390 likes | 582 Views
Bouwen op sterktes! Wij willen alle entiteiten van de Vlaamse overheid maximaal ondersteunen door het aanbieden van ICT- en e-governmentdiensten , -producten en -advies, om op die manier bij te dragen tot de optimale werking van de Vlaamse overheid als geheel.
E N D
Bouwen op sterktes! Wij willen alle entiteiten van de Vlaamse overheid maximaal ondersteunen door het aanbieden van ICT- en e-governmentdiensten, -producten en -advies, om op die manier bij te dragen tot de optimale werking van de Vlaamse overheid als geheel. Het reproduceren, ook gedeeltelijk, van dit document is toegestaan mits duidelijke vermelding van de bron: “Vlaamse overheid, Bestuurszaken, entiteit e-government en ICT-Beheer”.
Enkele bouwstenen voor e-government: IAM/AIM V-ICT-OR Shopt IT 2012 26/4/2012 Wim Martens - eIB Classificatie: publiek
Agenda • Intergouvernementele samenwerking • Overzicht Fedict Diensten • VO IAM diensten voor lokale besturen • WebIDM : identiteitenbeheer voor lokale besturen • Toegangsbeheer Vlaamse toepassingen voor lokale besturen • Vlaams Digitaal TekenPlatform V-ICT-OR 2012/04/26
1.1 Basisprincipes Toegangsbeheer • Basisprincipes inzake toegangsbeheer zijn: • Het definiëren en administreren van de regels voor toegangscontrole is de verantwoordelijkheid van de aanbieder van de toepassing. Vermits deze regels telkens geraadpleegd worden bij het uitvoeren van de toegangscontrole, gebeurt de definitie en administratie het best op een platform bij de entiteit die de toepassing host. • Het uitvoeren van toegangscontrole is nauw verbonden met de applicatie-architectuur en de veiligheidsomgeving waarbinnen de toepassing wordt gehost. Daarom, en omwille van de noodzakelijke beschikbaarheid van de toepassing, wordt toegangscontrole het best afgedwongen bij de entiteit die de toepassing host. • Authenticatiediensten en diensten mbt de verificatie van de identiteit zijn kritiek. Deze worden best met zeer hoge garanties (qua beschikbaarheid) aangeboden door de overheid of organisatie die betreffende identiteiten beheert en de bijhorende credentials aflevert. V-ICT-OR 2012/04/26
1.2 Basisprincipes Gebruikersbeheer • Basisprincipes inzake gebruikersbeheer zijn: • Betrouwbare (authentieke) bronnen inzake identiteit en attributen, rollen en mandaten zijn cruciaal voor een veilige ontsluiting. (Authentieke) bronnen worden best beheerd door de overheid of organisatie die “toezichthoudend” is op de betreffende gegevens. • Voornoemde informatie dient gepubliceerd d.m.v. publicatie diensten. Hier zijn er verschillende pistes mogelijk die een evenwicht dienen te bieden tussen nood aan een directe toegang tot de echte authentieke bron en een snelle toegang door betreffende access control omgeving, gaande van directe ontsluiting vanuit aanbieder, tot ontsluiting/kopie aan zijde access control omgeving, tot indirecte ontsluiting via “integrator”. V-ICT-OR 2012/04/26
1.3 Intergouvernementele samenwerking Voor het efficiënt ontsluiten / uitwisselen van informatie met overheden, burgers, ed: • is een goede samenwerking noodzakelijk tussen de verschillende heterogene spelers / domeinen en hun ACM / IDM-systemen (cfr “circles of trust”) • en met name op het vlak van het ontsluiten van (authentieke) bronnen – aka policy information points – aan elkaar. < < toegangsbeheer >> < < gebruikersbeheer >> V-ICT-OR 2012/04/26
Agenda • Intergouvernementele samenwerking • Overzicht Fedict Diensten • VO IAM diensten voor lokale besturen • WebIDM : identiteitenbeheer voor lokale besturen • Toegangsbeheer Vlaamse toepassingen voor lokale besturen • Vlaams Digitaal TekenPlatform V-ICT-OR 2012/04/26
Overview of Fedict Application Integration & Middleware and Identity & Access Management Services v0003 – 26/04/2012 Walter Van Assche (Fedict Sponsor IAM-AIM) Luc Van Tilborgh (Fedict AIM Program mgr) Jan Vanhaecht (voor Fedict, Architect IAM)
Table of contents Overview of Fedict AIM and IAM Services V-ICT-OR 2012/04/26
