Dashboard migratie toepassingen

Voor een statusoverzicht van de migratie toepassingen verwijzen we u naar Migratie van Toepassingen naar ACM

1. Introductie

Digitaal Vlaanderen kiest voor meer veiligheid en uniformiseert daarom de beveiligingsplatformen in de hele organisatie. Tegen eind 2023 zal nog slechts één standaardplatform gebruikt worden, namelijk Toegangs- en Gebruikersbeheer Vlaanderen (ACM-IDM).

Alle gebruikers van het veiligheidsplatform GeoSecure, zullen ten laatste tegen eind 2023 moeten overstappen naar ACM-IDM. Ons doel is deze overgang vlot te laten verlopen. 

U beheert één of meerdere API-clients in de bèta(test)- en/of productieomgeving van GeoSecure? Dan zal de overgang van GeoSecure naar ACM-IDM belangrijke gevolgen hebben voor uw API-clients.

Belangrijk voor Lokaal Besturen en Agentschappen!
Uw API-clients worden beheerd door een dienstenleverancier?

• Uw dienstenleverancier zal een communicatie krijgen met instructies in het "stappenplan" om uw API-clients over te schakelen.
• We adviseren om dit met uw dienstenleverancier te controleren indien dit daadwerkelijk in orde is of te vragen wanneer dit gepland staat.
  
  

Begin 2023 starten we al met de overschakeling van de API-clients van GeoSecure naar het standaard platform ACM per toepassing met een transitiefase.
De transitiefase duurt tot einde 2023. Gedurende die periode biedt Digitaal Vlaanderen u alle nodige ondersteuning en informatie.

Het beheer van de API-clients met aansluiting op ACM-IDM kan u doen via het ACM Beheerportaal.

Stel uw vraag.

U kunt uw vragen sturen naar uitfaseringgeosecure@vlaanderen.be. Dan bezorgen wij u een passend antwoord.

Wij kunnen u helpen met volgende informatie:

• U wenst een overzicht van uw API-clients in GeoSecure.
• Zijn uw clients niet meer actief en mogen ze gedeactiveerd worden?

Laat het ons weten via uitfaseringgeosecure@vlaanderen.be.

2. Ondersteuning voor de migratie van API-clients van GeoSecure naar het Toegangsbeheer ACM

Vandaag worden volgende toepassingen nog beveiligd door het GeoSecure beveiligingsplatform:

• KLIP
• GIPOD
• DOSIS
• NOTIFICATIES
• METADATA VLAANDEREN en METADATACENTER
• DATAVALIDATIE/GRB 
• GTMF

Het project "Uitfasering GeoSecure met aansluiting op ACM-IDM" heeft als doel deze toepassingen te migreren naar het vertrouwde standaard beveiligingsplatform Toegangs- en Gebruikersbeheer Vlaanderen (ACM-IDM)

Tegen einde 2023 zullen al deze toepassingen aangesloten zijn op ACM. Ook alle API-clients voor deze toepassingen dienen gedurende 2023 gemigreerd te worden naar ACM.

Hierbij worden onze klanten die tijdens dit traject API-clients zullen migreren, ondersteund:

• Wij stellen deze pagina ter beschikking om u te begeleiden en technische informatie proactief ter beschikking te stellen.
• Men kan rekenen op support van Digitaal Vlaanderen om u te begeleiden. Wij organiseren bijvoorbeeld INFOSESSIES waar u kan op inschrijven.
• Een vraag kan u steeds sturen naar uitfaseringgeosecure@vlaanderen.be
• U kan ook inschrijven voor verder nieuws over dit migratie traject via deze pagina.
  Bij belangrijk nieuws, updates en product release zal u via deze weg alvast op de hoogte gehouden worden.

3. Stappenplan: Wat moet u doen om uw API-client over te schakelen via het ACM Beheerportaal?

4. Aanpak en technische informatie

Presentatie slides van INFOSESSIE 19 Jan 2023  

De opname kan u afladen via Link naar opname 

5. Veel gestelde vragen

• Welke beperking brengt de wijzigingsstop van 17 november 2023 concreet met zich mee? Betekent dit ook het opnieuw genereren van een Authorization code voor een bestaande client?
  

  Vanaf 17 november is het verplicht om, als men nog wijzigingen wenst door te voeren aan API-clients, deze ook steeds door te voeren in het ACM Beheerportaal.
  Elke aanpassing die nadien nog plaatsvindt in Geosecure, zal niet opgevolgd worden vanuit het project. Er wordt een "foto" van alle Geosecure-clients op 17 november om middernacht genomen. We stellen dan de delta samen, en laden die op in het ACM  Beheerportaal.

