De nood aan goed toegangsbeheer en logging Infodag MAGDA De nood aan goed toegangsbeheer en logging 14/09/2017 Pieter Lenaerts Stefanie Kerkhof
Wie zijn we en wat doen we? Toegangs- en Gebruikersbeheer van de Vlaamse overheid Stef
Heb je vragen voor het Facilitair Bedrijf: https://overheid.vlaanderen.be/facilitairbedrijf http://overheid.vlaanderen.be/ict ICT-bouwstenen voor de overheid in brede zin, ook lokale besturen, onderwijsinstellingen, …: Toegangsbeheer (ACM) Gebruikersbeheer (IDM) Veiligheidsconsulenten via raamcontract Certificatenbeheer (DCB) Digitaal ondertekenen Digitale formulieren API management Stef Heb je vragen voor het Facilitair Bedrijf: facilitairbedrijf@vlaanderen.be De nood aan goed toegangsbeheer en logging 14/09/2017
Toegangsbeheer (ACM) Toegang krijgen Makkelijk en veilig aanmelden Herkenbaar, betrouwbaar, single-sign-on Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Eindgebruiker Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Gebruikersbeheer
Gebruikersbeheer (IDM) Toegang geven Makkelijk en veilig gebruikers en hun gebruikersrechten beheren. Online, op 1 plaats, in real time, gedelegeerd beheer Namens een “organisatie”: Ondernemingen Scholen Andere lokale besturen … Helpdesk Eindgebruiker Applicatie beheerder Lokale Beheerder Veiligheidsconsulent
Gedeelde Veiligheidsconsulent van Vlaanderen connect. Part time terbeschikkingstelling Volgens uw nood Lange termijn Kostenefficiënt Consistent advies De nood aan goed toegangsbeheer en logging 14/09/2017
Toegangs- en Gebruikersbeheer van de Vlaamse overheid Boodschap van de dag? Toegangs- en Gebruikersbeheer van de Vlaamse overheid Stef
Logging? Logging! Bewijs van toegang tot gegevens en diensten Zekerheid en controle over vertegenwoordiging van actoren in e-gov processen Primordiaal: sterke authenticatie toegangsbeheer door wettelijke vertegenwoordigers Magda Online Hoedanigheden gelogd bij Kadaster! Kerry and Co. via Tyrrell Photographic Collection, Powerhouse Museum De nood aan goed toegangsbeheer en logging 14/09/2017
En hoe kunt u een toepassing koppelen aan onze bouwstenen? Online aanmelden bij toepassingen van of voor de overheid in brede zin Wat kan Toegangs- en Gebruikersbeheer (ACM/IDM) voor u betekenen? En hoe kunt u een toepassing koppelen aan onze bouwstenen? Het integratieproces aan de hand van een concreet voorbeeld Stef De nood aan goed toegangsbeheer en logging 14/09/2017
Gemeente Vlavirgem wil vergunningen voor “inname openbaar domein” online laten aanvragen. Zowel door particulieren als voor bedrijven, scholen, andere lokale overheden, … Stef Tekening 1 Bv. container zetten Voordelen sterke authenticatie: je weet met voldoende zekerheid wie iemand is Hergebruik van beschikbare informatie bij de overheid Combinatie met MAGDA / eigen informatie bij het lokale bestuur Eventueel met betalen retributie De nood aan goed toegangsbeheer en logging 14/09/2017
Toegangs- en Gebruikersbeheer van de Vlaamse overheid Het integratieproces Toegangs- en Gebruikersbeheer van de Vlaamse overheid Stef
Technische opzet + testing Integratieproces Onboarding Technische opzet + testing Uitrol Kostprijs integratie? Standaardintegratie: enkel investering aan toepassingszijde Projectintegratie: ook projectkost bij ACM/IDM Grote lijnen + kostprijs + doorlooptijd Belangrijke kanttekening bij doorlooptijd: bestuur/leverancier moet kunnen volgen / de meeste kunnen niet volgen bij nieuwe integratie/eerste integraties Doorlooptijd integratie? Standaardintegratie: 6 tot 8 weken vanaf afgerond integratiedossier Projectintegratie: projectplanning De nood aan goed toegangsbeheer en logging 14/09/2017
