VO-Toegangs-/Gebruikersbeheer Snel/Eenvoudig/Veilig ontsluiten van informatie. Wim MARTENS – Erik R. VAN ZUUREN – Henk SMETS VO-Toegangs-/Gebruikersbeheer • VO –Toegangs-/Gebruikersbeheer – Oorsprong / Doelstelling – Belangrijkste Basisprincipes – Functioneel & Architectureel Overzicht – Enkele Gebruiksscenarios – Co-existentie met andere systemen • Andere / Verwante diensten – Digitaal TekenPlatform – MAximale GegevensDeling tussen Administraties – Toegangsbeheer voor webservices – Digitaal Certificatenbeheer VO-Toegangs/Gebruikersbeheer 2 ManageIT – 13 NOV 2014 Oorsprong / Doelstelling • Noden vanuit de basis: – Hoe toepassingen / informatie veilig ontsluiten en aldus het elektronisch uitwisselen van gegevens mogelijk maken vanuit de Vlaamse overheid en Vlaamse lokale besturen? – Hoe gebruikers authentiseren/identificeren? Hoe de hoedanigheid van Gebruikers verifiëren? Hoe mandaten / delegaties / toegangsrechten verifiëren? – Hoe Gebruikers registreren (en hun hoedanigheden/kenmerken)? Hoe komen betrouwbare ‘authentieke bronnen” in deze? – …. • Noden vanuit eGov-ondersteunende bouwstenen: – Nood aan een platform dat snel inzetbaar is om toepassingen / informatie van verschillende Vlaamse entiteiten (en lokale besturen) te ontsluiten – Nood aan platform dat toelaat gegevens te ontsluiten aan verschillende doelgroepen. – Nood aan platform in lijn met de Wet op Bescherming van de Persoonlijke Levensfeer. – Nood aan gedeelde omgeving, modulaire bouwstenen en een “service-oriented” opzet – …. VO-Toegangs/Gebruikersbeheer ManageIT – 13 NOV 2014 3 Vandaag • Een greep uit de ontsloten applicaties: – VKBO / VKBP (CORVE) – Studietoelagen (O&V) – Inkom / OP (AO) – WebEdison (O&V) – EnergiePrestatiedatabank (VEA) – DOV (RWO) – EMIL (LNE) – eDelta (MOW) – Zorginspectie (WVG) – GeoMob (MOW) – TWP/SBW (WSE) – Digiflow (FGOV) – ebirth (FGOV) – Vlimpers (BZ) – ESF (ESF agentschap) – Digitaal Toezicht (ABB) – KBI (ABB) – …. VO-Toegangs/Gebruikersbeheer 4 ManageIT – 13 NOV 2014 Belangrijkste Basisprincipes • Toegang Krijgen (Toegangsbeheer) • Toegang Geven (Gebruikersbeheer) VO-Toegangs/Gebruikersbeheer 5 ManageIT – 13 NOV 2014 Belangrijkste Basisprincipes • Toegang Krijgen (Toegangsbeheer) Gegevens Applicatie- uit Authen. Applicatie VO of LB specieke Bronnen (bv rechten “is rchitect”) Gebruiker • Toegang Geven (Gebruikersbeheer) Gegevens uit Authen. Bronnen Applicatie- specifieke Hoofd lokale rechten beheerder Lokale beheerder Wettelijk Lokale (domein) Vertegen- Lboekhaeleer der woordiger beh(deoemrdeeirn ) (domein) Applicatiebe heerder VO-Toegangs/Gebruikersbeheer 6 ManageIT – 13 NOV 2014 Belangrijkste Basisprincipes Burgers Burgers • Doelgroepen Vo Medewerkers Medewerkers VO & LB • Vo Medewerkers – Nood aan het openstellen van toegangen, enkel en Lokale Besturen • Lokale Besturen alleen aan juiste type gebruikers/organisaties Economische Actoren Partners VO & Ondernemingen • Partners van de Vo Partners van de Vo • Zorginstellingen • Domeinen • Architecten Architecten • Sociale Huisvestigingsmaatsch. – “Clusters” van activiteits-/bevoegdheidsgebieden • Sociale Beschutte Werkplaatsen Zorginstellingen • ….. Onderwijs- & Vormingsinst. Onderwijs- & Vormingsinst. • Lokale