Bouwen op sterktes!

Wij willen alle entiteiten van de Vlaamse overheid maximaal ondersteunen door het aanbieden van ICT- en e-governmentdiensten, -producten en -advies, om op die manier bij te dragen tot de optimale werking van de Vlaamse overheid als geheel.

Het reproduceren, ook gedeeltelijk, van dit document is toegestaan mits duidelijke vermelding van de bron:“Vlaamse overheid, Bestuurszaken, entiteit e-government en ICT-Beheer”.

Enkele bouwstenen voor e-government: IAM/AIM

V-ICT-OR Shopt IT 201226/4/2012

Wim Martens - eIBClassificatie: publiek

3V-ICT-OR 2012/04/26

Agenda

1. Intergouvernementele samenwerking

2. Overzicht Fedict Diensten

3. VO IAM diensten voor lokale besturen- WebIDM : identiteitenbeheer voor lokale besturen - Toegangsbeheer Vlaamse toepassingen voor lokale

besturen- Vlaams Digitaal TekenPlatform

4V-ICT-OR 2012/04/26

1.1 Basisprincipes Toegangsbeheer• Basisprincipes inzake toegangsbeheer zijn:

– Het definiëren en administreren van de regels voor toegangscontrole is de verantwoordelijkheid van de aanbieder van de toepassing. Vermits deze regels telkens geraadpleegd worden bij het uitvoeren van de toegangscontrole, gebeurt de definitie en administratie het best op een platform bij de entiteit die de toepassing host.

– Het uitvoeren van toegangscontrole is nauw verbonden met de applicatie-architectuur en de veiligheidsomgeving waarbinnen de toepassing wordt gehost. Daarom, en omwille van de noodzakelijke beschikbaarheid van de toepassing, wordt toegangscontrole het best afgedwongen bij de entiteit die de toepassing host.

– Authenticatiediensten en diensten mbt de verificatie van de identiteit zijn kritiek. Deze worden best met zeer hoge garanties (qua beschikbaarheid) aangeboden door de overheid of organisatie die betreffende identiteiten beheert en de bijhorende credentials aflevert.

5V-ICT-OR 2012/04/26

1.2 Basisprincipes Gebruikersbeheer

• Basisprincipes inzake gebruikersbeheer zijn:

– Betrouwbare (authentieke) bronnen inzake identiteit en attributen, rollen en mandaten zijn cruciaal voor een veilige ontsluiting. (Authentieke) bronnen worden best beheerd door de overheid of organisatie die “toezichthoudend” is op de betreffende gegevens.

– Voornoemde informatie dient gepubliceerd d.m.v. publicatie diensten. Hier zijn er verschillende pistes mogelijk die een evenwicht dienen te bieden tussen nood aan een directe toegang tot de echte authentieke bron en een snelle toegang door betreffende access control omgeving, gaande van directe ontsluiting vanuit aanbieder, tot ontsluiting/kopie aan zijde access control omgeving, tot indirecte ontsluiting via “integrator”.

6V-ICT-OR 2012/04/26

1.3 Intergouvernementele samenwerkingVoor het efficiënt ontsluiten / uitwisselen van informatie met overheden, burgers, ed:

‒ is een goede samenwerking noodzakelijk tussen de verschillende heterogene spelers / domeinen en hun ACM / IDM-systemen (cfr “circles of trust”)

‒ en met name op het vlak van het ontsluiten van (authentieke) bronnen – aka policy information points – aan elkaar.

