780 likes | 963 Views
KSZ-BCSS. Naar een dienstgeoriënteerde architectuur en het gemeenschappelijk gebruik van basisdiensten. Kruispuntbank van de Sociale Zekerheid. Plan van de uiteenzetting. interoperabele ICT op basis van een dienst-georiënteerde architectuur (service oriented architecture – SOA)
E N D
KSZ-BCSS Naar een dienstgeoriënteerde architectuur en het gemeenschappelijk gebruik van basisdiensten Kruispuntbank van de Sociale Zekerheid
Plan van de uiteenzetting • interoperabele ICT op basis van een dienst-georiënteerde architectuur (service oriented architecture – SOA) • overzicht van een aantal aangeboden basisdiensten • gebruikers- en toegangsbeheer • ticketing en ontvangstmedling • persoonlijke pagina’s • logging • customer relationship management (CRM) • status questionis inzake aanvaarde mandaten om op te treden namens ondernemingen en burgers
Interoperabele ICT • dienstgeoriënteerde architectuur (SOA – Service Oriented Architecture) • gelaagd • gebaseerd op open standaarden of minstens open specificaties • gebaseerd op componenten • modulair • flexibel • uitbreidbaar • veilig
Dienstgeoriënteerde architectuur “Service Oriented Architecture (SOA) is a paradigm for organizing and utilizing distributed capabilities that may be under the control of different ownership domains. It provides a uniform means to offer, discover, interact with and use capabilities to produce desired effects consistent with measurable preconditions and expectations. Enterprise architects believe that SOA can help businesses respond more quickly and cost-effectively to the changing market conditions. This style of architecture promotes reuse at the macro (service) level rather than micro levels (eg. objects). It also makes interconnection of existing IT assets trivial.” (OASIS Reference Group)
Gelaagde architectuur Presentatie Toepassingen Businessdiensten Basisdiensten Gegevens
Open specificaties en open standaarden • open specificatie: specificatie die voldoende is om een volledig functionerende toepassing te schrijven en vrij is van juridische beperkingen die de verspreiding en het gebruik bemoeilijken • open standaard: open specificatie die goedgekeurd is door een onafhankelijke standaardenorganisatie • voornaamste internationale, onafhankelijke standaardenorganisaties • International Organization for Standardization (ISO) (http://www.iso.org) • World Wide Web Consortium (W3C) (http://www.w3.org) • OASIS (http://www.oasis-open.org)
Open specificaties en open standaarden • voorbeelden • karaktersets • interconnectie • uitwisseling van berichten • uitwisseling van documenten • opslag van berichten • opslag van documenten • compressie van documenten • beveiliging • zie bijvoorbeeld http://www.ksz.fgov.be/documentation/nl/documentation/ Pers/OpenstandaardenNL_FEDICT.pdf
Componenten • welafgebakende, autonoom functionerende componenten • die op basis van een dienstgeoriënteerde architectuur onderling en met externe componenten interopereren via open standaarden • zodat een maximale flexibiliteit bestaat • om andere componenten aan te sluiten • om componenten toe te voegen • om componenten te vervangen door andere componenten • om componenten te hergebruiken voor andere doeleinden • in functie van • de evoluerende behoeften • de evoluerende technologische mogelijkheden • zonder impact op de bestaande componenten • met beroep op open concurrentie voor de uitbouw van de aan te sluiten, toe te voegen of te vervangen componenten
Gegevens en informatie • persoonsgegevens • volgens taakverdeling opgeslagen en beheerd in onderling complementaire authentieke gegevensbanken • niet-persoonsgebonden informatie • modulair en up to date opgeslagen in algemeen toegankelijke content management systemen • met gestandaardiseerde metadata, gebaseerd op gestandaardiseerde thesauri • met scheiding van inhoud, metadata en vorm (hergebruiken, niet herschrijven) • onderwerpbaar aan automatische reïndexatie
Gegevens en informatie • beleids- en onderzoeksondersteunende informatie • door samenbrengen van gegevens uit operationele systemen in datawarehouses • met benaderingsmogelijkheden van gegevens via verschillende dimensies en granulariteitsgraden • met krachtige exploratie-, analyse- en visualisatietools • bij voorkeur in real time (on line analytical processing – OLAP)
Basisdiensten • componenten die een generieke dienst aanbieden aan elke businessdienst die ze wil gebruiken • toegevoegde waarde • besparing op ontwikkelings- en exploitatiekost: develop once, use many • biedt de ontwikkelaars van businessdiensten en toepassingen de mogelijkheid om zich op de businessdiensten te concentreren • coherentie voor de gebruikers over de onderscheiden toepassingen heen • vergemakkelijkt het aanbod en de monitoring van processen en procesketens
Basisdiensten • gebruikers- en toegangsbeheer voor burgers, ondernemingen en beroepsbeoefenaars • elektronische handtekening • transformatie van formaten • ticketing en ontvangstmelding • time stamping • routing • statusbeheer • orchestratie • logging • persoonlijke pagina’s • customer relationship management (CRM) • ...
