IAM Application Integration Guide

Maat: px
Weergave met pagina beginnen:

Download "IAM Application Integration Guide"

Transcriptie

1 IAM Application Integration Guide Date 7/05/2012 Version 2.0

2 INHOUDSTAFEL 1 Business Oogpunt Doelstellingen van het Federaal IAM De rol van het Fedict IAM programma bij het leveren van authenticatie en attribuutpublicatie diensten Informatie oogpunt Functionele flow van koppeling Informatie categorieën Uitgewisselde attributen Lessons learned: valkuilen Toepassing: informatie in een koppeling zonder rollen informatie Architectuur oogpunt Overzicht componenten in functie van Referentie Architectuur Toepassing: Fedlet FAS integratie uit architectuur oogpunt Technisch oogpunt Ondersteuning van integratiescenario s Migratie van standaard FAS1 implementaties naar FAS+ via Fedlet Overzicht van configuratie en integratie van de OpenAM Fedlet Toepassing: voorbeeldcode en berichten Annex: Nuttige links Specificaties Fedlet integratie Hulpmiddelen FAS+ Integration Kit

3 1 BUSINESS OOGPUNT 1.1 Doelstellingen van het Federaal IAM Binnen het hedendaagse egovernment landschap leveren verschillende partijen diensten en applicaties in een geïnformatiseerde overheid. Zoals afgebeeld hieronder in Figuur 1 zijn zij elk binnen hun domein verantwoordelijk voor gelijkaardige taken op het niveau van identiteits- en authenticatiediensten, toegangscontrole, aangeboden egov applicaties, attribuut- en privilege publicatie diensten en Identity Management. Het Fedict IAM-systeem komt tegemoet aan vijf strategische doelstellingen in dit kader van egovernment: De gebruikers een transparante toegang bieden tot de toepassingen en informatiebronnen van de (federale) Belgische overheid, rekening houdend met het uiterst heterogene en gedistribueerd karakter ervan. Risico s op ongeoorloofde toegang tot de toepassingen controleren en verminderen en de integriteit waarborgen. De efficiëntie en operationele doeltreffendheid van het dagelijkse beheer van de identiteiten en rollen verhogen. Het opzetten van een technische architectuur die een optimale werking en interoperabiliteit garandeert voor het globale systeem, rekening houdend met de autonomie van de betrokken partijen zowel op technisch als op operationeel niveau. Het opzetten van een governance structuur die een optimale werking en interoperabiliteit garandeert voor het globale systeem, rekening houdend met de autonomie van de betrokken partijen zowel op technisch als op operationeel niveau. Figuur 1: egovernment landschap 3

4 Bij het ontsluiten / uitwisselen van informatie zijn overheden verplicht om hun informatie te ontsluiten via een degelijke (gedistribueerde) toegangsbeheersomgeving. Deze omgeving bestaat uit: Ondersteunende identity / authenticatie diensten (bv eid-kaart, bv REAL-kaart, bv Stork, ) zodat de access control omgeving de gebruiker uniek kan identificeren. Bijbehorende access control (decision/administration) diensten aka policy decision/administration points, dewelke op basis van rules de beslissing nemen of een toegang / uitwisseling mag plaats vinden. Effectieve access control (enforcement) diensten, aka policy enforcement points, voor het bewaken van toegang tot / uitwisseling van gegevens. Voornoemde access control omgeving dient beroep te kunnen doen op attribute / rol / mandaat bronnen (aka Policy Information Points) om te kunnen evalueren of de gebruiker voldoet aan de voor de toegang / uitwisseling geldende toegangsregels. Hiertoe is een degelijke (gedistribueerde) gebruikersbeheersomgeving noodzakelijk. Deze bestaat uit: Authentieke bronnen (authentic sources) waarin zich de betreffende identity en attribute / rol / mandaat gegevens bevinden Publicatie/verificatie diensten ten behoeve van het kunnen opvragen van identity en attribute / rol / mandaat informatie Beheers/registratiediensten ten behoeve van het kunnen beheren van de identity en attribute / rollen / mandaten (incl beheer van meta-informatie, rollen-cataloog, ) 1.2 De rol van het Fedict IAM programma bij het leveren van authenticatie en attribuutpublicatie diensten De rol van het Fedict IAM binnen het egov kader, situeert zich in twee domeinen. Een eerste domein is het strategisch vlak. Dit is het maken van de juiste afspraken op niveau van diensten en interfaces alsook op het niveau van de gebruikte informatiemodellen (identiteiten, rollen, mandaten, ). Het tweede domein is het tactisch/operationeel vlak. Dit is het toepassen van deze afspraken/normen/standaarden op de componenten die Fedict aanlevert voor het bieden van authenticatie en attribuut publicatie diensten. Fedict levert de uitwerking en ondersteuning van een gemeenschappelijke strategie op het gebied van federaal IAM door middel van: Governance op strategisch vlak: IAM Framework (cfr noden, omkadering, prioritisering). Governance op tactisch vlak: IAM Enterprise Architectuur, Information-model, Governance op operationeel vlak: IAM service (level) management, security, Het Fedict IAM programma levert als Trusted Third Party advies inzake IAM op strategisch, tactisch en operationeel vlak aan andere overheidsdiensten of organisaties met een publieke functie die op het Fedict IAM een beroep doen: Het uitwerken van de nodige concrete normen, standaarden en basisarchitecturen ten behoeve van het realiseren van degelijke IAM-diensten alsook het waken over de naleving dmv het 4