eTCT

FAS/Stork

TC

GebruikerMeerdere contexten Partiële identiteiten

E-Health

EPD

TC

Vlaanderen

VKB

O

TC

My B

elgium

TC

FederaalTaxO

nW

eb

TCTourism

eTC

Easi-Wall

Ma m

aison

TC

Kadaster

pensionen

TC

KSZ

Kadaster K

B

TC

Identity/Authenticationservices

E-Health Vlaanderen Federaal Easi-Wall KSZ

Attribute / Rolesources

Access Controlservices

eGov services& Applications

Artsen VlaamseLokale Besturen

Federale Ambtenaren

OnderwijsWallonië

INSZ-Register

Attribute / Rolepublication services

eTCT

TC

Identity / Privilige Mngt

< <

toeg

angs

behe

er

>>

< <

gebr

uike

rsbe

heer

>>

7V-ICT-OR 2012/04/26

Agenda

1. Intergouvernementele samenwerking

2. Overzicht Fedict Diensten

3. VO IAM diensten voor lokale besturen- WebIDM : identiteitenbeheer voor lokale besturen - Toegangsbeheer Vlaamse toepassingen voor lokale

besturen- Vlaams Digitaal TekenPlatform

Overview of Fedict Application Integration & Middleware and Identity & Access Management Servicesv0003 – 26/04/2012Walter Van Assche (Fedict Sponsor IAM-AIM)Luc Van Tilborgh (Fedict AIM Program mgr)Jan Vanhaecht (voor Fedict, Architect IAM)

V-ICT-OR 2012/04/26 9

• Introduction to Fedict• Fedict services integration

General Fedict introduction

Fedict Application Integration & Middleware ServicesFedict Identity and Access Management Services

Table of contentsOverview of Fedict AIM and IAM Services

V-ICT-OR 2012/04/26 10

Royal Decree May 11, 2001 Develops & Implements e-gov strategy Supports other departments (“virtual

matrix”) Develops & Implements

Guidelines/Standards Develops & Supports common

infrastructure Manages the inter-gov relationships

Total Solution (integrated services) “I will say it only once” – Authoritative

[Data] Source (even between governments) – limit admin. formalities

Customer focus / User friendly Transparent & Respect for Privacy No digital divide (channel neutral) Minimal cost / reliable / available /

performance

Introduction to fedictInformation and Communication Technology Federal Public Service

V-ICT-OR 2012/04/26 11

eShop concept Well structured architecture

Fedict services integrationOffering more than a nice facade

Identity and Acces Management

Security & Privacy

Access & Application environment

Transaction Environment

Network Environment

Citizens

Civilservants

Enterpriss

portal

Federal Metropolitan Area Network (FedMAN)

SPF /

FOD

SPP /

POD

REGI

ON

COMM

UNITY

LOCA

LGO

VERN

MENT

S

Othe

r Aut

horit

ies &

Insti

tutio

ns

Authoritative Sources

RRN

V-ICT-OR 2012/04/26 12

General Fedict introduction

• Introducing FSB• FSB Approach : Open Approach• FSB Governance : FSB Platform• FSB Examples : PersonService / eBirth / Digiflow • Registry : http://registry.fsb.belgium.be

