Upload
sereno
View
59
Download
0
Embed Size (px)
DESCRIPTION
Bouwen op sterktes! Wij willen alle entiteiten van de Vlaamse overheid maximaal ondersteunen door het aanbieden van ICT- en e-governmentdiensten , -producten en -advies, om op die manier bij te dragen tot de optimale werking van de Vlaamse overheid als geheel. - PowerPoint PPT Presentation
Citation preview
Bouwen op sterktes!
Wij willen alle entiteiten van de Vlaamse overheid maximaal ondersteunen door het aanbieden van ICT- en e-governmentdiensten, -producten en -advies, om op die manier bij te dragen tot de optimale werking van de Vlaamse overheid als geheel.
Het reproduceren, ook gedeeltelijk, van dit document is toegestaan mits duidelijke vermelding van de bron:“Vlaamse overheid, Bestuurszaken, entiteit e-government en ICT-Beheer”.
Enkele bouwstenen voor e-government: IAM/AIM
V-ICT-OR Shopt IT 201226/4/2012
Wim Martens - eIBClassificatie: publiek
3V-ICT-OR 2012/04/26
Agenda
1. Intergouvernementele samenwerking
2. Overzicht Fedict Diensten
3. VO IAM diensten voor lokale besturen- WebIDM : identiteitenbeheer voor lokale besturen - Toegangsbeheer Vlaamse toepassingen voor lokale
besturen- Vlaams Digitaal TekenPlatform
4V-ICT-OR 2012/04/26
1.1 Basisprincipes Toegangsbeheer• Basisprincipes inzake toegangsbeheer zijn:
– Het definiëren en administreren van de regels voor toegangscontrole is de verantwoordelijkheid van de aanbieder van de toepassing. Vermits deze regels telkens geraadpleegd worden bij het uitvoeren van de toegangscontrole, gebeurt de definitie en administratie het best op een platform bij de entiteit die de toepassing host.
– Het uitvoeren van toegangscontrole is nauw verbonden met de applicatie-architectuur en de veiligheidsomgeving waarbinnen de toepassing wordt gehost. Daarom, en omwille van de noodzakelijke beschikbaarheid van de toepassing, wordt toegangscontrole het best afgedwongen bij de entiteit die de toepassing host.
– Authenticatiediensten en diensten mbt de verificatie van de identiteit zijn kritiek. Deze worden best met zeer hoge garanties (qua beschikbaarheid) aangeboden door de overheid of organisatie die betreffende identiteiten beheert en de bijhorende credentials aflevert.
5V-ICT-OR 2012/04/26
1.2 Basisprincipes Gebruikersbeheer
• Basisprincipes inzake gebruikersbeheer zijn:
– Betrouwbare (authentieke) bronnen inzake identiteit en attributen, rollen en mandaten zijn cruciaal voor een veilige ontsluiting. (Authentieke) bronnen worden best beheerd door de overheid of organisatie die “toezichthoudend” is op de betreffende gegevens.
– Voornoemde informatie dient gepubliceerd d.m.v. publicatie diensten. Hier zijn er verschillende pistes mogelijk die een evenwicht dienen te bieden tussen nood aan een directe toegang tot de echte authentieke bron en een snelle toegang door betreffende access control omgeving, gaande van directe ontsluiting vanuit aanbieder, tot ontsluiting/kopie aan zijde access control omgeving, tot indirecte ontsluiting via “integrator”.
6V-ICT-OR 2012/04/26
1.3 Intergouvernementele samenwerkingVoor het efficiënt ontsluiten / uitwisselen van informatie met overheden, burgers, ed:
‒ is een goede samenwerking noodzakelijk tussen de verschillende heterogene spelers / domeinen en hun ACM / IDM-systemen (cfr “circles of trust”)
‒ en met name op het vlak van het ontsluiten van (authentieke) bronnen – aka policy information points – aan elkaar.