Basisdiensten personal pages logging user & access mgt electronic signature ticketing/ receipt transfor-mation … orches-tration
Businessdiensten en toepassingen • ontwikkeling van businessdiensten door coördinatie van componenten en gebruik van de basisdiensten • ontwikkeling van toepassingen afgestemd op de behoeften van de onderscheiden soorten gebruikers door coördinatie van businessdiensten • waarbij dezelfde componenten en basisdiensten kunnen worden gebruikt worden voor het ontwikkelen van verschillende businessdiensten, en dezelfde businessdiensten voor het ontwikkelen van verschillende toepassingen
Toepassingen Clients Application Application Application Exposed services Enterprise Service Bus Enterprise Application Integration Orchestration Orchestration Consulted services Providers Application Application Application
Toepassingsintegratie via web services Web service: softwarecomponent die een eenduidig zelfbeschreven functionaliteit aanbiedt en gedistribueerd aangeroepen wordt door gebruik te maken van standaard internettechnologie web services repository (WSDL) (opzoeken web service) UDDI UDDI (registratie web service) XML/SOAP XML/SOAP web services client web services provider XML/SOAP
Toepassingsintegratie in federale overheid • middlewareomgevingen • Enterprise Application Integration omgeving in sociale sector, beheerd door de Kruispuntbank van de Sociale Zekerheid • Universal Messaging Engine (FEDICT), met evolutie naar Federal Service Bus • CommunicatieCentrum van de Federale Fiscaliteit (CCFF) in uitbouw in de FOD Financiën • Enterprise Application Integration omgeving in uitbouw in de FOD Justitie in het kader van het Fenix-project • onderling verbonden netwerken • extranet van de sociale zekerheid tussen instellingen van sociale zekerheid • FEDMAN tussen federale overheidsdiensten • extranets van andere overheidsniveaus • internet en daarop virtuele private netwerken
Presentatie-integratie: portaalsites • web sites • met geïntegreerde presentatie van • informatie, bij voorkeur beheerd in content management systemen • transacties • met single log on of single sign on • eventueel ondersteund door customer relationship management tools
Presentatie-integratie: portaalsites • gepersonaliseerd, intentiegericht of doelgroepgericht • gepersonaliseerd • look & feel en interface • inhoud (enkel relevante informatie en transacties) • gepersonaliseerde ondersteuning, bvb. • gebruik van beschikbare persoonsgegevens • contextgevoelige hulp aangepast aan de gebruiker (bvb. tekst, mondelinge uitleg, hulp bij het gebruik van elektronische devices, procesbegeleiding, ...) • eigen taal • aangepast vocabularium • on-line simulaties • intentie- of doelgroepgericht • gebeurtenissen (vb. geboorte, huwelijk, opstart van een bedrijf, ...) • levensdomeinen (vb. cultuur, sport, ...) • sociale status (vb. werknemer, werkloze, gepensioneerde, ...) of bedrijfssector • doelgroepen
Portaalsites: niet tussenpersonen personeel leveranciers • gebruikers • burgers • ondernemingen partners • PORTAL B • single sign on • personalisatie • gebruikersgroepen • multi-channel • aggregatie • PORTAL A • single sign on • personalisatie • gebruikersgroepen • multi-channel • aggregatie content management content management transacties transacties gebruikers- beheer • back-end • systemen, vb. • ERP • groupware • DB’s • toepassingen gebruikers- beheer • back-end • systemen, vb. • ERP • groupware • DB’s • toepassingen