Fedict Application Integration & Middleware Services

Fedict Identity and Access Management Services

Table of contentsOverview of Fedict AIM and IAM Services

V-ICT-OR 2012/04/26 13

Today’s challenges:Our answer: Service Oriented Architecture

Introducing FSB

SupplierSupplier

Consumer

Supplier

SupplierSupplier

Consumer

Supplier

V-ICT-OR 2012/04/26 14

Fedict facilitates access to Authentic sources via web services and FSB

FSB Approach : Open Approach

Federal Authentic sources

WEB Application

Local or Regional Authentic sources

WEB Application

Regional orLocal SBsecurity + trust

FEDMANFederal Service

Bus

V-ICT-OR 2012/04/26 15

FSB Governance : FSB Platform

Shows content FSB to Customer

Describes FSB ServicesStores RFCs, FSB service designs, Test reports,

Provider SLAsManages Consumption Contracts

Audits SOAP Services @ designtime

Registry Service BusSupports services development

Runs ServicesDEVELOPMENT

Service Bus

Service development & testing

INTEGRATIONLoad & Integration testing

TEST & ACCEPTANCE

PRODUCTION

beta testing

production

Repository

Policies, Enforcement, MonitoringReport Engine

Verifies WSDLs

Access Control List Access Windows

FSB Service availability

FSB Management Operation PollerCalls

Management operations

Checks services availability

Authentication / Autorization

Content based defenseMessage throttling

Duplicate protectingMessage Logging

Monitoring tool

Stores SNMP messagesTrigger alertsSends alerts

V-ICT-OR 2012/04/26 16

FSB Examples : PersonService

Consumers

Task services Entity services

Utility services

GetPersonservice

SearchPersonservice

ManagePersonservice

PersonLegacyservice

NREntity

service

SSREntity

service

NRaccessservice

SSRaccessservice

Rijksregister

Social Security

V-ICT-OR 2012/04/26 17

FSB Examples : eBirth

Munipalityof residence

Social Security

National Register

Hospital eHealth

Munipalityplace of birth

V-ICT-OR 2012/04/26 18

FSB Examples : Digiflow 3.0

V-ICT-OR 2012/04/26 19

Registry : http://registry.fsb.belgium.be

V-ICT-OR 2012/04/26 20

General Fedict introduction

Fedict Application Integration & Middleware Services

• Why IAM within eGovernment context?• Fedict IAM Service overview• Fedict IAM Examples ToW / Digiflow /

PassportCity• Fedict IAM Information model• Fedict IAM components evolution /FAS upgrade

Fedict Identity and Access Management Services

Table of contentsOverview of Fedict AIM and IAM Services

V-ICT-OR 2012/04/26 21

Strategy used to be: Every “silo” of governmental administrations should be able to function independently and

thus put it’s own emphasis on the mechanisms used for fulfilling IAM requirements in eGovernment services Coexistence of eGov IAM platforms

Recent shift in strategy: Leverage the strengths of the individual platforms, and enhance the reuse of components

amongst eGovernment services Integration of eGov IAM platforms

Why IAM within eGovernment context?Coexistence versus integration

V-ICT-OR 2012/04/26 22

Getting Access Granting Access

Fedict IAM Service overviewMore than just logging in to an application…

…KBORRN

AuthenticSources

AuthenticSource

(Head) AccessAdministrator

Assign Head Admin

Assign Delegated

Admin

Assign Application

Roles

LegalRepresentative

(Delegated)Access

Administrator

User

Authenticate

Attribute Collection

Explicit Permission

s

V-ICT-OR 2012/04/26 23

FAS before upgrade Features

“Pure Authentication” service Allows (primarily) for authentition based on:– eID– Citizen Token

Publishes attributes in SAML1 protocol, typically requiring deployment of a specific toolkit for integration into an application

FAS after upgrade Features

Authentication + Session Service:– Allows for Single Sign On between

eGovernment applications Makes it possible to offer new authentication

methods like mobile identity services in the (near) future

Works with upgraded protocol (SAML2), making configurable customer integration possible in many cases (although an “integration toolkit” will be made available to facilitate migration)

Fedict IAM components evolution / FAS upgradeUpgrading to an advanced Identity & Access Management solution with a solid

foundation

Timeline: 2003– Basic service introduction offering Citizen

Token and eID support 11/2012– Planned end-of-life of current FAS version– Communication on transition to the

upgraded FAS will follow in very near future (pilot transitions are already being performed)

Timeline: 2009– Infrastructure available production for

internal (Fedict) use only Q2 2010– Available for non Fedict applications

Q2 2012– Put into production for Tax-On-Web Citizens

Q12013– Planned infrastructure & feature upgrade

V-ICT-OR 2012/04/26 24

Fedict IAM 2011 Fedict IAM 2012

Fedict IAM components previewUpgrading to an advanced Identity & Access Management solution with a solid

foundation

V-ICT-OR 2012/04/26 25

Authentication based on eID or Citizen Token

No implicit permissions necessary (FODFin has all necessary information “locally” available)

No Explicit permissions required (general rule: every person has access to his/her own tax declaration and if applicable the tax declaration of his/her spouse)

