Es gibt unterschiedliche Ansätze Benutzern und Systemen Zugriff auf unsere Tools (Authentifizierung) zu geben und Ihnen entsprechende Rechte und Rollen (Autorisierung) zuzuweisen.
Absicherung der Web-Oberflächen mit Keycloak
In der Standard-Ausgabe unserer Tools ist keine Authentifizierung notwendig. Möchte man die Web-Oberflächen von gPAS, E-PIX und gICS jedoch nur
für bestimmte Nutzergruppen zugänglich machen oder Funktionsumfänge einschränken, kann dies mit Keycloak erfolgen.
Einrichtung
Details zur Vorbereitung des Keycloak-Servers für unsere Tools unter: https://www.ths-greifswald.de/ttp-tools/keycloak
Die Einrichtung des jeweiligen Tools zur Anbindung des Keycloak-Servers sind per Config–Datei und Environment–Variablen vor Start des Docker–Compose möglich. Details sind in den jeweiligen README.md des Releases beschrieben.
Wie die Absicherung einer FHIR-Schnittstelle mit Keycloak erfolgt, finden Sie unter: https://www.ths-greifswald.de/ttpfhirgateway/keycloak
Empfehlungen zur Absicherung der Anwendungsserver von E-PIX, gPAS und gICS
Der Zugriff auf relevante Anwendungs- und Datenbankserver der Treuhandstellen-Werkzeuge sollte nur für autorisiertes Personal und über autorisierte Endgeräte möglich sein. Wir empfehlen daher zusätzlich die Umsetzung nachfolgender IT-Sicherheitsmaßnahmen:
- Betrieb der relevanten Server in separaten Netzwerkzonen (getrennt von Forschungs- und Versorgungsnetz)
- Verwendung von Firewalls und IP-Filtern
- Zugangsbeschränkung auf URL-Ebene mit Basic Authentication (z.B. mit NGINX oder Apache)