LFRZ Navigation

Zertifizierte Version 2.0 des Standardportals verfügbar

Standardportal 2.0 erfolgreich nach ÖNORM A 7700 zertifiziert

Standardportal 2.0 Funktionsumfang Standardportal 2.0 Funktionsumfang

Mit der Zertifizierung und Auslieferung der Version 2.0 des Standardportals wurde das Projekt zur Implementierung von PVP2 / SAML2 im Juni 2014 erfolgreich abgeschlossen. Das Standardportal unterstützt damit den internationalen Standard SAML 2.0 und erweitert seinen Funktionsumfang um die Rollen SAML Identity Provider (IdP) und SAML Service Provider (SP). Die Projektabwicklung erfolgte in bewährter Zusammenarbeit zwischen dem Bundesministerium für Inneres (BM.I) und der LFRZ GmbH.

 

Nutzer des Standardportals können nun wahlweise mit dem erprobten Reverse Proxy Profil (R-Profil) oder mit dem SAML Web Browser Single Sign-On Profil (S-Profil) auf eigene oder fremde Anwendungen im Portalverbund zugreifen. Als besonderes Feature wurde eine Protokoll-Bridge implementiert, mit der Anfragen am Standardportal zwischen den unterschiedlichen Protokollvarianten (R-Profil und S-Profil) konvertiert werden können.

 

Das aus Entwicklern von BM.I und LFRZ bestehende Portalteam setzt beim Identity Provider auf die anerkannte Technologie von Shibboleth. Der weltweit eingesetzte Open Source IdP wurde als Authentication Plugin  integriert und übernimmt nun die SAML-Authentifizierung. Da die als Service Provider vorgesehene Open Source Komponente nicht die gewünschten Ergebnisse lieferte, wurde die SP-Funktionalität eigenständig implementiert.

 

Das Standardportal wird bei zahlreichen Organisationen in der österreichischen Verwaltung als zentrale Lösung für Identity und Access Management eingesetzt, weshalb es höchste Ansprüche hinsichtlich der Sicherheit der Software zu erfüllen gilt. Gemeinsam mit der Fa. SEC Consult als externem Projektpartner wurde das Standardportal einer umfassenden Sicherheitsüberprüfung unterzogen und das Softwareprodukt nach ÖNORM A 7700 zertifiziert.

 

Dazu wurde als erstes eine Bedrohungsanalyse, mit dem Ziel potentielle Angriffsszenarien und konzeptionelle Schwachstellen zu identifizieren, durchgeführt. Aus den Ergebnissen wurden Maßnahmen für den Entwicklungsprozess und die SW-Architektur abgeleitet, um eine kontinuierliche Verbesserung des Sicherheitsniveaus der Software zu erreichen. Hauptteil der Untersuchung war der im Dezember 2013 durchgeführte Source Code Audit. Nach Behebung kleinerer Mängel erfolgte Ende Mai 2014 die Zertifizierung der Software nach ÖNORM A 7700 durch das Österreichische Normungsinstitut.

Weitere Informationen zum Thema Sicherheit in der SW-Entwicklung am Beispiel des Standardportals finden Sie in der Präsentation zum Vortrag von DI Gerold Pesendorfer und Peter Pichler auf der E-Government Konferenz 2014. Als Ansprechpartner für das Standardportal stehen im LFRZ Gerold Pesendorfer und Hans-Jürgen Müllner gerne zur Verfügung.

LFRZ 21.07.2014