Getting Access Granting Access Tax-on-Web Citizens

Fedict IAM Service overviewMore than just logging in to an application…

…KBORRN

AuthenticSources

AuthenticSource

(Head) AccessAdministrator

Assign Head Admin

Assign Delegated

Admin

Assign Application

Roles

LegalRepresentative

(Delegated)Access

Administrator

User

Authentication

Implicit Permissions

Explicit Permissions

V-ICT-OR 2012/04/26 26

Authentication based on eID or Citizen Token

No implicit permissions necessary (Digiflow users PersonServices via FSB)

Explicit permissions required:

Flemish Region– “Gebruikersbeheer van de

Vlaamse overheid” Walloon & Brussels region:

– Role Admin of Fedict

Abstraction layer provided by Fedict IAM, offering a Signle Point of Contact to the application

Getting Access Granting Access Digiflow

Fedict IAM Service overviewMore than just logging in to an application…

…KBORRN

AuthenticSources

AuthenticSource

(Head) AccessAdministrator

Assign Head Admin

Assign Delegated

Admin

Assign Application

Roles

LegalRepresentative

(Delegated)Access

Administrator

User

Authentication

Implicit Permissions

Explicit Permissions

Thank you

FedictMaria-Theresiastraat 1/3 Rue Marie-ThérèseBrussel 1000 BruxellesTEL. +32 2 212 96 00 | FAX +32 2 212 96 99info@fedict.belgium.be | www.fedict.belgium.be

28V-ICT-OR 2012/04/26

Agenda

1. Intergouvernementele samenwerking

2. Overzicht Fedict Diensten

3. VO IAM diensten voor lokale besturen- WebIDM : identiteitenbeheer voor lokale besturen - Toegangsbeheer Vlaamse toepassingen voor lokale

besturen- Vlaams Digitaal TekenPlatform

29V-ICT-OR 2012/04/26

2.0 e-IB in vogelvlucht

• e-IB = e-Government en ICT-Beheer, onderdeel van de Vlaamse overheid

• Missie van e-IB : leveren van ICT-diensten met het oog op het optimaliseren van het ICT-gebeuren binnen de Vlaamse overheid en in haar relatie met burgers, bedrijven en andere overheden.

• Zij doet dit door :– Het leveren van ICT-diensten aan de verschillende entiteiten van de

Vlaamse overheid (door het ter beschikking te stellen van contracten)– Het uitbouwen van ICT- en e-gov shared platformen, generieke en

gemeenschappelijke bouwstenen – Het leveren aan advies– Het leveren van een bijdrage aan het ICT-beleid

30V-ICT-OR 2012/04/26

2.1 VO IAM : Gebruikersbeheer WebIDM

– VO WebIDM (voor lokale besturen) biedt volgende functies:• Het definiëren en administreren van gebruikers• Het definiëren en administreren van privileges• Het loggen van de acties

– Het platform • laat delegatie van rechten toe• wordt door het VO toegangsbeheer gebruikt voor de verificatie van de identiteiten• maakt gebruik van federale authentieke bronnen (zoals RR) via de MAGDA-services • provisioneert gebruikersgegevens en bijhorende privileges naar de federale overheid met het oog op

het ontsluiten van federale toepassingen (digiflow, eBirth, KBO Select) naar lokale besturen

31V-ICT-OR 2012/04/26

2.1 VO IAM Gebruikersbeheer WebIDM +

• Momenteel worden de identiteiten en privileges van gebruikers op federale toepassingen gepushed naar de federale overheid. Binnenkort wordt dit mechanisme vervangen door een “pull” mechanisme (publicatie van identiteitsinformatie)

• In de toekomst zullen bijkomende functies worden voorzien:– Beheer van entitlements– Zelfbeheer– Zelfactivatie– Mandatering

32V-ICT-OR 2012/04/26

2.2 VO IAM : Toegangsbeheer ACMWeb

– VO ACMWeb is het Vlaams platform voor toegangsbeheer voor WebToepassingen. Dit platform verzorgt volgende functies:

• Het definiëren en administreren van de regels voor toegangscontrole (het PAP)• Het uitvoeren van de toegangscontrole (de PEP’s)• Het authenticeren op basis van VO-specifieke credentials

(VO-tokens)• Het loggen van de acties

– Het platform • wordt gebruikt voor het veilig ontsluiten van VO toepassingen naar onder andere lokale besturen.• Het platform is gekoppeld met het VO gebruikersbeheer met het oog op de verificatie van de identiteit

van een persoon.• is gekoppeld met de FAS-diensten voor de authenticatie op basis van het federaal token en de

verificatie van het e-ID certificaat.

