1.3 AIM/IAM Fedict - V-ict-or
Download
Report
Transcript 1.3 AIM/IAM Fedict - V-ict-or
Bouwen op sterktes!
Wij willen alle entiteiten van de Vlaamse overheid maximaal ondersteunen
door het aanbieden van ICT- en e-governmentdiensten, -producten en -advies,
om op die manier bij te dragen tot de optimale werking van de Vlaamse
overheid als geheel.
Het reproduceren, ook gedeeltelijk, van dit document is toegestaan mits duidelijke vermelding van de bron:
“Vlaamse overheid, Bestuurszaken, entiteit e-government en ICT-Beheer”.
Enkele bouwstenen voor egovernment: IAM/AIM
V-ICT-OR Shopt IT 2012
26/4/2012
Wim Martens - eIB
Classificatie: publiek
Agenda
1. Intergouvernementele samenwerking
2. Overzicht Fedict Diensten
3. VO IAM diensten voor lokale besturen
- WebIDM : identiteitenbeheer voor lokale besturen
- Toegangsbeheer Vlaamse toepassingen voor lokale
besturen
- Vlaams Digitaal TekenPlatform
V-ICT-OR 2012/04/26
3
1.1 Basisprincipes Toegangsbeheer
•
Basisprincipes inzake toegangsbeheer zijn:
– Het definiëren en administreren van de regels voor toegangscontrole is de
verantwoordelijkheid van de aanbieder van de toepassing. Vermits deze regels
telkens geraadpleegd worden bij het uitvoeren van de toegangscontrole, gebeurt de
definitie en administratie het best op een platform bij de entiteit die de toepassing
host.
– Het uitvoeren van toegangscontrole is nauw verbonden met de applicatiearchitectuur en de veiligheidsomgeving waarbinnen de toepassing wordt gehost.
Daarom, en omwille van de noodzakelijke beschikbaarheid van de toepassing, wordt
toegangscontrole het best afgedwongen bij de entiteit die de toepassing host.
– Authenticatiediensten en diensten mbt de verificatie van de identiteit zijn kritiek.
Deze worden best met zeer hoge garanties (qua beschikbaarheid) aangeboden door
de overheid of organisatie die betreffende identiteiten beheert en de bijhorende
credentials aflevert.
V-ICT-OR 2012/04/26
4
1.2 Basisprincipes Gebruikersbeheer
•
Basisprincipes inzake gebruikersbeheer zijn:
– Betrouwbare (authentieke) bronnen inzake identiteit en attributen, rollen en
mandaten zijn cruciaal voor een veilige ontsluiting. (Authentieke) bronnen worden
best beheerd door de overheid of organisatie die “toezichthoudend” is op de
betreffende gegevens.
– Voornoemde informatie dient gepubliceerd d.m.v. publicatie diensten. Hier zijn er
verschillende pistes mogelijk die een evenwicht dienen te bieden tussen nood aan
een directe toegang tot de echte authentieke bron en een snelle toegang door
betreffende access control omgeving, gaande van directe ontsluiting vanuit
aanbieder, tot ontsluiting/kopie aan zijde access control omgeving, tot indirecte
ontsluiting via “integrator”.
V-ICT-OR 2012/04/26
5
1.3 Intergouvernementele samenwerking
Voor het efficiënt ontsluiten / uitwisselen van informatie met overheden, burgers, ed:
‒ is een goede samenwerking noodzakelijk tussen de verschillende heterogene
spelers / domeinen en hun ACM / IDM-systemen (cfr “circles of trust”)
‒ en met name op het vlak van het ontsluiten van (authentieke) bronnen – aka
policy information points – aan elkaar.
