VO-Toegangs-/Gebruikersbeheer
Mogelijkheden in kader van dienstverlening aan Onderwijsinstellingen
Erik VAN ZUUREN
Product & Programma Management ACM / IDM / DTP / DCB / eForms
VO-Toegangs-/Gebruikersbeheer
• VO –Toegangs-/Gebruikersbeheer - Hoofdlijnen – Ondersteuning Radicaal Digitaal
– Huidig Gebruik / Statistieken – Belangrijke Basisprincipes
• VO –Toegangs-/Gebruikersbeheer – Karakteristieken – Functioneel & Architectureel Overzicht
– Co-existentie met Federale Systemen
• VO –Toegangs-/Gebruikersbeheer – Toepassing – Enkele Gebruiksscenarios
– Voorbeelden van Opzet
De Fundamenten voor Radicaal Digitaal
(of het nu gaat over VO, Lokale Besturen of Onderwijsinstellingen…)
• Realisatie Radicaal Digitaal / eLoketten / consistente-veilige ontsluiting enkel
mogelijk met degelijke digitale bouwstenen / diensten zoals oa Toegangs- en
Gebruikersbeheer.
Actueel gebruik van de diensten
• Een greep uit de ontsloten applicaties (beschikbaar voor vo-medewerkers, lokale besturen, onderwijsinstellingen, …):
– VKBO / VKBP (CORVE) – Studietoelagen (O&V) – Inkom / OP (AO) – WebEdison (O&V)
– EnergiePrestatiedatabank (VEA) – DOV (RWO)
– EMIL (LNE) – eDelta (MOW)
– Zorginspectie (WVG) – GeoMob (MOW) – TWP/SBW (WSE) – Digiflow (FGOV) – ebirth (FGOV) – Vlimpers (BZ)
– ESF (ESF agentschap) – Digitaal Toezicht (ABB) – KBI (ABB)
– ….
Belangrijke Basisprincipes
• Toegang Krijgen (Toegangsbeheer)
• Toegang Geven
(Gebruikersbeheer)
Belangrijke Basisprincipes
• Toegang Krijgen (Toegangsbeheer)
• Toegang Geven (Gebruikersbeheer)
Applicatie- specifieke rechten Gegevens uit
Authen.
Bronnen
Wettelijk Vertegen- woordiger
Hoofd lokale
beheerder Lokale
beheerder (domein) Lokale beheerder
(domein) Lokale beheerder
(domein) Applicatiebe
heerder
Gebruiker
Applicatie VO of LB
Gegevens uit Authen.
Bronnen (bv
“is Directeur SchoolX”)
Applicatie- specieke
rechten
Belangrijke Basisprincipes
• Doelgroepen
– Nood aan het openstellen van toegangen, enkel en alleen aan juiste type gebruikers/organisaties
• Organisatie (types)
– Bv Universiteiten & Hogescholen – Bv Middelbare School
• Lokale Beheerders (DomeinX)
– “Werkrelaties” en toegangen zouden enkel toegekend mogen worden op basis van authentieke informatie of door personen die voor een bepaalde materie
toegangen mogen beheren voor hun organisatie.
• Applicatiebeheerders
– Toegangen kunnen eventueel beheerd worden door een applicatie-/informatie-eigenaar.
Domeinen
Fiscaliteit Sociale Zekerheid Ruimtelijke Ordening
…
…
VO-Toegangs-/Gebruikersbeheer
• VO –Toegangs-/Gebruikersbeheer - Hoofdlijnen – Ondersteuning Radicaal Digitaal
– Huidig Gebruik / Statistieken – Belangrijke Basisprincipes
• VO –Toegangs-/Gebruikersbeheer – Karakteristieken – Functioneel & Architectureel Overzicht
– Co-existentie met Federale Systemen
• VO –Toegangs-/Gebruikersbeheer – Toepassing – Enkele Gebruiksscenarios
– Voorbeelden van Opzet
Veel meer dan gebruikers creëren en registeren van attributen
Scenario1 / Klassiek Basis:
Registreer organisatie Maak gebruiker aan Registeer attributen Publiceer in directory Basic datamodel / flows
Scenario2 / eGov-grade:
Erken Organisatie
Maak gebruiker aan @Hoedanigheid
Ken (parametriseerbare) delegatie/mandaat toe Publiceer en transformeer selectief
Complex datamodel
Zelfregistraties & Parametriseerbare (goedkeurings)-flows
Configureerbare rapportering / notificaties
Toekenningen/Delegaties/Mandaten/…
• Voorbeelden van mogelijke Toekenningen/Delegaties/Mandaten/…
– Toekenning Dossierbeheerder-GraadF
>> mogelijkheid tot invoeren business rollen
>> mogelijkheid tot stellen van voorwaarden
>> mogelijkheid tot afleiden van nodige onderliggende taken
>> mogelijkheid tot afleiden van benodige odnerliggende technische settings “cross platform”.
– Toekenning Inspecteur (provincie oost-vlaanderen)
>> zicht op alle dossiers met instellingsnummers in O-VL.