  Typische wijzigingen in een Client Credential Grant context Geosecure zijn:

  • Het wijzigen van de naam van een API-client

  • Het wijzigen van het x5c-certificaat – indien een geldig VO DCBaaS-certificaat – in een JWK

  • Het registreren van een nieuwe client

  
  

• Waar vind je een overzicht van de impact van de uitfasering Geosecure?
  Een totaal overzicht kan je vinden op de landingspagina. Daar staan tevens ook de links die je leiden naar de gedetailleerde ondersteunende informatie en handleidingen.
  
  
• Eens een toepassing in transitie is mogen geen GeoSecure clients meer aangemaakt worden?
  Dat klopt, aansluiting van nieuwe API-clients na start transitiefase is enkel nog op ACM via het Selfservice Portaal.
  
  
• De einddatum van een transitiefase zal dus ook verschillen per toepassing als de startdatum verschilt?
  Ja inderdaad, start en einddatum van de transitiefase zullen niet gelijk zijn per toepassing.
  
  
• Hoe krijgen wij de informatie nadat een toepassing in transitiefase is gegaan in T&I of PRD?
  Iedereen die als contactpersoon gekend is als API-Beheerder zal een email met informatie over de API-clients krijgen telkens een toepassing in T&I of in PRD aangesloten is op ACM en in transitiefase is gegaan. De informatie van de API-clients zelf kan u terug vinden als Eigenaar of Editeerder in het ACM Beheerportaal.
  
  
• Kan ik een overzicht krijgen van mijn API-clients op T&I en PRD?
  Ja, dat kan door dit aan te vragen per mail naar onze mailbox uitfaseringgeosecure@vlaanderen.be
  
  
• Zal een API-client met een JWK in ACM nog "self-signed" kunnen opgezet worden?
  Nee dit zal niet mogelijk zijn. Een JWK met een VO DCBaaS certificaat zal wel mogelijk zijn. Dit zal via het Selfservice Portaal instelbaar zijn. 
  
  
• Als Service Provider hebben we verschillende klanten. Zo kan een JWK voor elke organisatie hetzelfde zijn en wat zijn voor- of nadelen?
  ACM laat toe om eenzelfde JWK te hergebruiken. ACM adviseert echter vanwege veiligheidsreden om een apart sleutelpaar en JWK per Klant te gebruiken. Indien een sleutel gecompromitteerd zou worden dan is er maar impact op 1 Klant.
  
  
• Hoelang is een certificaat geldig?
  Een certificaat aangemaakt met DCBaaS is 2 jaar geldig.
  
  
• Kan er ingesteld worden wanneer een certificaat zal vervallen?
  Ja, dit kan ingesteld worden in DCBaaS. De Certificaat-Beheerder krijgt standaard een melding. Men kan ook extra email adressen instellen indien de Certificaat-Beheerder niet dezelfde persoon is als de API-Beheerder.
  
  
• Kan je bij het toevoegen van een API-Client meegeven welke scopes je wenst? Hoe kan je API-beheerder weten welke scopes ze moeten toekennen?
  Bij start transitiefase kunnen we ook de scopes per API-Client in de documentatie meegeven. In het Selfservice Portaal zijn de scopes ook zichtbaar en kunnen die aangevinkt worden.
  
  
• Wat als na 2023 nog niet alle API-clients zijn overgeschakeld naar de toepassing op ACM?
  Deze zullen in de loop van Q1 2024 niet meer werken. De deadline van 2023 wordt dus best nagestreefd.
  
  
• 1 API-Client kan aan verschillende API-Resource servers(toepassingen) geconnecteerd zijn. Hoe gaan we daar mee om?
  Deze case dient geanalyseerd te worden en zal bij de communicatie opgenomen worden. De overschakeling voor deze API-Clients kan pas gebeuren als alle toepassingen voor deze API-Client in transitiefase zitten.
  
  

• We ervaren een probleem met het opvoeren van de nieuwe public keys. Deze wordt niet opgeslagen en telkens keert de public key terug die er al stond.
  

  Een public key heeft een unieke / distinct ID: KID.
  Indien men een publieke key wenst te vervangen met dezelfde kid, dient men deze JWK eerst te verwijderen. Dan de client opslaan en dan terug een nieuwe key met dezelfde kid opslaan.
  Een alternatief is ook gewoon je nieuwe key een andere unieke naam te geven, dan wordt deze opgeslagen zonder dat je de oude moet verwijderen.