Introduction to fedict Information and Communication Technology Federal Public Service • Royal Decree May 11, 2001 • Develops & Implements e-gov strategy • Supports other departments (“virtual matrix”) • Develops & Implements Guidelines/Standards • Develops & Supports common infrastructure • Manages the inter-gov relationships • Total Solution (integrated services) • “I will say it only once” – Authoritative [Data] Source (even between governments) – limit admin. formalities • Customer focus / User friendly • Transparent & Respect for Privacy • No digital divide (channel neutral) • Minimal cost / reliable / available / performance V-ICT-OR 2012/04/26
Fedict services integration eShop concept Well structured architecture Offering more than a nice facade V-ICT-OR 2012/04/26
Table of contents Overview of Fedict AIM and IAM Services V-ICT-OR 2012/04/26
Introducing FSB Today’s challenges: Our answer: Service Oriented Architecture V-ICT-OR 2012/04/26
FSB Approach : Open Approach Fedict facilitates access to Authentic sources via web services and FSB WEB Application WEB Application Regional or Local SB security + trust Federal Service Bus FEDMAN Federal Authentic sources Local or Regional Authentic sources V-ICT-OR 2012/04/26
FSB Governance : FSB Platform Registry Service Bus Service Bus Supports services development Runs Services Shows content FSB to Customer DEVELOPMENT TEST & ACCEPTANCE Repository Service development & testing beta testing Describes FSB Services Stores RFCs, FSB service designs, Test reports, Provider SLAs Manages Consumption Contracts Audits SOAP Services @ designtime INTEGRATION PRODUCTION production Load & Integration testing Policies, Enforcement, Monitoring Authentication / Autorization Monitoring tool Report Engine FSB Management Operation Poller Content based defense Message throttling Duplicate protecting Message Logging Stores SNMP messages Trigger alerts Sends alerts Verifies WSDLs Access Control List Access Windows FSB Service availability Calls Management operations Checks services availability V-ICT-OR 2012/04/26
FSB Examples : PersonService Task services Entity services Utility services Rijksregister GetPersonservice NRaccessservice NREntityservice SearchPersonservice ManagePersonservice Social Security Consumers SSRaccessservice SSREntityservice PersonLegacyservice V-ICT-OR 2012/04/26
FSB Examples : eBirth Hospital eHealth National Register Munipality of residence Social Security Munipality place of birth V-ICT-OR 2012/04/26
FSB Examples : Digiflow 3.0 V-ICT-OR 2012/04/26
Registry : http://registry.fsb.belgium.be V-ICT-OR 2012/04/26
Table of contents Overview of Fedict AIM and IAM Services V-ICT-OR 2012/04/26
Why IAM within eGovernment context? Coexistence versus integration • Strategy used to be: • Every “silo” of governmental administrations should be able to function independently and thus put it’s own emphasis on the mechanisms used for fulfilling IAM requirements in eGovernment services Coexistence of eGov IAM platforms • Recent shift in strategy: • Leverage the strengths of the individual platforms, and enhance the reuse of components amongst eGovernment services Integration of eGov IAM platforms V-ICT-OR 2012/04/26
Fedict IAM Service overview … Getting Access Granting Access More than just logging in to an application… RRN KBO Authentic Source AuthenticSources LegalRepresentative User (Head) AccessAdministrator (Delegated)AccessAdministrator V-ICT-OR 2012/04/26
