Toegangs- en Gebruikersbeheer van de Vlaamse overheid
TOEGANGSBEHEER VERNIEUWD van ACM3 naar ACM3+ (juli 2016)
Aanmelden bij digitale toepassingen van de Vlaamse overheid
TOEGANGSBEHEER: huidig Huidige versie Toegangsbeheer (ACM3)
TOEGANGSBEHEER: nieuw Toekomstige versie Toegangsbeheer (ACM3+): voor alle toepassingen tegen eind september 2016
Nieuwe stap
naar 1 veilige en efficiënte TOEGANGSPOORT voor online (Vlaamse) overheidstoepassingen
TOEGANGSBEHEER: nieuw Huisstijl Vlaamse overheid i.s.m. Webuniversum / vlaanderen.be
TOEGANGSBEHEER: nieuw Duidelijke vermelding van toepassing waar je wilt inloggen
TOEGANGSBEHEER: nieuw Dienstmededelingen duidelijker op de pagina
TOEGANGSBEHEER: nieuw Slimme hulp in de pagina afhankelijk van keuze van gebruiker en plaats in het aanmeldproces
TOEGANGSBEHEER: nieuw Duidelijke communicatie wanneer je doorverwezen wordt naar CSAM pagina
TOEGANGSBEHEER: nieuw Gebruikersvriendelijker foutmelding
In combinatie met online aanvraagmogelijkheid (in te plannen 2e release: nog geen timing)
Toegangsbeheer: ACM3 vs. ACM3+
Binnen ACM
Huidige volgorde
Toekomstige volgorde
1) Surf naar de toepassing
1) Surf naar de toepassing
2) Kies een hoedanigheid
2) Kies een aanmeldoptie (afhankelijk van aanmeldoptie ga je verder op de CSAMpagina’s van de federale overheid of onmiddellijk door)
3) Kies een aanmeldoptie (afhankelijk van aanmeldoptie ga je verder op de CSAMpagina’s van de federale overheid of onmiddellijk door)
3) Kies een hoedanigheid (keuzemogelijkheden worden beperkt tot de doelgroepen/hoedanigheden waarbinnen persoon x gekend is) 4) Kies een organisatie (indien deze keuze in ACM wordt verwacht)
In de doeltoepassing
4) Kies een organisatie
4’) Kies een organisatie (indien deze keuze niet in ACM wordt verwacht)
ACM3+: stapsgewijs - aanmeldoptie Stap 1: surf naar de toepassing Je komt op het ACMinlogscherm terecht
Stap 2: kies een aanmeldoptie
ACM3+: stapsgewijs - aanmeldoptie Default aanmeldoptie o.b.v. keuze toestel en keuze toepassing
ACM3+: stapsgewijs - aanmeldoptie Te kiezen aanmeldoptie: • eID (connected en unconnected) (via CSAM) • Federaal token (via CSAM) • VO-token (niet via CSAM) • Beveiligingscode via SMS (via CSAM) • Beveiligingscode via Mobiele app • Alfa Windows Logon (niet via CSAM) • (aanmelden via eHealth) Afhankelijk van minimum gewenst authenticatieniveau van de doelapplicatie worden de te kiezen aanmeldopties aangeboden.
ACM3+: stapsgewijs – hoedanigheid kiezen Na authenticatie: toegangsbeheer weet nu wie jij bent, of jij voor deze toepassing gebruikersrechten hebt én voor welke doelgroep.
Stap 1
Stap 2
Stap 3
ACM controleert welke hoedanigheid
Controle van applicatiespecifieke rechten
Stap 4
Applicatie VO of LB
Gebruiker Alles ok? Je kunt nu de toepassing gebruiken
ACM3+: stapsgewijs – hoedanigheid kiezen Stap 3: kies een hoedanigheid
ACM3+: stapsgewijs – hoedanigheid kiezen Voorbeeld met beperkte keuze:
ACM3+: stapsgewijs – hoedanigheid kiezen Te kiezen hoedanigheid: ACM controleert voor welke doelgroepen de applicatie beschikbaar is. ACM controleert in welke doelgroepen je gekend bent. ACM controleert niet of je in een respectievelijke hoedanigheid ook effectief gebruikersrechten hebt voor die toepassing (wordt voorzien voor een latere release) Beschikbare hoedanigheden na volledige migratie naar IDM3: • • • • •
Burger (natuurlijk persoon) Medewerker van een onderneming of organisatie (economische actor) (cfr. doelgroep gebruikersbeheer) Medewerker van de Vlaamse overheid (cfr. doelgroep gebruikersbeheer) Medewerker van een lokaal bestuur (cfr. doelgroep gebruikersbeheer) Medewerker van een onderwijsinstelling (cfr. doelgroep gebruikersbeheer)
ACM3+: stapsgewijs – organisatie kiezen Stap 4: kies een organisatie (optioneel: afhankelijk van de toepassing waar je wilt aanmelden)
ACM3+: stapsgewijs Iemand wil inloggen voor een toepassing/hoedanigheid/organisatie die nu niet aangeboden wordt door ACM: Korte termijn: we geven een verstaanbare melding op het scherm + toelichting in de hulpwidget wat iemand kan/moet doen Lange termijn: we voorzien een aanvraagformulier om rechten aan te vragen (in afstemming met de applicatieverantwoordelijke) + alternatief: melding zoals hierboven behouden