eTCT
FAS/Stork
TC
GebruikerMeerdere contexten Partiële identiteiten
E-Health
EPD
TC
Vlaanderen
VKB
O
TC
My B
elgium
TC
FederaalTaxO
nW
eb
TCTourism
eTC
Easi-Wall
Ma m
aison
TC
Kadaster
pensionen
TC
KSZ
Kadaster K
B
TC
Identity/Authenticationservices
E-Health Vlaanderen Federaal Easi-Wall KSZ
Attribute / Rolesources
Access Controlservices
eGov services& Applications
Artsen VlaamseLokale Besturen
Federale Ambtenaren
OnderwijsWallonië
INSZ-Register
Attribute / Rolepublication services
eTCT
TC
Identity / Privilige Mngt
< <
toeg
angs
behe
er
>>
< <
gebr
uike
rsbe
heer
>>
7V-ICT-OR 2012/04/26
Agenda
1. Intergouvernementele samenwerking
2. Overzicht Fedict Diensten
3. VO IAM diensten voor lokale besturen- WebIDM : identiteitenbeheer voor lokale besturen - Toegangsbeheer Vlaamse toepassingen voor lokale
besturen- Vlaams Digitaal TekenPlatform
Overview of Fedict Application Integration & Middleware and Identity & Access Management Servicesv0003 – 26/04/2012Walter Van Assche (Fedict Sponsor IAM-AIM)Luc Van Tilborgh (Fedict AIM Program mgr)Jan Vanhaecht (voor Fedict, Architect IAM)
V-ICT-OR 2012/04/26 9
• Introduction to Fedict• Fedict services integration
General Fedict introduction
Fedict Application Integration & Middleware ServicesFedict Identity and Access Management Services
Table of contentsOverview of Fedict AIM and IAM Services
V-ICT-OR 2012/04/26 10
Royal Decree May 11, 2001 Develops & Implements e-gov strategy Supports other departments (“virtual
matrix”) Develops & Implements
Guidelines/Standards Develops & Supports common
infrastructure Manages the inter-gov relationships
Total Solution (integrated services) “I will say it only once” – Authoritative
[Data] Source (even between governments) – limit admin. formalities
Customer focus / User friendly Transparent & Respect for Privacy No digital divide (channel neutral) Minimal cost / reliable / available /
performance
Introduction to fedictInformation and Communication Technology Federal Public Service
V-ICT-OR 2012/04/26 11
eShop concept Well structured architecture
Fedict services integrationOffering more than a nice facade
Identity and Acces Management
Security & Privacy
Access & Application environment
Transaction Environment
Network Environment
Citizens
Civilservants
Enterpriss
portal
Federal Metropolitan Area Network (FedMAN)
SPF /
FOD
SPP /
POD
REGI
ON
COMM
UNITY
LOCA
LGO
VERN
MENT
S
Othe
r Aut
horit
ies &
Insti
tutio
ns
Authoritative Sources
RRN
V-ICT-OR 2012/04/26 12
General Fedict introduction
• Introducing FSB• FSB Approach : Open Approach• FSB Governance : FSB Platform• FSB Examples : PersonService / eBirth / Digiflow • Registry : http://registry.fsb.belgium.be
Fedict Application Integration & Middleware Services
Fedict Identity and Access Management Services
Table of contentsOverview of Fedict AIM and IAM Services
V-ICT-OR 2012/04/26 13
Today’s challenges:Our answer: Service Oriented Architecture
Introducing FSB
SupplierSupplier
Consumer
Supplier
SupplierSupplier
Consumer
Supplier
V-ICT-OR 2012/04/26 14
Fedict facilitates access to Authentic sources via web services and FSB
FSB Approach : Open Approach
Federal Authentic sources
WEB Application
Local or Regional Authentic sources
WEB Application
Regional orLocal SBsecurity + trust
FEDMANFederal Service
Bus
V-ICT-OR 2012/04/26 15
FSB Governance : FSB Platform
Shows content FSB to Customer
Describes FSB ServicesStores RFCs, FSB service designs, Test reports,
Provider SLAsManages Consumption Contracts
Audits SOAP Services @ designtime
Registry Service BusSupports services development
Runs ServicesDEVELOPMENT
Service Bus
Service development & testing
INTEGRATIONLoad & Integration testing
TEST & ACCEPTANCE
PRODUCTION
beta testing
production
Repository
Policies, Enforcement, MonitoringReport Engine
Verifies WSDLs
Access Control List Access Windows
FSB Service availability
FSB Management Operation PollerCalls
Management operations
