Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Om de MAGDA diensten te ontsluiten maken we gebruik van authenticatie door middel van certificaten.

Vlaamse instellingen kunnen gebruik maken van de toepassing Certificatenbeheer of VO-DCBaaS toepassing om certificaten aan te maken. Meer informatie over het aanmaken van certificaten en de toepassing kan u hier vinden, met vragen over de toepassing of het aanmaken van certificaten kan u terecht op VODCB@vlaanderen.be.

Voor u begint

Heeft u al het aansluitingsproces opgestart?

Alvorens u een correct certificaat kan aanmaken dient u eerst een aansluitingsproces lopende te hebben bij het MAGDA team, meer informatie daarover vindt u hier.

Tijdens het aansluitingsproces ontvangt u de nodige parameters voor het aanmaken van uw certificaat. Het is niet de bedoeling dat u zelf een Common Name of CN bepaalt.

Als u deze communicatie nog niet ontvangen heeft zijn de nodige stappen nog niet afgerond en beschikt u niet over de nodige informatie om een correct certificaat aan te maken voor uw MAGDA-aansluiting.

Hebt u hier vragen over dan kan er contact op genomen worden met het MAGDA-team via de MAGDA Service Desk. Vermeld in uw ticket zeker uw aansluitingsnummer (TAN).

Info

Het MAGDA-team laat tijdens het aansluitingsproces een Common Name (CN) klaarzetten voor uw organisatie in de VO-DCBaas toepassing. Zodra dit in orde is ontvangt u van ons een communicatie met deze CN in beschreven.

Heeft u de nodige rechten?

...

De toegang tot het certificatenbeheer en de beschikbare functies worden bepaald door de rol die een gebruiker heeft gekregen in het Gebruikersbeheer van de Vlaamse overheid (IDM) . Elke organisatie die certificaten wil beheren, kan één of meerdere van onderstaande rollen toekennen aan medewerker(s).

  • DCBaaS Certificatenbeheerder Organisatie Kan alle certificaten, toepassingen, domeinen en aanvragen zien binnen zijn organisatie. Kan toepassingen aanvragen binnen de organisatie. Kan certificaten aanmaken voor alle geregistreerde toepassingen binnen de organisatie.

  • DCBaaS Certificatenbeheerder Toepassing Kan alle certificaten, toepassingen, domeinen en aanvragen zien binnen zijn organisatie. Kan certificaten aanmaken voor de toepassingen waar hij expliciet het recht voor gekregen heeft in IDM.

  • DCBaaS Workflowbeheerder Kan alle certificaten, toepassingen, domeinen en aanvragen zien binnen zijn organisatie. Kan toepassingen aanvragen en toepassingsaanvragen (door andere organisaties) op de eigen domeinen goedkeuren/afkeuren Kan domeinen aanvragen

Meer informatie over de toepassing voor certificatenbeheer (VO-DCBaas) vindt u hier. Met vragen hierover kan u terecht op VODCB@vlaanderen.be

Toekennen van rechten als lokale beheerder

  1. Meldt u aan met uw eID op https://gebruikersbeheer.vlaanderen.be

  2. Ken het recht ‘Certificatenbeheerder Organisatie’ of ‘Certificatenbeheerder Toepassing’ toe aan de bevoegde medewerker.

Meer informatie over het Gebruikersbeheer vindt u op de website.

Info

Wie is de lokale beheerder of Certificatenbeheerder Organisatie van mijn organisatie?

Als u niet zeker bent wie in uw organisatie gemachtigd is als lokale beheerder in de toepassing Gebruikers- en toegangsbeheer kan u contact opnemen met de Vlaamse Infolijn 1700.

Voor lokale besturen is de Algemeen Directeur meestal ook de lokale beheerder.