Fedict IAM components evolution / FAS upgrade FAS before upgrade FAS after upgrade Features Authentication + Session Service: Allows for Single Sign On between eGovernment applications Makes it possible to offer new authentication methods like mobile identity services in the (near) future Works with upgraded protocol (SAML2), making configurable customer integration possible in many cases (although an “integration toolkit” will be made available to facilitate migration) Upgrading to an advanced Identity & Access Management solution with a solid foundation Timeline: 2003 Basic service introduction offering Citizen Token and eID support 11/2012 Planned end-of-life of current FAS version Communication on transition to the upgraded FAS will follow in very near future (pilot transitions are already being performed) Timeline: 2009 Infrastructure available production for internal (Fedict) use only Q2 2010 Available for non Fedict applications Q2 2012 Put into production for Tax-On-Web Citizens Q12013 Planned infrastructure & feature upgrade • Features • “Pure Authentication” service • Allows (primarily) for authentition based on: • eID • Citizen Token • Publishes attributes in SAML1 protocol, typically requiring deployment of a specific toolkit for integration into an application V-ICT-OR 2012/04/26
Fedict IAM components preview Fedict IAM 2011 Fedict IAM 2012 Upgrading to an advanced Identity & Access Management solution with a solid foundation V-ICT-OR 2012/04/26
Fedict IAM Service overview More than just logging in to an application… … Getting Access Granting Access Tax-on-Web Citizens RRN KBO Authentic Source AuthenticSources • Authentication based on eID or Citizen Token • No implicit permissions necessary (FODFin has all necessary information “locally” available) • No Explicit permissions required (general rule: every person has access to his/her own tax declaration and if applicable the tax declaration of his/her spouse) LegalRepresentative User (Head) AccessAdministrator (Delegated)AccessAdministrator V-ICT-OR 2012/04/26
Fedict IAM Service overview More than just logging in to an application… … Getting Access Granting Access Digiflow RRN KBO Authentic Source AuthenticSources • Authentication based on eID or Citizen Token • No implicit permissions necessary (Digiflow users PersonServices via FSB) • Explicit permissions required: • Flemish Region • “Gebruikersbeheer van de Vlaamse overheid” • Walloon & Brussels region: • Role Admin of Fedict Abstraction layer provided by Fedict IAM, offering a Signle Point of Contact to the application LegalRepresentative User (Head) AccessAdministrator (Delegated)AccessAdministrator V-ICT-OR 2012/04/26
Thank you Fedict Maria-Theresiastraat 1/3 Rue Marie-Thérèse Brussel 1000 Bruxelles TEL. +32 2 212 96 00 | FAX +32 2 212 96 99 info@fedict.belgium.be | www.fedict.belgium.be
Agenda • Intergouvernementele samenwerking • Overzicht Fedict Diensten • VO IAM diensten voor lokale besturen • WebIDM : identiteitenbeheer voor lokale besturen • Toegangsbeheer Vlaamse toepassingen voor lokale besturen • Vlaams Digitaal TekenPlatform V-ICT-OR 2012/04/26
2.0 e-IB in vogelvlucht • e-IB = e-Government en ICT-Beheer, onderdeel van de Vlaamse overheid • Missie van e-IB : leveren van ICT-diensten met het oog op het optimaliseren van het ICT-gebeuren binnen de Vlaamse overheid en in haar relatie met burgers, bedrijven en andere overheden. • Zij doet dit door : • Het leveren van ICT-diensten aan de verschillende entiteiten van de Vlaamse overheid (door het ter beschikking te stellen van contracten) • Het uitbouwen van ICT- en e-gov shared platformen, generieke en gemeenschappelijke bouwstenen • Het leveren aan advies • Het leveren van een bijdrage aan het ICT-beleid V-ICT-OR 2012/04/26
2.1 VO IAM : Gebruikersbeheer WebIDM • VO WebIDM (voor lokale besturen) biedt volgende functies: • Het definiëren en administreren van gebruikers • Het definiëren en administreren van privileges • Het loggen van de acties • Het platform • laat delegatie van rechten toe • wordt door het VO toegangsbeheer gebruikt voor de verificatie van de identiteiten • maakt gebruik van federale authentieke bronnen (zoals RR) via de MAGDA-services • provisioneert gebruikersgegevens en bijhorende privileges naar de federale overheid met het oog op het ontsluiten van federale toepassingen (digiflow, eBirth, KBO Select) naar lokale besturen V-ICT-OR 2012/04/26