Standaard Niet standaard Alle andere dingen Gedelegeerd beheer van gebruikers en rechten via online toepassing Claims based authenticatie SAML 2.0 OpenID-Connect Transient users != persistent users! Alle andere dingen Gebruikers- en rolleninformatie via webservices of exports Nieuw beheersrecht Nieuwe functionaliteit … (Ja, we moeten ons budget zo efficiënt mogelijk aanwenden…) Quid transient? Moet dat hier ook bij? Nog dingen? De nood aan goed toegangsbeheer en logging 14/09/2017
Ondersteuning bij uitrol Helpdeskondersteuning van eindgebruikers voor beide diensten Papieren en online informatie Folder digitale sleutels Folder voor de ondernemer Handleiding FAQ Turorial Ondersteuning bij communicatiecampagnes Ondersteuning bij uitrol naar grote doelgroepen … Ook verwijzen naar de algemene dienstenverlening nog snel De nood aan goed toegangsbeheer en logging 14/09/2017
Integratieproces aan de hand van voorbeeld Tekening 1 toevoegen in het midden De nood aan goed toegangsbeheer en logging 14/09/2017
Integratieproces – Onboarding Voorbereiding Kennismaking Business-analyse Functionele analyse Iteraties wenselijk! Integratiedossier Vraag van klant Intakegesprek/ Integratiedossier Iteratie vermijden! Integratie test Go van klant Go van ACM/IDM Planning: max 2 weken na validaties. Integratie productie Communicatie! Helpdesk! Planning: max 2 weken na validaties. Vraag is concreet, stabiel en nabij! IDM valideert test resultaten. ACM valideert metadata prod. LB valideert dossier. ACM valideert metadata test. Vooral lokaal bestuur Lokaal bestuur én ACM/IDM Lokaal bestuur én ACM/IDM Lokaal bestuur én ACM/IDM Iteratief convergeren Intensief naa het doel! De nood aan goed toegangsbeheer en logging 14/09/2017
Opbouw van het integratiedossier Achtergrond van de toepassing Gebruikers van de toepassing Organisaties in scope van de toepassing Helpdesk informatie over de toepassing Gewenste timing Contactinformatie Algemene informatie over de toepassing Overzicht architectuur integratie Authenticatiemiddelen en -regels URL’s voor de toepassing Inhoud SAML attributen Opzet ACM Gebruikersrechten Welke informatie heeft de toepassing nodig? Opzet in Gebruikersbeheer We gaan niet op alles in Wel op de belangrijkste dingen
Achtergrond van de toepassing Aanvragen vergunning voor “inname openbaar domein” Bij gemeente Vlavirgem, met bevraging van diensten via Magda Door Particulieren Bedrijven Scholen Met sterke authenticatie Tekening 1 invoegen Timing/leverancier/contactinfo/helpdesk/ … herhalen maar niet toelichten De nood aan goed toegangsbeheer en logging 14/09/2017
Hoe mogen mensen aanmelden? Welk authenticatieniveau is nodig voor uw toepassing? High Medium Low Afhankelijk van: Gevoeligheid van data in de toepassing Risico op misbruik Nood aan sterk authenticatie In samenspraak met veiligheidsconsulent Stef Speciale aandacht voor app en sms De nood aan goed toegangsbeheer en logging 14/09/2017
Gebruikers van en organisaties in de toepassing? Elke particulier die in Vlavirgem woont Via Magda persoonsdiensten Elke onderneming of school die in Vlavirgem gevestigd is: Via Magda ondernemingsdiensten Iemand met het juiste toegangsrecht namens de onderneming of de school Bv. boekhouder van een onderneming Bv. secretaresse van de directeur Elke wettelijk vertegenwoordiger van een onderneming gevestigd in Vlavirgem Via Magda naar KBO diensten Magda Opgelet: inwoners (adres): in de toepassing zelf opvangen, via MAGDA, maar niet met authenticatieinformatie Zelfde voor ondernemingen van het grondgebied Wettelijk vertegenwoordiger uitleggen op volgende slide Magda IDM De nood aan goed toegangsbeheer en logging 14/09/2017
