Date post: | 14-Jun-2015 |
Category: |
Documents |
Upload: | swiss-egovernment-forum |
View: | 1,047 times |
Download: | 2 times |
Online Service Plattform (OSP) des Kantons Basel-Landschaft Strategie, Architektur und Umsetzung
Hans Ruosch Leiter Informatikplanung und –koordination Finanz- und Kirchendirektion Kanton BL
Heinz Hausammann Mitglied der Geschäftsleitung und Partner Novo Business Consultants AG
Stephan Schweizer Nevis Product Manager AdNovum Informatik AG
5. März 2013
2
Agenda
Die eGov Services des Kantons BL Strategische Zielsetzung
Aktuelles Leistungsangebot der Online Plattform
Roadmap und weitere Ausbauschritte
Umsetzung der Online Service Plattform Projektvorgehen und Lösungsarchitektur
Umsetzung der internen eGov Prozesse
Security-Architektur für externe Zugriffe Übersicht Security-Architektur
Integration der internen Service Plattform (iOSP)
Umsetzung der IAM-Prozesse für End-User
3
Die eGov Services des Kantons Basel-Landschaft
4
Kurzvorstellung Kanton Basel-Landschaft
Kanton Basel-Landschaft (Halbkanton) mit 86 Gemeinden
Einwohner Platz 10 (Einwohner 270'000)
Fläche Platz 19
Kantonshauptstadt Liestal
BL ist mit 11'500 grösster Arbeitgeber im Kanton
5 Direktionen
Kantonsgericht
Landrat mit 90 Mitgliedern
Diverse Partnerschaften mit Basel-Stadt (z.B. Bildung, Gesundheit, Kultur)
Trinationale Aufgaben (z.B. Wirtschaftsraum, Flughafen)
5
Ausgangslage der E-Gov Umsetzung
Der Kanton Basel-Landschaft baut seit mehreren Jahren das Angebot an E-Government Dienstleistungen kontinuierlich aus
Interaktive Verfahren (Transaktionen) gewinnen in Zukunft an Bedeutung
Das Vorgehen des Kantons Basel-Landschaft richtet sich an der E-Gov Strategie Schweiz aus
Im Rahmen einer Analyse „OSP-Dienste“ wurden die grundsätzlichen Fragen geklärt und Lösungsstrategien erarbeitet
6
OSP als zentraler Teil der E-Gov Umsetzung
Damit zukünftige E-Government Services effizient und wirtschaftlich unterstützt werden können, sind insbesondere die folgenden zentralen Elemente von Bedeutung:
Online Service Plattform
zentrale Integrationsplattform und „Datendrehscheibe“ für E-Government Services
Identity und Access Management
Basis für das Management und die Speicherung von Benutzern- und Berechtigungen sowie deren Authentisierung mit unterschiedlichen Sicherheitsverfahren
Sicherstellung der Nachvollziehbarkeit
Schaffung zusätzlicher Rechtsgrundlagen für Datenzugriffe im Rahmen von E-Government (falls notwendig)
7
Anforderungen an die Online Service Platform
Zugang muss sowohl mit Browser (https) als auch aus einem Webservice (SOAP) möglich sein
Für den Austausch von Dateien ist ein Webverzeichnis notwendig
Fachanwendungen müssen über standardisierte Schnittstellen/Technologien eingebunden werden können (.NET, J2EE)
Unterstützung von Abfragen und interaktiven Verfahren (Transaktionen)
Authentifizierung / Autorisierung der Benutzer muss über verschiedene Merkmale möglich sein (abhängig von Klassifikation der zugegriffenen Daten)
Einbindung in ein übergreifendes Identity und Access Management für die Verwaltung der Benutzer und Berechtigungen ist zwingend
Plattform muss offen bleiben für die Integration zukünftiger Services
