1.Inleiding
WebIDM is een webapplicatie die het toelaat om rechten voor toepassingen toe te kennen aan identiteiten die bekend zijn bij de Vlaamse overheid. Deze rechten worden altijd toegekend op basis van de koppeling met een organisatie of instelling, ook wel werkrelatie genoemd.
Naast het toekennen van gebruikersrechten, ondersteunt WebIDM ook een zeer fijne parametriseerbaarheid binnen het rollenmodel, die we generiek ‘contexten’ noemen. De bron voor de waarden van deze contexten kan ofwel lokaal WebIDM zelf zijn wanneer het rollenmodel statisch is en weinig verandert, of kan een externe web service zijn (gehost door de klant) waaruit WebIDM de waarden dynamisch ophaalt via SOAP. Deze webservice noemen wij de External Artefact WebService (EAWS), en wordt in dit document in detail beschreven.
De volgende afbeelding toont de interactie tussen de verschillende componenten wanneer een EAWS gebruikt wordt als (dynamische) bron voor contextwaarden:
De stappen gaan als volgt:
- De lokale beheerder wenst een recht toe te kennen aan een gebruiker van zijn organisatie.
- WebIDM stuurt een SOAP-request met de organisatiecode van de gebruiker naar de EAWS. De EAWS antwoordt met de contexten die de lokale beheerder mag toekennen voor deze gebruiker. De lokale beheerder kan vervolgens de contexten kiezen en het recht toekennen
- Een gebruiker wenst in te loggen op de toepassing en wordt omgeleid naar ACM voor authenticatie en autorisatie.
- ACM haalt de nodige rolleninformatie (waaronder de gekozen contextwaarden) op bij IDM.
- ACM stuurt de gebruiker door naar de toepassing met de identiteits- en rolleninformatie.
- De gebruiker is aangemeld op de toepassing.
2.Architectuur
Voor de gegevensuitwisseling tussen het Gebruikersbeheer en de EAWS, wordt gebruik gemaakt van een tussenliggende component, i.e. Datapower. Hieronder kan een vereenvoudigde afbeelding gevonden worden van de opzet. De verschillende componenten en eigenschappen zijn aangeduid op de figuur, waar kan gezien worden dat geen rechtstreeks communicatie tussen Gebruikersbeheer en EAWS zal plaatsvinden.
3.Beveiliging & Mutual SSL
Voor het beveiligen van de communicatie tussen WebIDM en de EAWS web service ondersteunen we enkel Mutual SSL authenticatie.
Naast deze beveiligingsmaatregelen, moeten mogelijks ook de nodige datastromen voorzien worden langs de kant van de toepassing. Het IP-adres van de Datapower kan gevonden worden in het integratiedossier.
Voor een veilige verbinding, zowel over het lokaal netwerk binnen VO als over Internet, moeten WebIDM en de EAWS web service Mutual SSL authenticatie implementeren, waarbij beide partijen zich authenticeren tegenover elkaar d.m.v. X509 certificaten.
De EAWS web service producer moet het client certificaat van Datapower vertrouwen. Daarnaast moet de EAWS web service producer een GlobalSign of VO PKI SSL server certificaat voorzien dat WebIDM kan vertrouwen.
4.Acties Klant - Onboarding
Om de EAWS web service te koppelen met het gebruikersbeheer IDM, moet de klant de technische details van de web service doorgeven aan het integratieteam. Het integratieteam zal deze gegevens dan opnemen in het onboardingsdocument, en daarna gebruiken als basis om de EAWS-webservice te configureren in WebIDM.
Daarnaast moet de klant ook een aantal acties uitvoeren om de volledige opzet te laten werken.
De gegevens die de klant moet aanleveren aan het integratieteam:
- IP + URL van de webservice + Poort (T&I + PRD)
- Host omgeving (VPC Cloud, NMC4, VPC Overgangszone of een andere externe omgeving)
- GlobalSign of VO PKI SSL server certificaat
Acties die de klant moet uitvoeren langs hun zijde:
- Datastromen voorzien voor IP Datapower. Informatie kan gevonden worden in integratiedossier
- Vertrouwen van client certificaat van Datapower. Certificaten kunnen gevonden worden in het integratiedossier