Toegang voor “wettelijk vertegenwoordiger” NIEUW! Via Magda! Toegang namens ondernemingen: Een wettelijk vertegenwoordiger gekend in het KBO? Bv. zaakvoerder van een onderneming Bij aanmelden: Toegangsbeheer controleert KBO Wettelijk vertegenwoordiger mag door naar toepassing Geen gebruikersrecht meer nodig Optioneel Stef De nood aan goed toegangsbeheer en logging 14/09/2017
Welke rollen nodig in de toepassing? Welke verschillende rollen moeten beheerders kunnen toekennen aan mensen die wil aanmelden namens een onderneming of een school? Algemene richtlijnen voor rechtenmodellen Toepassingen streven best een eenvoudig, statisch rechtenmodel na Good practice: 1 recht voor toegang tot toepassing, indien nodig verfijning via bijkomende keuze tijdens toekenning van het recht Pieter Wanneer een recht en wanneer niet? Binnen het Gebruikersbeheer spreken we van rechten en rechtentoekenningen. Binnen in een recht in het Gebruikersbeheer zijn vaak nog keuzes beschikbaar, die kunnen slaan op rollen, profielen, etc binnen de doeltoepassing. Zie verder voor parameteriseerbaarheid van het rechtenmodel. Binnen in de rechten hanteren we de gangbare termen voor die toepassing. Vaak komen rollen, profielen, groepen, etc. voor als actoren in de procesmodellen van de toepassing. De nood aan goed toegangsbeheer en logging 14/09/2017
Welke rollen nodig in de toepassing? Veelgebruikte verfijningen in rechtenmodellen van toepassingen zijn: Rol: verwijst meestal naar de actor binnen het businessproces. Voorbeelden zijn aanvrager, indiener, goedkeurder, … Documenttypes: Voorbeelden zijn types aanvragen, facturen, orders, … Geografisch gebied: Voorbeelden zijn provincies, regio’s, districten, (In ons jargon heet dit “contexten”) “Context”: is verfijning van het recht De nood aan goed toegangsbeheer en logging 14/09/2017
Welke rollen in de toepassing nodig? Recht “Container.Vlavirgem.be” in Gebruikersbeheer toekennen om aan te melden namens onderneming “Gunst, Klaas” bij de toepassing om er een vergunning te kunnen aanvragen. De nood aan goed toegangsbeheer en logging 14/09/2017
Bijkomende verfijning: Aanvrager: mag een vergunning aanvragen voor de onderneming Verzender: mag een aanvraag effectief versturen namens de onderneming Uitleggen dat we daar ver in kunnen gaan De nood aan goed toegangsbeheer en logging 14/09/2017
Algemene informatieflow naar de toepassing Gebruikersbeheer Toegangsbeheer Toepassing Toekenning van rechten Omzetting naar attributen Uitlevering bij authenticatie Opstarten van een sessie Rechten worden toegekend in het Gebruikersbeheer. Het Gebruikersbeheer schrijft op basis van die toekenningen gebruikers- en rolleninformatie weg naar gebruikersattributen in een databank van het Toegangsbeheer. Het Toegangsbeheer voert een grofmazige autorisatiecontrole uit en levert bij authenticatie gebruikers- en rolleninformatie aan de toepassing. Sleutelinzicht: transient users als de gebruiker niet langskomt bij de toepassing heeft de toepassing geen informatie over het bestaan van die gebruiker. Verliest een gebruiker de rol, dan komt die nooit meer langs en komt er nooit een update! De nood aan goed toegangsbeheer en logging 14/09/2017
Welke info heeft de toepassing nodig bij aanmelden? Burger: Naam, voornaam, rijksregisternummer Namens onderneming: KBOnummer en rechteninformatie Paar voorbeelden geven van mogelijke andere informatie: emailadres, telnr, nog??? De nood aan goed toegangsbeheer en logging 14/09/2017
