Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Table of Contents
maxLevel7
minLevel1

...

Problemen bij afmelden in Mijn Burgerprofiel (global header met gekoppeld toegangsbeheer)

Impact

Alle gebruikers van een website met:

  • een global header/footer, met gekoppeld toegangsbeheer

  • met de default-instellingen in Firefox en Safari = third-party cookies geblokkeerd

Chrome blokkeert third-party cookies niet standaard. Gebruikers van deze browser ondervinden vandaag geen problemen bij het afmelden.

Digitaal Vlaanderen voerde enkele aanpassingen uit op de global header zodat websites en toepassingen met een global header + gekoppeld toegangsbeheer (dus mét een ACM-integratie) geen afmeldproblemen meer hebben. De eigenaars van de websites/toepassingen dienen ook zelf de ACM-implementatie na te kijken en eventueel aan te passen.

Bij een niet correcte implementatie van de ACM-logout komt de gebruiker terecht in een loop van de volgende toasters terecht:

...

Info

Wie websites en toepassingen gebruikt met eenvoudig toegangsbeheer - dus zonder een ACM-integratie - hoeft geen actie te ondernemen.

Oorzaak

Firefox en Safari blokkeren standaard third-party cookies om de privacy van hun gebruikers beter te beschermen. Ook Mijn Burgerprofiel gebruikt third-party cookies; niet om het gedrag van gebruikers bij te houden en te analyseren, maar wel om single sign-on (SSO) mogelijk te maken tussen verschillende websites met een global header/footer.

Wanneer gebruikers van Firefox en Safari afmelden in Mijn Burgerprofiel, blijft de global header in “aangemelde status” omdat die browsers de third-party cookies blokkeren. Digitaal Vlaanderen maakte een aantal aanpassingen aan de global header om dit afmeldprobleem op te lossen.

Mogelijke aanpassingen voor websites en toepassingen mét ACM-integratie

  • Laat in uw implementatie het end_session_endpoint aanspreken om een succesvolle logout bij ACM IDP uit te voeren.

Voor dat endpoint wordt de Discovery URL gebruikt. Die bezorgt de Client alle nodige informatie over de mogelijkheden van de ACM IDP OpenID Connect Provider: op welke URL’s de verschillende endpoints beschikbaar zijn en welke functionaliteiten aangeboden worden.

Om ook in de toepassing afgemeld te worden, is een lokale logout in de toepassing zelf nodig. De Discovery URL die wordt gebruikt voor dat endpoint staat gedocumenteerd in: https://authenticatie.vlaanderen.be/docs/beveiligen-van-toepassingen/integratie-methoden/oidc/technische-info/discovery-url/ .

  • Voorzie bij voorkeur ook een post_logout_redirect_uri.

Note

Om veiligheidsredenen moet de post-logout redirect URI al in het integratiedossier bij de OpenID Connect aangevraagd en geregistreerd worden via integraties@vlaanderen.be

Meer informatie over afmelden vindt u in de documentatie van het Vlaamse toegangsbeheer: https://authenticatie.vlaanderen.be/docs/beveiligen-van-toepassingen/integratie-methoden/oidc/technische-info/afmelden/

Technisch spreekuur

Mocht u nog problemen ondervinden of vragen hebben, dan bent u welkom op ons technisch spreekuur waar onze technische experts u persoonlijk begeleiden om praktische problemen op te lossen. U kunt elke dinsdag inbellen om 13:00 uur via Teams.

Info

Meer informatie:
https://www.vlaanderen.be/digitaal-vlaanderen/onze-oplossingen/mijn-burgerprofiel/technisch-spreekuur-mijn-burgerprofiel

U kunt ook een technische vraag stellen via onze servicedesk.

...

Wat is het verschil tussen de login-, logout- en loginredirect-URL’s?

De login-URL

De login-URL start het aanmeldproces op voor de gastwebsite tot die gastwebsite is aangemeld.

...