Aanmaken en beheren van een certificaat

Om een certificaat aan te maken moeten er verschillende stappen doorlopen worden. De verschillende stappen vindt u terug in de volgende handleidingen:

  1. Aanmaken Certificate Signing Request (CSR)

    1. Zie lager, de mee te geven inhoud van een certificaat

  2. Aanmaak certificaat in certificatenbeheer

    • Kies type: SSL Client + Signing

    • We raden aan om de maximale duurtijd (24 maanden) te kiezen

  3. Koppelen van de Private Key en het certificaat

  4. Gebruik certificaat in SoapUI

Inhoud van een certificaat

Dit is de inhoud die meegegeven moet worden voor een certificaat dat gebruikt zal worden in een MAGDA dienst.

...

Veld

...

Code

...

Invulling

...

Voorbeeld

...

Common Name

...

CN

...

Panel
bgColor#F4F5F7

Inhoudsopgave

Table of Contents
minLevel1
maxLevel6
outlinefalse
stylenone
typelist
printablefalse
Panel
bgColor#F4F5F7

Context binnen MAGDA

Tijdens het MAGDA aansluitingsproces worden er voor u enkele toegangs- en identificatieparameters aangemaakt. De doelstelling van de verschillende parameters is de nodige IDENTIFICATIE te voorzien en een extra laag BEVEILIGING te faciliteren. Afhankelijk van het technische protocol waarin de MAGDA Dienst is opgebouwd (SOAP/REST) zal er een andere identificator van toepassing zijn. In dit overzicht worden de verschillende parameters in detail toegelicht.

Panel
bgColor#F4F5F7

1. Identificatie voor de MAGDA Afnemer

Panel
bgColor#FFFAE6

1.1 Uniform Resource Identifier (URI)

Unieke identificatie van de juridische verantwoordelijke met eventueel de dataverwerker en de finaliteit.

Onderdelen binnen de URI

  • Juridische verantwoordelijke: De organisatie die over de JURIDISCHE BASIS beschikt om de gegevens te gebruiken.

  • Dataverwerker : De organisatie die de data bij het MAGDA-platform komt ophalen. Is een optioneel onderdeel en enkel van toepassing indien verschillend van de juridische verantwoordelijke.

  • Finaliteit: Gerechtvaardigd verwerkingsdoeleinde, vaak onderdeel van een JURIDISCHE BASIS, waarvoor gegevens gebruikt worden.

    • Wordt gelinkt aan een Concept IPDC uit de IPDC van Digitaal Vlaanderen en uitsluitend naar een instantie IPDC indien het een toepassingsgebied Vlaams Gewest heeft, het een specifieke dienstverlening voor één lokaal bestuur betreft of er een filtering op maat van één lokaal bestuur nodig is.

    • Meer informatie over IPDC van Digitaal Vlaanderen kan hier teruggevonden worden. De handleiding rond IPDC staat hier beschreven en de technische handleiding kan men hier raadplegen.

  • Omgeving: De technische omgeving op het MAGDA-Platform waar de gerealiseerde aansluiting staat.

Panel
bgColor#F4F5F7

2. Beveiliging voor de MAGDA Diensten via het SOAP protocol

Panel
bgColor#FFFAE6

2.1 Common Name (CN)

Unieke identificatie dat onderdeel uitmaakt van het certificaat en dat de juridische verantwoordelijke met eventueel de dataverwerker en een toepassing identificeert.

Onderdelen binnen de CN

  • Organisatiecode: De KBO nummer van de organisatie. Indien KBOnr 0316.380.841, dan gebruiken we de OVOcode. Indien er geen Belgische organisatiecode beschikbaar is, zoeken we een oplossing op maat.

    • Dit onderdeel komt ook overeen met het “Domein” in DCBaaS

  • Juridische verantwoordelijke: De organisatie die over de JURIDISCHE BASIS beschikt om de gegevens te gebruiken.

  • Dataverwerker: De organisatie die de data bij het MAGDA-platform komt ophalen. Is een optioneel onderdeel en enkel van toepassing indien verschillend van de juridische verantwoordelijke.

  • Applicatienaam: De toepassing die de technische connectie maakt met het MAGDA Platform.

