization Name MUST be included as an attribute for Employees and<br />
Companies.<br />
The Organization Un<strong>it</strong> MAY be included as an attribute.<br />
The T<strong>it</strong>le MAY be included as an attribute.<br />
The Postal Address MAY be included as an attribute.<br />
The OCES Pseudonym MAY be included as an attribute.<br />
The User Certificate MAY be included as an attribute.<br />
The PID number MUST be included as an attribute for Persons.<br />
The CPR number MAY be included as an attribute for Persons.<br />
The CVR number MUST be included for Employees and Companies.<br />
The RID number MUST be included for Employees.<br />
The Uid core attribute MUST contain the Subject Serial number from the<br />
OCES certificate l<strong>it</strong>erally.<br />
2.8 Persistent Pseudonym Profile<br />
Service and Ident<strong>it</strong>y Provider MUST support exchanging a persistent<br />
pseudonym as part of an SSO exchange.<br />
The assertion MUST contain the following core attributes.<br />
o AssuranceLevel attribute<br />
o SpecVer attribute<br />
No other kernel attributes are perm<strong>it</strong>ted.<br />
The assertion Subject element MUST contain a persistent pseudonym<br />
identifier. The identifier MUST be truly opaque such that the user ident<strong>it</strong>y<br />
cannot be inferred from <strong>it</strong>.<br />
2.9 Sector-Specific Attributes<br />
Sector or IdP-specific attributes MUST be placed in responses to attribute<br />
queries and MUST not be present in authentication assertions.<br />
>
Attributes specific to a sector or an Ident<strong>it</strong>y Provider MUST use a name URI<br />
containing their DNS domain.<br />
Sector-specific attributes must follow the encoding rules described previously.<br />
2.10 Meta Data Requirements<br />
All ent<strong>it</strong>ies MUST be able to export and import meta data files.<br />
All ent<strong>it</strong>ies MUST include their X.509 certificates l<strong>it</strong>erally (i.e. not just<br />
references) in order to allow others to verify signatures from them and encrypt<br />
messages to them.<br />
All relevant services required by this profile MUST be described in meta data,<br />
including SingleLogonService, SingleLogoutService, AttributeService,<br />
AssertionConsumerService, ManageNameIDService,<br />
NameIDMappingService.<br />
All attributes supported by the Attribute Service SHOULD be described in the<br />
.<br />
No proprietary information MAY be included in the SAML meta data (e.g. in<br />
elements) including required / supported levels of<br />
authentication. This is to ensure that meta data can be exchanged w<strong>it</strong>hout<br />
interoperabil<strong>it</strong>y issues.<br />
The root of every metadata file MUST be .<br />
Signing and verification of meta data is not required by this profile.<br />
2.11 Other Considerations<br />
The Ent<strong>it</strong>y Identifier SHOULD be derived from the name of the domain name<br />
that the federation server is hosted in using the the template:<br />
https://saml.[domain name]<br />
><br />
9
3 Ident<strong>it</strong>y Provider Discovery<br />
10<br />
Service- and Ident<strong>it</strong>y Providers MUST support and use the Ident<strong>it</strong>y Provider<br />
Discovery Profile found in [SAMLProf] w<strong>it</strong>h Common Domain Cookies<br />
(CDC).<br />
o The Ident<strong>it</strong>y Provider MUST wr<strong>it</strong>e this cookie before transferring the<br />
user back to a Service Provider.<br />
o The Service Provider should read the cookie to obtain a list of<br />
potential Ident<strong>it</strong>y Providers.<br />
The common domain cookie MUST be transient (i.e. must not persist past the<br />
closing of the user s browser).<br />
If no common domain cookie exists or no supported Ident<strong>it</strong>y Providers are<br />
found in <strong>it</strong>, a Service Provider MAY select a default Ident<strong>it</strong>y Provider or<br />
prompt the user to select from a list of supported Ident<strong>it</strong>y Providers.<br />
>
4 Single Logout Profile<br />
Ident<strong>it</strong>y- and Service Provider MUST follow the Single Logout Profile<br />
described in [SAMLProf].<br />
HTTP Redirect binding MUST be used for conveying the first message going<br />
from a Service Provider to an Ident<strong>it</strong>y Provider.<br />
E<strong>it</strong>her HTTP Redirect or SOAP binding MUST be used for subsequent<br />
message exchanges.<br />
All Service Providers and Ident<strong>it</strong>y Provider MUST support the HTTP Redirect<br />
binding.<br />
Service Providers MAY support SOAP Binding.<br />
Ident<strong>it</strong>y Providers MUST support for SOAP Binding.<br />
When a Service Provider supports SOAP, SOAP SHOULD be used (except<br />
for the first message) as <strong>it</strong> offers numerous advantages including reliabil<strong>it</strong>y.<br />
All request and response messages MUST be signed.<br />
Each Service Provider SHOULD provide a means for local logout to <strong>it</strong>s own<br />
applications.<br />
All communication MUST go over (one way / server authenticated) SSL /<br />
TLS.<br />
><br />
11
5 Attribute Query Profile<br />
12<br />
Attribute queries in DK-SAML must conform to the following:<br />
The OASIS profile Assertion Query/Request Profile described in<br />
[SAMLProf] MUST be followed.<br />
Attribute encodings SHOULD follow the rules specified previously.<br />
An Attribute Service SHOULD declare as part of <strong>it</strong>s meta data which<br />
attributes <strong>it</strong> understands (as specified in [SAMLMeta]).<br />
SOAP Binding MUST be used.<br />
The communication between requester and responder MUST be strongly<br />
encrypted and integr<strong>it</strong>y protected using at least one of the following<br />
mechanisms:<br />
o SSL / TLS transport secur<strong>it</strong>y w<strong>it</strong>h server authentication.<br />
Before requesting private or personal data from an Attribute Service, the<br />
Service Provider MUST prompt the user for her consent or in other ways be<br />
able to prove having consent to request the data.<br />
5.1 Attribute Query Message<br />
The Consent attribute MUST be included.<br />
The element MUST be included.<br />
The element is mandatory and the query MUST be signed<br />
w<strong>it</strong>h a key bound to the requester s X.509 company certificate or equivalent.<br />
The Service Provider SHOULD identify the Subject by including the uid core<br />
attribute (w<strong>it</strong>h attribute value) in the request.<br />
The requester SHOULD include the UID core attribute in the request to<br />
identify the Subject.<br />
5.2 Response Message<br />
The element is mandatory.<br />
If the element is present in the query, the element<br />
MUST also be present in the response and match the request.<br />
Any assertion(s) in the response MUST comply w<strong>it</strong>h the requirements for<br />
authentication assertions stated previously (including mandatory signing and<br />
encryption) w<strong>it</strong>h the following exceptions:<br />
o The Assertion MUST not carry an element.<br />
o The element in the assertion is optional.<br />
o The assertion does not have to include the kernel attributes; instead<br />
the attribute requested in the query are returned.<br />
>
5.3 Processing Rules<br />
If the subject specified in the request is not recognized by the Attribute<br />
Service, <strong>it</strong> SHOULD return a second-level status code w<strong>it</strong>h the following URI<br />
reference:<br />
o urn:oasis:names:tc:SAML:2.0:status:UnknownPrincipal<br />
If attributes are requested which the Attribute Service does not recognize, the<br />
Attribute Service SHOULD use the following approach:<br />
o The top-level error code is set to Success if any of the requested<br />
attributes can be returned; otherwise <strong>it</strong> is set to<br />
urn:oasis:names:tc:SAML:2.0:status:Requester.<br />
o An assertion is returned w<strong>it</strong>h all known attributes (provided <strong>it</strong> is<br />
allowed by the attribute release policy).<br />
o A nested status code element is included specifying a status code<br />
being<br />
urn:oasis:names:tc:SAML:2.0:status:InvalidAttrNameO<br />
rValue<br />
o A sequence of elements are included, one per<br />
unknown attribute, specifying the name of the unknown attribute to<br />
the requester.<br />
If attributes are requested which the Attribute Service does not want to<br />
disclose to the requestor according to <strong>it</strong>s attribute release policy, the Attribute<br />
Service SHOULD:<br />
o Return a second-level status code being:<br />
urn:oasis:names:tc:SAML:2.0:status:RequestDenied<br />
followed by a sequence elements describing the<br />
reason for not disclosing the attribute.<br />
If a known attribute is requested, but the Attribute Service does not know the<br />
attribute value for this particular subject, the Attribute Service SHOULD:<br />
o return an element in the response w<strong>it</strong>h the<br />
corresponding element empty and w<strong>it</strong>h the<br />
reserved attribute xsi:nil w<strong>it</strong>h a value of true or 1 (see<br />
[SAMLCore] p. 31).<br />
Attribute Services SHOULD use status code URIs defined in [SAMLCore] or<br />
optionally (if the need appears) specify add<strong>it</strong>ional status codes through the<br />
<strong>OIO</strong> standardization in<strong>it</strong>iative.<br />
><br />
13
6 Secur<strong>it</strong>y Requirements<br />
14<br />
Note that requirements for signing and encrypting SAML messages or elements have<br />
already been listed.<br />
Certificates<br />
Only certificates present in meta data MAY be used for signing or encryption.<br />
For signing and encryption of messages, X.509 certificates MUST be used. It<br />
is left to federations using the profile to determine the allowed types of<br />
certificates (and hence trust mechanisms).<br />
A recipient MUST verify signed messages including performing a revocation<br />
check on the certificate via one of the following methods:<br />
o CDP Extensions can be used when the certificate includes a<br />
Certificate Revocation List Distribution Point extension.<br />
o OCSP can be used to perform an on-line certificate status check.<br />
o CRL a certificate revocation list can be downloaded from the CA<br />
periodically.<br />
Furthermore, the certificate MUST be trust-validated to ensure that <strong>it</strong> has been<br />
issued by a trusted CA and that the certificate path is well-formed.<br />
Transport level secur<strong>it</strong>y<br />