2.1 VO IAM Gebruikersbeheer WebIDM + • Momenteel worden de identiteiten en privileges van gebruikers op federale toepassingen gepushed naar de federale overheid. Binnenkort wordt dit mechanisme vervangen door een “pull” mechanisme (publicatie van identiteitsinformatie) • In de toekomst zullen bijkomende functies worden voorzien: • Beheer van entitlements • Zelfbeheer • Zelfactivatie • Mandatering V-ICT-OR 2012/04/26
2.2 VO IAM : Toegangsbeheer ACMWeb • VO ACMWeb is het Vlaams platform voor toegangsbeheer voor WebToepassingen. Dit platform verzorgt volgende functies: • Het definiëren en administreren van de regels voor toegangscontrole (het PAP) • Het uitvoeren van de toegangscontrole (de PEP’s) • Het authenticeren op basis van VO-specifieke credentials (VO-tokens) • Het loggen van de acties • Het platform • wordt gebruikt voor het veilig ontsluiten van VO toepassingen naar onder andere lokale besturen. • Het platform is gekoppeld met het VO gebruikersbeheer met het oog op de verificatie van de identiteit van een persoon. • is gekoppeld met de FAS-diensten voor de authenticatie op basis van het federaal token en de verificatie van het e-ID certificaat. V-ICT-OR 2012/04/26
2.2 VO IAM Toegangsbeheer ACMWeb + • Actueel werkt de VO aan de implementatie van een nieuw toegangsbeheersplatform : ACM3, die “federation” ondersteunt. • Dmv “federation” worden authenticatie- en autorisatiesgegevens over entiteiten heen gedeeld waardoor de gebruiker kan navigeren naar verschillende toepassingen bij verschillende (overheids)instanties, zonder zich telkens te moeten authenticeren (Single SignOn). V-ICT-OR 2012/04/26
2.3 VO IAM : Toegangsbeheer ACMWS • VO ACMWS is het Vlaams platform voor toegangsbeheer voor WebServices. Dit platform verzorgt volgende functies: • Het definiëren en administreren van de regels voor toegangscontrole (het PAP) • Het uitvoeren van de toegangscontrole (de PEP’s) • Het valideren van de certificaten • Het loggen van de acties • Het platform • wordt gebruikt voor het veilig ontsluiten van Web services naar onder andere lokale besturen. • Het platform is gekoppeld met de Certificaat Authority voor de verificatie van het certificaat. V-ICT-OR 2012/04/26
2.3 VO IAM Toegangsbeheer ACMWS + • Actueel werkt de VO aan de vernieuwing van het ACMWS platform. Deze vernieuwing beoogt de robuustheid en capaciteit te verhogen naar aanleiding van het toenemend gebruik. • Daarnaast wordt een tool geïmplementeerd op basis waarvan de lokale besturen applicatieve certificaten kunnen aanvragen. V-ICT-OR 2012/04/26
2.4 VO Magda diensten • het Magda platform levert diensten voor de veilige ontsluiting van authentieke gegevensbronnen . Actueel betreft het : • Gegevens over personen • Gegevens over bedrijven • Adresinformatie • Gegevens uit andere authentieke bronnen (zoals gebouwen, percelen en grootschalige kaartgegevens) • Het betreft de ontsluiting van Vlaamse en federale (aldanniet verrijkt met informatie op Vlaams niveau – bijv. VKBO) authentieke bronnen ten behoeve van de entiteiten van de Vlaamse overheid. V-ICT-OR 2012/04/26
2.5 VO DTP • VO DTP is het Vlaams platform voor het plaatsen van digitale handtekeningen. Dit platform heeft volgende functies: • Het tekenklaar maken van documenten voor het rechtsgeldig handtekenen. (Ondertekenen document gebeurt op de pc van de gebruiker). • Het platform • ondersteunt meerdere documenten en dossiers (meerdere formaten ondersteund). • Laat toe dat documenten door meerdere partijen wordt ondertekend. • genereert gebruiksvriendelijke pdf-documenten dmv het principe van WYSIWYS. • is bruikbaar vanaf verschillende platformen (ondersteunt Windows, Mac, Linux, …) • is aanspreekbaar via een mailinterface (reeds geactiveerd voor LB) en een web interface • Kan gekoppeld worden met het VO Gebruikersbeheer. V-ICT-OR 2012/04/26
2.5 VO DTP + In de toekomst • zal ook form signing worden ondersteund. • wordt gekeken naar een equivalent vo or het plaatsen van stempels. • wordt een alternatief uitgewerkt voor een aangetekende zending. • … V-ICT-OR 2012/04/26
Vragen & Antwoorden V & A V-ICT-OR 2012/04/26