De nood aan goed toegangsbeheer en logging

Slides:



Advertisements
Verwante presentaties
Atlas Leefomgeving Schakeldag 7 juni 2011 Julie Ng-A-Tham & Arne Willigenburg.
Advertisements

Multi-factor authenticatie voor cloudapplicaties via surfconext
TRAINING DIGITALISERING VAN FACTUURSTROMEN
Livy BV Randstad BM Almere Introductie Livy Professional De online oplossing voor professionele woning transacties.
E-RADEN Roadmap. AGENDA • Overzicht van nieuwe ontwikkelingen 2009 • Interfaces • Document Types : Meta-data • E-raden gratis ? • Perspectieven.
Beheer van gebruikers en groepen lancering DSH Leuven 2-feb-2009 Jan Vangrinsven.
Henk Stultiens voorzitter OBSV Governance groep.  IT-Governance oftwel IT-besturing richt zich op de besluitvorming rond Informatie Technologie i.c.
Een introductie. Open source Betere kwaliteit Hoge innovatiesnelheid Betere prijs/kwaliteit verhouding Vrijheid in keuze van leverancier Gedreven door.
Debat BB ICT samenwerking Equalit 14 februari 2013
E-Government Architectuur Dordrecht Eén loket voor burgers
Databank Hoger Onderwijs: Technische architectuur 23 november 2007.
Office 365 verkrijgen Microsoft Online Services Overstap van BPOS naar Office 365 voor bestaande BPOS-klanten.
Digitaal Sociaal Huis Samenwerkingsproject Vlaams-Brabantse sociale huizen 2 februari 2009.
Dit wordt het DSH Herent, 7 april Wettelijk kader Decreet van 3 maart 2008 Deadline van 22 mei 2009 voor het “sociaal huis” Minimale vereisten:
Productencatalogus Samen beter informeren. Wat is de Productencatalogus? Uitwisselingssysteem voor overheidsinformatie.
KSZ-BCSS Frank ROBBEN – Administrateur-generaal Kruispuntbank van de Sociale Zekerheid Veralgemeend gebruik van de elektronische identiteitskaart in de.
Coördinatiecel Vlaams e-government 1 van 18 april 2006 CORVE / EDS-T VKBO Web Services Mark Draeck, VICC
User management voor ondernemingen en organisaties
Kinderopvangzoeker 5 juli Voor ouders is opvang zoeken eenvoudiger Voor voorzieningen en lokaal loket zijn de vragen beter zichtbaar Voor het beleid.
E-Team 2004 de midoffice binnen de e-goverment architectuur Corné Dekker, informatie-architect e-government Overheid & ICT, 29 april 2004.
Introductie G!DS. Inhoud  Wat is G!DS?  Wat kan ik met G!DS?  Data in G!DS  Kwaliteitscontrole  Uitvoer uit G!DS  G!DS Sites  Aan de slag met G!DS.
METIS © Universiteitsbibliotheek Groningen METIS Wat is metis Aanpak Rollen Planning Ondersteuning.
Het elektronische zorgplan
PADS4 maakt het eenvoudig om informatie te verspreiden naar een specifiek publiek op de juiste plaats en het juiste moment PADS4 is een professionele oplossing.
Algemene bepalingen Team Implantaten.
Digitaal mei 2014.
Welkom Het eID Stelsel maakt het mogelijk om online te zaken doen met de overheid en het bedrijfs-leven, met één of meer inlogmiddelen. Marije Jurriëns,
Doelstellingenmanagement Ronde tafel - 23 oktober 2014.
De visie van de Vlaamse overheid op digitalisering
Coördinatiecel Vlaams e-government 1 Interbestuurlijke producten en dienstencatalogus November 2009: concept en stand van zaken.
Instructie systeem: organisatiedeel Klik op button ‘aanmelden organisatie' op
Burger een elektronische brievenbus waarin de burger op een gecentraliseerde en beveiligde manier officiële documenten kan ontvangen de tool is zo ontworpen.
Fedict Identity Authentication & Authorisation Informatievergadering M1016 – OPEN OFFERTEAANVRAAG VOOR DIENSTEN E-GOVERNMENT FEDICT PLATFORM.
. De demo loopt automatisch, u moet niet klikken om verder te gaan.
Durven met dienstverlening 15 oktober 2015
Omgevingsvergunning: betere dienstverlening door integratie en digitalisering vergunningsverlening? Durven met dienstverlening 15 oktober 2015 Ranja Van.
©2016 Avanade Inc. All Rights Reserved. RAI Community Technische Implementatie Rob Bakkers
Informatiseringscentrum Marijke Vandecappelle Tormo van Schuppen 5 december 2012 UvA IDM in 15 minuten.
ICT Bouwstenen voor lokale besturen Gebruikersbeheer Toegangsbeheer Digitaal Ondertekenen V-ICT-OR Regionale kenniskring Midwest (26 april 2016) Stefanie.
In het hoger onderwijs Identity Management. partner in IGI Group Peter Jurg.
Doelstellingen, Implementatie en Ervaringen met Single Sign On.
Usermanagement ondernemingen en organisaties Auteur / section: Toegangsbeheer.
Klassikale opleiding 01/03/2016
MultiChannel, Kennisnet... en onze methodesites Riny Maas Nieuwe Media en Innovatie Utrecht, Dinsdag 14 september 2004 Landdag Icatt.
School– en studietoelagen Het nieuwe Digitaal Aanvraagformulier Overzicht voor Intermediairen 19/09/2016 │1.
MAAK HET ONDERNEMERS MAKKELIJK! MET EEN REGELHULP IN 7 STAPPEN.
Recht op leerlingenvervoer:
Wat is Hyperdesk? Web platform voor het optimaliseren en automatiseren van uw dienstverlening aan bedrijven. Kort samengevat:
Toegang tot het Mercurius platform
School– en studietoelagen Het nieuwe Digitaal Aanvraagformulier
MAGDA in een notendop.
Heb je vragen voor het Facilitair Bedrijf:
Voor kadasterdiensten
Het eHealth-platform ICT InfoDay 2 maart 2011
Elektronische kennisgeving van geboorte
Identication & Authentication
End-to-end vercijfering
MAGDA Online Toegangspoort tot MAGDA diensten
Platform voor Digitaal Ondertekenen
Samenwerking Wave 0.
Gewenste ECK configuratie MBO
GEU – PO - ENTREE Edu-K H-P Köhler, domeinmanager.
Proces Opnames analyse
Een volgende stap voor het succesvolle EDISON verhaal
Digitale documenten woensdag 19 september 2018.
eFormulieren-platform
ZIVVER introductie implementatieaanpak
Case: Nieuwe website Anne Heining (M&C
OPENINGSCASE: PNC-banken en enterprisetoepassingen
Transcript van de presentatie:

