De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

De nood aan goed toegangsbeheer en logging

Verwante presentaties


Presentatie over: "De nood aan goed toegangsbeheer en logging"— Transcript van de presentatie:

1 De nood aan goed toegangsbeheer en logging
Infodag MAGDA De nood aan goed toegangsbeheer en logging 14/09/2017 Pieter Lenaerts Stefanie Kerkhof

2 Wie zijn we en wat doen we?
Toegangs- en Gebruikersbeheer van de Vlaamse overheid Stef

3 Heb je vragen voor het Facilitair Bedrijf:
ICT-bouwstenen voor de overheid in brede zin, ook lokale besturen, onderwijsinstellingen, …: Toegangsbeheer (ACM) Gebruikersbeheer (IDM) Veiligheidsconsulenten via raamcontract Certificatenbeheer (DCB) Digitaal ondertekenen Digitale formulieren API management Stef Heb je vragen voor het Facilitair Bedrijf: De nood aan goed toegangsbeheer en logging 14/09/2017

4 Toegangsbeheer (ACM) Toegang krijgen
Makkelijk en veilig aanmelden Herkenbaar, betrouwbaar, single-sign-on Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Eindgebruiker Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Toepassing Gebruikersbeheer

5 Gebruikersbeheer (IDM) Toegang geven
Makkelijk en veilig gebruikers en hun gebruikersrechten beheren. Online, op 1 plaats, in real time, gedelegeerd beheer Namens een “organisatie”: Ondernemingen Scholen Andere lokale besturen Helpdesk Eindgebruiker Applicatie beheerder Lokale Beheerder Veiligheidsconsulent

6 Gedeelde Veiligheidsconsulent van Vlaanderen connect.
Part time terbeschikkingstelling Volgens uw nood Lange termijn Kostenefficiënt Consistent advies De nood aan goed toegangsbeheer en logging 14/09/2017

7 Toegangs- en Gebruikersbeheer van de Vlaamse overheid
Boodschap van de dag? Toegangs- en Gebruikersbeheer van de Vlaamse overheid Stef

8 Logging? Logging! Bewijs van toegang tot gegevens en diensten
Zekerheid en controle over vertegenwoordiging van actoren in e-gov processen Primordiaal: sterke authenticatie toegangsbeheer door wettelijke vertegenwoordigers Magda Online Hoedanigheden gelogd bij Kadaster! Kerry and Co. via Tyrrell Photographic Collection, Powerhouse Museum De nood aan goed toegangsbeheer en logging 14/09/2017

9 En hoe kunt u een toepassing koppelen aan onze bouwstenen?
Online aanmelden bij toepassingen van of voor de overheid in brede zin Wat kan Toegangs- en Gebruikersbeheer (ACM/IDM) voor u betekenen? En hoe kunt u een toepassing koppelen aan onze bouwstenen? Het integratieproces aan de hand van een concreet voorbeeld Stef De nood aan goed toegangsbeheer en logging 14/09/2017

10 Gemeente Vlavirgem wil vergunningen voor “inname openbaar domein” online laten aanvragen. Zowel door particulieren als voor bedrijven, scholen, andere lokale overheden, … Stef Tekening 1 Bv. container zetten Voordelen sterke authenticatie: je weet met voldoende zekerheid wie iemand is Hergebruik van beschikbare informatie bij de overheid Combinatie met MAGDA / eigen informatie bij het lokale bestuur Eventueel met betalen retributie De nood aan goed toegangsbeheer en logging 14/09/2017

11 Toegangs- en Gebruikersbeheer van de Vlaamse overheid
Het integratieproces Toegangs- en Gebruikersbeheer van de Vlaamse overheid Stef

12 Technische opzet + testing
Integratieproces Onboarding Technische opzet + testing Uitrol Kostprijs integratie? Standaardintegratie: enkel investering aan toepassingszijde Projectintegratie: ook projectkost bij ACM/IDM Grote lijnen + kostprijs + doorlooptijd Belangrijke kanttekening bij doorlooptijd: bestuur/leverancier moet kunnen volgen / de meeste kunnen niet volgen bij nieuwe integratie/eerste integraties Doorlooptijd integratie? Standaardintegratie: 6 tot 8 weken vanaf afgerond integratiedossier Projectintegratie: projectplanning De nood aan goed toegangsbeheer en logging 14/09/2017