The HTTP connection used for the POST and Redirect bindings MUST be<br />
secured w<strong>it</strong>h SSL 3.0 / TLS <strong>1.</strong>0. The connection is not required to use client<br />
authentication since that would mean that the end-user would have to<br />
authenticate server traffic. Instead, messages transported via this channel will<br />
be dig<strong>it</strong>ally signed.<br />
Only SSL / TLS cipher su<strong>it</strong>es providing strong encryption are allowed.<br />
The SSL / TLS (server) certificates SHOULD be trusted by commercially<br />
available browsers including Internet Explorer, Mozilla, Firefox, Safari and<br />
Opera.<br />
Encryption Algor<strong>it</strong>hms<br />
Encryption algor<strong>it</strong>hm MUST be AES w<strong>it</strong>h at least 128 b<strong>it</strong> keys.<br />
Signature algor<strong>it</strong>hm MUST be SHA1w<strong>it</strong>hRSA or SHA256w<strong>it</strong>hRSA w<strong>it</strong>h<br />
minimum 1024 b<strong>it</strong> modulus.<br />
Longer AES or RSA keys are perm<strong>it</strong>ted.<br />
When using 1024 b<strong>it</strong> RSA modulus, federation participants SHOULD prepare<br />
to upgrade a longer modulus w<strong>it</strong>hin 6-24 months.<br />
>
Other<br />
A Service Provider must enforce a one-time semantics for assertions to ensure<br />
that they cannot be re-played.<br />
An Ident<strong>it</strong>y Provider SHOULD check that all SSO requests bound to a<br />
particular session cookie originate from the same client IP address.<br />
The attribute MUST be checked by Service Providers.<br />
><br />
15
Appendix A: References<br />
16<br />
[DK-SAML] <strong>OIO</strong> Web SSO Profile V2.0 , IT- og Telestyrelsen.<br />
[SAMLCore] Assertion and Protocols for the OASIS Secur<strong>it</strong>y Assertion Markup Language<br />
2.0 , OASIS Standard. http://docs.oasis-open.org/secur<strong>it</strong>y/saml/v2.0/saml-core-<br />
2.0-os.pdf<br />
[SAMLProf] Profiles for the OASIS Secur<strong>it</strong>y Assertion Markup Language (SAML) V2.0 ,<br />
OASIS Standard. http://docs.oasis-open.org/secur<strong>it</strong>y/saml/v2.0/saml-profiles-<br />
2.0-os.pdf<br />
[SAMLBind] Profiles for the OASIS Secur<strong>it</strong>y Assertion Markup Language (SAML) V2.0 ,<br />
OASIS Standard. http://docs.oasis-open.org/secur<strong>it</strong>y/saml/v2.0/saml-profiles-<br />
2.0-os.pdf<br />
[SAMLTechOver] Secur<strong>it</strong>y Assertion Markup Language (SAML) V2.0 Technical Overview ,<br />
OASIS, Working Draft 21 February <strong>2007</strong> .<br />
[SAMLMeta] Metadata for the OASIS Secur<strong>it</strong>y Assertion Markup Language (SAML) V2.0 ,<br />
OASIS Standard 15 March 2005.<br />
[SAMLConf] Conformance Requirements, OASIS Secur<strong>it</strong>y Assertion Language (SAML)<br />
V2.0 , OASIS Standard 15. March 2005.<br />
http://docs.oasis-open.org/secur<strong>it</strong>y/saml/v2.0/saml-conformance-2.0-os.pdf<br />
[SAMLDepl] SAML V2.0 Deployment Profiles for X.509 Subjects , OASIS Draft, 26<br />
March <strong>2007</strong>.<br />
[ITTArch] Anbefaling om fælles ark<strong>it</strong>ektur for tværgående autentic<strong>it</strong>etssikring .<br />
http://www.oio.dk/files/Horing.B.st.tvergaendeautenc<strong>it</strong>etssikring.v3.pdf<br />
[ITTAuthLevel] Vejledning vedrørende niveauer af autentic<strong>it</strong>etssikring .<br />
http://www.oio.dk/files/Horing.B.st.niv.autentis<strong>it</strong>etssikring.v3.pdf<br />
[ITTAttrib] Anbefaling til kerneattributter for bruger .<br />
http://www.oio.dk/files/Horing.B.st.kerneatrtibutter.v3.pdf<br />
[ITTUID]<br />
Anbefaling til unik id-nøgle .<br />
http://www.oio.dk/files/Horing.B.st.id-nogle.v3.pdf<br />
[EgovTechApp] Technical Approach for the Authentication Service Component Version <strong>1.</strong>0.0<br />
June 28, 2004 .<br />
http://www.cio.gov/eauthentication/documents/TechApproach.pdf<br />
[EgovSAMLProf] SAML Artifact Profile as an Adopted Scheme for E-Authentication .<br />
http://www.cio.gov/eauthentication/documents/SAMLprofile.pdf<br />
[EgovIntf] E-Authentication Interface Specifications for the SAML Artifact Profile<br />
http://www.cio.gov/eauthentication/documents/SAMLspec.pdf<br />
[NistElAuth] Electronic Authentication Guideline,NIST Special Publication 800-63<br />
Version <strong>1.</strong>0.1 http://www.csrc.nist.gov/publications/nistpubs/800-63/SP800-<br />
63v6_3_3.pdf<br />
[OCESPers] Certifikatpol<strong>it</strong>ik for OCES-personcertifikater , Version 3.0, IT- og<br />
Telestyrelsen<br />
[OCESMedarb] Certifikatpol<strong>it</strong>ik for OCES-medarbejdercertifikater , Version 4.0, IT- og<br />
Telestyrelsen<br />
[GartBusCas] Business Case Fælles login service og rettighedsstyring. 24. april 2006,<br />
>
Gartner Consulting.<br />
[EAuth-V2] E-Authentication SAML 2.0 Working Arch<strong>it</strong>ecture Document, February <strong>2007</strong>,<br />
Version 1-0-0<br />
[EAuthIntf] E-Authentication Federation Arch<strong>it</strong>ecture 2.0 Interface Specifications ,<br />
Version <strong>1.</strong>0.0, May 4, <strong>2007</strong>.<br />
http://www.cio.gov/eauthentication/TechSu<strong>it</strong>e.htm<br />
[EAuthTechApp] Technical Approach for the Authentication Service Component , Version<br />
2.0.0, May 4, <strong>2007</strong>.<br />
[Sikkerhedsbekendtgørelsen]<br />
http://www.cio.gov/eauthentication/TechSu<strong>it</strong>e.htm<br />
Sikkerhedsbekendtgørelsen , Datatilsynet, 200<strong>1.</strong><br />
http://www.datatilsynet.dk/include/show.article.asp?art_id=495<br />
[Terms] Fælles Brugerstyringsløsning, Koncepter og Defin<strong>it</strong>ioner , The IT and<br />
Telecom Agency, Søren Peter Nielsen, Februar <strong>2007</strong>.<br />
[AttrProf] SAML Attribute Service Profile for eGovernment , The IT and Telecom<br />
Agency, December 2006.<br />
[LibInterop] SAML 2.0 Interoperabil<strong>it</strong>y Testing Procedures Version 2.0 , Liberty<br />
Alliance Project.<br />
[LibDiscov] Liberty ID-WSF Discovery Service Specification, Version: 2.0 . Liberty<br />
Alliance Project.<br />
><br />
17
Cover<br />
<strong>Dagsorden</strong>spunkt 4, <strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>éen, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
Orientering<br />
<strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>émøde, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
<strong>Pkt</strong>. 4. Status på tiltag for konvergens af standarder indenfor<br />
føderationsområdet<br />
Sagstype: Orientering<br />
Resumé<br />
Kom<strong>it</strong>een vil få en mundtlig orientering om status på tiltag for konvergens af<br />
standarder indenfor føderationsområdet.<br />
Sagsfremstilling<br />
Kom<strong>it</strong>een besluttede i starten af 2006 at fastholde SAML 2.0 som anbefalet<br />
føderationsstandard. Samtidig hermed besluttede kom<strong>it</strong>een også at der skulle<br />
arbejdes aktivt fra dansk side i dialog med EU, standardiseringsorganisationer,<br />
andre lande og leverandørerne på at fremme konvergens af standarderne indenfor<br />
føderationsområdet. På mødet vil der blive givet status på dette arbejde, herunder<br />
Målrettede aktiv<strong>it</strong>eter fra dansk side og resultater heraf<br />
Udviklingen indenfor de trad<strong>it</strong>ionelle føderationsstandarder og<br />
specifikationer<br />
Nye specifikationer og standarder<br />
EU/Internationale in<strong>it</strong>iativer<br />
Fremadrettede perspektiver<br />
Indstilling<br />
Det indstilles, at kom<strong>it</strong>éen orienterer sig via indlægget på kom<strong>it</strong>eens møde, og<br />
tilkendegiver såfremt der ønskes en drøftelse af emnet på et kommende<br />
kom<strong>it</strong>emøde.<br />
5. <strong>december</strong> <strong>2007</strong><br />
IT- og Telestyrelsen<br />
Sagsbehandler<br />
Søren Peter Nielsen<br />
Telefon 2567 0783<br />
Telefax 3337 9299<br />
E-post spn@<strong>it</strong>st.dk
Cover<br />
<strong>Dagsorden</strong>spunkt 5, <strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>éen, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
Beslutning<br />
<strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>émøde, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
<strong>Pkt</strong>. 5. Godkendelse af <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI<br />
Sagstype: Beslutning<br />
Resumé<br />
ITST har haft <strong>OIO</strong> RASP-profilerne og <strong>OIO</strong> UDDI profilen i offentlig høring på<br />
Høringsportalen. RASP står for Reliable Asynchronous Secure Profile og<br />
UDDI står for Universal Description, Discovery, and Integration . Samlet set<br />
understøtter profilerne sikker og pålidelig udveksling af forretningsdokumenter<br />
via internet (fx elektroniske tinglysningsdokumenter eller regninger) samt at en<br />
offentlig myndighed eller en privat virksomhed kan udstille de dig<strong>it</strong>ale services<br />
som understøttes, i et fælles service-katalog.<br />
Styrelsen har modtaget få, men kvalificerede, høringsbidrag. Profilerne er<br />
efterfølgende blevet justeret, og de parter, som har deltaget i høringen har haft<br />
lejlighed til at kval<strong>it</strong>etssikre ændringerne. På dette grundlag indstilles, at<br />
kom<strong>it</strong>éen godkender profilerne som <strong>OIO</strong> standarder med status Anbefalet i<br />
<strong>OIO</strong>-kataloget.<br />
Sagsfremstilling<br />
<strong>OIO</strong> RASP-profilerne og <strong>OIO</strong> UDDI profilen blev udviklet med det formål at<br />
understøtte sikker og pålidelig transport af forretningsdokumenter i den offentlige<br />
og private sektor.<br />
Ved en profil forstås, at der er foretaget en præcisering (lokalisering) af en eller<br />
flere anerkendte standarder. Standarden eller standarderne er med andre ord<br />
profileret (afgrænset) i forhold til en dansk anvendelse. Profileringen sker med<br />
afsæt i veldefinerede forretningskrav, og profilen gør det lettere at implementere<br />
standarden, idet en profileret standard er væsentlig mere præcis i forhold til de<br />
valg, der kan foretages. <strong>OIO</strong> RASP-profilen er et eksempel på en sådan<br />
profilering af internationale standarder.<br />
Forretningskravene til udveksling af forretningsdokumenter var enkle. Det<br />
samlede sæt af standarder skulle understøtte sikker og pålidelig udveksling af<br />
forretningsdokumenter via internet. Standarden skulle kunne anvendes af såvel<br />
store som små offentlige myndigheder og private virksomheder og det skulle<br />
være muligt at udveksle forretningsdokumenter med parter, som man ikke<br />
tidligere havde udvekslet data med. Det var ydermere et krav, at en<br />