  • Omgeving: De technische omgeving op het MAGDA-Platform waar de gerealiseerde aansluiting staat.

Panel
bgColor#FFFAE6

2.2 Certificaat

Een vorm van beveiliging en identificatie van de toepassing van waaruit en naar waar er gegevensstromen gebeuren.

Inhoud van het certificaat

  • Common Name (CN): Identificatie van de bronapplicatie - wordt geleverd door MAGDA bij

...

...

  • (OU

...

  • ): Leesbare naam van de aanvrager, beperkt tot 24 tekens. In de mate van het mogelijke dient deze overeen te komen met de officiële naam van de aanvrager zoals volgens bestaande codering

    • vb Stad Antwerpen

...

    • , Provincie Vlaams-Brabant

...

  • Organisation

...

O

  • (O): De organisatiecode van de organisatie. Voor Vlaamse overheid zonder rechtspersoon: OVO Code

...

  • , Alle andere: KBO Code

...

KBOXXXXXXXXX

...

    • vb KBOXXXXXXXXXX, OVOYYYYYY

  • Country Code

...

  • (C

...

  • ): Landcode

    • Voor MAGDA vast als 'BE'

...

BE

Vervallen van een certificaat ?

Bij het verlengen van een VO-DCBaaS certificaat of een certificaat van een publieke CA:

  • kan de toepassing het nieuwe certificaat dat dezelfde Common Name heeft gebruiken

  • is er bij het MAGDA team geen actie nodig

Bij het vernieuwen van een VO-DCBaaS certificaat (dus met een nieuwe Private Key):

  • moet er over gewaakt worden dat dezelfde Common Name gebruikt wordt voor het nieuwe certificaat

  • kan de toepassing het nieuwe certificaat dat dezelfde Common Name heeft gebruiken

  • is er bij het MAGDA team geen actie nodig

Bij het vernieuwen van een certificaat van een publieke CA (dus met een nieuwe Private Key):

  • moet het certificaat dezelfde Common Name hebben als het vorige

  • dient het certificaat doorgestuurd te worden naar het MAGDA team

  • is er bij het MAGDA team wel actie nodig

  • contacteer hiervoor het MAGDA-team via de MAGDA Service Desk.

Waar vind ik informatie? Wie contacteer ik indien nodig?

Certificaten FlowchartImage Removed

...

(1) Gebruikersbeheer *

...

mail naar

...

ondersteuning.gebruikersbeheer@vlaanderen.be

...

(2) MAGDA Helpdesk

...

log een ticket via

...

http://helpdesk.magda.vlaanderen.be/

...

(3) VODCB

...

mail naar

...

VODCB@vlaanderen.be

*In de toekomst zal u deze aanvraag via zelfregistratie kunnen doen

Veel voorkomende fouten

In onderstaande flowchart kan u de oorzaak van eventuele foutmelding opzoeken.

View file
namedatapower validaties.pdf

Op deze pagina

Table of Contents

...

Met vragen rond het gebruik van VO-DCBaaS kan u terecht op vodcb@vlaanderen.be.

...

2.3 Stappenplan voor CN’s en Certificaten

Panel
bgColor#FFFFFF

De Common Names (CN’s) én Certificaten voor MAGDA Aansluitingen worden beheerd in het Certificatenbeheer of de DCBaaS toepassingvan de veiligheidsbouwstenen van Digitaal Vlaanderen. Hieronder staat een overzicht van de verschillende stappen die nodig zijn voor de aanmaak en koppeling van een Common Name, Certificaat en MAGDA Dienst.

Stap

Beschrijving

Uitvoerder

Aanmaak Common Name​/Toepassing in DCBaaS

Er wordt door het MAGDA Team tijdens het MAGDA Aansluitingsproces een nieuwe Common Name aangemaakt in het Certificatenbeheer (DCBaaS).

  • Een “Common Name” wordt in DCBaaS gezien als “Toepassing”.

​MAGDA

Goedkeuren Common Name​/Toepassing in DCBaaS

De nieuwe Common Name wordt automatisch goedgekeurd en slechts in beperkte gevallen is er nog een actie nodig van de Afnemer.