Identity/Authentication
services
<<
Federaal
TC
TC
Easi-Wall
TC
Kadaster
pensionen
My Belgium
Vlaanderen
TC
Kadaster KB
TC
Tourisme
TC
Ma maison
TC
Tax On Web
VKBO
E-Health
TC
EPD
TC
eTCT
< < gebruikersbeheer >>
FAS/Stork
Access Control
services
TC
eTCT
toegangsbeheer
>>
Gebruiker
Meerdere contexten
Partiële identiteiten
eGov services
& Applications
KSZ
Attribute / Role
publication services
Artsen
E-Health
Vlaamse
Lokale Besturen
Vlaanderen
Federale
Ambtenaren
Onderwijs
Wallonië
Federaal
Easi-Wall
INSZRegister
Attribute / Role
sources
KSZ
Identity / Privilige Mngt
V-ICT-OR 2012/04/26
6
Agenda
1. Intergouvernementele samenwerking
2. Overzicht Fedict Diensten
3. VO IAM diensten voor lokale besturen
- WebIDM : identiteitenbeheer voor lokale besturen
- Toegangsbeheer Vlaamse toepassingen voor lokale
besturen
- Vlaams Digitaal TekenPlatform
V-ICT-OR 2012/04/26
7
Overview of Fedict Application
Integration & Middleware and
Identity & Access Management
Services
v0003 – 26/04/2012
Walter Van Assche (Fedict Sponsor IAM-AIM)
Luc Van Tilborgh (Fedict AIM Program mgr)
Jan Vanhaecht (voor Fedict, Architect IAM)
Table of contents
Overview of Fedict AIM and IAM Services
General Fedict introduction
• Introduction to Fedict
• Fedict services integration
Fedict Application Integration &
Middleware Services
Fedict Identity and Access
Management Services
V-ICT-OR 2012/04/26
9
Introduction to fedict
Information and Communication Technology Federal Public Service
Royal Decree May 11, 2001
Develops & Implements e-gov strategy
Supports other departments (“virtual matrix”)
Develops & Implements Guidelines/Standards
Develops & Supports common infrastructure
Manages the inter-gov relationships
Total Solution (integrated services)
V-ICT-OR 2012/04/26
“I will say it only once” – Authoritative [Data]
Source (even between governments) – limit
admin. formalities
Customer focus / User friendly
Transparent & Respect for Privacy
No digital divide (channel neutral)
Minimal cost / reliable / available /
performance
10
Fedict services integration
Offering more than a nice facade
eShop concept
Well structured architecture
Identity and Acces
Management
Citizens
Access & Application environment
portal
Authoritative Sources
Transaction Environment
RRN
Enterpriss
Network Environment
Federal Metropolitan Area Network
Civil
servants
V-ICT-OR 2012/04/26
LOCAL
GOVERNMENTS
COMMUNITY
REGION
SPP / POD
SPF / FOD
(FedMAN)
Other Authorities & Institutions
Security & Privacy
11
Table of contents
Overview of Fedict AIM and IAM Services
General Fedict introduction
Fedict Application Integration &
Middleware Services
• Introducing FSB
• FSB Approach : Open Approach
• FSB Governance : FSB Platform
• FSB Examples : PersonService / eBirth / Digiflow
• Registry : http://registry.fsb.belgium.be
Fedict Identity and Access Management
Services
V-ICT-OR 2012/04/26
12
Introducing FSB
Today’s challenges:
Our answer: Service Oriented Architecture
Consumer
Consumer
Supplier
Supplier
Supplier
Supplier
Supplier
Supplier
V-ICT-OR 2012/04/26
13
FSB Approach : Open Approach
Fedict facilitates access to Authentic sources via web services and FSB
WEB Application
WEB Application
security + trust
Federal Service
FEDMAN
Regional or
Local SB
Bus
Federal Authentic sources
Local or Regional Authentic
sources
V-ICT-OR 2012/04/26
14
FSB Governance : FSB Platform
Registry
Service Bus
Shows content FSB to Customer
Supports services development
Runs Services
Repository
Describes FSB Services
Stores RFCs, FSB service designs, Test reports,
Provider SLAs
Manages Consumption Contracts
Audits SOAP Services @ designtime
DEVELOPMENT
TEST & ACCEPTANCE
Service development & testing
beta testing
INTEGRATION
PRODUCTION
Load & Integration testing
production
Policies, Enforcement, Monitoring
Report Engine
Verifies
WSDLs
Access Control List
Access Windows
FSB Service availability
FSB Management Operation
Poller
Calls
Management operations
Checks services
availability
V-ICT-OR 2012/04/26
Authentication / Autorization
Monitoring tool
Content based defense
Message throttling
Duplicate protecting
Message Logging
Stores SNMP messages
Trigger alerts
Sends alerts
15
FSB Examples : PersonService
Task services
Entity services
Utility services
Rijksregister
Get
Person
service
NREntity
service
Search
Person
service
Consumers
NR
access
service
Manage
Person
service
Social Security
SSREntity
service
Person
Legacy
service
V-ICT-OR 2012/04/26
SSR
access
service
16
FSB Examples : eBirth
Hospital
eHealth
National
Register
Munipality
of residence
Social Security
Munipality
place of birth
V-ICT-OR 2012/04/26
17
FSB Examples : Digiflow 3.0
V-ICT-OR 2012/04/26
18
Registry : http://registry.fsb.belgium.be
V-ICT-OR 2012/04/26
19
Table of contents
Overview of Fedict AIM and IAM Services
General Fedict introduction
Fedict Application Integration &
Middleware Services
Fedict Identity and Access Management
Services
• Why IAM within eGovernment context?