8
Lösungsarchitektur
Online Service Plattform BL
Portal In
form
atio
n-S
ecu
rity
Au
the
ntifizie
run
g
Basis
Services für
Benutzer
Web
Verzeichnis
Basis
Services für
Anwendungen
Anwendung
Typ A
Anwendung
Typ B
Anwendung
Typ B
Anwendung
Typ B
Anwendung
Typ B
WebFrontend
Web
Verzeichnis
WebService
Identity und Access Management
Schnittstelle
Schnittstelle
Schnittstelle Inte
gra
tio
n A
nw
en
du
ng
en
9
Umgesetzte Beispiele
Verschiedene Sedex-Anbindungen
Statusverwaltung für elektronische Dienstleistungen
Kreditoren-Workflow
Workflow interne Leistungsverrechnung
Antragsprozess für Stammdaten
Web-Fakturalösung für dezentrale Stellen
Info Cockpit (u.a. Berichte)
Anbindung des Geo-Informationssystems (GIS)
Servicebasierter Online-Zugriff auf Personenregister
10
Beispiel: Anbindung Kant. Personenregister
11
Roadmap
2011 2012 2013 2014
Voranalyse
OSP
Überarbeitung bl.ch
Rechtsgrundlage
E-Government
zentrale Koordination, Projektmanagement
E-Government Service
A E-Government Service
A E-Government Service
A
zentrale Projekte dezentrale Projekte der Direktionen
E-Government Service
A E-Government Service
A E-Government Service
n
Betrieb Online Service-Plattform
Dir
ektio
nsü
be
rgre
ife
nd
e
Ra
hm
en
org
an
isa
tio
n
1
Online-Service-Plattform
(OSP)
Konzept Evaluation Realisierung
Identity und Access Management
(IAM)
Konzept Evaluation Realisierung
Betrieb Identity und Access Management
E-Government
Service
A
E-Government Service
B
2
1
12
Umsetzung der Online Service Plattform
13
Online Service Plattform (OSP)
interne OSP Kommunikation innerhalb
LAN Kommunikation zu eOSP Internes Informations-
und Anwendungsportal Prozessabwicklung
externe OSP Zentraler externer Web-
Zugang zu Services und Anwendungen des Kantons BL.
Zentrale Authentisie-rungsinfrastruktur (Benutzerpräferenzen und Anwendungs-schutzbedarf)
Serviceorientierte Applikationsplattform
14
Von der Schalter-DL zur elektronischen DL Am Beispiel «Einreichen eines Gesuchs»
nu
tzt e
rfü
llt
Formvorschrift
Schriftlichkeit
Dienstleistung
Gesuch
Person
Familie Huber
erfordert
15
Auth. Mechanismus
Username / Passwort
Von der Schalter-DL zur elektronischen DL Am Beispiel «Einreichen eines Gesuchs»
Person
Familie Huber erf
üll
t nu
tzt
Auth. Mechanismus
SMS Token
Auth. Mechanismus
SuisseID (geplant)
eDL
Gesuch
erfordert
16
Formular
ausfüllen
Fragen be-
antworten
Entscheid
prüfen
Angaben
validieren
Formal
prüfen
Daten in
System
erfassen
Entscheid
kommuni-
zieren
Gesuch
prüfen
Rückfragen
Korrekturen
Gesuch
genehmigen
bzw.
ablehnen
Von der Schalter-DL zur elektronischen DL Am Beispiel «Einreichen eines Gesuchs»
BE
HÖ
RD
E
KU
ND
E
17
Prozessumsetzung auf der OSP: 1. Anmeldung an der eOSP
mit zentraler BLNet-ID. BLNet-ID’s können für mehrere eDL’s verwendet werden. Benutzer registrieren sich online für die gewünschten eDL’s. Der eOSP-Loginservice stellt sicher, dass die von der eDL geforderte Authentisierungs-stärke erfüllt wird.
2. Abhängig von der gewählten eDL, stehen im eOSP-Portal die entsprechenden Funktionen in einem einheitlichen Erschei-nungsbild zur Verfü-gung. Im Falle eines «Gesuchs» kann das Formular direkt online ausgefüllt werden.