De nood aan goed toegangsbeheer en logging Infodag MAGDA De nood aan goed toegangsbeheer en logging 14/09/2017 Pieter Lenaerts Stefanie Kerkhof

Wie zijn we en wat doen we? Toegangs- en Gebruikersbeheer van de Vlaamse overheid Stef

Heb je vragen voor het Facilitair Bedrijf: https://overheid.vlaanderen.be/facilitairbedrijf http://overheid.vlaanderen.be/ict ICT-bouwstenen voor de overheid in brede zin, ook lokale besturen, onderwijsinstellingen, …: Toegangsbeheer (ACM) Gebruikersbeheer (IDM) Veiligheidsconsulenten via raamcontract Certificatenbeheer (DCB) Digitaal ondertekenen Digitale formulieren API management Stef Heb je vragen voor het Facilitair Bedrijf: facilitairbedrijf@vlaanderen.be De nood aan goed toegangsbeheer en logging 14/09/2017

Toegangsbeheer (ACM) Toegang krijgen Makkelijk en veilig aanmelden Herkenbaar, betrouwbaar, single-sign-on Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Eindgebruiker Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Gebruikersbeheer

Gebruikersbeheer (IDM) Toegang geven Makkelijk en veilig gebruikers en hun gebruikersrechten beheren. Online, op 1 plaats, in real time, gedelegeerd beheer Namens een “organisatie”: Ondernemingen Scholen Andere lokale besturen … Helpdesk Eindgebruiker Applicatie beheerder Lokale Beheerder Veiligheidsconsulent

Gedeelde Veiligheidsconsulent van Vlaanderen connect. Part time terbeschikkingstelling Volgens uw nood Lange termijn Kostenefficiënt Consistent advies De nood aan goed toegangsbeheer en logging 14/09/2017

Toegangs- en Gebruikersbeheer van de Vlaamse overheid Boodschap van de dag? Toegangs- en Gebruikersbeheer van de Vlaamse overheid Stef

Logging? Logging! Bewijs van toegang tot gegevens en diensten Zekerheid en controle over vertegenwoordiging van actoren in e-gov processen Primordiaal: sterke authenticatie toegangsbeheer door wettelijke vertegenwoordigers Magda Online Hoedanigheden gelogd bij Kadaster! Kerry and Co. via Tyrrell Photographic Collection, Powerhouse Museum De nood aan goed toegangsbeheer en logging 14/09/2017