• Fedict IAM Service overview
• Fedict IAM Examples ToW / Digiflow / PassportCity
• Fedict IAM Information model
• Fedict IAM components evolution /FAS upgrade
V-ICT-OR 2012/04/26
20
Why IAM within eGovernment context?
Coexistence versus integration
Strategy used to be:
Every “silo” of governmental administrations should be able to function independently and thus put
it’s own emphasis on the mechanisms used for fulfilling IAM requirements in eGovernment services
Coexistence of eGov IAM platforms
Recent shift in strategy:
Leverage the strengths of the individual platforms, and enhance the reuse of components amongst
eGovernment services
Integration of eGov IAM platforms
V-ICT-OR 2012/04/26
21
Fedict IAM Service overview
More than just logging in to an application…
Getting Access
Granting Access
Authentic
Source
User
Legal
Representative
Assign Head
Admin
Authenticate
…
RRN
KBO
Authentic
Sources
Attribute
Collection
Explicit
Permissions
V-ICT-OR 2012/04/26
(Head) Access
Administrator
Assign Delegated
Admin
(Delegated)
Access
Administrator
Assign
Application Roles
22
Fedict IAM components evolution / FAS upgrade
Upgrading to an advanced Identity & Access Management solution with a solid foundation
FAS before upgrade
FAS after upgrade
Features
“Pure Authentication” service
Allows (primarily) for authentition based on:
– eID
– Citizen Token
Authentication + Session Service:
– Allows for Single Sign On between eGovernment
applications
Makes it possible to offer new authentication
methods like mobile identity services in the (near)
future
Works with upgraded protocol (SAML2), making
configurable customer integration possible in many
cases (although an “integration toolkit” will be
made available to facilitate migration)
Publishes attributes in SAML1 protocol, typically
requiring deployment of a specific toolkit for
integration into an application
Timeline:
2003
– Basic service introduction offering Citizen Token
and eID support
11/2012
– Planned end-of-life of current FAS version
– Communication on transition to the upgraded FAS
will follow in very near future (pilot transitions
are already being performed)
V-ICT-OR 2012/04/26
Features
Timeline:
2009
– Infrastructure available production for internal
(Fedict) use only
Q2 2010
– Available for non Fedict applications
Q2 2012
– Put into production for Tax-On-Web Citizens
Q12013
– Planned infrastructure & feature upgrade
23
Fedict IAM components preview
Upgrading to an advanced Identity & Access Management solution with a solid foundation
Fedict IAM 2011
Fedict IAM 2012
V-ICT-OR 2012/04/26
24
Fedict IAM Service overview
More than just logging in to an application…
Getting Access
Granting Access
Tax-on-Web Citizens
Authentic
Source
Assign Head
Admin
Authentication
…
KBO
Authentic
Sources
Authentication based on eID or
Citizen Token
No implicit permissions
necessary (FODFin has all
necessary information
“locally” available)
No Explicit permissions
required (general rule: every
person has access to his/her
own tax declaration and if
applicable the tax declaration
of his/her spouse)
Legal
Representative
User
RRN
Implicit
Permissions
Explicit
Permissions