5 valideren van federale componenten tov het federaal IAM-framework / IAM enterprise architectuur. Het begeleiden van de federale overheidsdiensten bij de implementatie van hun respectievelijke componenten / services binnen hogervermeld kader (dmv architecturale bijstand of dmv het bieden van herbruikbare componenten en IAM-gerelateerde diensten). Het uitwerken van projecten en diensten in de vorm van ondersteunende, herbruikbare componenten en IAM-gerelateerde diensten die ter beschikking gesteld worden van geinteresseerde federale overheidsdiensten. Dit document situeert zich vooral in het begeleiden van federale overheidsdiensten in de implementatie van de koppeling van hun systemen met het Fedict IAM, waarbij de overheidsdiensten als Relying Parties een beroep doen op het Fedict IAM als Trusted Third Party en zo een Circle of Trust vormen. Een van de belangrijkste manieren om te koppelen met het Fedict IAM systeem, is de Federale Authenticatie Service (FAS). Relying Parties kunnen hiervan gebruik maken om eindgebruikers te identificeren en authentiseren. Bovendien geeft het systeem ook relevante attributen en rollen mee om de Relying Party in staat te stellen een gepaste autorisatie beslissing te maken. 5

6 Service Provider (Applicatie) IAM Application Integration Guide v2.0 2 INFORMATIE OOGPUNT De partijen binnen de Circle of Trust moeten aan informatie-uitwisseling doen om aan Identity Federation te doen. Dit hoofdstuk biedt een overzicht van de verschillende soorten informatie en hoe het Fedict IAM ze behandelt. De eerste sectie van dit hoofdstuk geeft een functioneel overzicht van de SAML 2.0 HTTP Post binding en illustreert hoe de communicatie verloopt tussen de gebruiker en de hoofdcomponenten, de applicatie en de FAS. Deze sectie dient als praktisch voorbeeld om de volgende sectie te ondersteunen. De tweede sectie biedt een overzicht van de verschillende informatiecategorieën en waar deze van belang zijn in de koppeling met het Fedict IAM. De laatste sectie geeft een overzicht van de attributen die uitgewisseld worden tussen het Fedict IAM en de Relying Party en typische valkuilen in deze attributen. 2.1 Functionele flow van koppeling Relying Party Figuur 2 geeft een functioneel overzicht van een SAML 2.0 HTTP Post binding tussen een Service Provider en een Identity Provider (FAS): 1) De Gebruiker vraagt een applicatie op. 2) De Fedlet in de applicatie verwijst de gebruiker door naar het login scherm van FAS bij Fedict. 3) De Gebruiker authentiseert zich op een scherm van Fedict. 4) FAS verwijst de gebruiker terug door naar de applicatie FAS+ Fedlet Circle of Trust met: Het resultaat van de aanmelding. Attributen voor consumptie door de applicatie indien succesvolle aanmelding. Figuur 2: Functionele flow binnen Circle of Trust 2.2 Informatie categorieën De klant van Fedict heeft als Relying Party vertrouwen in de informatie die het Fedict IAM verstrekt over identiteiten en hun sessies. De uitgewisselde informatie valt uiteen in 4 categorieën: 1. Persoonlijke informatie laat toe de werkelijke identiteit van de gebruiker vast te stellen, de gebruiker uniek te identificeren. Voorbeelden van persoonlijke informatie zijn voornaam en naam, Rijksregister nummer en persoonlijke contactgegevens, etc. 2. Contact informatie bevat contact- en adresgegevens met betrekking tot de professionele context van de gebruiker. 3. Externe identificatie informatie bevat een combinatie van persoonlijke en contactinformatie die wordt opgehaald uit een externe bron zoals KBO, KSZ, Rijksregister, etc. 6