En hoe kunt u een toepassing koppelen aan onze bouwstenen? Online aanmelden bij toepassingen van of voor de overheid in brede zin Wat kan Toegangs- en Gebruikersbeheer (ACM/IDM) voor u betekenen? En hoe kunt u een toepassing koppelen aan onze bouwstenen? Het integratieproces aan de hand van een concreet voorbeeld Stef De nood aan goed toegangsbeheer en logging 14/09/2017

Gemeente Vlavirgem wil vergunningen voor “inname openbaar domein” online laten aanvragen. Zowel door particulieren als voor bedrijven, scholen, andere lokale overheden, … Stef Tekening 1 Bv. container zetten Voordelen sterke authenticatie: je weet met voldoende zekerheid wie iemand is Hergebruik van beschikbare informatie bij de overheid Combinatie met MAGDA / eigen informatie bij het lokale bestuur Eventueel met betalen retributie De nood aan goed toegangsbeheer en logging 14/09/2017

Toegangs- en Gebruikersbeheer van de Vlaamse overheid Het integratieproces Toegangs- en Gebruikersbeheer van de Vlaamse overheid Stef

Technische opzet + testing Integratieproces Onboarding Technische opzet + testing Uitrol Kostprijs integratie? Standaardintegratie: enkel investering aan toepassingszijde Projectintegratie: ook projectkost bij ACM/IDM Grote lijnen + kostprijs + doorlooptijd Belangrijke kanttekening bij doorlooptijd: bestuur/leverancier moet kunnen volgen / de meeste kunnen niet volgen bij nieuwe integratie/eerste integraties Doorlooptijd integratie? Standaardintegratie: 6 tot 8 weken vanaf afgerond integratiedossier Projectintegratie: projectplanning De nood aan goed toegangsbeheer en logging 14/09/2017

Standaard Niet standaard Alle andere dingen Gedelegeerd beheer van gebruikers en rechten via online toepassing Claims based authenticatie SAML 2.0 OpenID-Connect Transient users != persistent users! Alle andere dingen Gebruikers- en rolleninformatie via webservices of exports Nieuw beheersrecht Nieuwe functionaliteit … (Ja, we moeten ons budget zo efficiënt mogelijk aanwenden…) Quid transient? Moet dat hier ook bij? Nog dingen? De nood aan goed toegangsbeheer en logging 14/09/2017

Ondersteuning bij uitrol Helpdeskondersteuning van eindgebruikers voor beide diensten Papieren en online informatie Folder digitale sleutels Folder voor de ondernemer Handleiding FAQ Turorial Ondersteuning bij communicatiecampagnes Ondersteuning bij uitrol naar grote doelgroepen … Ook verwijzen naar de algemene dienstenverlening nog snel De nood aan goed toegangsbeheer en logging 14/09/2017

Integratieproces aan de hand van voorbeeld Tekening 1 toevoegen in het midden De nood aan goed toegangsbeheer en logging 14/09/2017

Integratieproces – Onboarding Voorbereiding Kennismaking Business-analyse Functionele analyse Iteraties wenselijk! Integratiedossier Vraag van klant Intakegesprek/ Integratiedossier Iteratie vermijden! Integratie test Go van klant Go van ACM/IDM Planning: max 2 weken na validaties. Integratie productie Communicatie! Helpdesk! Planning: max 2 weken na validaties. Vraag is concreet, stabiel en nabij! IDM valideert test resultaten. ACM valideert metadata prod. LB valideert dossier. ACM valideert metadata test. Vooral lokaal bestuur Lokaal bestuur én ACM/IDM Lokaal bestuur én ACM/IDM Lokaal bestuur én ACM/IDM Iteratief convergeren Intensief naa het doel! De nood aan goed toegangsbeheer en logging 14/09/2017

Opbouw van het integratiedossier Achtergrond van de toepassing Gebruikers van de toepassing Organisaties in scope van de toepassing Helpdesk informatie over de toepassing Gewenste timing Contactinformatie Algemene informatie over de toepassing Overzicht architectuur integratie Authenticatiemiddelen en -regels URL’s voor de toepassing Inhoud SAML attributen Opzet ACM Gebruikersrechten Welke informatie heeft de toepassing nodig? Opzet in Gebruikersbeheer We gaan niet op alles in Wel op de belangrijkste dingen

Achtergrond van de toepassing Aanvragen vergunning voor “inname openbaar domein” Bij gemeente Vlavirgem, met bevraging van diensten via Magda Door Particulieren Bedrijven Scholen Met sterke authenticatie Tekening 1 invoegen Timing/leverancier/contactinfo/helpdesk/ … herhalen maar niet toelichten De nood aan goed toegangsbeheer en logging 14/09/2017

