Document toolboxDocument toolbox

Documentatie voor klanten en partners van Digitaal Vlaanderen - bouwstenen Mijn Burgerprofiel, Verenigingsloket en e-loketondernemers


Veelgestelde vragen

Ā 

Problemen bij afmelden in Mijn Burgerprofiel (global header met gekoppeld toegangsbeheer)

Impact

Alle gebruikers van een website met:

  • een global header/footer, met gekoppeld toegangsbeheer

  • met de default-instellingen in Firefox en Safari = third-party cookies geblokkeerd

Chrome blokkeert third-party cookies niet standaard. Gebruikers van deze browser ondervinden vandaag geen problemen bij het afmelden.

Digitaal Vlaanderen voerde enkele aanpassingen uit op de global header zodat websites en toepassingen met een global header + gekoppeld toegangsbeheer (dus mƩt een ACM-integratie) geen afmeldproblemen meer hebben. De eigenaars van de websites/toepassingen dienen ook zelf de ACM-implementatie na te kijken en eventueel aan te passen.

Bij een niet correcte implementatie van de ACM-logout komt de gebruiker terecht in een loop van de volgende toasters terecht:

Wie websites en toepassingen gebruikt met eenvoudig toegangsbeheer - dus zonder een ACM-integratie - hoeft geen actie te ondernemen.

Oorzaak

Firefox en Safari blokkeren standaard third-party cookies om de privacy van hun gebruikers beter te beschermen. Ook Mijn Burgerprofiel gebruikt third-party cookies; niet om het gedrag van gebruikers bij te houden en te analyseren, maar wel om single sign-on (SSO) mogelijk te maken tussen verschillende websites met een global header/footer.

Wanneer gebruikers van Firefox en Safari afmelden in Mijn Burgerprofiel, blijft de global header in ā€œaangemelde statusā€ omdat die browsers de third-party cookies blokkeren. Digitaal Vlaanderen maakte een aantal aanpassingen aan de global header om dit afmeldprobleem op te lossen.

Mogelijke aanpassingen voor websites en toepassingen mƩt ACM-integratie

  • Laat in uw implementatie het end_session_endpoint aanspreken om een succesvolle logout bij ACM IDP uit te voeren.

Voor dat endpoint wordt de Discovery URL gebruikt. Die bezorgt de Client alle nodige informatie over de mogelijkheden van de ACM IDP OpenID Connect Provider: op welke URLā€™s de verschillende endpoints beschikbaar zijn en welke functionaliteiten aangeboden worden.

Om ook in de toepassing afgemeld te worden, is een lokale logout in de toepassing zelf nodig. De Discovery URL die wordt gebruikt voor dat endpoint staat gedocumenteerd in: https://authenticatie.vlaanderen.be/docs/beveiligen-van-toepassingen/integratie-methoden/oidc/technische-info/discovery-url/ .

Ā 

  • Voorzie bij voorkeur ook een post_logout_redirect_uri.

Om veiligheidsredenen moet de post-logout redirect URI al in het integratiedossier bij de OpenID Connect aangevraagd en geregistreerd worden via integraties@vlaanderen.be

Meer informatie over afmelden vindt u in de documentatie van het Vlaamse toegangsbeheer: https://authenticatie.vlaanderen.be/docs/beveiligen-van-toepassingen/integratie-methoden/oidc/technische-info/afmelden/

Technisch spreekuur

Mocht u nog problemen ondervinden of vragen hebben, dan bent u welkom op ons technisch spreekuur waar onze technische experts u persoonlijk begeleiden om praktische problemen op te lossen. U kunt elke dinsdag inbellen om 13:00 uur via Teams.

U kunt ook een technische vraag stellen via onze servicedesk.


Wat is het verschil tussen de login-, logout- en loginredirect-URLā€™s?

De login-URL

De login-URL start het aanmeldproces op voor de gastwebsite tot die gastwebsite is aangemeld.

De login-URL zorgt voor de juiste redirect naar de identity provider. Die IDP is meestal ACM (authentication management) maar kan ook een tussenliggende component zijn.

De logout-URL

De logout-URL zorgt ervoor dat het afmeldproces op de gastwebsite start en dat de huidige sessie in de gastwebsite wordt gestopt. Wanneer de gebruiker op ā€˜Afmeldenā€™ klikt gebeurt er een redirect naar de logout-URL.

De loginRedirect-URL

De loginRedirect-URL zorgt bij een geslaagde aanmelding voor een redirect van de browser naar deze URL. Wanneer de gebruiker is aangemeld, wordt er een dashboard getoond.

Wat is het verschil tussen de login/logout van ACM en die van Mijn Burgerprofiel?

Beide login-/logout-processen worden gebruikt vanuit een andere context: ACM of Header. Wat wel identiek is voor de beide processen zijn de toegelaten domeinen voor de App-ID en de widgets.

Voorbeeld

De onderstaande URL's zijn ter beschikking van de gastwebsite met gekoppeld toegangsbeheer (single sign-on) of ACM.

Type

Naam

Voorbeeld waarde

Header

loginUrl

https://tni.gastwebsite-acm.burgerprofiel.dev-vlaanderen.be/auth/openid-connect/authorize

Deze URL start het login-proces voor de gastwebsite tot aangemelde gastwebsite.

Header

loginRedirectUrl

https://tni.gastwebsite-acm.burgerprofiel.dev-vlaanderen.be/profile

Deze URL toont een dashboard aan de aangemelde gebruiker .

Header

logoutUrl

https://tni.gastwebsite-acm.burgerprofiel.dev-vlaanderen.be/auth/openid-connect/logout

Deze URL start het afmeldproces voor de gastwebsite tot afgemelde gastwebsite.

ACM

callbackUrl

https://tni.gastwebsite-acm.burgerprofiel.dev-vlaanderen.be/auth/openid-connect/callback

Ā 

Deze URL is een onderdeel van het aanmeldproces. ACM gebruikt deze URL om de status van de authenticatie te rapporteren aan de gastwebsite. Deze URL is dus alleen nuttig in de context van ACM en kan niet stand-alone gebruikt worden door de header. Stand-alonegebruik geeft een foutmelding op de gastwebsite.

Voorbeeld implementatie/integratie: https://tni.gastwebsite-acm.burgerprofiel.dev-vlaanderen.be

Ā 

Dit is een officiƫle website van de Vlaamse overheid - Uitgegeven door Digitaal Vlaanderen: https://www.vlaanderen.be/digitaal-vlaanderen

DISCLAIMER: http://www.vlaanderen.be/nl/disclaimer
TOEGANKELIJKHEID: http://www.vlaanderen.be/nl/toegankelijkheid