7 4. Privilege informatie beschrijft de rollen met hun parameters die toegekend zijn aan een Identiteit. 5. Metadata informatie beschrijft eigenschappen van de sessie, van de SAML berichten zelf, etc. Deze categorieën komen in verschillende punten in de functionele flow terug: Metadata informatie wordt uitgewisseld in zowel request als response. Contact informatie, externe identificatie informatie en privilege informatie kunnen enkel teruggegeven worden door Fedict aan de Relying Party. Persoonlijke informatie kan gebruikt worden in het kader van attribute query s en dient dus ook zowel voor requests als responses. In bepaalde gevallen is registratie noodzakelijk of moet het Fedict IAM een externe bron raadplegen om informatie in de response terug te kunnen geven: Persoonlijke informatie staat gedeeltelijk op de eid kaart en kan zonder registratie uitgeleverd worden (RRN, Naam, Voornaam). Persoonlijk adres staat niet op de eid kaart en is enkel voorhanden na registratie binnen het Fedict IAM. Contact informatie vereist in alle gevallen een registratie in het Fedict IAM: de gebruiker moet bestaan binnen een organisatie om te beschikken over bvb een professioneel adres. Externe identificatie informatie vereist per definitie een opzoeking door het Fedict IAM. Hiervoor is echter niet noodzakelijk een registratie nodig. Privilege informatie kan uitgeleverd worden op basis van expliciete roltoekenningen via het Rollenbeheer in het Fedict IAM of op basis van raadpleging van externe bronnen, bvb een wettelijk vertegenwoordiger in het KBO kan impliciet een bepaalde rol toegekend krijgen voor een KBO nummer, terwijl de identiteit daarvoor niet hoeft geregistreerd te zijn in het Fedict IAM. 2.3 Uitgewisselde attributen Deze sectie beschrijft de verschillende attributen die via het Fedict IAM uitgewisseld kunnen worden. De kolom Attribuut geeft de naam van het attribuut en de xpath expression van het attribuut in de XML structuur van de SAML 2.0 berichten. De kolom omschrijving geeft meer informatie over het attribuut en mogelijk gebruik. Attributen kunnen niet anders ingevuld worden dan hier omschreven. Het is bijvoorbeeld onmogelijk om een organisatiecode in een ander veld uit te leveren. Zie sectie 2.5 hieronder voor een voorbeeld van een SAML 2.0 response waarin sommige van deze attributen terugkomen. 7

8 2.3.1 Persoonlijke informatie Vervat in stap 4) in sectie 2.1 hierboven. Attribuut Identiteitscode (/Response/Assertion/Subject/NameID) Omschrijving NameID code die bij de authenticatie wordt doorgegeven. Bij een koppeling met persistent NameID is dit een gesynchroniseerde waarde tussen de omgeving van de Relying Party en van Fedict. Deze gesynchroniseerde waarde is niet de UserID binnen het Fedict IAM (attribuut egovuserid) of de applicatie van de Relying Party, maar een identifier die uitgewisseld wordt tussen Fedict en de Relying Party en die de Identiteit aan beide zijden kan identificeren. Gebruikersnaam (/Response/Assertion/AttributeStatement/Attrib egovuserid /AttributeValue) Rijksregisternummer (/Response/Assertion/AttributeStatement/Attrib egovnrn /AttributeValue) Voornamen (/Response/Assertion/AttributeStatement/Attrib givenname /AttributeValue) Familienaam (/Response/Assertion/AttributeStatement/Attrib surname /AttributeValue) Persoonlijk adres (/Response/Assertion/AttributeStatement/Attrib Personal /AttributeValue) Bij een koppeling met een transient NameID is dit een veranderende waarde. De gebruikersnaam waarmee de gebruiker geregistreerd is in het Fedict IAM. Dit is niet de NameID in het geval van een Persistent Identity koppeling, maar de specifieke UserID waarmee een persoon kan inloggen met Username/Password in het Fedict IAM. Het Rijksregisternummer in het Fedict IAM. Op het moment van registratie wordt dit gecontroleerd aan de hand van de authentieke bron. Dit attribuut kan rechtstreeks van de eid kaart uitgeleverd worden bij eid logon. De voornamen van de identiteit. Dit attribuut kan rechtstreeks van de eid kaart uitgeleverd worden bij eid logon. De familienaam van de identiteit. Dit attribuut kan rechtstreeks van de eid kaart uitgeleverd worden bij eid logon. Het persoonlijk adres dat in het Fedict IAM is geregistreerd voor de identiteit (!= professioneel adres). 8