33V-ICT-OR 2012/04/26

2.2 VO IAM Toegangsbeheer ACMWeb +

• Actueel werkt de VO aan de implementatie van een nieuw toegangsbeheersplatform : ACM3, die “federation” ondersteunt.

• Dmv “federation” worden authenticatie- en autorisatiesgegevens over entiteiten heen gedeeld waardoor de gebruiker kan navigeren naar verschillende toepassingen bij verschillende (overheids)instanties, zonder zich telkens te moeten authenticeren (Single SignOn).

34V-ICT-OR 2012/04/26

2.3 VO IAM : Toegangsbeheer ACMWS– VO ACMWS is het Vlaams platform voor toegangsbeheer voor WebServices. Dit

platform verzorgt volgende functies:• Het definiëren en administreren van de regels voor toegangscontrole (het PAP)• Het uitvoeren van de toegangscontrole (de PEP’s)• Het valideren van de certificaten• Het loggen van de acties

– Het platform • wordt gebruikt voor het veilig ontsluiten van Web services naar onder andere lokale besturen.• Het platform is gekoppeld met de Certificaat Authority voor de verificatie van het certificaat.

35V-ICT-OR 2012/04/26

2.3 VO IAM Toegangsbeheer ACMWS +

• Actueel werkt de VO aan de vernieuwing van het ACMWS platform. Deze vernieuwing beoogt de robuustheid en capaciteit te verhogen naar aanleiding van het toenemend gebruik.

• Daarnaast wordt een tool geïmplementeerd op basis waarvan de lokale besturen applicatieve certificaten kunnen aanvragen.

36V-ICT-OR 2012/04/26

2.4 VO Magda diensten

• het Magda platform levert diensten voor de veilige ontsluiting van authentieke gegevensbronnen .

Actueel betreft het :– Gegevens over personen – Gegevens over bedrijven– Adresinformatie– Gegevens uit andere authentieke bronnen (zoals gebouwen, percelen en grootschalige

kaartgegevens)

• Het betreft de ontsluiting van Vlaamse en federale (aldanniet verrijkt met informatie op Vlaams niveau – bijv. VKBO) authentieke bronnen ten behoeve van de entiteiten van de Vlaamse overheid.

37V-ICT-OR 2012/04/26

2.5 VO DTP

– VO DTP is het Vlaams platform voor het plaatsen van digitale handtekeningen. Dit platform heeft volgende functies:

• Het tekenklaar maken van documenten voor het rechtsgeldig handtekenen. (Ondertekenen document gebeurt op de pc van de gebruiker).

– Het platform • ondersteunt meerdere documenten en dossiers (meerdere formaten ondersteund).• Laat toe dat documenten door meerdere partijen wordt ondertekend.• genereert gebruiksvriendelijke pdf-documenten dmv het principe van WYSIWYS. • is bruikbaar vanaf verschillende platformen (ondersteunt Windows, Mac, Linux, …)• is aanspreekbaar via een mailinterface (reeds geactiveerd voor LB) en een web interface• Kan gekoppeld worden met het VO Gebruikersbeheer.

38V-ICT-OR 2012/04/26

2.5 VO DTP +

In de toekomst – zal ook form signing worden ondersteund.– wordt gekeken naar een equivalent vo or het plaatsen van stempels.– wordt een alternatief uitgewerkt voor een aangetekende zending.– …

39

Vragen & Antwoorden

V-ICT-OR 2012/04/26

V&A