Portaalsites: wel tussenpersonen personeel leveranciers • klanten • burgers • ondernemingen partners • PORTAL A • single sign on • personalisatie • gebruikersgroepen • multi-channel • aggregatie • PORTAL B • single sign on • personalisatie • gebruikersgroepen • multi-channel • aggregatie gebruikers- beheer gebruikers- beheer • back-end • systemen, vb. • ERP • groupware • DB’s • toepassingen • back-end • systemen, vb. • ERP • groupware • DB’s • toepassingen content management content management transacties transacties
@ Contactcenter Eranova OISZ FOD Intern Presentatie-integratie: contact center • multimodaal bereikbaar: telefoon, e-mail, formulier op portaal, … • ondersteund door customer relationship management tool E-mail Telefoon Internet
Netwerk van dienstenintegratoren Diensten- integrator GOD GOD Diensten- cataloog Extranet gewest of gemeenschap Diensten- integrator (KSZ) Diensten- cataloog ISZ Extranet sociale zekerheid ISZ Internet Gemeente FOD ISZ VPN, Publilink, VERA, … FOD FedMAN Diensten- cataloog Diensten- integrator (FEDICT) Provincie Stad FOD Diensten- cataloog
Netwerk van dienstenintegratoren • soorten uitgewisselde informatie • gestructureerde gegevens • documenten • beelden • multimedia • metadata • business processen • op basis van web service technologie
Netwerk van dienstintegratoren • mogelijke taken van een dienstenintegrator (KSZ, FEDICT, …) • organisatie gegevensbeheer, basis- en businessdiensten, toepassingsintegratie en presentatie-integratie • organisatie veilig interoperabiliteitsframework • gebruikers- en toegangsbeheer • lijst van gebruikers (mensen, ondernemingen, toepassingen, …) • bepaling van mogelijke authentiseringsmiddelen voor elke dienst • beheer van autorisaties • welke dienst is toegankelijk voor welke type van gebruiker m.b.t. welke personen/ondernemingen in welke hoedanigheden in welke situatie en m.b.t. welke periode • preventieve controle op naleving van de autorisaties • logging van uitwisseling van persoonsgegevens
Netwerk van dienstenintegratoren • mogelijke taken van een dienstenintegrator • beheer van een verwijzingsrepertorium • welke personen/ondernemingen hebben een (elektronisch) dossier in welke hoedanigheden bij welke instanties m.b.t. welke periode • welke informatie is beschikbaar bij een bepaalde instantie wanneer zij een dossier beheert m.b.t. een bepaalde persoon/onderneming in een bepaalde hoedanigheid • beheer van een repertorium van de instanties die automatisch (wijzigingen van) gegevens wensen te verkrijgen • welke instanties wensen welke gegevens automatisch te verkrijgen in welke situaties m.b.t. welke personen/ondernemingen in welke hoedanigheden
Naar een taakverdeling ? • federale overheid, openbare instellingen van sociale zekerheid (OISZ) die stelsels of takken beheren, gewesten en gemeenschappen • klemtoon op gegevens- en dienstenlagen, met als resultaat businessdiensten bruikbaar door lokale besturen, meewerkende instellingen van sociale zekerheid en dienstverleners aan burgers en ondernemingen • desgewenst aanbod aan lokale besturen, meewerkende instellingen van sociale zekerheid en dienstverleners aan burgers en ondernemingen van standaardomgeving voor uitbouw toepassings- en presentatielaag • lokale besturen, meewerkende instellingen van sociale zekerheid en dienstverleners aan burgers en ondernemingen • klemtoon op uitbouw toepassings- en presentatielaag • minimale omgeving voor • beheer van eigen persoonsgegevens • beheer van workflow • gebruik van diensten van de federale overheid, de OISZ die stelsels of takken beheren, de gewesten en de gemeenschappen
