Wat is het? 

Provisioneert gebruikers automatisch naar jouw toepassing wanneer deze een recht hebben gekregen.

Wanneer heb je het nodig? 

Wanneer je een up-to-date overzicht nodig hebt van de toekenningen van de rechten voor jouw toepassing, bijvoorbeeld omdat je acties moet uitvoeren voor deze gebruikers, ook wanneer ze niet aangemeld zijn in je toepassing.

Het principe van dynamische provisionering 

In een aantal situaties volstaat het voor de gekoppelde toepassing niet dat de gebruikers- en rolleninformatie Just-in-time (JIT) wordt uitgeleverd door het Toegangsbeheer (ACM), of wegen de beperkingen van deze procesflow te zwaar door:

• Een gebruiker kan geautoriseerd worden in het Gebruikersbeheer (IDM) om gebruik te maken van een geïntegreerde toepassing. Het is in een standaard-context niet zo dat de gebruikersinformatie op het moment van de eigenlijke autorisatie in IDM direct doorgestuurd wordt naar de toepassing: dat gebeurt namelijk JIT: wat betekent op het moment dat wanneer de gebruiker naar de toepassing surft en zich aanmeldt via ACM. 

• Een gebruiker kan zijn/haar autorisatie om van de toepassing gebruiker te maken, verliezen in IDM - bijvoorbeeld in geval van pensioen, ontslag of stopzetting van de arbeid. De gebruiker zal de organisatie daardoor niet meer kunnen vertegenwoordigen op de toepassing: de gebruiker zal in de ACM-schermen namelijk niet langer de optie zien om zich namens deze organisatie aan te melden. De vervallen autorisatie zal evenwel niet tot bij de toepassing zelf komen, en de gebruiker kan intern, in de toepassing zelf, mogelijks blijven als gebruiker. Nogmaals, de gebruiker zal de organisatie niet meer kunnen vertegenwoordigen op de toepassing, maar in deze JIT-flow wordt dat aan de toepassing niet kenbaar worden gemaakt.

Digitaal Vlaanderen erkent in deze situaties de nood aan dynamische provisionering. In een dynamische context integreert de toepassing niet enkel rechtstreeks met ACM (via OpenID Connect of SAML 2.0), maar ook rechtstreeks met IDM. Wanneer een gebruiker geautoriseerd wordt in IDM om een organisatie te vertegenwoordigen op je toepassing, zal IDM deze toekenning meteen kenbaar maken aan je toepassing: de gebruiker hoeft zich met andere woorden niet eerst aan te melden via ACM opdat je over zijn/haar gebruikers- en rolleninformatie zou kunnen beschikken. Tegelijkertijd geldt dat wanneer een gebruiker zijn/haar autorisatie om een organisatie te vertegenwoordigen verliest in IDM, IDM deze verwijdering ook meteen kenbaar zal maken aan de toepassing. Op die manier heeft men in de toepassing steeds een volledig accuraat beeld van alle in IDM gemachtigde gebruikers van de toepassing.

De Provisioning webservices (PWS) 

De communicatie tussen IDM en je toepassing, meestal 'doelsysteem' of 'target system' genoemd, zal tot stand komen via webservice calls. Via deze provisioning webservice wordt gebruikers- en rolleninformatie op een dynamische basis overgemaakt aan je doelsysteem via de SCIM-standaard. SCIM (System for Cross-domain Identity Management) is een open standaard voor het uitwisselen van identiteitsgegevens tussen IT-systemen via RESTful webservices. IDM implementeert de standaarden:

• SCIM 2.0 protocol RFC 7644

• SCIM Core Schema RFC 7643

Het gedrag van de webservice wordt uitgebreid beschreven in RFC 7644. IDM is in deze context van bovenstaande RFC de Enterprise Cloud Subscriber (ECS). De toepassing die informatie ontvangt van IDM neemt hier de rol van Cloud Service Provider (CSP) op.

De technische SCIM-documentatie - alsook voorbeelden van de acties en verwachte responses - kunnen op onderstaande link geraadpleegd worden: 

• SCIM doelsysteem documentatie

Met het oog op een veilige connectie tussen IDM en de webservice, is het gebruik van Mutual SSL verplicht. Om dit af te kunnen dwingen, zal de connectie steeds beveiligd worden via Datapower: op die manier kan gegarandeerd worden dat Mutual SSL correct geïmplementeerd is. Dat resulteert met andere woorden in volgende provisioneringsflow:

Open

Op Datapower zullen de inkomende berichten van je toepassing steeds gecontroleerd worden oftewel zijn deze effectief wel afkomstig van de toepassing? Daartoe zullen wij bij een standaardPlus-integratie ook moeten kunnen beschikken over de server certificaten van je webservices. Andersom is het ook zaak dat langs toepassingszijde gevalideerd wordt dat de ontvangen berichten effectief van Datapower afkomstig zijn. Hiervoor bezorgen we jullie tijdens de integratie graag de client certificaten van Datapower.