Veilig ontsluiten van informatie. Wim MARTENS Erik R. VAN ZUUREN Henk SMETS

VO-Toegangs-/Gebruikersbeheer Snel/Eenvoudig/Veilig ontsluiten van informatie.

Wim MARTENS – Erik R. VAN ZUUREN – Henk SMETS

VO-Toegangs-/Gebruikersbeheer • VO –Toegangs-/Gebruikersbeheer – Oorsprong / Doelstelling – Belangrijkste Basisprincipes – Functioneel & Architectureel Overzicht – Enkele Gebruiksscenarios – Co-existentie met andere systemen

• Andere / Verwante diensten – Digitaal TekenPlatform – MAximale GegevensDeling tussen Administraties – Toegangsbeheer voor webservices – Digitaal Certificatenbeheer VO-Toegangs/Gebruikersbeheer ManageIT – 13 NOV 2014

2

Oorsprong / Doelstelling • Noden vanuit de basis: – Hoe toepassingen / informatie veilig ontsluiten en aldus het elektronisch uitwisselen van gegevens mogelijk maken vanuit de Vlaamse overheid en Vlaamse lokale besturen? – Hoe gebruikers authentiseren/identificeren? Hoe de hoedanigheid van Gebruikers verifiëren? Hoe mandaten / delegaties / toegangsrechten verifiëren? – Hoe Gebruikers registreren (en hun hoedanigheden/kenmerken)? Hoe komen betrouwbare ‘authentieke bronnen” in deze? – ….

• Noden vanuit eGov-ondersteunende bouwstenen: – Nood aan een platform dat snel inzetbaar is om toepassingen / informatie van verschillende Vlaamse entiteiten (en lokale besturen) te ontsluiten – Nood aan platform dat toelaat gegevens te ontsluiten aan verschillende doelgroepen. – Nood aan platform in lijn met de Wet op Bescherming van de Persoonlijke Levensfeer. – Nood aan gedeelde omgeving, modulaire bouwstenen en een “service-oriented” opzet – ….

VO-Toegangs/Gebruikersbeheer ManageIT – 13 NOV 2014

3

Vandaag • Een greep uit de ontsloten applicaties: – – – – – – – – – – – – – – – – – –

VKBO / VKBP (CORVE) Studietoelagen (O&V) Inkom / OP (AO) WebEdison (O&V) EnergiePrestatiedatabank (VEA) DOV (RWO) EMIL (LNE) eDelta (MOW) Zorginspectie (WVG) GeoMob (MOW) TWP/SBW (WSE) Digiflow (FGOV) ebirth (FGOV) Vlimpers (BZ) ESF (ESF agentschap) Digitaal Toezicht (ABB) KBI (ABB) ….


4

Belangrijkste Basisprincipes

• Toegang Krijgen (Toegangsbeheer)

• Toegang Geven (Gebruikersbeheer)


5


• Toegang Krijgen (Toegangsbeheer) Gegevens uit Authen. Bronnen (bv “is rchitect”)

Applicatiespecieke rechten

Applicatie VO of LB

Gebruiker

• Toegang Geven (Gebruikersbeheer) Gegevens uit Authen. Bronnen Hoofd lokale beheerder Wettelijk Vertegenwoordiger


6

Applicatiespecifieke rechten Lokale beheerder Lokale (domein) beheerder Lokale (domein) beheerder (domein)

Applicatiebe heerder


• Doelgroepen – Nood aan het openstellen van toegangen, enkel en alleen aan juiste type gebruikers/organisaties

• Domeinen – “Clusters” van activiteits-/bevoegdheidsgebieden

• Lokale Beheerders (DomeinX)

Burgers

Burgers

Vo Medewerkers

Medewerkers VO & LB

Lokale Besturen

• •

Economische Actoren

Partners VO & Ondernemingen • • • • • •

Partners van de Vo Architecten Zorginstellingen

Onderwijs- & Vormingsinst.

Vo Medewerkers Lokale Besturen

Partners van de Vo Zorginstellingen Architecten Sociale Huisvestigingsmaatsch. Sociale Beschutte Werkplaatsen …..

Onderwijs- & Vormingsinst.

– “Werkrelaties” en toegangen zouden enkel toegekend mogen worden op basis van authentieke informatie of door personen die voor een bepaalde materie toegangen mogen beheren voor hun organisatie.

Domeinen

• Applicatiebeheerders

Fiscaliteit Sociale Zekerheid Ruimtelijke Ordening … …

– Toegangen kunnen eventueel beheerd worden door een applicatie-/informatie-eigenaar.


7

Functioneel / Architecturaal overzicht

• Toegang verkrijgen (=> ACM): – Authentiseert gebruikers – Vraagt/checkt “hoedanigheid” waaronder de gebruiker wenst op te treden. – Zorgt voor grofmazige autorisatie – Geeft gegevens door voor fijnmazige autorisatie.