Enkele aangeboden basisdiensten • gebruikers- en toegangsbeheer • begrippen • opfrissing werking elektronische identiteitskaart (EID) • policy enforcement model • huidige situatie • enkele evoluties • ticketing en ontvangstmelding • persoonlijke pagina’s • customer relationship management (CRM)
Gebruikers/toegangsbeheer - begrippen • entiteit: iemand die of iets dat moet kunnen worden geïdentificeerd, zoals een natuurlijk persoon, een onderneming, een vestiging van een onderneming, een machine of een toepassing • attribuut: een deeltje informatie over een entiteit • identiteit: een uniek nummer of een reeks attributen van een entiteit dat toelaat om eenduidig te weten wie de entiteit is; een entiteit heeft één en slechts één identiteit • kenmerk: een attribuut van een entiteit, ander dan de attributen die de identiteit van de entiteit bepalen, zoals een hoedanigheid, een functie in een bepaalde organisatie, een beroepskwalificatie, ...; een entiteit kan verschillende kenmerken hebben
Gebruikers/toegangsbeheer - begrippen • mandaat: een recht verstrekt door een geïdentificeerde entiteit aan een andere geïdentificeerde entiteit om in zijn naam en voor zijn rekening welbepaalde juridische handelingen te stellen • registratie: het proces waarbij de identiteit, een kenmerk van een entiteit of een mandaat met een voldoende zekerheid wordt vastgesteld, vooraleer middelen ter beschikking worden gesteld aan de hand waarvan de identiteit, een kenmerk of een mandaat kunnen worden geauthentiseerd of geverifieerd
Gebruikers/toegangsbeheer - begrippen • authenticatie van de identiteit: het proces waarbij wordt nagegaan of de identiteit die een entiteit beweert te hebben om gebruik te kunnen maken van een elektronische dienst, de juiste identiteit is; authenticatie van een identiteit kan geschieden op basis van een controle • van kennis (vb. een paswoord) • van een bezit (vb. een certificaat op een elektronisch leesbare kaart) • van biometrische eigenschappen • van een combinatie van één of meerdere van deze middelen
Gebruikers/toegangsbeheer - begrippen • verificatie van een kenmerk of een mandaat: het proces waarbij wordt nagegaan of een kenmerk of een mandaat die een entiteit beweert te hebben om gebruik te kunnen maken van een elektronische dienst, effectief een kenmerk of een mandaat van deze entiteit is; verificatie van een kenmerk of een mandaat kan geschieden op basis van • dezelfde soort middelen als deze gebruikt voor de authenticatie van de identiteit • na authenticatie van de identiteit van een entiteit, door de raadpleging van een gegevensbank waarin kenmerken of mandaten m.b.t. een geïdentificeerde entiteit worden opgeslagen
Gebruikers/toegangsbeheer - begrippen • autorisatie: een toelating voor een entiteit om een welbepaalde actie te verrichten of een welbepaalde dienst te gebruiken • autorisatiegroep: een groep van autorisaties • rol: een groep van autorisaties of autorisatiegroepen gerelateerd aan een welbepaalde dienst • role based access control (RBAC): een methode waarbij de toewijzing van autorisaties aan entiteiten geschiedt via autorisatiegroepen en rollen, om het beheer van de autorisaties en de toewijzing ervan aan entiteiten administratief te vereenvoudigen Autorisatie Entiteit Rol Dienst (groep)