Checks services availability
Authentication / Autorization
Content based defenseMessage throttling
Duplicate protectingMessage Logging
Monitoring tool
Stores SNMP messagesTrigger alertsSends alerts
V-ICT-OR 2012/04/26 16
FSB Examples : PersonService
Consumers
Task services Entity services
Utility services
GetPersonservice
SearchPersonservice
ManagePersonservice
PersonLegacyservice
NREntity
service
SSREntity
service
NRaccessservice
SSRaccessservice
Rijksregister
Social Security
V-ICT-OR 2012/04/26 17
FSB Examples : eBirth
Munipalityof residence
Social Security
National Register
Hospital eHealth
Munipalityplace of birth
V-ICT-OR 2012/04/26 18
FSB Examples : Digiflow 3.0
V-ICT-OR 2012/04/26 20
General Fedict introduction
Fedict Application Integration & Middleware Services
• Why IAM within eGovernment context?• Fedict IAM Service overview• Fedict IAM Examples ToW / Digiflow /
PassportCity• Fedict IAM Information model• Fedict IAM components evolution /FAS upgrade
Fedict Identity and Access Management Services
Table of contentsOverview of Fedict AIM and IAM Services
V-ICT-OR 2012/04/26 21
Strategy used to be: Every “silo” of governmental administrations should be able to function independently and
thus put it’s own emphasis on the mechanisms used for fulfilling IAM requirements in eGovernment services Coexistence of eGov IAM platforms
Recent shift in strategy: Leverage the strengths of the individual platforms, and enhance the reuse of components
amongst eGovernment services Integration of eGov IAM platforms
Why IAM within eGovernment context?Coexistence versus integration
V-ICT-OR 2012/04/26 22
Getting Access Granting Access
Fedict IAM Service overviewMore than just logging in to an application…
…KBORRN
AuthenticSources
AuthenticSource
(Head) AccessAdministrator
Assign Head Admin
Assign Delegated
Admin
Assign Application
Roles
LegalRepresentative
(Delegated)Access
Administrator
User
Authenticate
Attribute Collection
Explicit Permission
s
V-ICT-OR 2012/04/26 23
FAS before upgrade Features
“Pure Authentication” service Allows (primarily) for authentition based on:– eID– Citizen Token
Publishes attributes in SAML1 protocol, typically requiring deployment of a specific toolkit for integration into an application
FAS after upgrade Features
Authentication + Session Service:– Allows for Single Sign On between
eGovernment applications Makes it possible to offer new authentication
methods like mobile identity services in the (near) future
Works with upgraded protocol (SAML2), making configurable customer integration possible in many cases (although an “integration toolkit” will be made available to facilitate migration)
Fedict IAM components evolution / FAS upgradeUpgrading to an advanced Identity & Access Management solution with a solid
foundation
Timeline: 2003– Basic service introduction offering Citizen
Token and eID support 11/2012– Planned end-of-life of current FAS version– Communication on transition to the
upgraded FAS will follow in very near future (pilot transitions are already being performed)
Timeline: 2009– Infrastructure available production for
internal (Fedict) use only Q2 2010– Available for non Fedict applications
Q2 2012– Put into production for Tax-On-Web Citizens
Q12013– Planned infrastructure & feature upgrade
V-ICT-OR 2012/04/26 24
Fedict IAM 2011 Fedict IAM 2012
Fedict IAM components previewUpgrading to an advanced Identity & Access Management solution with a solid
foundation
V-ICT-OR 2012/04/26 25
Authentication based on eID or Citizen Token
No implicit permissions necessary (FODFin has all necessary information “locally” available)
No Explicit permissions required (general rule: every person has access to his/her own tax declaration and if applicable the tax declaration of his/her spouse)
Getting Access Granting Access Tax-on-Web Citizens
Fedict IAM Service overviewMore than just logging in to an application…
