Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 5 Next »

1.Inleiding

WebIDM is een webapplicatie die het toelaat om rechten voor toepassingen toe te kennen aan identiteiten die bekend zijn bij de Vlaamse overheid. Deze rechten worden altijd toegekend op basis van de koppeling met een organisatie of instelling, ook wel werkrelatie genoemd. 

Naast het toekennen van gebruikersrechten, ondersteunt WebIDM ook een zeer fijne parametriseerbaarheid binnen het rollenmodel, die we generiek ‘contexten’ noemen. De bron voor de waarden van deze contexten kan ofwel lokaal WebIDM zelf zijn wanneer het rollenmodel statisch is en weinig verandert, of kan een externe web service zijn (gehost door de klant) waaruit WebIDM de waarden dynamisch ophaalt via SOAP. Deze webservice noemen wij de External Artefact WebService (EAWS), en wordt in dit document in detail beschreven. 

De volgende afbeelding toont de interactie tussen de verschillende componenten wanneer een EAWS gebruikt wordt als (dynamische) bron voor contextwaarden: 

 

De stappen gaan als volgt:

  1. De lokale beheerder wenst een recht toe te kennen aan een gebruiker van zijn organisatie. 
  2. WebIDM stuurt een SOAP-request met de organisatiecode van de gebruiker naar de EAWS. De EAWS antwoordt met de contexten die de lokale beheerder mag toekennen voor deze gebruiker. De lokale beheerder kan vervolgens de contexten kiezen en het recht toekennen
  3. Een gebruiker wenst in te loggen op de toepassing en wordt omgeleid naar ACM voor authenticatie en autorisatie.
  4. ACM haalt de nodige rolleninformatie (waaronder de gekozen contextwaarden) op bij IDM.
  5. ACM stuurt de gebruiker door naar de toepassing met de identiteits- en rolleninformatie.
  6. De gebruiker is aangemeld op de toepassing. 

2.Architectuur

Voor de gegevensuitwisseling tussen het Gebruikersbeheer en de EAWS, wordt gebruik gemaakt van een tussenliggende component, i.e. Datapower. Hieronder kan een vereenvoudigde afbeelding gevonden worden van de opzet. De verschillende componenten en eigenschappen zijn aangeduid op de figuur, waar kan gezien worden dat geen rechtstreeks communicatie tussen Gebruikersbeheer en EAWS zal plaatsvinden.  

 3.Beveiliging & Mutual SSL

Voor het beveiligen van de communicatie tussen WebIDM en de EAWS web service ondersteunen we enkel Mutual SSL authenticatie. 

Naast deze beveiligingsmaatregelen, moeten mogelijks ook de nodige datastromen voorzien worden langs de kant van de toepassing. Het IP-adres van de Datapower kan gevonden worden in het integratiedossier.  

Voor een veilige verbinding, zowel over het lokaal netwerk binnen VO als over Internet, moeten WebIDM en de EAWS web service Mutual SSL authenticatie implementeren, waarbij beide partijen zich authenticeren tegenover elkaar d.m.v. X509 certificaten. 

De EAWS web service producer moet het client certificaat van Datapower vertrouwen. Daarnaast moet de EAWS web service producer een GlobalSign of VO PKI SSL server certificaat voorzien dat WebIDM kan vertrouwen. 

4.Acties Klant - Onboarding

Om de EAWS web service te koppelen met het gebruikersbeheer IDM, moet de klant de technische details van de web service doorgeven aan het integratieteam.  Het integratieteam zal deze gegevens dan opnemen in het onboardingsdocument, en daarna gebruiken als basis om de EAWS-webservice te configureren in WebIDM.  
Daarnaast moet de klant ook een aantal acties uitvoeren om de volledige opzet te laten werken. 

De gegevens die de klant moet aanleveren aan het integratieteam: 

  • IP + URL van de webservice + Poort (T&I + PRD) 
  • Host omgeving (VPC Cloud, NMC4, VPC Overgangszone of een andere externe omgeving) 
  • GlobalSign of VO PKI SSL server certificaat 

Acties die de klant moet uitvoeren langs hun zijde: 

  • Datastromen voorzien voor IP Datapower. Informatie kan gevonden worden in integratiedossier 
  • Vertrouwen van client certificaat van Datapower. Certificaten kunnen gevonden worden in het integratiedossier 

5.Technische Documentatie: EAWS - SOAP Webservice

De volgende figuur toont de interactie tussen WebIDM en de EAWS webservice wanneer WebIDM de contextwaarden opvraagt bij de EAWS.

WebIDM initieert de communicatie en stuurt de organisatiecode van de gekozen werkrelatie naar de EAWS. Het antwoord van de EAWS naar WebIDM dient opnieuw de gekozen organisatiecode te bevatten, én de contextwaarden die WebIDM mag weergeven aan de lokale beheerder voor die organisatie.

De volgende secties beschrijven de structuur van de SOAP-berichten, het XSD-schema, web service technische beschrijving (WSDL), en een voorbeeld-implementatie in JAVA. 

5.1 Voorbeeld Request

Volgend XML-bestand toont een voorbeeld SOAP-bericht dat WebIDM verstuurt naar de EAWS. De enige parameter die WebIDM meestuurt in de request is de organisatiecode (GID: OVO-code, EA & LB: KBO-nummer, OV: vestigingsnummer): 

  • No labels