kv<strong>it</strong>teringsmekanisme skulle gøre det muligt for både afsender og modtager at<br />
5. <strong>december</strong> <strong>2007</strong><br />
IT- og Telestyrelsen<br />
Sagsbehandler<br />
Mikkel Hippe Brun<br />
Telefon 3337 9220<br />
Telefax 3337 9299<br />
E-post mhb@<strong>it</strong>st.dk
dokumentere, at en given udveksling havde fundet sted (uafviselighed). Disse<br />
forretningskrav blev formuleret i en åben proces i første halvdel af 2006, hvor<br />
repræsentanter fra den offentlige og private sektor blev inv<strong>it</strong>eret til 2<br />
forretningsworkshops.<br />
Efterfølgende blev der afholdt en stribe tekniske workshops, hvor formålet var at<br />
identificere de standarder, som i fællesskab kunne understøtte de<br />
forretningsmæssige behov. Selv om standarderne i <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI<br />
blev identificeret på et meget tidligt tidspunkt, blev profilerne ikke låst fast før til<br />
sidst. Det var styrelsens vurdering, at det var vigtigt at afprøve profilerne i<br />
praksis ved at implementere software-biblioteker på hhv. en .NET-platform og en<br />
Java-platform. Softwarebibliotekerne er lagt ud i open source på Softwarebørsen,<br />
og er sidenhen blevet anvendt i en række driftsmiljøer; bl.a. hos KMD, Region<br />
Syddanmark og flere private leverandører til det offentlige. Udviklingen af<br />
software til understøttelse af <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI gav anledning til<br />
yderligere præciseringer i profilerne, og på denne baggrund sendte ITST profilen<br />
i offentlig høring.<br />
Profilernes indbyrdes relationer er illustreret i nedenstående figur:<br />
Den øverste røde kasse er en anvendelsesramme for <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI.<br />
Mao. for at understøtte sikker og pålidelig udveksling af forretningsdokumenter<br />
(fx elektroniske regninger i forbindelse med NemHandel) skal der etableres en<br />
infrastruktur baseret på <strong>OIO</strong> RASP med underliggende profiler samt <strong>OIO</strong> UDDI.<br />
Det er dog muligt at anvende hver af profilerne selvstændigt i forbindelse med<br />
andre dig<strong>it</strong>aliseringsprojekter.<br />
I relation til kr<strong>it</strong>erierne for optagelse i <strong>OIO</strong>-kataloget er der foretaget følgende<br />
vurdering:<br />
Åbenhed: Alle de standarder, som indgår i <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI stammer<br />
fra henholdsvis OASIS og W3C. Standarderne er udviklet i en åben proces, hvor<br />
det har været muligt for enhver at deltage i standardiseringsarbejdet enten<br />
IT- og Telestyrelsen<br />
Side 2
direkte eller i forbindelse med offentlige høringer. Standarderne vedligeholdes<br />
også fremadrettet af OASIS og W3C, og det vurderes derfor at standarderne lever<br />
op til kr<strong>it</strong>erierne om åbenhed .<br />
Forretningsrelevans: <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI er udviklet med afsæt i<br />
forretningskrav fra offentlige myndigheder og private virksomheder.<br />
Standarderne er en del af den leveranceplan, som er udtrykt i Visioner og<br />
milepæle for en national IT-infrastruktur , som er udgivet af ITST i <strong>2007</strong>. ITST<br />
har fået særdeles pos<strong>it</strong>iv feedback fra alle kanter omkring in<strong>it</strong>iativet, og <strong>OIO</strong><br />
RASP og <strong>OIO</strong> UDDI er allerede under implementering i flere offentlige<br />
dig<strong>it</strong>aliseringsprojekter. Det vurderes derfor, at <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI lever<br />
op til kr<strong>it</strong>erierne om at være relevante for forretningen .<br />
Markedsmæssige forhold: <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI er på nuværende tidspunkt<br />
understøttet af en række leverandører. I forhold til <strong>OIO</strong> RASP er KMD i færd<br />
med at udvikle en såkaldt Teknisk Driftsmodel for RASP, som sikrer, at<br />
standarden kan anvendes bredt i KMD s fagsystemer fra sommeren 2008.<br />
Tilsvarende har CSC valgt at benytte <strong>OIO</strong> RASP til tinglysningsprojektet i regi af<br />
Domstolsstyrelsen. Hvad angår <strong>OIO</strong> UDDI, findes der en række produkter, som<br />
understøtter den internationale UDDI-standard. Alle produkter, som understøtter<br />
abonnementssn<strong>it</strong>fladen i UDDI 3.0 kan anvendes som fundament for <strong>OIO</strong> UDDI.<br />
ITST har ydermere støttet udviklingen af et open source UDDI, som understøtter<br />
<strong>OIO</strong> UDDI. Selvom profilerne og de anvendte standarder i sagens natur endnu<br />
ikke endnu har vundet stor udbredelse, vurderes det, at <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI<br />
som helhed indenfor en kort tidshorisont fuldt ud lever op til kr<strong>it</strong>erierne om<br />
markedsmæssige forhold .<br />
Indstilling<br />
Det indstilles, at kom<strong>it</strong>éen godkender<br />
<strong>OIO</strong> RASP version <strong>1.</strong>1 som en <strong>OIO</strong>-standard med status Anbefalet<br />
o <strong>OIO</strong> Reliable Messaging Profile <strong>1.</strong>1 som en <strong>OIO</strong>-standard med<br />
status Anbefalet<br />
o <strong>OIO</strong> Basic Secur<strong>it</strong>y Profile <strong>1.</strong>1 som en <strong>OIO</strong>-standard med status<br />
Anbefalet<br />
o <strong>OIO</strong> Basic Profile <strong>1.</strong>1 som en <strong>OIO</strong>-standard med status<br />
Anbefalet<br />
o <strong>OIO</strong> SMTP Transport Binding for SOAP som en <strong>OIO</strong>-standard<br />
med status Anbefalet<br />
<strong>OIO</strong> UDDI Profile <strong>1.</strong>1 som en <strong>OIO</strong>-standard med status Anbefalet<br />
Bilag:<br />
<strong>1.</strong> Notat vedrørende høring af <strong>OIO</strong> RASP Profiler<br />
2. Notat vedrørende høring af <strong>OIO</strong> UDDI Profil<br />
Profiler:<br />
http://www.softwareborsen.dk/projekter/softwarecenter/serviceorienteretinfrastruktur/serviceorienteret-infrastruktur-ws-profiler<br />
IT- og Telestyrelsen<br />
Side 3
Cover<br />
<strong>Dagsorden</strong>spunkt 5, <strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>éen, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
Beslutning<br />
<strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>émøde, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
<strong>Pkt</strong>. 5. Godkendelse af <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI<br />
Sagstype: Beslutning<br />
Resumé<br />
ITST har haft <strong>OIO</strong> RASP-profilerne og <strong>OIO</strong> UDDI profilen i offentlig høring på<br />
Høringsportalen. RASP står for Reliable Asynchronous Secure Profile og<br />
UDDI står for Universal Description, Discovery, and Integration . Samlet set<br />
understøtter profilerne sikker og pålidelig udveksling af forretningsdokumenter<br />
via internet (fx elektroniske tinglysningsdokumenter eller regninger) samt at en<br />
offentlig myndighed eller en privat virksomhed kan udstille de dig<strong>it</strong>ale services<br />
som understøttes, i et fælles service-katalog.<br />
Styrelsen har modtaget få, men kvalificerede, høringsbidrag. Profilerne er<br />
efterfølgende blevet justeret, og de parter, som har deltaget i høringen har haft<br />
lejlighed til at kval<strong>it</strong>etssikre ændringerne. På dette grundlag indstilles, at<br />
kom<strong>it</strong>éen godkender profilerne som <strong>OIO</strong> standarder med status Anbefalet i<br />
<strong>OIO</strong>-kataloget.<br />
Sagsfremstilling<br />
<strong>OIO</strong> RASP-profilerne og <strong>OIO</strong> UDDI profilen blev udviklet med det formål at<br />
understøtte sikker og pålidelig transport af forretningsdokumenter i den offentlige<br />
og private sektor.<br />
Ved en profil forstås, at der er foretaget en præcisering (lokalisering) af en eller<br />
flere anerkendte standarder. Standarden eller standarderne er med andre ord<br />
profileret (afgrænset) i forhold til en dansk anvendelse. Profileringen sker med<br />
afsæt i veldefinerede forretningskrav, og profilen gør det lettere at implementere<br />
standarden, idet en profileret standard er væsentlig mere præcis i forhold til de<br />
valg, der kan foretages. <strong>OIO</strong> RASP-profilen er et eksempel på en sådan<br />
profilering af internationale standarder.<br />
Forretningskravene til udveksling af forretningsdokumenter var enkle. Det<br />
samlede sæt af standarder skulle understøtte sikker og pålidelig udveksling af<br />
forretningsdokumenter via internet. Standarden skulle kunne anvendes af såvel<br />
store som små offentlige myndigheder og private virksomheder og det skulle<br />
være muligt at udveksle forretningsdokumenter med parter, som man ikke<br />
tidligere havde udvekslet data med. Det var ydermere et krav, at en<br />
kv<strong>it</strong>teringsmekanisme skulle gøre det muligt for både afsender og modtager at<br />
5. <strong>december</strong> <strong>2007</strong><br />
IT- og Telestyrelsen<br />
Sagsbehandler<br />
Mikkel Hippe Brun<br />
Telefon 3337 9220<br />
Telefax 3337 9299<br />
E-post mhb@<strong>it</strong>st.dk
dokumentere, at en given udveksling havde fundet sted (uafviselighed). Disse<br />
forretningskrav blev formuleret i en åben proces i første halvdel af 2006, hvor<br />
repræsentanter fra den offentlige og private sektor blev inv<strong>it</strong>eret til 2<br />
forretningsworkshops.<br />
Efterfølgende blev der afholdt en stribe tekniske workshops, hvor formålet var at<br />
identificere de standarder, som i fællesskab kunne understøtte de<br />
forretningsmæssige behov. Selv om standarderne i <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI<br />
blev identificeret på et meget tidligt tidspunkt, blev profilerne ikke låst fast før til<br />
sidst. Det var styrelsens vurdering, at det var vigtigt at afprøve profilerne i<br />
praksis ved at implementere software-biblioteker på hhv. en .NET-platform og en<br />
Java-platform. Softwarebibliotekerne er lagt ud i open source på Softwarebørsen,<br />
og er sidenhen blevet anvendt i en række driftsmiljøer; bl.a. hos KMD, Region<br />
Syddanmark og flere private leverandører til det offentlige. Udviklingen af<br />
software til understøttelse af <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI gav anledning til<br />
yderligere præciseringer i profilerne, og på denne baggrund sendte ITST profilen<br />
i offentlig høring.<br />
Profilernes indbyrdes relationer er illustreret i nedenstående figur:<br />
Den øverste røde kasse er en anvendelsesramme for <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI.<br />