9 Voorkeurtaal De taal waarin de gebruiker wil werken. (/Response/Assertion/AttributeStatement/Attrib PrefLanguage /AttributeValue) Contact informatie Vervat in stap 4) in sectie 2.1 hierboven. Er is altijd een registreerde identiteit nodig om contactinformatie uit te leveren, zie sectie 2.2 hierboven. Attribuut Agentschap (/Response/Assertion/AttributeStatement/Attrib egovagency /AttributeValue) Departement (/Response/Assertion/AttributeStatement/Attrib egovdepartment /AttributeValue) Professioneel adres (/Response/Assertion/AttributeStatement/Attrib egovprof /AttributeValue) Professioneel telefoonnummer (/Response/Assertion/AttributeStatement/Attrib egovphone /AttributeValue) Statuut (/Response/Assertion/AttributeStatement/Attrib egovcsstatute /AttributeValue) Titel (/Response/Assertion/AttributeStatement/Attrib egovworktitle /AttributeValue) Omschrijving Het agentschap waarin een ambtenaar werkt. Enkel van toepassing op ambtenaren. Het departement binnen het agentschap waarin een ambtenaar werkt. Enkel van toepassing op ambtenaren. Het professioneel adres van de identiteit in zijn hoedanigheid binnen een agentschap en departement. Het professioneel telefoon nummer van de identiteit in zijn hoedanigheid binnen een agentschap en departement. Het ambtenarenstatuut van de identiteit, TRUE of FALSE met TRUE=Identiteit is als ambtenaar bekend in het Fedict IAM. De professionele titel in de hoedanigheid binnen het agentschap en departement van de identiteit Externe identificatie informatie Vervat in stap 4) in sectie 2.1 hierboven. Er is altijd een opzoeking in een authentieke bron nodig om externe identificatie informatie uit te leveren, zie sectie 2.2 hierboven. Attribuut Burgerlijke staat (/Response/Assertion/AttributeStatement/Attrib nrnmartialstatus /AttributeValue) Omschrijving De burgerlijke staat van de identiteit. Dit attribuut wordt uitgelezen uit het Rijksregister. 9

10 Geslacht (/Response/Assertion/AttributeStatement/Attrib nrngender /AttributeValue) Het geslacht van de identiteit. Dit attribuut wordt uitgelezen uit het Rijksregister Privilege informatie Vervat in stap 4) in sectie 2.1 hierboven. Er is altijd een registreerde identiteit met expliciete roltoekenning of een opzoeking in een authentieke bronnen met impliciete roltoekenningen nodig om privilege informatie uit te leveren, zie sectie 2.2 hierboven. Attribuut Toegekende Rol (/Response/Assertion/AttributeStatement/ Attribute/Name=<appCode>/AttributeValue) RoleParameter (/Response/Assertion/AttributeStatement/ Omschrijving De naam van de toegekende rol, bestaat uit een code voor de applicatie en de rol. De naam van het attribuut kan per applicatie wisselen, in de voorbeelden in deze gids heet het attribuut roles. Een of meerdere parameters die aan de roltoekenning zijn verbonden. Dit kan bvb het rolbereik bevatten: het gedeelte van de organisatie waarvoor de roltoekenning van toepassing is Metadata informatie Metadata informatie in authentication request Vervat in stap 2) in sectie 2.1 hierboven. Attribuut Gevraagde Authenticatie methode (/AuthnRequest/RequestedAuthnContext/ AuthContextClassRef) Omschrijving Verwijzing naar het gevraagde authenticatiemiddel. Dit laat applicaties toe van functionaliteit te bieden afhankelijk van het gebruikte authenticatiemiddel, bvb leesrechten bij gebruik van een Burgertoken en schrijfrechten enkel bij eid authenticatie. Authenticatie vergelijking Mogelijk zijn specifieke AuthContextClasses nodig voor de applicatie, zie sectie 2.4 Lessons learned: valkuilen hieronder. Toegelaten waarden: exact of minimum. (/AuthnRequest/RequestedAuthnContext/ 10

