Gebruikersbeheer Mogelijkheden in kader van dienstverlening aan Onderwijsinstellingen

VO-Toegangs-/Gebruikersbeheer Mogelijkheden in kader van dienstverlening aan Onderwijsinstellingen

Erik VAN ZUUREN Product & Programma Management ACM / IDM / DTP / DCB / eForms

dd 10/05/2015

VO-Toegangs-/Gebruikersbeheer • VO –Toegangs-/Gebruikersbeheer - Hoofdlijnen – Ondersteuning Radicaal Digitaal – Huidig Gebruik / Statistieken – Belangrijke Basisprincipes • VO –Toegangs-/Gebruikersbeheer – Karakteristieken – Functioneel & Architectureel Overzicht – Co-existentie met Federale Systemen • VO –Toegangs-/Gebruikersbeheer – Toepassing – Enkele Gebruiksscenarios – Voorbeelden van Opzet VO-Toegangs/Gebruikersbeheer Infosessie Dienstverleners O&V – dd 10/06/2015

2

De Fundamenten voor Radicaal Digitaal (of het nu gaat over VO, Lokale Besturen of Onderwijsinstellingen…) • Realisatie Radicaal Digitaal / eLoketten / consistente-veilige ontsluiting enkel mogelijk met degelijke digitale bouwstenen / diensten zoals oa Toegangs- en Gebruikersbeheer.

VO-Toegangs/Gebruikersbeheer Infosessie Dienstverleners O&V – dd 10/06/2015

3

Actueel gebruik van de diensten

• Een greep uit de ontsloten applicaties (beschikbaar voor vo-medewerkers, lokale besturen, onderwijsinstellingen, …): – – – – – – – – – – – – – – – – – –

VKBO / VKBP (CORVE) Studietoelagen (O&V) Inkom / OP (AO) WebEdison (O&V) EnergiePrestatiedatabank (VEA) DOV (RWO) EMIL (LNE) eDelta (MOW) Zorginspectie (WVG) GeoMob (MOW) TWP/SBW (WSE) Digiflow (FGOV) ebirth (FGOV) Vlimpers (BZ) ESF (ESF agentschap) Digitaal Toezicht (ABB) KBI (ABB) ….


4

Belangrijke Basisprincipes

• Toegang Krijgen (Toegangsbeheer)

• Toegang Geven (Gebruikersbeheer)


5

Belangrijke Basisprincipes

• Toegang Krijgen (Toegangsbeheer) Gegevens uit Authen. Bronnen (bv “is Directeur SchoolX”)

Gebruiker

Applicatiespecieke rechten

Applicatie VO of LB

• Toegang Geven (Gebruikersbeheer) Gegevens uit Authen. Bronnen Hoofd lokale beheerder Wettelijk Vertegenwoordiger


6

Applicatiespecifieke rechten Lokale beheerder Lokale (domein) beheerder Lokale (domein) beheerder (domein)

Applicatiebe heerder

Belangrijke Basisprincipes • Doelgroepen – Nood aan het openstellen van toegangen, enkel en alleen aan juiste type gebruikers/organisaties

• Organisatie (types) – Bv Universiteiten & Hogescholen – Bv Middelbare School

• Lokale Beheerders (DomeinX) – “Werkrelaties” en toegangen zouden enkel toegekend mogen worden op basis van authentieke informatie of door personen die voor een bepaalde materie toegangen mogen beheren voor hun organisatie.

Domeinen Fiscaliteit Sociale Zekerheid Ruimtelijke Ordening … …

• Applicatiebeheerders – Toegangen kunnen eventueel beheerd worden door een applicatie-/informatie-eigenaar.


7


8

Veel meer dan gebruikers creëren en registeren van attributen

Scenario1 / Klassiek Basis:

Scenario2 / eGov-grade:

Registreer organisatie Maak gebruiker aan Registeer attributen Publiceer in directory

Erken Organisatie Maak gebruiker aan @Hoedanigheid Ken (parametriseerbare) delegatie/mandaat toe Publiceer en transformeer selectief

Basic datamodel / flows

Complex datamodel Zelfregistraties & Parametriseerbare (goedkeurings)-flows Configureerbare rapportering / notificaties ….


9

Toekenningen/Delegaties/Mandaten/… • Voorbeelden van mogelijke Toekenningen/Delegaties/Mandaten/… – Toekenning Dossierbeheerder-GraadF >> mogelijkheid tot invoeren business rollen >> mogelijkheid tot stellen van voorwaarden >> mogelijkheid tot afleiden van nodige onderliggende taken >> mogelijkheid tot afleiden van benodige odnerliggende technische settings “cross platform”.

– Toekenning Inspecteur (provincie oost-vlaanderen) >> zicht op alle dossiers met instellingsnummers in O-VL.