Beheerders (DomeinX) – “Werkrelaties” en toegangen zouden enkel toegekend mogen worden op basis van authentieke informatie of door personen die voor een bepaalde materie toegangen mogen beheren voor hun organisatie. Domeinen • Applicatiebeheerders Fiscaliteit – Toegangen kunnen eventueel beheerd worden door Sociale Zekerheid een applicatie-/informatie-eigenaar. Ruimtelijke Ordening … … VO-Toegangs/Gebruikersbeheer 7 ManageIT – 13 NOV 2014 Functioneel / Architecturaal overzicht • Toegang verkrijgen (=> ACM): – Authentiseert gebruikers Toegang verkrijgen via Toegangsbeheer – Vraagt/checkt “hoedanigheid” waaronder de gebruiker wenst Applicatie gebruiken Applicatie op te treden. – Zorgt voor grofmazige autorisatie Gebruiker – Geeft gegevens door voor fijnmazige Toegangs autorisatie. beheer Informatie Raadplegen • Toegang geven (=> IDM): Gebruikers – Lokale beheerders en Informatie Rechten Wegschrijven beheer Toekennen applicatiebeheerders creëren en Identiteiten Lokale kennen rechten toe aan gebruikers Databank Beheerde – Gebruikersbeheer schrijft informatie Toegang geven via Gebruikersbeheer r weg in de “Identiteiten Databank” (en waar nodig andere databanken). Noot: In dit overzicht wordt abstractie gemaakt van de verschillende integratiepatronen met ACM. VO-Toegangs/Gebruikersbeheer 8 ManageIT – 13 NOV 2014 Functioneel / Architectureel Overzicht (Toegangsbeheer) Functie beschikbaar Locatie neutraal tov Service Provider Ja (middels Federation) Authenticatie / Identificatie via FAS (eID, ..) en VAS (Vo-Token) ja Authenticatie / Identificatie via lokale IDP VO-entiteit Eerste helft 2015 Authenticatie / Identificatie via eHealth IDP ja Authenticatie / Identificatie via SMS Onder discussie Single –Sign-On (basis) Binnen VO-eco-systeem Single – Sign – On (met wisselen hoedanigheid) Eerste helft 2015 Doelsysteem afhankelijke identity / assertion mogelijk ja Verificatie gegevens via LDAP of WS in externe bron ja Verificatie gegevens in externe bron dmv attribute providers Tweede helft 2015? Statistieken/Rapportage ja Audit Trailing 10jaar (of meer) VO-Toegangs/Gebruikersbeheer 9 ManageIT – 13 NOV 2014 Functioneel / Architectureel Overzicht (Gebruikersbeheer) Functie v2 v3 Beheren van Organisaties Uploads Incl “erkenningen” Beheren van gebruikers (en hun “werkrelaties”) Uploads of LB Incl via “selfrequest” Beheren van mandaten/delegaties/rechten (naar natuurlijke pers) Uploads of LB Incl via “selfrequest” LifecycleManagement (op basis van authentieke bron of expiry date) x x Selfservices Paswoord reset Uitgebreid Selfrequest (aanvraag van mandaat, delegatie of recht) Eerste helft 2015 Goedkeuringsflow (incl identificatie/notificatie juiste goedkeurder) Eerste helft 2015 Koppeling met authentieke bronnen KBO/RRN x Koppeling met BTB / CSAM Eerste helft 2015 Geparametriseerde Rollen (bv recht voor meerdere entiteiten x Uitgebreid of rol met beperkingen ) Doelsysteem parametrisering digitale identiteit (niet altijd RRN) x Uitgebreid Mogelijkheid tot provisioneren naar (lokale) databank/LDAP/AD x “bijzaak” Statistieken/Rapportage/ Overzichten/Notificaties x Uitgebreid VO-Toegangs/Gebruikersbeheer 10 ManageIT – 13 NOV 2014