Authen-tication
User Admin
Authori-zation
Front-end
eDL2
Front-end
eDL1
CentralServices
Public NetworkDMZ Kanton BL
VerbundnetzeLAN Kanton BL
FW, Content-Filtering, Routing
Netw.Infr.
VPN-Access
Komm-Schicht
Backendsystem
Applikationslogik
UMEBusiness Function
Komm-Schicht
Backendsystem
Applikationslogik
UMEBusiness Function
Firmen
Bürger
Firmen
Bürger
Web Access Control
eOSP Kanton BL
Gemeinde,
Amt, ...
Applikation
Angestellte
Komm-Schicht
Backendsystem
Applikationslogik
UMEBusiness Function
SOA Platform
eOSP Kanton BL
User Admin
Authen-tication
Authori-zation
ESB (SAP PI)
iOSP Kanton BL
Workflows/BPM (SAP CE)
Info Cockpit BL (SAP EP)
Front-end
eDL2
Front-end
eDL1
Central Services
Authen-tication
User Admin
Authori-zation
Front-end
eDL2
Front-end
eDL1
CentralServices
Public NetworkDMZ Kanton BL
VerbundnetzeLAN Kanton BL
ESB (SAP PI)
iOSP Kanton BL
Info Cockpit BL (SAP EP)
Workflows/BPM (SAP CE)
Firmen
Bürger
Komm-Schicht
Backendsystem
Applikationslogik
UMEBusiness Function
Komm-Schicht
Backendsystem
Applikationslogik
UMEBusiness Function
Komm-Schicht
Backendsystem
Applikationslogik
UMEBusiness Function
Gemeinde,
Amt, ...
Angestellte
Applikation
SOA Plattform
eOSP Kanton BL
Web Acces Control
User Admin
Authen-tication
Authori-zation
eOSP Kanton BL
Front-end
eDL2
Front-end
eDL1
Central Services
FW, Content-Filtering, Routing
Netw.Infr.
VPN-AccessVPN Access
User Admin
Authen-tication
Authori-zation
Front-end
eDL2
Front-end
eDL1
Central Services
Technische Realisierung einer eDL
2 1
18
Prozessumsetzung auf der OSP: 3. Nach Freigabe der Daten
startet eOSP einen neuen BPM-Prozess in der iOSP und erzeugt eine Auf-gabe für den zuständi-gen Bearbeiter. Die wei-tere Bearbeitung und Genehmigung des Ge-suchs erfolgt vollständig Workflow-unterstützt.
4. Mutationen können im Prozess oder im Backend persistiert werden. Der Zugriff auf (eines oder mehrere) Backend- systeme erfolgt via ESB.
5. Umfassende Nutzung bestehender Funktio-nen des jeweiligen Sy-stems. Die Ablage der endgültigen Daten aus der Prozessabwicklung erfolgt immer im «füh-renden» Backend.
Authen-tication
User Admin
Authori-zation
Front-end
eDL2
Front-end
eDL1
CentralServices
Public NetworkDMZ Kanton BL
VerbundnetzeLAN Kanton BL
FW, Content-Filtering, Routing
Netw.Infr.
VPN-Access
Komm-Schicht
Backendsystem
Applikationslogik
UMEBusiness Function
Komm-Schicht
Backendsystem
Applikationslogik
UMEBusiness Function
Firmen
Bürger
Firmen
Bürger
Web Access Control
eOSP Kanton BL
Gemeinde,
Amt, ...