Mao. for at understøtte sikker og pålidelig udveksling af forretningsdokumenter<br />
(fx elektroniske regninger i forbindelse med NemHandel) skal der etableres en<br />
infrastruktur baseret på <strong>OIO</strong> RASP med underliggende profiler samt <strong>OIO</strong> UDDI.<br />
Det er dog muligt at anvende hver af profilerne selvstændigt i forbindelse med<br />
andre dig<strong>it</strong>aliseringsprojekter.<br />
I relation til kr<strong>it</strong>erierne for optagelse i <strong>OIO</strong>-kataloget er der foretaget følgende<br />
vurdering:<br />
Åbenhed: Alle de standarder, som indgår i <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI stammer<br />
fra henholdsvis OASIS og W3C. Standarderne er udviklet i en åben proces, hvor<br />
det har været muligt for enhver at deltage i standardiseringsarbejdet enten<br />
IT- og Telestyrelsen<br />
Side 2
direkte eller i forbindelse med offentlige høringer. Standarderne vedligeholdes<br />
også fremadrettet af OASIS og W3C, og det vurderes derfor at standarderne lever<br />
op til kr<strong>it</strong>erierne om åbenhed .<br />
Forretningsrelevans: <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI er udviklet med afsæt i<br />
forretningskrav fra offentlige myndigheder og private virksomheder.<br />
Standarderne er en del af den leveranceplan, som er udtrykt i Visioner og<br />
milepæle for en national IT-infrastruktur , som er udgivet af ITST i <strong>2007</strong>. ITST<br />
har fået særdeles pos<strong>it</strong>iv feedback fra alle kanter omkring in<strong>it</strong>iativet, og <strong>OIO</strong><br />
RASP og <strong>OIO</strong> UDDI er allerede under implementering i flere offentlige<br />
dig<strong>it</strong>aliseringsprojekter. Det vurderes derfor, at <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI lever<br />
op til kr<strong>it</strong>erierne om at være relevante for forretningen .<br />
Markedsmæssige forhold: <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI er på nuværende tidspunkt<br />
understøttet af en række leverandører. I forhold til <strong>OIO</strong> RASP er KMD i færd<br />
med at udvikle en såkaldt Teknisk Driftsmodel for RASP, som sikrer, at<br />
standarden kan anvendes bredt i KMD s fagsystemer fra sommeren 2008.<br />
Tilsvarende har CSC valgt at benytte <strong>OIO</strong> RASP til tinglysningsprojektet i regi af<br />
Domstolsstyrelsen. Hvad angår <strong>OIO</strong> UDDI, findes der en række produkter, som<br />
understøtter den internationale UDDI-standard. Alle produkter, som understøtter<br />
abonnementssn<strong>it</strong>fladen i UDDI 3.0 kan anvendes som fundament for <strong>OIO</strong> UDDI.<br />
ITST har ydermere støttet udviklingen af et open source UDDI, som understøtter<br />
<strong>OIO</strong> UDDI. Selvom profilerne og de anvendte standarder i sagens natur endnu<br />
ikke endnu har vundet stor udbredelse, vurderes det, at <strong>OIO</strong> RASP og <strong>OIO</strong> UDDI<br />
som helhed indenfor en kort tidshorisont fuldt ud lever op til kr<strong>it</strong>erierne om<br />
markedsmæssige forhold .<br />
Indstilling<br />
Det indstilles, at kom<strong>it</strong>éen godkender<br />
<strong>OIO</strong> RASP version <strong>1.</strong>1 som en <strong>OIO</strong>-standard med status Anbefalet<br />
o <strong>OIO</strong> Reliable Messaging Profile <strong>1.</strong>1 som en <strong>OIO</strong>-standard med<br />
status Anbefalet<br />
o <strong>OIO</strong> Basic Secur<strong>it</strong>y Profile <strong>1.</strong>1 som en <strong>OIO</strong>-standard med status<br />
Anbefalet<br />
o <strong>OIO</strong> Basic Profile <strong>1.</strong>1 som en <strong>OIO</strong>-standard med status<br />
Anbefalet<br />
o <strong>OIO</strong> SMTP Transport Binding for SOAP som en <strong>OIO</strong>-standard<br />
med status Anbefalet<br />
<strong>OIO</strong> UDDI Profile <strong>1.</strong>1 som en <strong>OIO</strong>-standard med status Anbefalet<br />
Bilag:<br />
<strong>1.</strong> Notat vedrørende høring af <strong>OIO</strong> RASP Profiler<br />
2. Notat vedrørende høring af <strong>OIO</strong> UDDI Profil<br />
Profiler:<br />
http://www.softwareborsen.dk/projekter/softwarecenter/serviceorienteretinfrastruktur/serviceorienteret-infrastruktur-ws-profiler<br />
IT- og Telestyrelsen<br />
Side 3
Notat<br />
Notat vedrørende høring af <strong>OIO</strong> RASP Profiler<br />
RASP profilerne har været i høring på høringsportalen fra 8. juni til 6. august<br />
<strong>2007</strong>.<br />
Profilerne består af flg. dokumenter:<br />
<strong>OIO</strong> Reliable Asynchronous Secure Profile <strong>1.</strong>0<br />
<strong>OIO</strong> Basic Profile <strong>1.</strong>0<br />
<strong>OIO</strong> Reliable Messaging Profile <strong>1.</strong>0<br />
<strong>OIO</strong> SMTP/MIME Base64 Transport Binding for SOAP <strong>1.</strong>2<br />
<strong>OIO</strong> Basic Secur<strong>it</strong>y Profile <strong>1.</strong>0<br />
Til advisering af høringen er anvendt udsendelseslisten knyttet til <strong>OIO</strong> Standarder<br />
samt enkelte særligt adresserede udvalgt af Styrelsen.<br />
Der indkom i alt 9 svar på høringen fra flg. organisationer:<br />
Beskæftigelsesministeriets IT enhed, KMD, Transport- og Energiministeriet,<br />
SKAT, Banedanmark IT, Erhvervs- og Selskabsstyrelsen, Forsvarskommandoen,<br />
Patent- og Varemærkestyrelsen, Statens Luftfartsvæsen.<br />
Af ovenstående havde kun KMD og Forsvarskommandoen bemærkninger til profilernes<br />
indhold, mens de øvrige har svaret, at de ingen kommentarer havde.<br />
Nedenfor gennemgås høringssvarene punkt for punkt sammen med Styrelsens<br />
svar. Som konsekvens af høringssvarene er der planlagt udgivelse af profildokumenterne<br />
i en ny og revideret version (<strong>1.</strong>1).<br />
5. <strong>december</strong> <strong>2007</strong><br />
IT- og Telestyrelsen<br />
Holsteinsgade 63<br />
2100 København Ø<br />
Telefon 3545 0000<br />
Telefax 3545 0010<br />
E-post <strong>it</strong>st@<strong>it</strong>st.dk<br />
Netsted www.<strong>it</strong>st.dk<br />
CVR-nr. 2676 9388<br />
Sagsnr. 07-019906<br />
Mikkel Hippe Brun<br />
Telefon 33379220<br />
E-post mhb@<strong>it</strong>st.dk
Kommentarer fra KMD<br />
Kommentarerne er fordelt på flg. dokumenter:<br />
1 - 19 samt 23 går på dokumentet <strong>OIO</strong> RASP Profile <strong>1.</strong>0<br />
20 - 22 går på dokumentet <strong>OIO</strong> RASP Profile <strong>1.</strong>0<br />
24 - 27 går på dokumentet <strong>OIO</strong> Basic Secur<strong>it</strong>y Profile <strong>1.</strong>0<br />
28 går på dokumentet <strong>OIO</strong> Reliable Messaging Profile <strong>1.</strong>0<br />
Kommentar 1<br />
Da RASP er en profil baseret på andre profiler, ville det være rart med en struktur,<br />
der fortæller hvad der er baseret på hvad med links til, hvor man kan finde<br />
nyeste version hurtigt. Det er formodentlig det som Reference-afsn<strong>it</strong>tet sidst i<br />
RASP profilen er beregnet til, men afsn<strong>it</strong>tet er mangelfuldt.<br />
Styrelsens svar<br />
Referenceafsn<strong>it</strong>tet opdateres, og der laves en ny tegning med lagene i stakken, så<br />
man kan se, hvad der bygger på hvad.<br />
Kommentar 2<br />
Der er redundans mellem de bagvedliggende profiler og selve RASP. RASP bør<br />
kun indeholde det som ligger ovenpå eller skærper de andre profiler - ikke gentage<br />
deres indhold.<br />
Styrelsens svar<br />
Redundans fjernes, således at det kun er ændringer eller skærpelser af de underliggende<br />
standarder og profiler, der medtages.<br />
Kommentar 3<br />
<strong>OIO</strong> UDDI <strong>1.</strong>0 profil-beskrivelsen mangler helt / er ikke synlig. Der er ikke link<br />
til den fra RASP profilen eller fra den hjemmeside, hvor høringen er beskrevet.<br />
Styrelsens svar<br />
Det er besluttet at tage <strong>OIO</strong> UDDI profilen ud af RASP, så den fremstår som en<br />
uafhængig og selvstændig profil. På den måde kan man implementere RASPkonforme<br />
web services uden nødvendigvis at anvende <strong>OIO</strong> UDDI profilen. UD-<br />
DI dokumentet vil komme i en særskilt høring.<br />
Dette er en beklagelig redaktion fejl at links til UDDI-profilen ikke blev fjernet.<br />
Kommentar 4<br />
På høringssiden er der et link til <strong>OIO</strong> SMTP/MIME Base64 Transport Binding<br />
for SOAP <strong>1.</strong>2, men den fremgår ikke rigtigt af RASP (kun i R1004 - og her henvises<br />
til version <strong>1.</strong>0). Skal den tolkes som en standard under <strong>OIO</strong> Basic Profile<br />
<strong>1.</strong>0, eller hvordan hænger den sammen med RASP? Og bør der ikke være bokse i<br />
dette dokument, ligesom der er det i profilerne, til at angive hvor der sker en præcisering<br />
af internationale standarder?<br />
IT- og Telestyrelsen<br />
2
Styrelsens svar<br />
Kommentaren beror på en misforståelse af versionsnumre: <strong>1.</strong>2 referer til versionen<br />
af SOAP standarden, mens den aktuelle version af <strong>OIO</strong> profilen er <strong>1.</strong>0. T<strong>it</strong>len<br />
på profilen ændres for at forhindre denne misforståelse i fremtiden. Årsagen til,<br />
at der ikke er "bokse" i dokumentet er, at der er tale om en ny profil, der ikke<br />
præciserer en eksisterende standard eller profil.<br />
Kommentar 5<br />
Checklisterne sidst profilerne (appendiks) mangler synkronisering med indholdet<br />
i selve profil-beskrivelsen. Der er eksempler på forskelle i både ordlyd (<strong>OIO</strong> Reliable<br />
Messaging <strong>1.</strong>0 K1001) og indhold (<strong>OIO</strong> Basic Profile <strong>1.</strong>0 K1002).<br />
Styrelsens svar<br />
Dokumenterne revideres, så der er overensstemmelse.<br />
Kommentar 6<br />
Der er dansk tekst flere steder i profilerne, der beskriver det videre arbejde - det<br />
bør fjernes og erstattes af den faktuelle information. De redaktionelle mangler<br />
gør det svært at danne et overblik over hvad profilerne egentlig indeholder/omfatter<br />
og det er derfor næsten umuligt at give et endeligt høringssvar herpå.<br />
Det vil være hensigtsmæssigt med en redaktionel <strong>it</strong>eration ovenpå denne høring<br />
efterfulgt af endnu en høringsrunde.<br />
Styrelsens svar<br />
Dokumenterne revideres med henblik på at fjerne den danske tekst samt andre<br />
redaktionelle mangler.<br />
Kommentar 7<br />
Mange af de involverede standarder er på forkant i forhold til, hvad der understøttes<br />
fra værktøjsleverandørerne. Det kan være et problem for dem der skal implementere<br />
standarden hurtigt, fordi man kan blive tvunget ud i selv at implementere<br />
teknisk understøttelse af standarden eller alternativt lave en teknologi opgradering<br />