…KBORRN
AuthenticSources
AuthenticSource
(Head) AccessAdministrator
Assign Head Admin
Assign Delegated
Admin
Assign Application
Roles
LegalRepresentative
(Delegated)Access
Administrator
User
Authentication
Implicit Permissions
Explicit Permissions
V-ICT-OR 2012/04/26 26
Authentication based on eID or Citizen Token
No implicit permissions necessary (Digiflow users PersonServices via FSB)
Explicit permissions required:
Flemish Region– “Gebruikersbeheer van de
Vlaamse overheid” Walloon & Brussels region:
– Role Admin of Fedict
Abstraction layer provided by Fedict IAM, offering a Signle Point of Contact to the application
Getting Access Granting Access Digiflow
Fedict IAM Service overviewMore than just logging in to an application…
…KBORRN
AuthenticSources
AuthenticSource
(Head) AccessAdministrator
Assign Head Admin
Assign Delegated
Admin
Assign Application
Roles
LegalRepresentative
(Delegated)Access
Administrator
User
Authentication
Implicit Permissions
Explicit Permissions
Thank you
FedictMaria-Theresiastraat 1/3 Rue Marie-ThérèseBrussel 1000 BruxellesTEL. +32 2 212 96 00 | FAX +32 2 212 96 [email protected] | www.fedict.belgium.be
28V-ICT-OR 2012/04/26
Agenda
1. Intergouvernementele samenwerking
2. Overzicht Fedict Diensten
3. VO IAM diensten voor lokale besturen- WebIDM : identiteitenbeheer voor lokale besturen - Toegangsbeheer Vlaamse toepassingen voor lokale
besturen- Vlaams Digitaal TekenPlatform
29V-ICT-OR 2012/04/26
2.0 e-IB in vogelvlucht
• e-IB = e-Government en ICT-Beheer, onderdeel van de Vlaamse overheid
• Missie van e-IB : leveren van ICT-diensten met het oog op het optimaliseren van het ICT-gebeuren binnen de Vlaamse overheid en in haar relatie met burgers, bedrijven en andere overheden.
• Zij doet dit door :– Het leveren van ICT-diensten aan de verschillende entiteiten van de
Vlaamse overheid (door het ter beschikking te stellen van contracten)– Het uitbouwen van ICT- en e-gov shared platformen, generieke en
gemeenschappelijke bouwstenen – Het leveren aan advies– Het leveren van een bijdrage aan het ICT-beleid
30V-ICT-OR 2012/04/26
2.1 VO IAM : Gebruikersbeheer WebIDM
– VO WebIDM (voor lokale besturen) biedt volgende functies:• Het definiëren en administreren van gebruikers• Het definiëren en administreren van privileges• Het loggen van de acties
– Het platform • laat delegatie van rechten toe• wordt door het VO toegangsbeheer gebruikt voor de verificatie van de identiteiten• maakt gebruik van federale authentieke bronnen (zoals RR) via de MAGDA-services • provisioneert gebruikersgegevens en bijhorende privileges naar de federale overheid met het oog op
het ontsluiten van federale toepassingen (digiflow, eBirth, KBO Select) naar lokale besturen
31V-ICT-OR 2012/04/26
2.1 VO IAM Gebruikersbeheer WebIDM +
• Momenteel worden de identiteiten en privileges van gebruikers op federale toepassingen gepushed naar de federale overheid. Binnenkort wordt dit mechanisme vervangen door een “pull” mechanisme (publicatie van identiteitsinformatie)
• In de toekomst zullen bijkomende functies worden voorzien:– Beheer van entitlements– Zelfbeheer– Zelfactivatie– Mandatering
32V-ICT-OR 2012/04/26
2.2 VO IAM : Toegangsbeheer ACMWeb
– VO ACMWeb is het Vlaams platform voor toegangsbeheer voor WebToepassingen. Dit platform verzorgt volgende functies:
• Het definiëren en administreren van de regels voor toegangscontrole (het PAP)• Het uitvoeren van de toegangscontrole (de PEP’s)• Het authenticeren op basis van VO-specifieke credentials
(VO-tokens)• Het loggen van de acties
– Het platform • wordt gebruikt voor het veilig ontsluiten van VO toepassingen naar onder andere lokale besturen.• Het platform is gekoppeld met het VO gebruikersbeheer met het oog op de verificatie van de identiteit
van een persoon.• is gekoppeld met de FAS-diensten voor de authenticatie op basis van het federaal token en de
verificatie van het e-ID certificaat.