11 @Comparison) Exact het gevraagde of minimum het gevraagde authenticatiemiddel. Er is door Fedict een ordening in authenticatiemidellen vastgelegd, bvb eid is sterker dan Burgertoken en Burgertoken is sterker dan username/password. Hernieuwing authenticatie vereist? Indien bvb minimum Burgertoken wordt gevraagd door de applicatie zal een eid ook tot een geslaagde authenticatie leiden, in tegenstelling tot wanneer exact Burgertoken wordt gevraagd. Een Service Provider kan vragen van zowiezo een nieuwe authenticatie uit te voeren voor elke gebruiker, zelfs al heeft deze gebruiker reeds een actieve sessie met een voldoende sterk authenticatiemiddel op de FAS+. Type van gebruikersidentificatie Dit attribuut controleert dus het Single Sign On gedrag van de FAS+ over de verschillende Service Providers binnen de Circle of Trust met Fedict. Toegelaten waarden: urn:oasis:names:tc:saml:2.0:nameidformat:transient urn:oasis:names:tc:saml:2.0:nameidformat:persistent Authenticatie request code Specifieert of transient of persistent NameID s gebruikt moeten worden in de koppeling. Zie sectie 2.4 Lessons learned: valkuilen hieronder. Unieke identificatie van de Authentication Request. Afkomstig van Service Provider (/AuthnRequest/Issuer) De unieke identifier van de Service Provider binnen het Fedict IAM systeem. 11

12 Metadata informatie in authentication response Vervat in stap 4) in sectie 2.1 hierboven. Attribuut Authenticatie method (/Response/Assertion/AttributeStatement/ AttributeValue) Authenticatie resultaat Tijdstip sinds begin sessie Omschrijving Verwijzing naar het gebruikte authenticatiemiddel. Dit laat applicaties toe van functionaliteit te bieden afhankelijk van het gebruikte authenticatiemiddel, bvb leesrechten bij gebruik van een Burgertoken en schrijfrechten enkel bij eid authenticatie. Het resultaat van de aanmelding. Ook ingeval van een mislukte authenticatie zal Fedict een antwoord sturen aan de Relying Party. Moment van de authenticatie. Doel Service Provider (/Response/Conditions/AudienceRestriction /Audience) Referentie naar Authenticatie request code (/Response/Subject/SubjectConfirmation/ Bepaalt voor welk Service Provider (=Relying Party) het antwoord geldig is. Verwijzing naar de Authentication Request van de Relying Party waarop Fedict reageert. SessieID Dit metadata attribuut vermijdt dat een respons van Fedict wordt hergebruikt, mogelijk zonder een geldige Autentication Request van de Relying Party. De unieke identifier van de gebruikerssessie op het Fedict IAM systeem. 2.4 Lessons learned: valkuilen Authenticatiemethode De Service Provider dient een specifieke authenticatiemethode aan te vragen in de SAML 2.0 Authentication Request via een SAML 2.0 attribuut AuthenticationContext. In bepaalde gevallen, bvb gebruik van rollen of specifieke opzoekingen in authentieke of betrouwbare bronnen, wordt afgeweken van de standaard AuthenticationContext. Het is in alle gevallen belangrijk dat de Service Provider de correcte URN van de correcte AuthenticationContext aanvraagt bij de FAS+ IDP, zoniet worden mogelijk niet de juiste attributen, rollen of authenticatiemethode teruggegeven of worden bepaalde authenticatiemethodes zelfs niet als loginscherm aangeboden. 12