(hvis der forefindes værktøjsstøtte fra leverandøren i nyeste version af<br />
værktøjet).<br />
Styrelsens svar<br />
Standarderne, som indgår i RASP er valgt i et bredt samarbejde med offentlige<br />
myndigheder og private leverandører. Man stod med valget mellem en række ISO<br />
15000 standarder som kunne anvendes som alternativ til de WS-* standarder,<br />
som indgår i RASP. ISO 15000 standarderne har opnået en større grad af modenhed,<br />
men leverandørtilslutningen er for ringe. Det blev derfor valgt at RASP<br />
skulle basere sig på de mere umodne WS-* standarder, som de største leverandører<br />
havde tilkendegivet deres støtte til. For at gøre det lettere for leverandører at<br />
understøtte RASP, har ITST udviklet 2 open source toolk<strong>it</strong>s til hhv. .NET og Java,<br />
som gør det til en overkommelig opgave at understøtte RASP. Disse toolk<strong>it</strong>s<br />
vil blive vedligeholdt af Styrelsen indtil 2010.<br />
IT- og Telestyrelsen<br />
3
Kommentar 8<br />
Der er behov for en verifikation af, at leverandørernes implementering af standarderne<br />
i profilen er OK.<br />
Styrelsens svar<br />
Der er ikke planer om et egentligt verifikationsprogram. ITST har implementeret<br />
en reference-klient, som leverandører kan teste deres løsninger imod. Der er også<br />
opsat et antal test-endpunkter, som det ligeledes er muligt at teste med. Lakmusprøven<br />
for om en leverandørs løsning er kompatibel, er at den kan interagere problemfr<strong>it</strong><br />
med disse løsninger.<br />
Kommentar 9<br />
De foreliggende .NET og Java-toolk<strong>it</strong>s på<br />
http://softwareborsen.dk/projekter/softwarecenter/serviceorienteret-infrastruktur<br />
er for nuværende i beta-versioner (<strong>1.</strong>0rc1p2) og frarådes anvendt til produktive<br />
formål. Dokumentations- og implementeringsmæssigt bærer ingen af de to toolk<strong>it</strong>s<br />
præg af at være release-kandidater og <strong>OIO</strong> RASP profilen er ikke komplet<br />
funktionsmæssigt dækket af de foreliggende toolk<strong>it</strong>s. Det vanskeliggør yderligere<br />
s<strong>it</strong>uationen for de første der skal implementere profilen. Java toolk<strong>it</strong>tet baserer<br />
sig på en modificeret udgave af open source standard biblioteket Axis 2, mens<br />
.NET toolk<strong>it</strong>tet baserer sig på .NET framework 3.0, der understøtter WS-<br />
ReliableMessaging <strong>1.</strong>0. <strong>OIO</strong> Reliable Messaging Profile version <strong>1.</strong>0 baserer sig<br />
imidlertid på WS-ReliableMessaging <strong>1.</strong><strong>1.</strong> Disse forhold antyder mulige interoperabil<strong>it</strong>etsproblemer<br />
- ikke mindst i forhold til andre tekniske platforme.<br />
Styrelsens svar<br />
Ifølge planerne for udvikling af RASP toolk<strong>it</strong>s skulle den endelige driftsmodnede<br />
version først være tilgængelig til september <strong>2007</strong>. Den beta-version som var tilgængelig<br />
på Softwarebørsen stammede tilbage fra maj måned. Alle interoperabil<strong>it</strong>etsproblemer<br />
blev løst hen over sommeren, og dette er afspejlet i bibliotekerne.<br />
Kommentar 10<br />
Af overordnede kommentarer i øvrigt er det desuden uklart, på hvilken måde<br />
<strong>OIO</strong>-RASP profilens lokale logon forholder sig til parallelle offentlige tiltag til<br />
etablering af en fælles offentlig logon service.<br />
Styrelsens svar<br />
Det er ikke tanken, at <strong>OIO</strong>-RASP profilen skal etablere logon med en session, og<br />
det er derfor i første omgang ikke relevant for profilen. Antydninger af dette vil<br />
blive fjernet i kommende versioner af profilen. IT & Telestyrelsen har planlagt en<br />
analyse af ident<strong>it</strong>etsbaserede web services i efteråret, der vil behandle sammenhænge<br />
mellem SAML og sikre web services.<br />
Kommentar 11<br />
IT- og Telestyrelsen<br />
4
SMTP er tænkt anvendt hos de små parter. Men dette er teknologisk set meget<br />
avanceret og dermed ikke noget, slagteren nede på hjørnet umiddelbart kan finde<br />
ud af. Der er derfor behov for en relativt detaljeret implementeringsbeskrivelse,<br />
gerne suppleret af konkrete implementeringseksempler.<br />
Styrelsens svar<br />
Den reference-klient, som ITST har udviklet understøtter SMTP. Klienten er tilgængelig<br />
med dokumentation på Softwarebørsen, og bør danne et godt grundlag<br />
for at kunne implementere tilsvarende løsninger. Evt. på grundlag af den kodebase,<br />
der er tilgængelig i klienten allerede.<br />
Kommentar 12<br />
I R1004 og i referencelisten er <strong>OIO</strong> SMTP/MIME Base64 Transport Binding for<br />
SOAP <strong>1.</strong>0 nævnt begge steder - men på selve høringssiden er der et link til version<br />
<strong>1.</strong>2. Hvilken er gældende?<br />
Styrelsens svar<br />
Dette er en fejl på høringssiden; se i øvrigt svar til kommentar 4 ovenfor.<br />
Kommentar 13<br />
I referencelisten nævnes kun to af de bagvedliggende profiler. Linket til <strong>OIO</strong> Basic<br />
Profile <strong>1.</strong>0 er desuden forkert (det rammer en foreløbig udgave af profilen).<br />
Styrelsens svar<br />
Linket rettes og referencelisten opdateres.<br />
Kommentar 14<br />
Omkring <strong>OIO</strong> Basic Secur<strong>it</strong>y Profile er angivet, at payload skal krypteres (nederst<br />
side 9); der bør være en blå boks indeholdende dette, da det er en skærpelse<br />
ift. WS-BasicSecur<strong>it</strong>yProfile i sig selv.<br />
Styrelsens svar<br />
Dette præciseres i kommende udgaver, så det klart fremgår, at samtlige meddelelser<br />
skal krypteres og signeres.<br />
Kommentar 15<br />
I K<strong>2007</strong> henvises til en 'OWSA Signature' - denne profil mangler / er ikke synlig.<br />
Styrelsens svar<br />
Der burde henvises til <strong>OIO</strong> Basic Secur<strong>it</strong>y Profile i stedet. Dette indføres i kommende<br />
udgaver af profilen.<br />
Kommentar 16<br />
IT- og Telestyrelsen<br />
5
Under <strong>OIO</strong> Reliable Messaging <strong>1.</strong>0-afsn<strong>it</strong>tet er en henvisning til en figur, som<br />
ikke er medtaget.<br />
Styrelsens svar<br />
Korrekt. Henvisningen fjernes.<br />
Kommentar 17<br />
Defin<strong>it</strong>ionen for integr<strong>it</strong>et under Business requirements" er lidt uheldig: "Only<br />
the sender and the receiver may know the content of the business document" har<br />
intet med integr<strong>it</strong>et at gøre, men burde i stedet flyttes over i en ny defin<strong>it</strong>ion kaldt<br />
"Confidential<strong>it</strong>y".<br />
Styrelsens svar<br />
Korrekt. Defin<strong>it</strong>ionen korrigeres.<br />
Kommentar 18<br />
Der var mange gode tegninger i den tidligere version 0.9. F.eks. var der i version<br />
0.9 de involverede profiler som byggeklodser, side 4, <strong>OIO</strong> server struktur, side 8,<br />
udveksling af et dokument (sekvensdiagram), appendix 2, side 19, Disse figurer<br />
var med til at give et godt overblik og en god forståelse af ark<strong>it</strong>ekturen.<br />
Styrelsens svar<br />
Disse genindføres i revideret form.<br />
Kommentar 19<br />
I version 0.9 var profilen meget specifik omkring tidsintervaller ved genforsendelse<br />
af beskeder, når disse ikke kan leveres. Dette er helt udeladt i version<br />
<strong>1.</strong>0. Vi finder, at profilen bliver stærkere af at have nogle specifikke tidsangivelser.<br />
Styrelsens svar<br />
De specifikke tids-intervaller var i modstrid med ønsket om at anvende "exponentiel<br />
backoff". Det vurderes hensigtsmæssigt, at sådanne konfigurationsparametre<br />
kan behandles som en pol<strong>it</strong>ik separat fra profilen, hvilket er årsagen til, at<br />
det er udeladt.<br />
Kommentar 20<br />
Side 11: Der er en henvisning til <strong>OIO</strong> WSDL, men denne beskrivelse er ikke synlig<br />
/ mangler.<br />
Styrelsens svar<br />
<strong>OIO</strong>WSDL er i høring på høringsportalen hvorfor der henvises til denne.<br />
Kommentar 21<br />
IT- og Telestyrelsen<br />
6
Side 16 nederst: henvisningen til ISB (InfraStructure Base) er vel forkert; det bør<br />
være en henvisning til <strong>OIO</strong> UDDI i stedet.<br />
Styrelsens svar<br />
Korrekt, beskrivelsen ændres.<br />
Kommentar 22<br />
Der har sneget sig for mange metodeanvisninger ind i profilen; alt hvad der<br />
kommer i appendikset Explanation and central standards er faktisk en metodebeskrivelse<br />
og grundlæggende vidensopbygning, som ikke hører hjemme i selve<br />
profilen. Appendiks bør fjernes, og så bør der i stedet laves en generel vejledning<br />
i et separat dokument, som omfatter samtlige profiler. En generel beskrivelse af,<br />
hvordan man kommer i gang med RASP og de øvrige profiler, er nemlig relevant<br />
nok.<br />
Styrelsens svar<br />
Afsn<strong>it</strong>tet fjernes fra profilen.<br />
Kommentar 23<br />
Det er uklart hvilken type af certifikater (MOCES, POCES, DOCES, VOCES),<br />
der kan anvendes. På side 10 er én beskrivelse; i K1006 er noget andet angivet og<br />
i opsamlingen noget helt tredje.<br />
Styrelsens svar<br />
Profilen rettes så kun DOCES og VOCES tillades - DOCES anbefales.<br />
Kommentar 24<br />
Sender/Receiver og Consumer/Provider bruges lidt i flæng. Det vil lette læsevenligheden,<br />
hvis det blev ensrettet og sprogbruget mere konsekvent.<br />
Styrelsens svar<br />
Formuleringerne tilrettes, så de er konsistente indenfor hvert profildokument. Lavere<br />
niveau er i web service stakken anvender ofte sprogbrugen sender / receiver<br />
mens højere lag i stakken ofte benytter terminologien consumer / provider.<br />
Kommentar 25<br />
Side 6: Hvad menes med The model [xx] is based . ?<br />
Styrelsens svar<br />
Frasen erstattes af "The profile is based on the following elements".<br />
Kommentar 26<br />
Side 9: Reference til WSI-BasicSecur<strong>it</strong>yProfile er problematisk; WSI-<br />
BasicSecur<strong>it</strong>yProfile er under udarbejdelse og da <strong>OIO</strong> Basic Secur<strong>it</strong>y Profile læner<br />
sig op ad denne (ifølge K1001), betyder det at der er risiko for ændringer og<br />
IT- og Telestyrelsen<br />
7
stor sandsynlighed for manglende værktøjsunderstøttelse. Hvis I-<br />
BasicSecur<strong>it</strong>yProfile er en draft, er <strong>OIO</strong> Basic Secur<strong>it</strong>y Profile så også en draft?<br />
Styrelsens svar<br />
WS-I Basic Secur<strong>it</strong>y Profile har været færdig i version <strong>1.</strong>0 siden 30. marts <strong>2007</strong>.<br />
Se http://www.ws-i.org/Profiles/BasicSecur<strong>it</strong>yProfile-<strong>1.</strong>0.html<br />