Hoe mogen mensen aanmelden? Welk authenticatieniveau is nodig voor uw toepassing? High Medium Low Afhankelijk van: Gevoeligheid van data in de toepassing Risico op misbruik Nood aan sterk authenticatie In samenspraak met veiligheidsconsulent Stef Speciale aandacht voor app en sms De nood aan goed toegangsbeheer en logging 14/09/2017

Gebruikers van en organisaties in de toepassing? Elke particulier die in Vlavirgem woont Via Magda persoonsdiensten Elke onderneming of school die in Vlavirgem gevestigd is: Via Magda ondernemingsdiensten Iemand met het juiste toegangsrecht namens de onderneming of de school Bv. boekhouder van een onderneming Bv. secretaresse van de directeur Elke wettelijk vertegenwoordiger van een onderneming gevestigd in Vlavirgem Via Magda naar KBO diensten Magda Opgelet: inwoners (adres): in de toepassing zelf opvangen, via MAGDA, maar niet met authenticatieinformatie Zelfde voor ondernemingen van het grondgebied Wettelijk vertegenwoordiger uitleggen op volgende slide Magda IDM De nood aan goed toegangsbeheer en logging 14/09/2017

Toegang voor “wettelijk vertegenwoordiger” NIEUW! Via Magda! Toegang namens ondernemingen: Een wettelijk vertegenwoordiger gekend in het KBO? Bv. zaakvoerder van een onderneming Bij aanmelden: Toegangsbeheer controleert KBO Wettelijk vertegenwoordiger mag door naar toepassing Geen gebruikersrecht meer nodig Optioneel Stef De nood aan goed toegangsbeheer en logging 14/09/2017

Welke rollen nodig in de toepassing? Welke verschillende rollen moeten beheerders kunnen toekennen aan mensen die wil aanmelden namens een onderneming of een school? Algemene richtlijnen voor rechtenmodellen Toepassingen streven best een eenvoudig, statisch rechtenmodel na Good practice: 1 recht voor toegang tot toepassing, indien nodig verfijning via bijkomende keuze tijdens toekenning van het recht Pieter Wanneer een recht en wanneer niet? Binnen het Gebruikersbeheer spreken we van rechten en rechtentoekenningen. Binnen in een recht in het Gebruikersbeheer zijn vaak nog keuzes beschikbaar, die kunnen slaan op rollen, profielen, etc binnen de doeltoepassing. Zie verder voor parameteriseerbaarheid van het rechtenmodel. Binnen in de rechten hanteren we de gangbare termen voor die toepassing. Vaak komen rollen, profielen, groepen, etc. voor als actoren in de procesmodellen van de toepassing. De nood aan goed toegangsbeheer en logging 14/09/2017

Welke rollen nodig in de toepassing? Veelgebruikte verfijningen in rechtenmodellen van toepassingen zijn: Rol: verwijst meestal naar de actor binnen het businessproces. Voorbeelden zijn aanvrager, indiener, goedkeurder, … Documenttypes: Voorbeelden zijn types aanvragen, facturen, orders, … Geografisch gebied: Voorbeelden zijn provincies, regio’s, districten, (In ons jargon heet dit “contexten”) “Context”: is verfijning van het recht De nood aan goed toegangsbeheer en logging 14/09/2017

Welke rollen in de toepassing nodig? Recht “Container.Vlavirgem.be” in Gebruikersbeheer toekennen om aan te melden namens onderneming “Gunst, Klaas” bij de toepassing om er een vergunning te kunnen aanvragen. De nood aan goed toegangsbeheer en logging 14/09/2017

Bijkomende verfijning: Aanvrager: mag een vergunning aanvragen voor de onderneming Verzender: mag een aanvraag effectief versturen namens de onderneming Uitleggen dat we daar ver in kunnen gaan De nood aan goed toegangsbeheer en logging 14/09/2017

Algemene informatieflow naar de toepassing Gebruikersbeheer Toegangsbeheer Toepassing Toekenning van rechten Omzetting naar attributen Uitlevering bij authenticatie Opstarten van een sessie Rechten worden toegekend in het Gebruikersbeheer. Het Gebruikersbeheer schrijft op basis van die toekenningen gebruikers- en rolleninformatie weg naar gebruikersattributen in een databank van het Toegangsbeheer. Het Toegangsbeheer voert een grofmazige autorisatiecontrole uit en levert bij authenticatie gebruikers- en rolleninformatie aan de toepassing. Sleutelinzicht: transient users als de gebruiker niet langskomt bij de toepassing heeft de toepassing geen informatie over het bestaan van die gebruiker. Verliest een gebruiker de rol, dan komt die nooit meer langs en komt er nooit een update! De nood aan goed toegangsbeheer en logging 14/09/2017