Elektronische identiteitskaart (EID) • weerhouden functies • visuele en elektronische identificatie van de houder • elektronische authenticatie van de identiteit van de houder d.m.v. techniek van digitale handtekening • plaatsen van elektronische handtekening d.m.v. techniek van digitale handtekening • geen opslag van andere elektronische gegevens, maar bevorderen van gecontroleerde toegang tot gegevens via netwerken, met elektronische identiteitskaart als toegangsinstrument • vermijden van perceptie van kaart als ‘big brother’ • vermijden van verlies van veel gegevens bij verlies van de kaart • vermijden van nood tot veelvuldige updating van de kaart
CA CA publieke sleutel publieke sleutel digitale handtekening 04/07/2006 36 Kruispuntbank van de Sociale Zekerheid
EID – enkele begrippen • authenticatiecertificaat: authenticatie van identiteit – gebruik vereist ingave van paswoord, eenmaal per sessie • handtekeningcertificaat: plaatsen van juridisch geldige elektronische handtekening – gebruik vereist ingave van paswoord telkens een elektronische handtekening wordt geplaatst • gemeenten vervullen de functie van registratie-autoriteit (RA): ‘loket' waar certificaat wordt aangevraagd en dat nagaat of opgegeven identiteit juist is; zo ja, keurt ze aanvraag goed, en meldt dit aan certificatie-autoriteit
EID – enkele begrippen • Certipost vervult de functie van certificatie-autoriteit (CA): produceert op basis van de informatie die ze van de RA heeft verkregen een certificaat, dat ze verbindt met een sleutelpaar en dat aangeeft wat dat sleutelpaar voortaan bewijst, en beheert dat certificaat
hash Alice Alice Alice EID 1. Compose message 3. Generate signature 5. Collect certificate 2. Compute hash 4. Collect signature 6. Send message Matching triplet? 7 6 1 1 6 hash CRL 8 2 2 5 4 5 3, 4 3 Alice Bob 1. Receive message3. Check CRL/OCSP5. Fetch public key 7. Compute reference hash 2. Inspect certificate4. Check certificate6. Fetch signature 8. Hash, signature, public keymatch?
EID • EID • elektronische identificatie en authenticatie van de identiteit van de natuurlijke personen ouder dan 12 jaar die zijn ingeschreven in de bevolkingsregisters • elektronische handtekening van die personen • nog nood aan een oplossing voor de elektronische identificatie en de authenticatie van de identiteit van de personen • jonger dan 12 jaar • die niet in de bevolkingsregisters ingeschreven zijn • aanvullingen zijn ook nodig voor een volledig, geïntegreerd gebruikersbeheer, bvb. • verificatie van relevante kenmerken (vb. geneesheer, notaris, …) van een natuurlijke persoon • verificatie van een mandaat tussen een rechtspersoon of natuurlijke persoon waarop een elektronische dienst betrekking heeft en de persoon die deze dienst gebruikt • autorisaties tot het gebruik van de diensten
Policy Enforcement Model Actie op Actie toepassing op Policy GEWEIGERD toepassing Gebruiker Toepassing Toepassing TOEGESTAAN ( PEP ) Actie op toepassing Beslissings Beslissings aanvraag antwoord Informatie Vraag / Policy Ophalen Antwoord Policies Beslissing ( PDP ) Informatie Vraag / Antwoord Autorisatie Policy Administratie Policy Informatie Policy Informatie beheer ( PAP ) ( PIP ) ( PIP ) Beheerder Authentieke bron Authentieke bron Policy repository
Policy Enforcement Point (PEP) • onderscheppen van de autorisatieaanvraag met alle beschikbare informatie inzake de gebruiker, de gevraagde actie, de resources en de omgeving • de autorisatieaanvraag doorsturen naar het Policy Decision Point (PDP) en een autorisatiebeslissing afdwingen • toegang verlenen tot de toepassing en relevante credentials meegeven Actie op Actie toepassing op Policy GEWEIGERD toepassing Gebruiker Toepassing Toepassing TOEGESTAAN ( PEP ) Actie op toepassing Beslissings Beslissings aanvraag antwoord Policy Beslissing ( PDP )