Kommentar 27<br />
Side 15: TDC er den nuværende og kørende OCES operatør, men da OCES udbuddet<br />
er annonceret, så det er mere passende at henvise til den aktuelle frem<br />
for en konkret. Ellers er der risiko for at skulle ændre, hvis opgaven går over til<br />
en anden operatør.<br />
Styrelsens svar<br />
Beskrivelsen omarbejdes så en liste af de nødvendige kontroller fremgår.<br />
Kommentar 28<br />
K1001 henviser til, at WS-ReliableMessaging <strong>1.</strong>1 skal anvendes. Denne er først<br />
lige blevet godkendt i juni måned, så værktøjsunderstøttelsen er for nuværende<br />
sparsom; på Microsoft platformen kommer den med i .Net framework 3.5 og på<br />
Java platformen er det uklart, hvornår der kommer understøttelse. Det kan derfor<br />
blive omkostningsfuldt for first movers at implementere profilen.<br />
Styrelsens svar<br />
Jf. tidligere svar, er der nu fuld interoperabil<strong>it</strong>et mellem .NET 3.0 og Java Axis2<br />
med Sandesha og Rampart udvidelserne. De toolk<strong>it</strong>s som ITST stiller til rådighed<br />
i kombination med gratis hands on workshops sikrer, at en udvikler hurtigt kan<br />
komme i gang.<br />
Kommentarer fra Forsvarskommandoen<br />
Kommentar 29<br />
Forsvarskommandoen skal bemærke, at, med baggrund i udveksling af data internationalt,<br />
ses det hensigtsmæssigt at tage udgangspunkt i den af OASIS ratificerede<br />
profil benævnt SAML. Denne profil er dog mere omfattende end den foreslåede<br />
nationale, men der kan evt. foretages fravalg i den internationale profil ved<br />
udarbejdelsen af den nationale profil.<br />
Styrelsens svar<br />
SAML dækker primært autentifikation, SSO og udveksling af attributter i scenarier,<br />
hvor en bruger via en browser tilgår en applikation (i bred forstand). I RASP<br />
er der tale om system-system kommunikation, der ikke sker på vegne af en bruger,<br />
og i dette scenerie er SAML mindre velegnet. For system-system kommunikation,<br />
hvor kaldet sker på vegne af en bruger, kan det give mening at medsende<br />
IT- og Telestyrelsen<br />
8
ugerens SAML token, men dette er der ikke tale om i RASP. Iøvrigt planlægger<br />
Styrelsen et studie af ident<strong>it</strong>etsbasered web services i efteråret, hvor denne<br />
problemstilling vil blive behandlet.<br />
IT- og Telestyrelsen<br />
9
Notat<br />
Notat vedrørende høring af <strong>OIO</strong> UDDI Profil<br />
<strong>OIO</strong> UDDI profilen har været i høring på høringsportalen fra 3<strong>1.</strong> oktober til 30.<br />
november <strong>2007</strong>.<br />
Til advisering af høringen er anvendt udsendelseslisten knyttet til <strong>OIO</strong> Standarder<br />
samt enkelte særligt adresserede udvalgt af Styrelsen.<br />
Der indkom i alt ét svar på høringen (fra KMD).<br />
Nedenfor gennemgås høringssvarene punkt for punkt sammen med Styrelsens<br />
svar. Som konsekvens af høringssvarene er der planlagt udgivelse af profildokumentet<br />
i en revideret version (<strong>1.</strong><strong>1.</strong>1).<br />
5. <strong>december</strong> <strong>2007</strong><br />
IT- og Telestyrelsen<br />
Holsteinsgade 63<br />
2100 København Ø<br />
Telefon 3545 0000<br />
Telefax 3545 0010<br />
E-post <strong>it</strong>st@<strong>it</strong>st.dk<br />
Netsted www.<strong>it</strong>st.dk<br />
CVR-nr. 2676 9388<br />
Sagsnr. 07-027214<br />
Mikkel Hippe Brun<br />
Telefon 33379220<br />
E-post mhb@<strong>it</strong>st.dk
Kommentarer fra KMD<br />
Kommentar 1<br />
Anvendelsen af versaler og minuskler i forbindelse med keywords MUST og<br />
SHOULD er inkonsistent.<br />
Styrelsens svar<br />
Dette er korrekt. Dokumentet tilrettes, så anvendelsen er konsistent.<br />
Kommentar 2<br />
Referencer i profilen side 17 bør være links og tjekkes. Vi har ikke kunnet<br />
finde <strong>OIO</strong> RASP <strong>1.</strong>1 profilen [RASP]. [UDDI-3.0] henviser til dokument af<br />
19/7-02 er det korrekt? [<strong>OIO</strong>SI-ARCH] henviser til en draft version er<br />
det korrekt?<br />
Styrelsens svar<br />
Dokumenternes t<strong>it</strong>ler vil blive suppleret med links, hvor det er muligt. Links har<br />
dog den klare ulempe, at de kan ændre sig over tid.<br />
<strong>OIO</strong> RASP version <strong>1.</strong>1 er en planlagt opdatering af <strong>OIO</strong> RASP <strong>1.</strong>0, hvor høringssvar<br />
og input er blevet indarbejdet. Dokumentet offentliggøres snarest.<br />
[<strong>OIO</strong>SI-ARCH] dokumentet, der henvises til, er seneste version. Nye versioner<br />
vil blive publiceret på http://www.oio.dk<br />
Kommentar 3<br />
UDDI profilen afgrænses til NemHandel, men profilen indgår samtidig i <strong>OIO</strong><br />
RASP, der er en generel model for webservice-kommunikation. Dette forekommer<br />
inkonsistent.<br />
Styrelsens svar<br />
Det medgives, at sammenhængen mellem profilerne har været udtrykt lidt uklart.<br />
Sammenhængen er, at <strong>OIO</strong> UDDI ikke er en obligatorisk del af RASP, men snarere<br />
er en profil, som står ved siden af RASP. Man kan eksempelvis forestille<br />
sig RASP web services, der ikke anvender <strong>OIO</strong> UDDI profilen.<br />
Samtidig er <strong>OIO</strong> UDDI profilen ikke strengt bundet til NemHandel, selvom dokumentet<br />
giver indtryk af dette. Hensigten har været generel understøttelse af<br />
run-time opløsning af forretningsniveau-nøgler til fysiske web service endepunkter.<br />
IT- og Telestyrelsen<br />
2
Profilerne opdateres, så ovenstående fremgår tydeligere.<br />
Kommentar 4<br />
Vi savner henvisning til en implementeringsmodel/SLA. Hvorledes undgås<br />
et single point of failure i infrastrukturen? Jf. motivationen for profilen bull<strong>it</strong><br />
1 og 3.<br />
Styrelsens svar<br />
<strong>OIO</strong> UDDI er alene en specifikation for en datamodel og en søgeark<strong>it</strong>ektur. Det<br />
er således udenfor profilens område at specificere en ark<strong>it</strong>ektur for en bestemt<br />
løsning med et givet niveau af servicekval<strong>it</strong>et, herunder adressere hvorledes et<br />
givet niveau af tilgængelighed opnås ved brug af konkrete teknikker som clustering,<br />
spejling, replikering etc.<br />
Kommentar 5<br />
Af hensyn til referencer kunne kravene, som UD-1004 henviser til, trækkes<br />
ud i et appendix eller anden nummereret oversigt.<br />
Styrelsens svar<br />
Det kunne man godt gøre, men det er fundet hensigtsmæssigt for læsevenligheden<br />
at holde dette i hoveddokumentet.<br />
Kommentar 6<br />
Kravene i UD-1005 er tautologiske.<br />
Styrelsens svar<br />
Ved tautologier forstår vi udtryk, der er logisk sande per defin<strong>it</strong>ion. Det kan vi<br />
ikke genkende kravene i UD-1005 som?! Vi mener ikke engang, at de følger som<br />
logisk konsekvens af andre krav i dokumentet.<br />
Kommentar 7<br />
Figur 2 bør udvides med mængdeangivelser på relationerne. Derved kan<br />
det meste af listen under "Requirements for UDDI Ent<strong>it</strong>ies" flyttes til appendix<br />
med en note om at det er angivet på figur 2.<br />
IT- og Telestyrelsen<br />
3
Styrelsens svar<br />
Figur 2 er en illustration af, hvorledes en konkret registrering kan se ud for en<br />
konkret organisation med et enkelt endepunkt. Der er således ikke tale om en<br />
normativ figur med specifikationsformål - sigtet er rent pædagogisk. Det giver<br />
derfor ikke mening at lade figuren erstatte kravene i teksten, der skal dække det<br />
generelle tilfælde.<br />
IT- og Telestyrelsen<br />
4
Cover<br />
<strong>Dagsorden</strong>spunkt 6, <strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>éen, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
Drøftelse<br />
<strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>émøde, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
<strong>Pkt</strong>. 6. Standardiseringsorganisationers åbenhed (D)<br />
Sagstype: Drøftelse<br />
Resumé<br />
Som tidligere drøftet er der en undersøgelse i gang om standardiseringsorganisationernes<br />
åbenhed. Dette arbejde nærmer sig sin afslutning og<br />
resultaterne forventes at tegne sig, når mødet holdes.<br />
Sagsfremstilling<br />
Der orienteres mundtligt på mødet om de foreløbige resultater.<br />
Indstilling<br />
Det indstilles, at kom<strong>it</strong>éen drøfter de foreløbige resultater.<br />
5. <strong>december</strong> <strong>2007</strong><br />
IT- og Telestyrelsen<br />
Sagsbehandler<br />
Søren Klostergaard<br />
Telefon 3337 9298<br />
Telefax 3337 9299<br />
E-post skp@<strong>it</strong>st.dk
Cover<br />
<strong>Dagsorden</strong>spunkt 7, <strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>éen, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
Beslutning<br />
<strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>émøde, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
<strong>Pkt</strong>. 7. Oversigt over standarder og beslutning om prior<strong>it</strong>ering af tekniske<br />
standarder<br />
Sagstype: Beslutning<br />
Resumé<br />
Hidtil har forslag til standarder i forslag og høring været fremlagt på <strong>OIO</strong>-<strong>it</strong>ark<strong>it</strong>ekturkom<strong>it</strong>émøderne<br />
løbende. På mødet den 1<strong>1.</strong>10.<strong>2007</strong> blev der rejst<br />
spørgsmål til behandlingen af nogle af disse standarder, særligt vedrørende<br />
beskrivelse af processer.<br />
Sagsfremstilling<br />
Foruden den sædvanlige liste over standarder under behandling er der vedlagt et<br />
forslag til prior<strong>it</strong>ering af de standarder, der er indleveret som forslag.<br />
Prior<strong>it</strong>eringerne skal forstås således:<br />
Prior<strong>it</strong>et 1 tages under behandling primo 2008<br />
Prior<strong>it</strong>et 2 tages under behandling i første halvår 2008<br />
Prior<strong>it</strong>et 3 indgår samlet prior<strong>it</strong>ering sammen med kommende forslag<br />
+ angiver, at standarden allerede er under behandling eller beskrevet<br />
andetsteds.<br />
Endvidere er der udarbejdet en indledende redegørelse for procesrelevante<br />
standarder.<br />
Indstilling<br />
Det indstilles, at kom<strong>it</strong>éen<br />
tager den vedlagte Oversigt over standarder under behandling til<br />
efterretning<br />
tiltræder den foreslåede prior<strong>it</strong>ering.<br />
Bilag<br />
1: Oversigt over standarder under behandling<br />
2: Forslag til prior<strong>it</strong>ering af forslag til tekniske standarder<br />
3: Redegørelse for procesrelevante standarder.<br />
5. <strong>december</strong> <strong>2007</strong><br />
IT- og Telestyrelsen<br />
Sagsbehandler<br />
Søren Klostergaard Pedersen<br />