ACM3+: single-sign-on Korte termijn (1e release 2016): Single-sign-on voor toepassingen die gebruik maken van toegangsbeheer van de Vlaamse overheid (ACM) Middellange termijn: Single-sign-on voor alle toepassingen met aanmeldfunctionaliteit in “header” van webuniversum/vlaanderen.be Lange termijn (haalbaarheid/wenselijkheid te onderzoeken): Algemene single-sign on voor alle (zoveel mogelijk) overheidstoepassingen
ACM3+: single-sign-on 2 toepassingen gebruiken in 1 browsersessie (of doorsurfen van toepassing A naar toepassing B in 1 browsersessie): Voor elke toepassing wordt de gebruiker terug langs de ACM pagina geleid: 1. Controle van het authenticatieniveau 2. Controle van de hoedanigheid 3. Controle van organisatie (indien keuze van organisatie in ACM) (zie verder)
ACM3+: single-sign-on Controle van authenticatieniveau Ben je voldoende sterk geauthenticeerd? Dan moet je niet opnieuw een authenticatiemiddel kiezen Bijvoorbeeld: je bent in toepassing A ingelogd met eID en in toepassing B moet je ook inloggen met eID Ben je onvoldoende sterk geauthenticeerd? Dan moet je bijkomend authenticeren voor je verder kunt Bijvoorbeeld: je bent in toepassing A ingelogd met gebruikersnaam en paswoord en in toepassing B moet je inloggen met eID: je moet je toch opnieuw authenticeren, deze keer met eID.
ACM3+: single-sign-on Controle van hoedanigheid Wil je de hoedanigheid die je eerder had gekozen behouden? Je zult kunnen bevestigen en doorgaan. Bijvoorbeeld: je bent in toepassing A ingelogd als ambtenaar van de VO en in toepassing B wil je ook inloggen als ambtenaar van de VO Wil je een andere hoedanigheid kiezen? Je zult kunnen wisselen van hoedanigheid. Bijvoorbeeld: je bent in toepassing A ingelogd als ambtenaar van de VO en in toepassing B wil je inloggen als burger/natuurlijk persoon: ACM zal je de keuze laten om te wisselen van hoedanigheid
OPGELET: altijd op voorwaarde dat je in die andere hoedanigheid ook gekend bent (iemand die in doelgroep “onderwijs en vorming” niet gekend is, zal deze hoedanigheid nooit aangeboden krijgen)
ACM3+: single-sign-on Controle van organisatie Wil je voor dezelfde organisatie werken? Je zult kunnen bevestigen en doorgaan. Bijvoorbeeld: je bent in toepassing A ingelogd voor organisatie X en in toepassing B wil je ook inloggen voor organisatie X Wil je voor een andere organisatie werken? Je zult kunnen wisselen van organisatie. Bijvoorbeeld: je bent in toepassing A ingelogd voor organisatie X en in toepassing B wil je inloggen voor organisatie Y: ACM zal je de keuze laten om te wisselen van hoedanigheid
ACM3+: single-sign-on Single-sign-on geldt binnen 1 browser: Iemand die internet explorer én firefox én chrome naast elkaar gebruikt, zal zich in elke browser moeten authenticeren. Als je de browsersessie volledig afsluit, moet je wel opnieuw authenticeren.
ACM3+: single-sign-on In 1 browsersessie in 1 toepassing werken met een andere hoedanigheid (bijvoorbeeld in een ander tabblad): de gebruiker moet afmelden in de ene hoedanigheid en terug aanmelden in de andere hoedanigheid. 1. Afmelden door browser te sluiten 2. Afmelden door “afmeldknop” in toepassing (afhankelijk van die functionaliteit in de respectievelijke toepassing) Verder uit te werken m.o.o. optimale gebruikerservaring
Single-sign-on ACM3+ – Toekomst? Het Single-sign-on principe wordt verder uitgebouwd Ook in samenwerking met de federale diensten Met oog op optimaal gebruikersgemak Zonder veiligheidsvoorwaarden en andere sterktes van ACM te compromiteren In samenwerking met Vlaanderen.be (“webuniversum”)
Tips, vragen, opmerkingen, feedback, kleine en grote problemen, … Contacteer ons!!! Wat we niet weten, daar kunnen we geen rekening mee houden! Wat jullie ons niet vertellen, daar kunnen we niets mee doen!
Contact Online: http://overheid.vlaanderen.be/gebruikersbeheer http://overheid.vlaanderen.be/toegangsbeheer Mailtje sturen?
[email protected] Ondersteuning via gratis nummer 1700