Policy Decision Point (PDP) • op basis van de ontvangen autorisatieaanvraag de passende autorisation policy opzoeken in de Policy Administration Point(s) (PAP) • de policy evalueren en, zo nodig, de relevante informatie ophalen uit de Policy Information Point(s) (PIP) • de autorisatiebeslissing (permit/deny/not applicable) nemen en doorsturen naar het PEP Policy Toepassing ( PEP ) Beslissings Beslissings aanvraag antwoord Informatie Vraag / Policy Ophalen Antwoord Policies Beslissing ( PDP ) Informatie Vraag / Antwoord Policy Administratie Policy Informatie Policy Informatie ( PAP ) ( PIP ) ( PIP )
Policy Administration Point (PAP) • omgeving voor het bewaren en beheren van de autorisation policies door de bevoegde perso(o)n(en) aangeduid door de verantwoordelijke voor de toepassing • ter beschikking stellen van de autorisation policies aan het PDP Autorisatie Ophalen beheer Policies PDP PAP Beheerder Policy repository
Policy Information Point (PIP) • ter beschikking stellen aan het PDP van informatie voor het beoordelen van de autorisation policies (authentieke bronnen met kenmerken, mandaten, …) Informatie Vraag/ Antwoord PDP Informatie Vraag/ Antwoord PIP 1 PIP 2 Authentieke bron Authentieke bron
Principe van "cirkels van vertrouwen" • doel • vermijden van onnodige centralisatie • vermijden van onnodige bedreigingen voor de bescherming van de persoonlijke levenssfeer • vermijden van meervoudige identieke controles en opslag van loggings • methode: taakverdeling tussen de bij elektronische dienst-verlening betrokken instanties met duidelijke afspraken inzake • wie welke authenticaties, verificaties en controles verricht aan de hand van welke middelen en daarvoor verantwoordelijk en aansprakelijk is • hoe tussen de betrokken instanties de resultaten van de verrichte authenticaties, verificaties en controles op een veilige wijze elektronisch worden uitgewisseld • wie welke loggings bijhoudt • hoe ervoor wordt gezorgd dat bij onderzoek, op eigen initiatief van een controle-orgaan of n.a.v. klacht, een volledige tracing kan geschieden van welke natuurlijke persoon welke dienst of transactie m.b.t. welke burger of onderneming wanneer, via welk kanaal en voor welke doeleinden heeft gebruikt
Huidige situatie – algemene principes • er wordt een onderscheid gemaakt tussen 4 doelgroepen • burgers • medewerkers van de instellingen van sociale zekerheid (ISZ) • ondernemingen • andere actoren betrokken bij de sociale sector • de beschikbare informatie en transacties zijn ingedeeld op basis van een risico-analyse, en de vereiste procedures van registratie en authenticatie van de identiteit zijn afhankelijk van het vereiste niveau van veiligheid • 5 niveaus voor burgers en medewerkers van de instellingen van sociale zekerheid • 4 niveaus voor ondernemingen (geen apart niveau met gebruik van tokens)
Huidige situatie burgers • een burger krijgt op heden enkel toegang tot • openbare informatie en transacties • niet-openbare transacties m.b.t. zichzelf • dus enkel nood aan • registratie van de identiteit • authenticatie van de identiteit op een niveau aangepast aan de graad van gevoeligheid van de transactie • (vooralsnog) geen • verificatie van kenmerken • verificatie van mandaten • beheer van autorisaties