13 Standaard Niet standaard Alle andere dingen
Gedelegeerd beheer van gebruikers en rechten via online toepassing Claims based authenticatie SAML 2.0 OpenID-Connect Transient users != persistent users! Alle andere dingen Gebruikers- en rolleninformatie via webservices of exports Nieuw beheersrecht Nieuwe functionaliteit (Ja, we moeten ons budget zo efficiënt mogelijk aanwenden…) Quid transient? Moet dat hier ook bij? Nog dingen? De nood aan goed toegangsbeheer en logging 14/09/2017

14 Ondersteuning bij uitrol
Helpdeskondersteuning van eindgebruikers voor beide diensten Papieren en online informatie Folder digitale sleutels Folder voor de ondernemer Handleiding FAQ Turorial Ondersteuning bij communicatiecampagnes Ondersteuning bij uitrol naar grote doelgroepen Ook verwijzen naar de algemene dienstenverlening nog snel De nood aan goed toegangsbeheer en logging 14/09/2017

15 Integratieproces aan de hand van voorbeeld
Tekening 1 toevoegen in het midden De nood aan goed toegangsbeheer en logging 14/09/2017

16 Integratieproces – Onboarding
Voorbereiding Kennismaking Business-analyse Functionele analyse Iteraties wenselijk! Integratiedossier Vraag van klant Intakegesprek/ Integratiedossier Iteratie vermijden! Integratie test Go van klant Go van ACM/IDM Planning: max 2 weken na validaties. Integratie productie Communicatie! Helpdesk! Planning: max 2 weken na validaties. Vraag is concreet, stabiel en nabij! IDM valideert test resultaten. ACM valideert metadata prod. LB valideert dossier. ACM valideert metadata test. Vooral lokaal bestuur Lokaal bestuur én ACM/IDM Lokaal bestuur én ACM/IDM Lokaal bestuur én ACM/IDM Iteratief convergeren Intensief naa het doel! De nood aan goed toegangsbeheer en logging 14/09/2017

17 Opbouw van het integratiedossier
Achtergrond van de toepassing Gebruikers van de toepassing Organisaties in scope van de toepassing Helpdesk informatie over de toepassing Gewenste timing Contactinformatie Algemene informatie over de toepassing Overzicht architectuur integratie Authenticatiemiddelen en -regels URL’s voor de toepassing Inhoud SAML attributen Opzet ACM Gebruikersrechten Welke informatie heeft de toepassing nodig? Opzet in Gebruikersbeheer We gaan niet op alles in Wel op de belangrijkste dingen

18 Achtergrond van de toepassing
Aanvragen vergunning voor “inname openbaar domein” Bij gemeente Vlavirgem, met bevraging van diensten via Magda Door Particulieren Bedrijven Scholen Met sterke authenticatie Tekening 1 invoegen Timing/leverancier/contactinfo/helpdesk/ … herhalen maar niet toelichten De nood aan goed toegangsbeheer en logging 14/09/2017

19 Hoe mogen mensen aanmelden?
Welk authenticatieniveau is nodig voor uw toepassing? High Medium Low Afhankelijk van: Gevoeligheid van data in de toepassing Risico op misbruik Nood aan sterk authenticatie In samenspraak met veiligheidsconsulent Stef Speciale aandacht voor app en sms De nood aan goed toegangsbeheer en logging 14/09/2017

20 Gebruikers van en organisaties in de toepassing?
Elke particulier die in Vlavirgem woont Via Magda persoonsdiensten Elke onderneming of school die in Vlavirgem gevestigd is: Via Magda ondernemingsdiensten Iemand met het juiste toegangsrecht namens de onderneming of de school Bv. boekhouder van een onderneming Bv. secretaresse van de directeur Elke wettelijk vertegenwoordiger van een onderneming gevestigd in Vlavirgem Via Magda naar KBO diensten Magda Opgelet: inwoners (adres): in de toepassing zelf opvangen, via MAGDA, maar niet met authenticatieinformatie Zelfde voor ondernemingen van het grondgebied Wettelijk vertegenwoordiger uitleggen op volgende slide Magda IDM De nood aan goed toegangsbeheer en logging 14/09/2017