(Head) Access
Administrator
Assign Delegated
Admin
(Delegated)
Access
Administrator
Assign
Application Roles
V-ICT-OR 2012/04/26
25
Fedict IAM Service overview
More than just logging in to an application…
Getting Access
Granting Access
Digiflow
Authentic
Source
Assign Head
Admin
Authentication
…
KBO
Authentic
Sources
Authentication based on eID or
Citizen Token
No implicit permissions
necessary (Digiflow users
PersonServices via FSB)
Explicit permissions required:
Legal
Representative
User
RRN
Implicit
Permissions
Explicit
Permissions
(Head) Access
Administrator
Assign Delegated
Admin
(Delegated)
Access
Administrator
Assign
Application Roles
V-ICT-OR 2012/04/26
Flemish Region
– “Gebruikersbeheer van de
Vlaamse overheid”
Walloon & Brussels region:
– Role Admin of Fedict
Abstraction layer provided by
Fedict IAM, offering a Signle
Point of Contact to the
application
26
Thank you
Fedict
Maria-Theresiastraat 1/3 Rue Marie-Thérèse
Brussel 1000 Bruxelles
TEL. +32 2 212 96 00 | FAX +32 2 212 96 99
[email protected] | www.fedict.belgium.be
Agenda
1. Intergouvernementele samenwerking
2. Overzicht Fedict Diensten
3. VO IAM diensten voor lokale besturen
- WebIDM : identiteitenbeheer voor lokale besturen
- Toegangsbeheer Vlaamse toepassingen voor lokale
besturen
- Vlaams Digitaal TekenPlatform
V-ICT-OR 2012/04/26
28
2.0 e-IB in vogelvlucht
• e-IB = e-Government en ICT-Beheer, onderdeel van de Vlaamse overheid
• Missie van e-IB : leveren van ICT-diensten met het oog op het optimaliseren van
het ICT-gebeuren binnen de Vlaamse overheid en in haar relatie met burgers,
bedrijven en andere overheden.
• Zij doet dit door :
– Het leveren van ICT-diensten aan de verschillende entiteiten van de
Vlaamse overheid (door het ter beschikking te stellen van contracten)
– Het uitbouwen van ICT- en e-gov shared platformen, generieke en
gemeenschappelijke bouwstenen
– Het leveren aan advies
– Het leveren van een bijdrage aan het ICT-beleid
V-ICT-OR 2012/04/26
29
2.1 VO IAM : Gebruikersbeheer WebIDM
– VO WebIDM (voor lokale besturen) biedt volgende functies:
• Het definiëren en administreren van gebruikers
• Het definiëren en administreren van privileges
• Het loggen van de acties
– Het platform
•
•
•
•
laat delegatie van rechten toe
wordt door het VO toegangsbeheer gebruikt voor de verificatie van de identiteiten
maakt gebruik van federale authentieke bronnen (zoals RR) via de MAGDA-services
provisioneert gebruikersgegevens en bijhorende privileges naar de federale overheid met het oog op
het ontsluiten van federale toepassingen (digiflow, eBirth, KBO Select) naar lokale besturen
V-ICT-OR 2012/04/26
30
2.1 VO IAM Gebruikersbeheer WebIDM +
•
Momenteel worden de identiteiten en privileges van gebruikers op federale
toepassingen gepushed naar de federale overheid. Binnenkort wordt dit mechanisme
vervangen door een “pull” mechanisme (publicatie van identiteitsinformatie)
•
In de toekomst zullen bijkomende functies worden voorzien:
–
–
–
–
Beheer van entitlements
Zelfbeheer
Zelfactivatie
Mandatering
V-ICT-OR 2012/04/26
31
2.2 VO IAM : Toegangsbeheer ACMWeb
– VO ACMWeb is het Vlaams platform voor toegangsbeheer voor WebToepassingen.