13 De authenticatiemethode kan door exact het gevraagde of minimaal het gevraagde authenticatiemiddel ingevuld worden Persistent en transient name ID s Om problemen met machtigingen van de privacy commissie te vermijden is het mogelijk om het Fedict IAM geen gevoelige attributen over Identiteiten te laten uitleveren. In sommige gevallen volstaat het binnen een applicatie van op basis van een transient name ID en een rol een gebruiker toegang te geven tot de applicatie. Fedict plant in de toekomst een dienst die een audit trail verzekert. Deze dienst zal in gerechtvaardigde situaties toelaten van de transient ID op dat tijdstip te linken met een Identiteit, zonder dat de Service Provider hiervoor privacy gevoelige informatie heeft ontvangen. Op dit ogenblik biedt Fedict deze dienst nog niet aan. In sommige gevallen bestaan lokale user accounts en kunnen deze met een door Fedict gegeneerde Persistent Identifier verrijkt worden in de Identity Store van de Service Provider. Het Fedict IAM kan bij authenticatie dan de Persistent Identifier uitleveren, op basis waarvan de gebruiker lokaal bij de Service Provider kan geïdentificeerd worden. Opnieuw heeft Fedict geen gevoelige informatie uitgeleverd, wat het machtigingsproces vergemakkelijkt Structuur van privilege informatie Het Fedict IAM levert privilege informatie op twee verschillende vormen uit: string formaat en HTML encoded XML formaat. In beide gevallen zit de informatie vervat in de privilege informatie attributen in het SAML bericht. De string formaten worden per consumerende Service Provider afgesproken. Datavelden worden van mekaar gescheiden door middel van scheidingstekens zoals :, _,,, etc. met als meestgebruikte vorm: <applicatie>_<rol>:<orgcode1>,<orgcode2> <applicatie>_<rol2>:<orgcode3>,<orgcode4> Het XML formaat volgt een schema om deze rolinformatie over te dragen met als vaste attribuut role name en mogelijk één of meerdere parameters, bvb: <rol:roleresult xmlns:rol="http://be.fedict.rolemgmt/rolexmlschema"> <rol:role name="<applicatie_rol>" xmlns:rol="http://be.fedict.rolemgmt/rolexmlschema"> <rol:roleattribute name="companyid"> </rol:roleattribute> <rol:roleattribute name="fedictdomain">somedomain</rol:roleattribute> </rol:role> </rol:roleresult> 2.5 Toepassing: informatie in een koppeling zonder rollen informatie In het eenvoudigste scenario vraagt de Service Provider een bepaalde AuthenticationClass aan voor de sessie van een gebruiker en levert de FAS+ een aantal identiteitsattributen, geen privilege informatie, uit aan de Service Provider. 13

14 Een typische request ziet er dan als volgt uit, met de belangrijkste attributen uit het informatie oogpunt vet aangeduid: ForceAuthn, Issuer, NameIDPolicy en RequestedAuthnContext. <samlp:authnrequest xmlns:samlp="urn:oasis:names:tc:saml:2.0:protocol" ID="s f77b ef3c1c3ad7038ec635ab9a" Version="2.0" IssueInstant=" T19:00:14Z" Destination="https://fas.services.ta.belgium.be/nidp/saml2/sso" ForceAuthn="false" IsPassive="false" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" AssertionConsumerServiceURL="https://sp2.iamdemo.be:443/fedlet/fedletapplication"> <saml:issuer xmlns:saml="urn:oasis:names:tc:saml:2.0:assertion">fedlettest1</saml:issuer> <ds:signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <! - signature information removed of readability --> </ds:signature> <samlp:nameidpolicy xmlns:samlp="urn:oasis:names:tc:saml:2.0:protocol" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" SPNameQualifier="FedletTest1" AllowCreate="true"></samlp:NameIDPolicy> <samlp:requestedauthncontext xmlns:samlp="urn:oasis:names:tc:saml:2.0:protocol" Comparison="minimum"> <saml:authncontextclassref xmlns:saml="urn:oasis:names:tc:saml:2.0:assertion">urn:be:fedict:citizentoken</saml:authnconte xtclassref> </samlp:requestedauthncontext> </samlp:authnrequest> Een typische response ziet eruit als volgt, met als belangrijkste attributen: combinatie Destination, ID en InResponseTo verhinderen replay attacks en misbruik van gecapteerde responses, de Status Code, de AuthnContext de inhoud van de attribute statement (alle info binnen <saml:attributestatement> tags, niet in kleur). <samlp:response xmlns:samlp="urn:oasis:names:tc:saml:2.0:protocol" xmlns:saml="urn:oasis:names:tc:saml:2.0:assertion" Consent="urn:oasis:names:tc:SAML:2.0:consent:obtained" Destination="https://sp2.iamdemo.be:443/fedlet/fedletapplication" ID="idEgYuquDWiDQypa6K1U0JaSk-x8s" InResponseTo="s f77b ef3c1c3ad7038ec635ab9a" IssueInstant=" T19:00:15Z" Version="2.0"> <saml:issuer>https://fas.services.ta.belgium.be/nidp/saml2/metadata</saml:issuer> <samlp:status> <samlp:statuscode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/> </samlp:status> <saml:assertion ID="id75HGuPQ5xcAnd13bQfs8Paheako" IssueInstant=" T08:03:38Z" Version="2.0"> <saml:issuer>https://fas.services.ta.belgium.be/nidp/saml2/metadata</saml:issuer> <ds:signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <! Signature information removed for readability --> </ds:signature> 14