21 Toegang voor “wettelijk vertegenwoordiger”
NIEUW! Via Magda! Toegang namens ondernemingen: Een wettelijk vertegenwoordiger gekend in het KBO? Bv. zaakvoerder van een onderneming Bij aanmelden: Toegangsbeheer controleert KBO Wettelijk vertegenwoordiger mag door naar toepassing Geen gebruikersrecht meer nodig Optioneel Stef De nood aan goed toegangsbeheer en logging 14/09/2017

22 Welke rollen nodig in de toepassing?
Welke verschillende rollen moeten beheerders kunnen toekennen aan mensen die wil aanmelden namens een onderneming of een school? Algemene richtlijnen voor rechtenmodellen Toepassingen streven best een eenvoudig, statisch rechtenmodel na Good practice: 1 recht voor toegang tot toepassing, indien nodig verfijning via bijkomende keuze tijdens toekenning van het recht Pieter Wanneer een recht en wanneer niet? Binnen het Gebruikersbeheer spreken we van rechten en rechtentoekenningen. Binnen in een recht in het Gebruikersbeheer zijn vaak nog keuzes beschikbaar, die kunnen slaan op rollen, profielen, etc binnen de doeltoepassing. Zie verder voor parameteriseerbaarheid van het rechtenmodel. Binnen in de rechten hanteren we de gangbare termen voor die toepassing. Vaak komen rollen, profielen, groepen, etc. voor als actoren in de procesmodellen van de toepassing. De nood aan goed toegangsbeheer en logging 14/09/2017

23 Welke rollen nodig in de toepassing?
Veelgebruikte verfijningen in rechtenmodellen van toepassingen zijn: Rol: verwijst meestal naar de actor binnen het businessproces. Voorbeelden zijn aanvrager, indiener, goedkeurder, … Documenttypes: Voorbeelden zijn types aanvragen, facturen, orders, … Geografisch gebied: Voorbeelden zijn provincies, regio’s, districten, (In ons jargon heet dit “contexten”) “Context”: is verfijning van het recht De nood aan goed toegangsbeheer en logging 14/09/2017

24 Welke rollen in de toepassing nodig?
Recht “Container.Vlavirgem.be” in Gebruikersbeheer toekennen om aan te melden namens onderneming “Gunst, Klaas” bij de toepassing om er een vergunning te kunnen aanvragen. De nood aan goed toegangsbeheer en logging 14/09/2017

25 Bijkomende verfijning:
Aanvrager: mag een vergunning aanvragen voor de onderneming Verzender: mag een aanvraag effectief versturen namens de onderneming Uitleggen dat we daar ver in kunnen gaan De nood aan goed toegangsbeheer en logging 14/09/2017

26 Algemene informatieflow naar de toepassing
Gebruikersbeheer Toegangsbeheer Toepassing Toekenning van rechten Omzetting naar attributen Uitlevering bij authenticatie Opstarten van een sessie Rechten worden toegekend in het Gebruikersbeheer. Het Gebruikersbeheer schrijft op basis van die toekenningen gebruikers- en rolleninformatie weg naar gebruikersattributen in een databank van het Toegangsbeheer. Het Toegangsbeheer voert een grofmazige autorisatiecontrole uit en levert bij authenticatie gebruikers- en rolleninformatie aan de toepassing. Sleutelinzicht: transient users als de gebruiker niet langskomt bij de toepassing heeft de toepassing geen informatie over het bestaan van die gebruiker. Verliest een gebruiker de rol, dan komt die nooit meer langs en komt er nooit een update! De nood aan goed toegangsbeheer en logging 14/09/2017

27 Welke info heeft de toepassing nodig bij aanmelden?
Burger: Naam, voornaam, rijksregisternummer Namens onderneming: KBOnummer en rechteninformatie Paar voorbeelden geven van mogelijke andere informatie: adres, telnr, nog??? De nood aan goed toegangsbeheer en logging 14/09/2017