33V-ICT-OR 2012/04/26
2.2 VO IAM Toegangsbeheer ACMWeb +
• Actueel werkt de VO aan de implementatie van een nieuw toegangsbeheersplatform : ACM3, die “federation” ondersteunt.
• Dmv “federation” worden authenticatie- en autorisatiesgegevens over entiteiten heen gedeeld waardoor de gebruiker kan navigeren naar verschillende toepassingen bij verschillende (overheids)instanties, zonder zich telkens te moeten authenticeren (Single SignOn).
34V-ICT-OR 2012/04/26
2.3 VO IAM : Toegangsbeheer ACMWS– VO ACMWS is het Vlaams platform voor toegangsbeheer voor WebServices. Dit
platform verzorgt volgende functies:• Het definiëren en administreren van de regels voor toegangscontrole (het PAP)• Het uitvoeren van de toegangscontrole (de PEP’s)• Het valideren van de certificaten• Het loggen van de acties
– Het platform • wordt gebruikt voor het veilig ontsluiten van Web services naar onder andere lokale besturen.• Het platform is gekoppeld met de Certificaat Authority voor de verificatie van het certificaat.
35V-ICT-OR 2012/04/26
2.3 VO IAM Toegangsbeheer ACMWS +
• Actueel werkt de VO aan de vernieuwing van het ACMWS platform. Deze vernieuwing beoogt de robuustheid en capaciteit te verhogen naar aanleiding van het toenemend gebruik.
• Daarnaast wordt een tool geïmplementeerd op basis waarvan de lokale besturen applicatieve certificaten kunnen aanvragen.
36V-ICT-OR 2012/04/26
2.4 VO Magda diensten
• het Magda platform levert diensten voor de veilige ontsluiting van authentieke gegevensbronnen .
Actueel betreft het :– Gegevens over personen – Gegevens over bedrijven– Adresinformatie– Gegevens uit andere authentieke bronnen (zoals gebouwen, percelen en grootschalige
kaartgegevens)
• Het betreft de ontsluiting van Vlaamse en federale (aldanniet verrijkt met informatie op Vlaams niveau – bijv. VKBO) authentieke bronnen ten behoeve van de entiteiten van de Vlaamse overheid.
37V-ICT-OR 2012/04/26
2.5 VO DTP
– VO DTP is het Vlaams platform voor het plaatsen van digitale handtekeningen. Dit platform heeft volgende functies:
• Het tekenklaar maken van documenten voor het rechtsgeldig handtekenen. (Ondertekenen document gebeurt op de pc van de gebruiker).
– Het platform • ondersteunt meerdere documenten en dossiers (meerdere formaten ondersteund).• Laat toe dat documenten door meerdere partijen wordt ondertekend.• genereert gebruiksvriendelijke pdf-documenten dmv het principe van WYSIWYS. • is bruikbaar vanaf verschillende platformen (ondersteunt Windows, Mac, Linux, …)• is aanspreekbaar via een mailinterface (reeds geactiveerd voor LB) en een web interface• Kan gekoppeld worden met het VO Gebruikersbeheer.
38V-ICT-OR 2012/04/26
2.5 VO DTP +
In de toekomst – zal ook form signing worden ondersteund.– wordt gekeken naar een equivalent vo or het plaatsen van stempels.– wordt een alternatief uitgewerkt voor een aangetekende zending.– …
39
Vragen & Antwoorden
V-ICT-OR 2012/04/26
V&A