Voorbeeld implementatie/integratie: https://tni.gastwebsite-acm.burgerprofiel.dev-vlaanderen.be

Communicatie naar gebruikers van de header over:

  • Communicatie alleen naar afnemers van headers met gekoppeld toegangsbeheer

    • Jira Legacy
      serverSystem JIRA
      serverId76ebe837-8a33-3f38-9e41-3e4c52652e73
      keyWDGTP-145

Problemen bij het afmelden op Mijn Burgerprofiel

Info

Impact

Alle gebruikers van een website met:

  • een global header/footer, met gekoppeld toegangsbeheer

  • met de default-instellingen in Safari en Firefox = blokkering van third-party cookies

Chrome blokkeert third-party cookies niet standaard. Gebruikers van deze browser ondervinden vandaag geen problemen bij het afmelden.

In het kort

Gebruikers van Safari en Firefox ondervinden problemen bij het afmelden in Mijn Burgerprofiel. Digitaal Vlaanderen voerde daarom enkele aanpassingen uit op de global header.

Het gaat hier alleen om websites en toepassingen die gebruik maken van een global header met gekoppeld toegangsbeheer - dus mét een ACM-integratie. De ACM-implementatie moet in deze gevallen worden nagekeken en mogelijks aangepast.

Info

Wie websites en toepassingen gebruikt met eenvoudig toegangsbeheer - dus zonder een ACM-integratie - hoeft geen actie te ondernemen.

Aanleiding

Safari en Firefox blokkeren standaard third-party cookies om de privacy van hun gebruikers beter te beschermen. Ook Mijn Burgerprofiel gebruikt third-party cookies; niet om het gedrag van gebruikers bij te houden en te analyseren, maar wel om single sign-on (SSO) mogelijk te maken tussen verschillende websites met een global header/footer. Zo zijn gebruikers die aanmelden op Vlaanderen.be automatisch ook aangemeld op een andere website met de global header.

Wanneer gebruikers van Safari en Firefox afmelden in Mijn Burgerprofiel, blijft de header in “aangemelde status” omdat die browsers de third-party cookies blokkeren. Digitaal Vlaanderen maakte daarvoor een aantal aanpassingen aan de global header en footer. Omdat ook uw gebruikers mogelijks met Safari en Firefox werken, moet u mogelijks een aantal aanpassingen doorvoeren.

Mogelijke aanpassingen voor websites en toepassingen mét ACM-integratie

  • Laat in uw implementatie het end_session_endpoint aanspreken om een succesvolle logout bij ACM IDP uit te voeren.

Voor dat endpoint wordt de Discovery URL gebruikt. Die bezorgt de Client alle nodige informatie over de mogelijkheden van de ACM IDP OpenID Connect Provider:

  • op welke URL’s de verschillende endpoints beschikbaar zijn

  • welke functionaliteiten aangeboden worden

Om ook in de toepassing afgemeld te worden, is een lokale logout in de toepassing zelf nodig.

Info

De Discovery URL die wordt gebruikt voor dat endpoint staat gedocumenteerd in: https://authenticatie.vlaanderen.be/docs/beveiligen-van-toepassingen/integratie-methoden/oidc/technische-info/discovery-url/ .

  • Voorzie bij voorkeur ook een post_logout_redirect_uri.

Note

Voor veiligheidsredenen moet de post-logout redirect URI al in het integratiedossier bij de OpenID Connect aangevraagd en geregistreerd worden.

Info

Meer informatie over afmelden vindt u in de documentatie van het Vlaamse toegangsbeheer: https://authenticatie.vlaanderen.be/docs/beveiligen-van-toepassingen/integratie-methoden/oidc/technische-info/afmelden/

Note

Bij een niet correcte implementatie van de ACM logout zal u een vreemd gedrag opmerken bij het afmelden: u komt in een loop van de volgende toasters terecht:

...

Technisch spreekuur

Mocht u problemen ondervinden of vragen hebben, dan bent u welkom op ons technisch spreekuur waar onze technische experts u persoonlijk begeleiden om praktische issues op te lossen. U kunt elke dinsdag inbellen om 13:00 uur via Teams.

Info

Meer informatie:
https://www.vlaanderen.be/digitaal-vlaanderen/onze-oplossingen/mijn-burgerprofiel/technisch-spreekuur-mijn-burgerprofiel

U kan ook steeds een technische vraag stellen via onze servicedesk.

Graag een seintje via de servicedesk wanneer u de aanpassing hebt uitgevoerd

...