28 Boodschap aan de techneuten
Toegangs- en Gebruikersbeheer van de Vlaamse overheid Stef

29 Overzicht ontsluiting d.m.v. SAML 2.0 en OpenID Connect
Nieuw OpenID-Connect Externe Hosting Applicatie Contacteer applicatie 2 4 Gebruiker Vraag en Geef identiteits- en rollen informatie via SAML 2 of OpenID Connect Protocol 5 Als OIDC: haal en valideer identity ticket VO Netwerk 3 1 Gebruikers-beheer Meld aan Toegangs-beheer Lees uit IDM Beheer gebruikers voor organisatie Lokale Beheerder De nood aan goed toegangsbeheer en logging 14/09/2017

30 SAML Profile specs – OpenID Connect flows
SAML 2.0 Web Browser SSO Profile Post / post of redirect / post bindings Geen andere profiles of bindings! OpenID-Connect authorization code flow Geen implicit flow! Geen refresh tokens voor de identity tickets! Altijd: Transport kanaal beveiligd via https. De nood aan goed toegangsbeheer en logging 14/09/2017

31 SAML Ondertekenen en versleutelen
De Service Provider moet de Authentication Request ondertekenen. De ACM3 Identity Provider zal de Authentication Response ondertekenen en versleutelen voor de Service Provider. Zorg ruim op voorhand voor één of twee afzonderlijke certificaten Voor ondertekenen van berichten naar ACM. Voor ontsleutelen van berichten van ACM. De nood aan goed toegangsbeheer en logging 14/09/2017

32 OpenID Connect key rotatie
ACM ondertekent identity tokens via roterende keys. Bij validatie van een ticket moet de toepassing de gebruikte key ophalen bij ACM. Zie JWKS endpoint in OpenID Connect core specs De nood aan goed toegangsbeheer en logging 14/09/2017

33 Hou rekening met… Zorg voor een goeie voorbereiding
Zorg voor de juiste profielen Ondersteuning van normale integratieproblemen is onderdeel van dienstverlening Geen training van (onderaannemers van) klanten die niet over de nodige ervaring met federation/SAML2.0/OIDC of certificaten beschikken Onze platformen “up” houden krijgt steeds voorrang Wat doen we hier mee? De nood aan goed toegangsbeheer en logging 14/09/2017

34 Symptomen van staffing issues
Ontbreken van https op de endpoints Self-signed certificaten Metadata is onvolledig of valideert niet Ontbreken van certificaten in metadata Ontbreken van handtekeningen of encryptie op responses De nood aan goed toegangsbeheer en logging 14/09/2017

35 Testing! Testing! Testing!
ACM/IDM test opzet van eigen dienstverlening Klant test end-to-end opzet Authenticatie Gebruikersbeheer Gedrag in de toepassing In testomgeving In productieomgeving De nood aan goed toegangsbeheer en logging 14/09/2017

36 Sterke authenticatie Gebruikersbeheer Magda Logging op diensten Veiligheidsconsulent

37 Contactinfo veiligheidsconsulenten Contactpersoon: Stephan Coppens Algemeen Beheerder Vlaanderen Connect. Er volgt een intake om de nood te bespreken en het juiste profiel te vinden. Stefanie De nood aan goed toegangsbeheer en logging 14/09/2017

38 Contactinfo Toegangs- en Gebruikersbeheer Online: Mailtje sturen? Ondersteuning via gratis nummer 1700 Bekijk ook onze online filmpjes!! Stefanie De nood aan goed toegangsbeheer en logging 14/09/2017

39 Tips, vragen, opmerkingen, feedback, kleine en grote problemen, …
Contacteer ons!!! Wat we niet weten, daar kunnen we geen rekening mee houden! Wat jullie ons niet vertellen, daar kunnen we niets mee doen! De nood aan goed toegangsbeheer en logging 14/09/2017


Download ppt "De nood aan goed toegangsbeheer en logging"

Verwante presentaties


Ads door Google