Toegang verkrijgen via Toegangsbeheer Applicatie gebruiken

Applicatie

Gebruiker

Toegangs beheer Informatie Raadplegen

• Toegang geven (=> IDM):

Informatie Wegschrijven

– Lokale beheerders en applicatiebeheerders creëren en kennen rechten toe aan gebruikers – Gebruikersbeheer schrijft informatie weg in de “Identiteiten Databank” (en waar nodig andere databanken).

Gebruikers beheer

Rechten Toekennen

Identiteiten Databank

Lokale Beheerde Toegang geven via Gebruikersbeheer r

Noot: In dit overzicht wordt abstractie gemaakt van de verschillende integratiepatronen met ACM.


8

Functioneel / Architectureel Overzicht (Toegangsbeheer) Functie

beschikbaar

Locatie neutraal tov Service Provider

Ja (middels Federation)

Authenticatie / Identificatie via FAS (eID, ..) en VAS (Vo-Token) Authenticatie / Identificatie via lokale IDP VO-entiteit Authenticatie / Identificatie via eHealth IDP

ja Eerste helft 2015 ja

Authenticatie / Identificatie via SMS

Onder discussie

Single –Sign-On (basis)

Binnen VO-eco-systeem

Single – Sign – On (met wisselen hoedanigheid)

Eerste helft 2015

Doelsysteem afhankelijke identity / assertion mogelijk

ja

Verificatie gegevens via LDAP of WS in externe bron

ja

Verificatie gegevens in externe bron dmv attribute providers

Statistieken/Rapportage

ja

Audit Trailing VO-Toegangs/Gebruikersbeheer ManageIT – 13 NOV 2014

Tweede helft 2015?

10jaar (of meer) 9

Functioneel / Architectureel Overzicht (Gebruikersbeheer) Functie

v2

v3

Uploads

Incl “erkenningen”

Beheren van gebruikers (en hun “werkrelaties”)

Uploads of LB

Incl via “selfrequest”

Beheren van mandaten/delegaties/rechten (naar natuurlijke pers)

Uploads of LB

Incl via “selfrequest”

x

x

Paswoord reset

Uitgebreid

Beheren van Organisaties

LifecycleManagement (op basis van authentieke bron of expiry date)

Selfservices Selfrequest (aanvraag van mandaat, delegatie of recht)

Eerste helft 2015

Goedkeuringsflow (incl identificatie/notificatie juiste goedkeurder)

Eerste helft 2015

Koppeling met authentieke bronnen KBO/RRN

x

Koppeling met BTB / CSAM

Eerste helft 2015

Geparametriseerde Rollen (bv recht voor meerdere entiteiten of rol met beperkingen )

x

Uitgebreid

Doelsysteem parametrisering digitale identiteit (niet altijd RRN)

x

Uitgebreid

Mogelijkheid tot provisioneren naar (lokale) databank/LDAP/AD

x

“bijzaak”

x

Uitgebreid

Statistieken/Rapportage/ Overzichten/Notificaties VO-Toegangs/Gebruikersbeheer ManageIT – 13 NOV 2014

10

Gebruiksscenarios (Toegang LB tot applicaties direct gekoppeld aan het VO-toegangsbeheer) Digitaal Toezicht CRAB

Taxivergunningen

Medewerkers Stad/GemeenteX

VKO/VKBP Toegangsbeheer VO

Gebruikersbeheer Lokale Besturen

Lokale Beheerder Stad/GemeenteX


…..

11

Gebruiksscenario (Toegang VO/LB’s tot applicaties direct gekoppeld aan het VO-toegangsbeheer) Applicatie StadX Portaal GemeenteY Externe CloudServiceZ

Medewerkers Vlaamse Overheid (of andere Lokale Besturen)

….. Toegangsbeheer VO

Gebruikersbeheer Lokale Besturen Gebruikersbeheer VO

Lokale Beheerder


12

Gebruiksscenario (Toegang externe doelgroepen tot applicaties LB gekoppeld aan eigen/lokaal toegangsbeheer)

Lokaal Portaal

Architecten / SHM’s / Ondernemingen

Lokale Applicatie

Toegangsbeheer VO

Lokaal Toegangsbeheer

Gebruikersbeheer VO

Lokaal Gebruikersbeheer

Gebruikersbeheer Econ.Actoren

Medewerkers VO-EntiteitX / Lokaal BestuurY


13

Gebruiksscenario (Toegang LB tot applicaties direct gekoppeld aan het VOtoegangsbeheer maar met authenticatie op eigen/lokaal toegangsbeheer )

Applicatie StadX

Portaal GemeenteY

Externe CloudServiceZ

Toegangsbeheer VO

Lokaal Toegangsbeheer

Gebruikersbeheer VO

Lokaal Gebruikersbeheer

Gebruikersbeheer Econ.Actoren

Medewerkers VO-EntiteitX / Lokaal BestuurY


14

…..