Applikation
Angestellte
Komm-Schicht
Backendsystem
Applikationslogik
UMEBusiness Function
SOA Platform
eOSP Kanton BL
User Admin
Authen-tication
Authori-zation
ESB (SAP PI)
iOSP Kanton BL
Workflows/BPM (SAP CE)
Info Cockpit BL (SAP EP)
Front-end
eDL2
Front-end
eDL1
Central Services
Technische Realisierung einer eDL
2
5
1
3
4
19
Authen-tication
User Admin
Authori-zation
Front-end
eDL2
Front-end
eDL1
CentralServices
Public NetworkDMZ Kanton BL
VerbundnetzeLAN Kanton BL
ESB (SAP PI)
iOSP Kanton BL
Info Cockpit BL (SAP EP)
Workflows/BPM (SAP CE)
Firmen
Bürger
Komm-Schicht
Backendsystem
Applikationslogik
UMEBusiness Function
Komm-Schicht
Backendsystem
Applikationslogik
UMEBusiness Function
Komm-Schicht
Backendsystem
Applikationslogik
UMEBusiness Function
Gemeinde,
Amt, ...
Angestellte
Applikation
SOA Plattform
eOSP Kanton BL
Web Acces Control
User Admin
Authen-tication
Authori-zation
eOSP Kanton BL
Front-end
eDL2
Front-end
eDL1
Central Services
FW, Content-Filtering, Routing
Netw.Infr.
VPN-AccessVPN Access
User Admin
Authen-tication
Authori-zation
Front-end
eDL2
Front-end
eDL1
Central Services
Die OSP: Ein eDL-Baukasten
Wiederverwendbare Elemente: 1. Accesscontrol und
Benutzeradministration
2. SOA-Entwicklungs-plattform (unified Look & Feel, Central Services)
3. Prozessautomation mit BPM-Engine
4. Konfigurierbarer Zugriff auf unter-schiedliche Systeme und Technolo-gien
5. Bereits vorhandene Backendfunktionen
20
Eingesetzte Werkzeuge
Authen-tication
User Admin
Authori-zation
Front-end
eDL2
Front-end
eDL1
CentralServices
Public NetworkDMZ Kanton BL
VerbundnetzeLAN Kanton BL
ESB (SAP PI)
iOSP Kanton BL
Info Cockpit BL (SAP EP)
Workflows/BPM (SAP CE)
Firmen
Bürger
Komm-Schicht
Backendsystem
Applikationslogik
UMEBusiness Function
Komm-Schicht
Backendsystem
Applikationslogik
UMEBusiness Function
Komm-Schicht
Backendsystem
Applikationslogik
UMEBusiness Function
Gemeinde,
Amt, ...
Angestellte
Applikation
SOA Plattform
eOSP Kanton BL
Web Acces Control
User Admin
Authen-tication
Authori-zation
eOSP Kanton BL
Front-end
eDL2
Front-end
eDL1
Central Services
FW, Content-Filtering, Routing
Netw.Infr.
VPN-AccessVPN Access
User Admin
Authen-tication
Authori-zation
Front-end
eDL2
Front-end
eDL1
Central Services
SAP NW Portal
SAP NW BPM
SAP NW PI
AdNovum
Produkte
21
Security-Architektur für externe Zugriffe
22
Anforderungen an die Security-Architektur
Kernanforderungen Single Sign-on (SSO) zwischen den verschiedenen EDL‘s
Rollenbasierte Vergabe von EDL-Berechtigungen
Zentrales Management der Benutzer, Rollen und Credentials
Möglichkeiten zur delegierten Administration
Unterstützung von unterschiedlichen Authentisierungsstärken
Benutzername / Passwort
mTAN
Unterstützung von IAM-Prozessen und Self-Service Funktionen
Selbstregistrierung, inkl. Registrierung von Credentials
Einbindung der Bewilligungsprozesse (Beantragung von Zugriffsrechten)
23
Nevis-basierte Security-Infrastruktur
24
IAM-Prozess: Selbstregistrierung Ablauf Selbstregistrierung Wichtige Benutzer-Attribute werden online mittels Challenge-
Response Verfahren validiert. (E-Mail und Mobile-Nr.)
Aktivierungscode für Credentials mittels eingeschriebenem Brief
25
IAM-Prozess: Realisierung EDL-Mapping
Ablauf EDL-Mapping IAM-Infrastruktur überprüft Rollen (grob-granulare Autorisierung)
Automatische Verzweigung auf Antragsprozess (EDL-Mapping)
26
Fragen