– Toekenning Subsidiedossierbeheerder (rechtpersoonX, vestiging 5 en 7, dossier types a en f)
>> Enkel toegang binnen dossiers voor rechtspersoonX
>> beperkt op vestigingsnummers 5 en 7
>> enkel dossier typers a en f
– Toekenning SubsidieGoedkeurder (instellingstypes B en G, limiet 250K)
>> VO-medewerker, van entiteit Z
>> zicht alle instellingen mits type B of G
>> goedkeuringen enkel mogelijk tot limiet van 250K
Co-existentie met Federale Systemen
• CSAM (Common Sec. Acces Mngt):
– Op dit moment vooral FAS (Fed. Auth Service) – Binnenkort ook BTB (~ KBO+)
– Meer en meer samenspraak bij uitbouw
VO-Toegangs-/Gebruikersbeheer
• VO –Toegangs-/Gebruikersbeheer - Hoofdlijnen – Ondersteuning Radicaal Digitaal
– Huidig Gebruik / Statistieken – Belangrijke Basisprincipes
• VO –Toegangs-/Gebruikersbeheer – Karakteristieken – Functioneel & Architectureel Overzicht
– Co-existentie met Federale Systemen
• VO –Toegangs-/Gebruikersbeheer – Toepassing – Enkele Gebruiksscenarios
– Voorbeelden van Opzet
Gebruiksscenario (Toegang tot applicaties direct gekoppeld aan het Toegangs-/Gebruikersbeheer)
Medewerkers Vlaamse Overheid of Onderwijsinstellingen
Applicatie X
…..
CloudService Z
Toegangsbeheer
Lokale Beheerder
Gebruikersbeheer VO
Portaal Y
Gebruikersbeheer
O&V
Gebruiksscenario (Toegang tot applicaties gekoppeld aan bestaand Toegangsbeheer)
Ondersteunende Diensten
Applicatie ProviderX Portaal ProviderX
Toegangsbeheer ProviderX
Toegangsbeheer
Gebruikersbeheer VO
Gebruikersbeheer O&V
Medewerker VO of O&V (bv inspectie, …)
Gebruikersbeheer
ProviderX
Voorbeeld1: SBW van Dept. WSE
Gebruiker Lokale Beheerder
VO Netwerk
A CM 3+ RP
WebIDM
IDD
SBW
Lees uit IDD Meld
aan
Geef identiteits- en rollen informatie in
http headers
EAWS
Schrijf identiteits- en rollen informatie naar IDD
1 2
3 4
Beheer gebruikers voor organisatie
1. Een lokale beheerder kent in het gebruikersbeheer WebIDM gebruikersrechten toe voor SBW.
2. Tijdens de toekenning vraagt WebIDM via de Entitlement Artifact Web Service (EAWS) bij SBW om een lijst van conventies voor het ondernemingsnummer waarvoor toegang mag gegeven worden.
3. De gebruikersrechten worden geprovisioneerd naar de identiteitendatabank IDD.
4. Een gebruiker wil gebruik maken van SBW, maar wordt door de ACM Reverse Proxy
tegengehouden voor authenticatie. Na succesvolle authenticatie wordt de gebruiker
doorgelaten naar de applicatie en worden de rollen per conventie per onderneming
meegegeven naar SBW.
Voorbeeld2: AGIV Geosecure
Gebruiker
Lokale Beheerder
V O Net w e rk
ACM 3+
IDP WebIDM
IDD
Geosecure
Lees uit IDD
Beheer gebruikers voor organisatie Meld
aan
Vraag en Geef identiteits- en rollen informatie via SAML 2 Protocol
Schrijf identiteits- en rollen informatie naar IDD Contacteer
applicatie
A GI V H os ti ng
1. AGIV beheert interne gebruikers lokaal in een eigen user store.
2. Gebruikers binnen Lokale Besturen worden beheerd via WebIDM.
3. De gebruikersrechten worden geprovisioneerd naar de identiteitendatabank IDD.
4. Een gebruiker wil gebruik maken van Geosecure en moet kiezen of hij intern wil authenticeren of als medewerker van een Lokaal Bestuur via authenticatie bij ACM3.
5. De gebruiker authenticeert en ACM3 levert rolleninformatie uit aan Geosecure.
User Store
1
2 5
3
4
Voorbeeld3:
VO Netwerk
WebIDM ACM3
IDP
Kañooh cloud
K añooh T oeg ang sb eh ee r Aankoop
Site
EAWS Producer
Site X Site Y
IDD
Site Z
Gen er ee rt / B eh ee rt
Pu b lic eert r ollen
Haalt rollen- informatie op
Kañooh Eindgebruiker
Au th en tisee r
Kañooh site gebruiken
Kañooh Site Aankoper
Lokale
Kañooh site aankopen / configureren
Haalt persoons- en rolleninformatie op
Schrijft persoons- en
rolleninformatie weg
Site …
Org A
Org B
Org C
… Vraagt/ Geeft persoons- en
rolleninformatie via SAML
STOP
1
egrofmazige autorisatie: toegang
tot Kañooh omgeving of niet 2
egrofmazige autorisatie: toegang tot Kañooh site of niet
STOP
STOP
STOP
STOP
STOP