– Toekenning Subsidiedossierbeheerder (rechtpersoonX, vestiging 5 en 7, dossier types a en f) >> Enkel toegang binnen dossiers voor rechtspersoonX >> beperkt op vestigingsnummers 5 en 7 >> enkel dossier typers a en f

– Toekenning SubsidieGoedkeurder (instellingstypes B en G, limiet 250K) >> VO-medewerker, van entiteit Z >> zicht alle instellingen mits type B of G >> goedkeuringen enkel mogelijk tot limiet van 250K


10

Co-existentie met Federale Systemen

• CSAM (Common Sec. Acces Mngt): – Op dit moment vooral FAS (Fed. Auth Service) – Binnenkort ook BTB (~ KBO+) – Meer en meer samenspraak bij uitbouw


11


12

Gebruiksscenario (Toegang tot applicaties direct gekoppeld aan het Toegangs-/Gebruikersbeheer) Applicatie X Portaal Y CloudService Z

Medewerkers Vlaamse Overheid of Onderwijsinstellingen

….. Toegangsbeheer

Gebruikersbeheer VO Gebruikersbeheer O&V

Lokale Beheerder


13

Gebruiksscenario (Toegang tot applicaties gekoppeld aan bestaand Toegangsbeheer)

Portaal ProviderX

Medewerker VO of O&V (bv inspectie, …)

Applicatie ProviderX

Toegangsbeheer

Toegangsbeheer ProviderX

Gebruikersbeheer VO

Gebruikersbeheer ProviderX

Gebruikersbeheer O&V

Ondersteunende Diensten


14

Meld aan Gebruiker

4

ACM 3+ RP

Voorbeeld1: SBW van Dept. WSE VO Netwerk Geef identiteitsen rollen informatie in http headers

SBW EAWS 2 3

Lees uit IDD

Schrijf identiteitsen rollen informatie naar IDD IDD

1. 2. 3. 4.

Lokale Beheerder

WebIDM

1

Beheer gebruikers voor organisatie

Een lokale beheerder kent in het gebruikersbeheer WebIDM gebruikersrechten toe voor SBW. Tijdens de toekenning vraagt WebIDM via de Entitlement Artifact Web Service (EAWS) bij SBW om een lijst van conventies voor het ondernemingsnummer waarvoor toegang mag gegeven worden. De gebruikersrechten worden geprovisioneerd naar de identiteitendatabank IDD. Een gebruiker wil gebruik maken van SBW, maar wordt door de ACM Reverse Proxy tegengehouden voor authenticatie. Na succesvolle authenticatie wordt de gebruiker doorgelaten naar de applicatie en worden de rollen per conventie per onderneming meegegeven naar SBW.


15

Voorbeeld2: AGIV Geosecure

5

Gebruiker

Vraag en Geef identiteitsen rollen informatie via SAML 2 Protocol

ACM 3+ IDP

1

User Store

Schrijf identiteitsen rollen informatie naar IDD

Lees uit IDD IDD

3

WebIDM 2

VO Netwerk

Meld aan

Geosecure

AGIV Hosting

4 Contacteer applicatie

Beheer gebruikers voor organisatie

1. 2. 3.

4. 5.

AGIV beheert interne gebruikers lokaal in een eigen user store. Gebruikers binnen Lokale Besturen worden beheerd via WebIDM. De gebruikersrechten worden geprovisioneerd naar de identiteitendatabank IDD. Een gebruiker wil gebruik maken van Geosecure en moet kiezen of hij intern wil authenticeren of als medewerker van een Lokaal Bestuur via authenticatie bij ACM3. De gebruiker authenticeert en ACM3 levert rolleninformatie uit aan Geosecure.


16

Lokale Beheerder

Voorbeeld3:

STOP

Kañooh Eindgebruiker

7

Authentiseer

5

9

Kañooh site gebruiken

6

8

Vraagt/ Geeft persoonsen rolleninformatie via SAML

Haalt persoonsen rolleninformatie op

ACM3 IDP

2 Lokale Beheerder

STOP

VO Netwerk


IDD 4

Schrijft persoonsen rolleninformatie weg

WebIDM

Haalt rolleninformatie op

17

Aankoop Site STOP

Site X

Org A STOP

Site Y

Org B

Genereert / Beheert

Kañooh site aankopen / configureren

Publiceert rollen

1

Kañooh cloud

2e grofmazige autorisatie: toegang tot Kañooh site of niet

Kañooh Toegangsbeheer

Kañooh Site Aankoper

1e grofmazige autorisatie: toegang tot Kañooh omgeving of niet

STOP

Site Z

Org C STOP

Site … …

3

EAWS Producer

Fijnmazige autorisaties Intern rollenmodel in de site

10

Contactgegevens Wim MARTENS Strategiebeheerder - Vlaamse Overheid, Het Facilitair Bedrijf, Interne Diensten [email protected]

Erik R. VAN ZUUREN Programma Manager Toegangs/Gebruikersbeheer [email protected]

Stefanie Kerkhof Extern Relatiebeheer Toegangs/Gebruikersbeheer [email protected]


18

Gebruikersbeheer Mogelijkheden in kader van dienstverlening aan Onderwijsinstellingen

Recommend Documents