Dit platform verzorgt volgende functies:
• Het definiëren en administreren van de regels voor toegangscontrole (het PAP)
• Het uitvoeren van de toegangscontrole (de PEP’s)
• Het authenticeren op basis van VO-specifieke credentials
(VO-tokens)
• Het loggen van de acties
– Het platform
• wordt gebruikt voor het veilig ontsluiten van VO toepassingen naar onder andere lokale besturen.
• Het platform is gekoppeld met het VO gebruikersbeheer met het oog op de verificatie van de identiteit
van een persoon.
• is gekoppeld met de FAS-diensten voor de authenticatie op basis van het federaal token en de
verificatie van het e-ID certificaat.
V-ICT-OR 2012/04/26
32
2.2 VO IAM Toegangsbeheer ACMWeb +
•
Actueel werkt de VO aan de implementatie van een nieuw toegangsbeheersplatform :
ACM3, die “federation” ondersteunt.
•
Dmv “federation” worden authenticatie- en autorisatiesgegevens over entiteiten heen
gedeeld waardoor de gebruiker kan navigeren naar verschillende toepassingen bij
verschillende (overheids)instanties, zonder zich telkens te moeten authenticeren (Single
SignOn).
V-ICT-OR 2012/04/26
33
2.3 VO IAM : Toegangsbeheer ACMWS
– VO ACMWS is het Vlaams platform voor toegangsbeheer voor WebServices. Dit
platform verzorgt volgende functies:
•
•
•
•
Het definiëren en administreren van de regels voor toegangscontrole (het PAP)
Het uitvoeren van de toegangscontrole (de PEP’s)
Het valideren van de certificaten
Het loggen van de acties
– Het platform
• wordt gebruikt voor het veilig ontsluiten van Web services naar onder andere lokale besturen.
• Het platform is gekoppeld met de Certificaat Authority voor de verificatie van het certificaat.
V-ICT-OR 2012/04/26
34
2.3 VO IAM Toegangsbeheer ACMWS +
•
Actueel werkt de VO aan de vernieuwing van het ACMWS platform. Deze vernieuwing
beoogt de robuustheid en capaciteit te verhogen naar aanleiding van het toenemend
gebruik.
•
Daarnaast wordt een tool geïmplementeerd op basis waarvan de lokale besturen
applicatieve certificaten kunnen aanvragen.
V-ICT-OR 2012/04/26
35
2.4 VO Magda diensten
• het Magda platform levert diensten voor de veilige ontsluiting van authentieke
gegevensbronnen .
Actueel betreft het :
– Gegevens over personen
– Gegevens over bedrijven
– Adresinformatie
– Gegevens uit andere authentieke bronnen (zoals gebouwen, percelen en grootschalige
kaartgegevens)
• Het betreft de ontsluiting van Vlaamse en federale (aldanniet verrijkt met
informatie op Vlaams niveau – bijv. VKBO) authentieke bronnen ten behoeve
van de entiteiten van de Vlaamse overheid.
V-ICT-OR 2012/04/26
36
2.5 VO DTP
– VO DTP is het Vlaams platform voor het plaatsen van digitale handtekeningen. Dit
platform heeft volgende functies:
• Het tekenklaar maken van documenten voor het rechtsgeldig handtekenen.
(Ondertekenen document gebeurt op de pc van de gebruiker).
– Het platform
•
•
•
•
•
•
ondersteunt meerdere documenten en dossiers (meerdere formaten ondersteund).
Laat toe dat documenten door meerdere partijen wordt ondertekend.
genereert gebruiksvriendelijke pdf-documenten dmv het principe van WYSIWYS.
is bruikbaar vanaf verschillende platformen (ondersteunt Windows, Mac, Linux, …)
is aanspreekbaar via een mailinterface (reeds geactiveerd voor LB) en een web interface
Kan gekoppeld worden met het VO Gebruikersbeheer.
V-ICT-OR 2012/04/26
37
2.5 VO DTP +
In de toekomst
– zal ook form signing worden ondersteund.
– wordt gekeken naar een equivalent vo or het plaatsen van stempels.
– wordt een alternatief uitgewerkt voor een aangetekende zending.
– …
V-ICT-OR 2012/04/26
38
Vragen & Antwoorden
V-ICT-OR 2012/04/26
39