Boodschap aan de techneuten Toegangs- en Gebruikersbeheer van de Vlaamse overheid Stef
Overzicht ontsluiting d.m.v. SAML 2.0 en OpenID Connect Nieuw OpenID-Connect Externe Hosting Applicatie Contacteer applicatie 2 4 Gebruiker Vraag en Geef identiteits- en rollen informatie via SAML 2 of OpenID Connect Protocol 5 Als OIDC: haal en valideer identity ticket VO Netwerk 3 1 Gebruikers-beheer Meld aan Toegangs-beheer Lees uit IDM Beheer gebruikers voor organisatie Lokale Beheerder De nood aan goed toegangsbeheer en logging 14/09/2017
SAML Profile specs – OpenID Connect flows SAML 2.0 Web Browser SSO Profile Post / post of redirect / post bindings Geen andere profiles of bindings! OpenID-Connect authorization code flow Geen implicit flow! Geen refresh tokens voor de identity tickets! Altijd: Transport kanaal beveiligd via https. De nood aan goed toegangsbeheer en logging 14/09/2017
SAML Ondertekenen en versleutelen De Service Provider moet de Authentication Request ondertekenen. De ACM3 Identity Provider zal de Authentication Response ondertekenen en versleutelen voor de Service Provider. Zorg ruim op voorhand voor één of twee afzonderlijke certificaten Voor ondertekenen van berichten naar ACM. Voor ontsleutelen van berichten van ACM. De nood aan goed toegangsbeheer en logging 14/09/2017
OpenID Connect key rotatie ACM ondertekent identity tokens via roterende keys. Bij validatie van een ticket moet de toepassing de gebruikte key ophalen bij ACM. Zie JWKS endpoint in OpenID Connect core specs De nood aan goed toegangsbeheer en logging 14/09/2017
Hou rekening met… Zorg voor een goeie voorbereiding Zorg voor de juiste profielen Ondersteuning van normale integratieproblemen is onderdeel van dienstverlening Geen training van (onderaannemers van) klanten die niet over de nodige ervaring met federation/SAML2.0/OIDC of certificaten beschikken Onze platformen “up” houden krijgt steeds voorrang Wat doen we hier mee? De nood aan goed toegangsbeheer en logging 14/09/2017
Symptomen van staffing issues Ontbreken van https op de endpoints Self-signed certificaten Metadata is onvolledig of valideert niet Ontbreken van certificaten in metadata Ontbreken van handtekeningen of encryptie op responses … De nood aan goed toegangsbeheer en logging 14/09/2017
Testing! Testing! Testing! ACM/IDM test opzet van eigen dienstverlening Klant test end-to-end opzet Authenticatie Gebruikersbeheer Gedrag in de toepassing In testomgeving In productieomgeving De nood aan goed toegangsbeheer en logging 14/09/2017
Sterke authenticatie Gebruikersbeheer Magda Logging op diensten Veiligheidsconsulent
Contactinfo veiligheidsconsulenten Contactpersoon: Stephan Coppens <stephan.coppens@kb.vlaanderen.be> Algemeen Beheerder Vlaanderen Connect. Er volgt een intake om de nood te bespreken en het juiste profiel te vinden. Stefanie De nood aan goed toegangsbeheer en logging 14/09/2017
Contactinfo Toegangs- en Gebruikersbeheer Online: http://overheid.vlaanderen.be/gebruikersbeheer http://overheid.vlaanderen.be/toegangsbeheer http://overheid.vlaanderen.be/aanmelden-als-ondernemer Mailtje sturen? gebruikersbeheer@vlaanderen.be pieter.lenaerts@bz.vlaanderen.be stefanie.kerkhof@bz.vlaanderen.be Ondersteuning via gratis nummer 1700 Bekijk ook onze online filmpjes!! Stefanie De nood aan goed toegangsbeheer en logging 14/09/2017
Tips, vragen, opmerkingen, feedback, kleine en grote problemen, … Contacteer ons!!! Wat we niet weten, daar kunnen we geen rekening mee houden! Wat jullie ons niet vertellen, daar kunnen we niets mee doen! De nood aan goed toegangsbeheer en logging 14/09/2017