Telefon 3337 9298<br />
Telefax 3337 9299<br />
E-post skp@<strong>it</strong>st.dk
Bilag 1, pkt. 7, oio-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>éens møde den <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
Oversigt over standarder under behandling<br />
Den offentlige <strong>it</strong>-standardiseringsproces består i en række trin, som standarder<br />
gennemløber på deres vej mod godkendelse:<br />
Forslag => Validering => Høring => Vedtagelse => <strong>OIO</strong> IT-standard<br />
Indleveret som forslag: Dette er det første trin, hvor en aktør har foreslået en<br />
standard eller sekretariatet bag <strong>OIO</strong>-kataloget har identificeret et behov.<br />
Under validering: Dette indebærer, at sekretariatet undersøger tekniske,<br />
økonomiske og juridiske aspekter, der kan øve indflydelse på udformningen eller<br />
bedømmelsen af standarden.<br />
I høring: Valideringen er afsluttet, og standarden er i åben høring.<br />
Vedtagelse: Her er standarden under afsluttende behandling. Høringsprocessen er<br />
afsluttet, og høringssvarene er under behandling. Giver disse ikke anledning til<br />
væsentlige ændringer vedtages standarden som <strong>OIO</strong>-standard i enten oio-<strong>it</strong>ark<strong>it</strong>ekturkom<strong>it</strong>éen<br />
eller i <strong>OIO</strong>-datastandardiseringskom<strong>it</strong>éen.<br />
Anbefalet eller godkendt: Standard som er blevet optaget i <strong>OIO</strong>-kataloget.<br />
På http://www.oio.dk/standarder/underbehandling findes en beskrivelse af de<br />
enkelte procestrin.<br />
NB. Beskrivelsen af standardiseringsprocessen er i øjeblikket under revision.<br />
Ændringer i oversigten i er markeret med kursiv.<br />
Oversigt over standarder under behandling<br />
<strong>1.</strong> Indleveret som forslag<br />
Tekniske standarder<br />
Message Queuing kategori (IBM WebSphere MQ, MSMQ og Oracle AQ<br />
mfl.)<br />
SCORM (standarder til web-baseret e-læring)<br />
OWL (ontologibeskrivelser for semantisk web)<br />
ISO 15000-2 (metadata som identificerer modtager og afsender og<br />
specificerer yderligere fejlhåndtering og sikkerhed.)<br />
WiMAX (højhastigheds trådløse netværk)<br />
WPA (Wifi-adgangskontrol) WEPs status revideres samtidig<br />
Bankernes Net-ID<br />
DNG (adobe billedformat)<br />
Ikke-webbaserede standarder (EDGE, WAP, UMTS, GPRS, SMS, MMS<br />
etc.)<br />
SNMP3 (netværksovervågning og -styring) (SNMP2s status revideres)<br />
MNG og SVG (grafik/multimedia standarder)<br />
GIS-kategorien overvejes udvidet<br />
WS-BPEL 2.0 (beskrivelse af forretningsprocesser) (WS-BPEL TC<br />
forventer OASIS godkendelse 15. oktober)<br />
BPMN (modellering af forretningsprocesser) (afventer WS-BPEL<br />
godkendelse i OASIS)
XPDL 2.0 (udveksling af forretningsprocesser) (afventer WS-BPEL<br />
godkendelse i OASIS)<br />
Web Service Transaction Framework (transaktioner mellem webservices)<br />
(afventer WS-BPEL godkendelse i OASIS)<br />
OpenDocument (præsentation)<br />
Datastandarder<br />
HR-XML opdatering, AMS<br />
<strong>OIO</strong>UBL, ITST<br />
Nummeroplysning, ITST<br />
Processtandarder<br />
Ingen<br />
FESD-standarder<br />
Ingen<br />
Metodestandarder<br />
BS 15.000 (beskrivelse af "best practices" inden for <strong>it</strong>-service ledelse)<br />
ISO 2000 (konstruktion af benchmarks for <strong>it</strong>-service ledelse)<br />
BCM (Business-Centric Methodology)<br />
2. Under validering<br />
Tekniske standarder<br />
Procesrelevante standarder<br />
Datastandarder<br />
HML (i vejledningsfasen)<br />
eSyn, Færdselsstyrelsen (til vurdering i XML-Sekretariatet)<br />
Motor, SKAT<br />
eIndkomst, SKAT (til vurdering i XML-sekretariatet)<br />
Jordemoderregistrering, CPR (afventer tilretning)<br />
OWSA-SD, KMD<br />
Sikker e-post, FESD<br />
Sammenlignelig Brugerinformation, Ementor<br />
Opdatering af diverse elementer, CPR<br />
Jordemoderregistrering, CPR<br />
Diverse blanket-elementer, Capevo<br />
Tid, ITST<br />
Sager og Dokumenter, FESD<br />
Nemkonto for private betalere, KMD<br />
Processtandarder<br />
Ingen<br />
IT- og Telestyrelsen<br />
Side 2
FESD-standarder<br />
FESD Logning og Sikkerhed<br />
3. I høring<br />
Tekniske standarder<br />
RTF (Rich Text Format)<br />
WPD (Word Perfect Document)<br />
ODS (OpenOffice regnearksformat)<br />
XLSX (Office XML regnearksformat)<br />
WB2 (Quattro Pro regnearksformat)<br />
CSV (Kommasepareret tekst)<br />
JPEG (Joint Photographic Expert Group)<br />
GIF (Graphics Image Format)<br />
TIFF (Tagged Image File Format)<br />
BMP (Windows B<strong>it</strong>map)<br />
ISO Latin-1 (Tegnsæt)<br />
UCS (Tegnsæt)<br />
UTF-8 (Tegnsæt)<br />
DTD (Document Type Defin<strong>it</strong>ion)<br />
IRC (Internet Relay Chat)<br />
SCORM (E-læringsstandard)<br />
NNTP (Network News Transfer Protocol)<br />
IPsec (Internet Protocol Secur<strong>it</strong>y)<br />
UDP (User Datagram Protocol)<br />
TCP (Transmission Control Protocol)<br />
Datastandarder<br />
Ingen<br />
Processtandarder<br />
Ingen<br />
FESD-standarder<br />
Ingen<br />
4. Under afsluttende behandling<br />
Tekniske standarder<br />
Ingen<br />
Datastandarder<br />
3 Grundbegreber, Servicestyrelsen (afventer godkendelse af SSU for<br />
Socialsektoren)<br />
Administrativt vejnummer, Vejdirektoratet<br />
Processtandarder<br />
Ingen<br />
IT- og Telestyrelsen<br />
Side 3
FESD-standarder<br />
FESD Skanning v. 2.0<br />
FESD Datafølgeseddel<br />
FESD Grænseflade til CMS-løsninger<br />
5. Anbefalede standarder de sidste fire måneder<br />
Tekniske standarder<br />
Ingen<br />
Datastandarder<br />
Seks beskrivelsesfelter, Capevo<br />
Registreringskonto v<strong>1.</strong><strong>1.</strong>0, Silkeborg Data<br />
Emnesystematik, FESD<br />
GIS-integration, FESD<br />
Ændring af pensionist-status, KMD<br />
Processtandarder<br />
Ingen<br />
FESD-standarder<br />
Ingen<br />
IT- og Telestyrelsen<br />
Side 4
Bilag 2, pkt. 7, oio-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>émøde d. <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
Forslag til prior<strong>it</strong>ering af indleverede forslag til tekniske standarder<br />
Kategori i<br />
Standard Forslag Ejer<br />
<strong>OIO</strong>-kataloget<br />
Status i<br />
<strong>OIO</strong>-kataloget<br />
Foreløbig<br />
Forretningværdi Prio<br />
ISO 15000-2<br />
metadata som<br />
identificerer modtager<br />
og afsender og<br />
specificerer yderligere<br />
fejlhåndtering og Ny tekn.<br />
Tekniske standarde/Dataintegration/<br />
sikkerhed<br />
standard ISO<br />
Elektronisk handel 1 Til validering<br />
Ny tekn.<br />
Tekniske standarder/Interkonnektiv<strong>it</strong>et/<br />
Bankernes Net-ID standard<br />
Sikkerhed 1 Til validering<br />
OWL<br />
Tekniske standarder\Indholdsstyring og Metadata<br />
ontologibeskrivelser for Ny tekn.<br />
Defin<strong>it</strong>ion\<br />
I anledning af en borger centreret udvikling er<br />
semantisk web standard W3C<br />
Metadatabeskrivelse<br />
der behov gfor en fælles yontologi. g g g 1 Til validering<br />
WS-BPEL 2.0<br />
med at beskrive processer, er der et behov for<br />
beskrivelse af Ny tekn.<br />
Tekniske standarder/Net-baserede tjenester/<br />
fælles format og identifikation af fælles<br />
I validering af<br />
forretningsprocesser standard OASIS<br />
Business Process Management Kommende processerg y g g g 1 procesfamilien<br />
BPMN<br />
med at beskrive processer er der et behov for<br />
modellering af Ny tekn.<br />
Tekniske standarder/Net-baserede tjenester/<br />
fælles format og identifikation af fælles<br />
I validering af<br />
forretningsprocesser standard OMG<br />
Business Process Management<br />
processer 1 procesfamilien<br />
XPDL 2.0<br />
med at beskrive processer er der et behov for<br />
udveksling af Ny tekn. Workflow Management Tekniske standarder/Net-baserede tjenester/<br />
fælles format og identifikation af fælles<br />
I validering af<br />
forretningsprocesser standard Coal<strong>it</strong>ion (WfMC) Business Process Management<br />
processer 1 procesfamilien<br />
ebBP<br />
I anledning af at flere myndigheder er i gang<br />
ebXML Business<br />
med at beskrive processer er der et behov for<br />
Process Specification Ny tekn.<br />
Tekniske standarder/Net-baserede tjenester/<br />
fælles format og identifikation af fælles<br />
I validering af<br />
Schema<br />
standard OASIS<br />
Business Process Management<br />
processer 1 procesfamilien<br />
Web Services Ny tekn.<br />
Tekniske standarder/Net-baserede<br />
I validering af<br />
Transaction<br />
standard OASIS<br />
tjenester/Advanced Web Services Features Kommende 2 WS-stakken<br />
WPA2<br />
I anledning af at flere myndigheder udnytter<br />
sikkerhed på trådløse Ny tekn.<br />
Interkonnektiv<strong>it</strong>et/Wireless Networking/<br />
trådløst netværk, er der behov for forbedret<br />
netværk<br />
MOM<br />
standard IEEE<br />
Secur<strong>it</strong>y Erstatter WEP sikkerhed qua WEP erstattes med WPA 2 Til validering<br />
Message Oriented<br />
Interkonnektiv<strong>it</strong>et/<br />
Middleware Ny tekn. kategori Ikke standardiseret. Message Oriented Middleware 2 Til validering<br />
WiMAX<br />
Tekniske standarder/Interkonnektiv<strong>it</strong>et/Wireless<br />
I anledning af at det offentlige bli'r mere<br />
afhængig af dig<strong>it</strong>ale netværk, er der et øgende<br />
behov for at i alle s<strong>it</strong>uationer kunne tilgå dig<strong>it</strong>ale<br />
netværk. I tilfælde af begrænset tilgang på<br />
højhastigheds trådløse Ny tekn.<br />
Networking/<br />
kabel baseret netværk, er trådløst en mulighed.<br />
netværk<br />
NAC<br />
standard IEEE<br />
LAN Standards<br />
F.eks. naturkatastrofer 2 Til validering<br />
Network Access Ny tekn.<br />
Interkonnektiv<strong>it</strong>et/<br />
Control<br />
standard Ikke standardiseret Sikkerhed 3 Til validering<br />
Fortsat<br />
arbejde
DNG<br />
adobe billedformat<br />
EDGE, WAP, UMTS,<br />
GPRS, SMS, MMS<br />
MNG<br />
Multiple-image<br />
Network Graphics<br />
ODP<br />
Open Document<br />
Presentation<br />
SCORM<br />
Shareable Content<br />
Object Reference<br />
Model<br />
WPA<br />
sikkerhed på trådløse<br />
netværk<br />
SNMP3<br />
netværksovervågning<br />
og -styring<br />
SVG<br />
Scalable Vector<br />
Graphics<br />
GIS<br />
Geografiske<br />
Informations System<br />
Ny tekn.<br />
standard ADOBE<br />
Ny tekn.<br />
standard<br />
Ny tekn.<br />
standard<br />
Ny tekn.<br />
standard OASIS<br />
Ny tekn.<br />
standard<br />
Tekniske standarder/Brugergrænseflader/<br />
Grafik<br />
Interkonnektiv<strong>it</strong>et/<br />
Wireless Networking<br />