Warning

De toegang tot het certificatenbeheer en de beschikbare functies worden bepaald door de rol die een gebruiker heeft gekregen van de Lokaal Beheerder in het Gebruikersbeheer van de Vlaamse overheid (IDM).

  • DCBaaS Certificatenbeheerder Organisatie

  • DCBaaS Certificatenbeheerder Toepassing

  • DCBaaS Workflowbeheerder

Meer informatie over het Gebruikersbeheer vindt u op de website.

ACM of AFNEMER

Aanmaak van een DCBaaS Certificaat​ voor een Toepassing

Zodra de Common Name is aangemaakt is het voor de Afnemer mogelijk om hiervoor een nieuw DCBaaS Certificaat aan te maken.

Warning

Dit is pas mogelijk NA communicatie van het MAGDA Team.

AFNEMER

Koppeling DCBaaS Certificaat & MAGDA Dienst​

De nieuwe Common Name en het daaraan verbonden Certificaat wordt door het MAGDA Team aan de gewenste MAGDA Dienst(en) gekoppeld.

​MAGDA

Info

Meer informatie over het aanmaken en beheren van certificaten binnen certificatenbeheer (DCBaas) vindt u hier.

Impact bij MAGDA voor het beheren van een certificaat

Impact op Certificaat

Impact bij MAGDA

Vernieuwen/verlengen DCBaaS Certificaat

Vernieuwen obv zelfde Common Name

Geen impact

Vernieuwen/verlengen Certificaat met publieke CA

Vernieuwen obv zelfde Common Name

Actie nodig

Info

Voor vragen rond de impact bij MAGDA kan er contact opgenomen worden via de MAGDA Service Desk.

Panel
bgColor#F4F5F7

3. Beveiliging voor de MAGDA Diensten via het REST protocol

Panel
bgColor#FFFAE6

3.1 ACM OAuth ClientID

GUID ter identificatie van de toepassing in het Beheersportaal van Veiligheidsbouwstenen  

Panel
bgColor#FFFFFF

3.2 Stappenplan voor ACM OAuth ClientID

De ACM OAuth ClientID’s voor MAGDA Aansluitingen worden beheerd in het Beheerportaalvan de veiligheidsbouwstenen van Digitaal Vlaanderen. Hieronder staat een overzicht van de verschillende stappen die nodig zijn voor de aanmaak en koppeling van een ACM OAuth ClientID en MAGDA Dienst.

Stap

Beschrijving

Uitvoerder

Aanmaak ACM OAuth ClientID

Er wordt door het MAGDA Team tijdens het MAGDA Aansluitingsproces een nieuw ACM OAuth ClientID aangemaakt in het Beheerportaal waarbij er een eerste koppeling is met MAGDA API’s.

Warning

Door de afnemer zelf aangemaakte clientID's kunnen niet gekoppeld worden aan MAGDA API’s.

MAGDA

Koppeling ClientID & MAGDA Dienst

De nieuwe ClientID wordt door het MAGDA Team gekoppeld aan de aangevraagde MAGDA Dienst obv de scopes.

MAGDA

Authenticeren obv Publieke key door Afnemer​

De nieuwe ClientID moet door de Afnemer in het Beheersportaal nog de nodige authenticatie krijgen obv de publieke key.

Warning

Dit is pas mogelijk NA communicatie van het MAGDA Team.

Mogelijke manieren van authenticeren​

  1. De eigenlijke Public Key registreren (mogelijks DCBaaS Certificaat)

  2. De URL (Json Web Key Set) als verwijzing naar Public Key registreren​

Info

Meer informatie over het Authenticeren obv Publieke key in het beheerportaal van ACM/IDM vindt u hier.

AFNEMER

Info

Meer informatie over de werking van de ACM Oauth Client Credential Grant vindt u hier.

Panel
bgColor#F4F5F7

4. Contact

Info

image-20210323-083107.pngImage Added