Co-existentie met andere systemen

• CSAM / BTB (Beheer der Toegangsbeheerders): – – – –

Koppeling beoogd Q1/Q2 2015 Aandachtpunt: Domeinen vs Werking VO Aandachtpunt: op orde zijn vd domeinen Aandachtspunt: voeding vanuit VO authentieke bronnen. DOMAINES BTB DOMEINEN DOMEIN (NL) 1 Sociale Zekerheid 2 Financiën 3 Mobiliteit (vervoer, infrastructuur, telecommunicatie) 4 Werkgelegenheid 5 Volksgezondheid (zorgverstrekking) 6 Binnenlandse zaken 7 Buitenlandse zaken 8 Voedselketen 10 Economie (energie, landbouw, zeevisserij) 9 Cultuur 11 Huisvesting 12 Justitie 13 Leefmilieu (landinrichting, natuurbehoud, waterbeleid) 14 Onderwijs (Wetenschappelijk onderzoek) 15 Ontwikkelingssamenwerking 16 Overheidsopdrachten 17 Ruimtelijke ordening 18 Defensie 19 Bijstand aan personen 20 System Admin


15

Mogelijke (Toekomstige) Win’s

• Doorgave Gebruikerslijsten LB aan VO kan latere toekenningen van gebruikersrechten versnellen. • Het gebruik van afgesproken / herkenbare functies zou aanleiding kunnen geven tot automatisch toekenbare toegangen/rechten. • Het beschikbaar zijn van contactgegevens zou kunnen aanleiding geven tot bv een Telefoon/Contactgids Vlaamse Lokale Besturen. • Een mature / goedgevuld Gebruikersbeheer Lokale besturen zou toelaten sneller samenwerkingsverbanden op te zetten / en collaboratieve platformen te gebruiken.


16

VO-Toegangs-/Gebruikersbeheer • VO –Toegangs-/Gebruikersbeheer – Oorsprong / Doelstelling – Belangrijkste Basisprincipes – Functioneel & Architectureel Overzicht – Enkele Gebruiksscenarios – Co-existentie met andere systemen

• Andere / Verwante diensten – Digitaal TekenPlatform – MAximale GegevensDeling tussen Administraties – Toegangsbeheer voor webservices – Digitaal Certificatenbeheer VO-Toegangs/Gebruikersbeheer ManageIT – 13 NOV 2014

17

Digitaal TekenPlatform

• Kenmerken DTP – DTP levert een juridisch geldige handtekening op basis van de elektronische identiteitskaart (eID). – DTP kan gebruikt worden door burgers en besturen. – DTP is gebaseerd op open standaarden en gebruik is gebaseerd op vrij beschikbare componenten. – DTP is een bouwsteen die geïntegreerd kan worden in uw toepassingen (VO en lokale besturen) zowel voor tekenklaar maken, time-stamping (op moment van tekenen) en handtekeningvalidatie als “verzegeling”.

• Technische standaarden & koppelvlakken – PDF1.7, PDFA2, PDF/E + PaDES-handtekeningen – Opties: DTP-mail, DTP-WS, DTP-WI – Combinatie met Gebruikersbeheer laat toe tekenbevoegdheid na te gaan bij ontvangst. – Actuele pistes: upgrade platform, verbetering interfaces, bulk signing, e-seals.


18

MAximale GegevensDeling tussen Administraties

• Kenmerken MAGDA: – Publicaties: toeleveren van geselecteerde sets van authentieke gegevens – Mutaties: automatisch toeleveren van alle wijzigingen op authentieke gegevens – Gegevensstroomverwerking: doorsturen van aangeleverde sets van authentieke gegevens

• Onsloten: – Via ACM/IDM voor webinterfacegebaseerde toegang – Via WSS/DCB voor systeem-koppelingen

persoonsdiensten

ondernemingsdiensten VO-Toegangs/Gebruikersbeheer ManageIT – 13 NOV 2014

19

Toegangsbeheer voor webservices

• Toegang tot VO-diensten (vanuit systemen van LB): – – – –

Gebaseerd op standaard webservices Meestal ontsloten/lopende via MAGDA Beveiligd via VO-WSS gateways Actuele piste: verdere automatisering ism VO-DCB

MAGDAdiensten

SSL WSS

VO-WSS (Gateway)

DHO-diensten ….


20

Digitaal Certificatenbeheer

• Beveiligde ontsluiting van applicaties vereist certificaten – Voor (niet publieke) koppelingen heeft de VO een eigen “PKI” opgezet – Deze geeft kostenloos certificaten uit voor gegevensuitwisseling tussen en met VO-systemen. – Elk lokaal bestuur kan middels het gebruikersbeheer een “certificatenbeheerder” voor zijn eigen domeinen. – Ook niet VO-DCB-certificaten kunnen geregistreerd worden (ten einde over tijdige notificatie te ontvangen in geval van “vervaldatum”).


21

Contactgegevens Wim MARTENS Strategiebeheerder - Vlaamse Overheid, Het Facilitair Bedrijf, Interne Diensten [email protected]

Erik R. VAN ZUUREN Programma Manager Toegangs/Gebruikersbeheer/DigitaalTekenplatform/DigitaalCertificatenbeheer [email protected]

Henk SMETS Relatiebeheer Toegangs/Gebruikersbeheer/DigitaalTekenplatform/DigitaalCertificatenbeheer [email protected]


22

Veilig ontsluiten van informatie. Wim MARTENS Erik R. VAN ZUUREN Henk SMETS

Recommend Documents