Tekniske standarder/Brugergrænseflader/<br />
Grafik<br />
Tekniske standarder/Dokument- og dataudveksling/<br />
Præsentation<br />
Et fælles fotografisk format findes allerede i<br />
JPEG men i tilfælde af krav på oprindelig<br />
dig<strong>it</strong>alt negativ (RAW)<br />
I anledning af at det offentlige bli'r mere<br />
afhængig af dig<strong>it</strong>ale netværk, er der et øgende<br />
behov for at i alle s<strong>it</strong>uationer kunne tilgå dig<strong>it</strong>ale<br />
netværk. I tilfælde af begrænset tilgang på<br />
kabel baseret netværk, er trådløst en mulighed.<br />
3 Til validering<br />
F.eks. naturkatastrofer 3 Til validering<br />
GIF dækker behovet og patenterne er udløbet<br />
men MNG kan på sigt erstatte animeret GIF 3 Til validering<br />
Det vurderes, at standarden vil blive interessant<br />
i takt med, at ODF vinder større udbredelse<br />
Tekniske standarder/Forretningsområdespecifikke<br />
standarder/E-læring: Godkendt +<br />
3 Til validering<br />
Indgår i<br />
revisions<br />
høring 07<br />
Ny tekn.<br />
standard + se WPA2<br />
Ny tekn.<br />
standard IETF<br />
Ny tekn.<br />
standard W3C<br />
Udvidet tekn.<br />
kategori<br />
Tekniske standarder/<br />
Operationer<br />
Anvendelig<br />
(SNMP2) +<br />
Tekniske standarder/Brugergrænseflader/<br />
Grafik Kommende +<br />
Tekniske standarder/Forretningsområdespecifikke<br />
standarder/<br />
Geografisk Information +<br />
Indgår i revision<br />
07 med<br />
uændret status<br />
SVG Indgår i<br />
revision 07 med<br />
uændret status<br />
GIS Indgår i<br />
revision 07 med<br />
uændret status
Bilag 3, pkt. 7, oio-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>émøde d. <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
Procesrelevante standarder<br />
Nærværende dokument beskriver de processtandarder der skal undersøges nærmere i forbindelse med <strong>OIO</strong><br />
standardisering på processtandard området.<br />
Business Process Modeling Notation (BPMN)<br />
Business Process Modeling Notation (BPMN) er en standardiseret grafisk notation for tegning af<br />
forretningsprocesser i en arbejdsgang (workflow). BPMN blev udviklet af Business Process Management<br />
In<strong>it</strong>iative (BPMI) og er siden 2005 blevet vedligeholdt af Object Management Group. BPMN findes i øjeblikket<br />
i en version <strong>1.</strong>0 og version 2.0 er til høring. Det primære formål med BPMN er at sørge for en standard<br />
notation, som er forståelig for forretningsinteressenter og dermed dække det gab, der hyppigt forekommer<br />
mellem forretningsprocesdesignet og implementeringen.<br />
(http://www.bpmn.org/)<br />
Business Process Execution Language (BPEL)<br />
Business Process Execution Language (BPEL) er et forretningsprocesmodelleringssprog som kan udføres. Da<br />
BPEL ikke indeholder alle nødvendige semantiske og proces konstruktioner, er det derfor ikke muligt at<br />
modellere og udføre enhver forretningsproces. Af denne grund bruges BPEL ofte sammen med<br />
programmeringssprog eller proper<strong>it</strong>ære scripting sprog indeholdt i kommercielle implementeringer af workflow<br />
eller integrations brokere systemer. BPEL bliver vedligeholdt af OASIS i en version 2.0 af WS-BPEL.<br />
(http://www.oasis-open.org/comm<strong>it</strong>tees/tc_home.php?wg_abbrev=wsbpel)<br />
XML Process Defin<strong>it</strong>ion Language (XPDL)<br />
XML Process Defin<strong>it</strong>ion Language (XPDL) er et format standardiseret af Workflow Management Coal<strong>it</strong>ion<br />
(WfMC) til at udveksle forretningsprocesdefin<strong>it</strong>ioner mellem forskellige workflow produktion- XPDL definere<br />
XML skemaer til at specificere dele af et workflow. XPDL er designet både til at udveksle det grafiske og<br />
semantiske en workflow forretningsproces. Herved adskiller XPDL sig fra BPEL, som er fokuseret på<br />
udførselsaspektet af en proces.<br />
(http://www.wfmc.org/standards/xpdl.htm)<br />
ebXML Business Process Specification Schema (ebBP)<br />
ebXML Business Process Specification Schema(ebBP) definerer et standard sprog til at konfigurerer forretningssystemer til<br />
at udføre forretningsprocesser mellem forretningspartnere. ebBP bliver vedligeholdt af OASIS.<br />
(http://www.oasis-open.org/comm<strong>it</strong>tees/tc_home.php?wg_abbrev=ebxml-bp)
Cover<br />
<strong>Dagsorden</strong>spunkt 4, <strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>éen, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
Orientering/Drøftelse<br />
<strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>émøde, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
<strong>Pkt</strong>. 8. ODF/OOXML vejledning, afsluttet pilotforsøg, laboratorietest, status<br />
m.m.<br />
Sagstype: Orientering/Drøftelse<br />
Resumé<br />
Baggrund:<br />
Videnskabsminister Helge Sander har efter et forhandlingsforløb sammen med<br />
Folketingets <strong>it</strong>-ordførere lagt en køreplan for den fremtidige anvendelse af åbne<br />
standarder.<br />
I forhold til standarder for dokumentudveksling af tekstebehandlingsdokumenter<br />
angiver køreplanen, at de to standarder Open Document Format (ODF) og ECMA<br />
Office Open XML (OOXML) i første omgang gøres obligatoriske i en<br />
prøveperiode startende <strong>1.</strong> januar 2008.<br />
I prøveperioden skal offentlige myndigheder kunne modtage begge standarder,<br />
både ODF og EOOXML, og nyindkøb skal kunne håndtere mindst én af de to<br />
standarder. Prøveperioden skal evalueres i første halvår 2009 af en tredjepart med<br />
henblik på en ny vurdering i Folketinget.<br />
Idet begge standarder kun i begrænset omfang anvendes i det offentlige i dag, har<br />
IT- og Telestyrelsen i <strong>2007</strong> gennemført et studie med pilotforsøg med henblik på<br />
at indhente fornøden yderligere erfaring med disse standarder.<br />
Studiet har inddraget nyere internationale erfaringer og tidligere nationale forsøg.<br />
og der har været gennemført 4 pilotforsøg.<br />
Studiet er gennemført i dialog med branchen og andre interesserede og i et nært<br />
samarbejde med <strong>OIO</strong> Datastandardiserings- og IT-Ark<strong>it</strong>ekturkom<strong>it</strong>éerne.<br />
Formålet har været at undersøge, hvordan formaterne ODF og OOXML bedst kan<br />
implementeres i den offentlige sektor.<br />
Studiets leverancer er anbefalinger og vejledninger til myndighederne til,<br />
hvordan de i praksis implementerer ODF og/eller OOXML.<br />
Projektet har været præsenteret og drøftet på tidligere ITA-komm<strong>it</strong>témøder,<br />
senest d. 1<strong>1.</strong> oktober <strong>2007</strong>.<br />
5. <strong>december</strong> <strong>2007</strong><br />
IT- og Telestyrelsen<br />
Sagsbehandler<br />
Jeannette Nielsen<br />
Telefon 3337 9132<br />
Telefax 3337 9299<br />
E-post jpn@<strong>it</strong>st.dk
Siden sidst:<br />
Alle væsentlige leverancer er nu publiceret. Opmærksomheden henledes særligt<br />
på novemberpublikation af:<br />
Vejledning v<strong>1.</strong>0<br />
Ajourført converterkortlægning<br />
test-selv pakke til myndighedernes brug<br />
nøgleleverandøreres selvevaluering mht. deres parathed ift. ODF og<br />
OOXML<br />
og IT- og Telestyrelsens anbefalinger på grundlag af pilotforsøg og<br />
laboratorietest. Dette notat opsummerer de væsentligste<br />
vejledningsrelevante konklusioner fra pilotforsøg og laboratorietest.<br />
Alle disse publikationer og andre findes på http://dokumentformater.oio.dk/<br />
Resultaterne af arbejdet i projektet og de vejledningsmæssige implikationer<br />
er præsenteret på vejledningskonferencen i hhv. Århus (3.12) og i København<br />
(10.12).<br />
Sagsfremstilling<br />
Projektet er nu i sin afsluttende fase. Alle pilotforsøg samt laboratorietesten er<br />
afsluttet. Parathedsvurderingen hos leverandører er ligeså afsluttet, men der<br />
publiceres stadig nye selvevalueringer efterhånden som leverandørerne sender<br />
dem ind.<br />
Du kan se resultater og leverancer på pilotprojektets hjemmeside,<br />
http://dokumentformater.oio.dk. Her kan du også finde en praktisk vejledning til<br />
myndighederne udarbejdet på baggrund af studier, pilotforsøg og laboratorietest.<br />
I 2008 vil IT- og Telestyrelsen følge udviklingen på converter- og interoperabil<strong>it</strong>etsværktøjerne<br />
og vil senest medio 2008 publicere en ajourført<br />
converterkortlægning.<br />
Indstilling<br />
Det indstilles, at kom<strong>it</strong>éen:<br />
1) modtager en statusorientering over leverancer, pilotforsøg,<br />
vidensindsamling, laboratorietest samt en orientering om<br />
vejledningsindsatsen<br />
2) drøfter værdien af IT- og Telestyrelsens vejledningsindsats ift. de åbne<br />
dokumentformater<br />
3) orienterer om egen parathed, og drøfter erfaringer<br />
IT- og Telestyrelsen<br />
Side 2
Cover<br />
<strong>Dagsorden</strong>spunkt 9, <strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>éen, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
Drøftelse<br />
<strong>OIO</strong>-<strong>it</strong>-ark<strong>it</strong>ekturkom<strong>it</strong>émøde, <strong>13.</strong> <strong>december</strong> <strong>2007</strong><br />
<strong>Pkt</strong>. 9. Projekt Fællesoffentlige <strong>it</strong>-ark<strong>it</strong>ekturkrav<br />
Sagstype: Drøftelse<br />
Resumé<br />
Kom<strong>it</strong>éen har tidligere drøftet Projekt fællesoffentlige It-ark<strong>it</strong>ekturkrav (in<strong>it</strong>iativ 32<br />
i dig<strong>it</strong>aliseringsstrategien). Projektet forventes drøftet i STS i <strong>december</strong> og<br />
opstartet i januar 2008.<br />
Projektet ledes og gennemføres af IT ark<strong>it</strong>ekturkontoret i IT- & Telestyrelsen.<br />
KIU vil fungere som styregruppe og den nye <strong>OIO</strong>-Kom<strong>it</strong>é forventes at spille en<br />
central rolle i gennemførelsen af projektet, herunder fastlæggelse af koncept og<br />
konkrete anbefalinger til den fremtidige portefølje af krav samt ramme for<br />
porteføljestyring og måling af fremdrift.<br />
Sagsfremstilling<br />
ITST har siden sidste møde bl.a. drøftet in<strong>it</strong>iativet med en række interessenter og<br />
arbejdet med at tydeliggøre projektets koncept og fremgangsmåde.<br />
På mødet vil der blive givet et mundtligt oplæg med henblik på en faglig<br />
drøftelse.<br />
Indstilling<br />
Det indstilles, at kom<strong>it</strong>éen drøfter sagen.<br />
5. <strong>december</strong> <strong>2007</strong><br />
IT- og Telestyrelsen<br />
Sagsbehandler<br />
Michael Bang Kjeldgaard<br />
Telefon 33379115<br />
Telefax 3337 9299<br />
E-post mbk@<strong>it</strong>st.dk