Welke info heeft de toepassing nodig bij aanmelden? Burger: Naam, voornaam, rijksregisternummer Namens onderneming: KBOnummer en rechteninformatie Paar voorbeelden geven van mogelijke andere informatie: emailadres, telnr, nog??? De nood aan goed toegangsbeheer en logging 14/09/2017

Boodschap aan de techneuten Toegangs- en Gebruikersbeheer van de Vlaamse overheid Stef

Overzicht ontsluiting d.m.v. SAML 2.0 en OpenID Connect Nieuw OpenID-Connect Externe Hosting Applicatie Contacteer applicatie 2 4 Gebruiker Vraag en Geef identiteits- en rollen informatie via SAML 2 of OpenID Connect Protocol 5 Als OIDC: haal en valideer identity ticket VO Netwerk 3 1 Gebruikers-beheer Meld aan Toegangs-beheer Lees uit IDM Beheer gebruikers voor organisatie Lokale Beheerder De nood aan goed toegangsbeheer en logging 14/09/2017

SAML Profile specs – OpenID Connect flows SAML 2.0 Web Browser SSO Profile Post / post of redirect / post bindings Geen andere profiles of bindings! OpenID-Connect authorization code flow Geen implicit flow! Geen refresh tokens voor de identity tickets! Altijd: Transport kanaal beveiligd via https. De nood aan goed toegangsbeheer en logging 14/09/2017

SAML Ondertekenen en versleutelen De Service Provider moet de Authentication Request ondertekenen. De ACM3 Identity Provider zal de Authentication Response ondertekenen en versleutelen voor de Service Provider. Zorg ruim op voorhand voor één of twee afzonderlijke certificaten Voor ondertekenen van berichten naar ACM. Voor ontsleutelen van berichten van ACM. De nood aan goed toegangsbeheer en logging 14/09/2017

OpenID Connect key rotatie ACM ondertekent identity tokens via roterende keys. Bij validatie van een ticket moet de toepassing de gebruikte key ophalen bij ACM. Zie JWKS endpoint in OpenID Connect core specs De nood aan goed toegangsbeheer en logging 14/09/2017

Hou rekening met… Zorg voor een goeie voorbereiding Zorg voor de juiste profielen Ondersteuning van normale integratieproblemen is onderdeel van dienstverlening Geen training van (onderaannemers van) klanten die niet over de nodige ervaring met federation/SAML2.0/OIDC of certificaten beschikken Onze platformen “up” houden krijgt steeds voorrang Wat doen we hier mee? De nood aan goed toegangsbeheer en logging 14/09/2017

Symptomen van staffing issues Ontbreken van https op de endpoints Self-signed certificaten Metadata is onvolledig of valideert niet Ontbreken van certificaten in metadata Ontbreken van handtekeningen of encryptie op responses … De nood aan goed toegangsbeheer en logging 14/09/2017

Testing! Testing! Testing! ACM/IDM test opzet van eigen dienstverlening Klant test end-to-end opzet Authenticatie Gebruikersbeheer Gedrag in de toepassing In testomgeving In productieomgeving De nood aan goed toegangsbeheer en logging 14/09/2017

Sterke authenticatie Gebruikersbeheer Magda Logging op diensten Veiligheidsconsulent

Contactinfo veiligheidsconsulenten Contactpersoon: Stephan Coppens <stephan.coppens@kb.vlaanderen.be> Algemeen Beheerder Vlaanderen Connect. Er volgt een intake om de nood te bespreken en het juiste profiel te vinden. Stefanie De nood aan goed toegangsbeheer en logging 14/09/2017

Contactinfo Toegangs- en Gebruikersbeheer Online: http://overheid.vlaanderen.be/gebruikersbeheer http://overheid.vlaanderen.be/toegangsbeheer http://overheid.vlaanderen.be/aanmelden-als-ondernemer Mailtje sturen? gebruikersbeheer@vlaanderen.be pieter.lenaerts@bz.vlaanderen.be stefanie.kerkhof@bz.vlaanderen.be Ondersteuning via gratis nummer 1700 Bekijk ook onze online filmpjes!! Stefanie De nood aan goed toegangsbeheer en logging 14/09/2017

Tips, vragen, opmerkingen, feedback, kleine en grote problemen, … Contacteer ons!!! Wat we niet weten, daar kunnen we geen rekening mee houden! Wat jullie ons niet vertellen, daar kunnen we niets mee doen! De nood aan goed toegangsbeheer en logging 14/09/2017