15 <saml:subject> <saml:nameid Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" NameQualifier="https://fas.services.ta.belgium.be/nidp/saml2/metadata" SPNameQualifier="FedletTest1">zrStwEUD9k/MBXAmWwFwLVMIfSBVD3slYgdALw==</saml:NameID> <saml:subjectconfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:subjectconfirmationdata InResponseTo="s f77b ef3c1c3ad7038ec635ab9a" NotOnOrAfter=" T9:02:15Z" Recipient="FedletTest1"/> </saml:subjectconfirmation> </saml:subject> <saml:conditions NotBefore=" T08:58:38Z" NotOnOrAfter=" T09:08:38Z"> <saml:audiencerestriction> <saml:audience>fedlettest1</saml:audience> </saml:audiencerestriction> </saml:conditions> <saml:authnstatement AuthnInstant=" T09:00:15Z" SessionIndex="id75HGuPQ5xcAnd13bQfs8Paheako"> <saml:authncontext> <saml:authncontextclassref> urn:be:fedict:eid</saml:authncontextclassref> <saml:authncontextdeclref>urn:be:fedict:eid</saml:authncontextdeclref> </saml:authncontext> </saml:authnstatement> <saml:attributestatement> <saml:attribute xmlns:xsd="http://www.w3.org/2001/xmlschema" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance" Name="surname" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:attributevalue xsi:type="xsd:string">lenaerts</saml:attributevalue> </saml:attribute> <saml:attribute xmlns:xsd="http://www.w3.org/2001/xmlschema" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance" Name="egovNRN" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:attributevalue xsi:type="xsd:string"> </saml:attributevalue> </saml:attribute> <saml:attribute xmlns:xsd="http://www.w3.org/2001/xmlschema" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance" Name="givenName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:attributevalue xsi:type="xsd:string">pieter Andreas</saml:AttributeValue> </saml:attribute> </saml:attributestatement> </saml:assertion> </samlp:response> 15

16 3 ARCHITECTUUR OOGPUNT Dit hoofdstuk wil een conceptueel overzicht geven van de verschillende abstracte componenten die een taak vervullen in het Federation scenario tussen een applicatie en de Federal Authentication Service (FAS) zodat het mogelijk wordt een gemeenschappelijke terminologie aan te wenden over betrokken componenten in de koppelingen met FAS. Een duidelijk / consistent begrippenkader is noodzakelijk met betrekking tot diensten (en vooral specifieke implementaties en interoperabiliteit van dergelijke diensten). Dit wil zeggen dat simpele begrippen zoals Policy Enforcement Points, Policy Decision Points, Policy Administration Points, Policy Information Points (IDPs) algemeen gebruikt worden, maar dat alle partijen er zich van bewust moeten zijn dat deze heel anders technologisch ingevuld worden bij de verschillende spelers. Het is dus noodzakelijk dat de betrokkenen zich hiervan bewust moeten zijn, dat er een overkoepelende IAM Enterprise Architectuur dient te zijn en dat de juiste interoperabele interfaces afgesproken moeten worden. De eerste sectie geeft een opsplitsing in abstracte componenten van de security architectuur van de applicatie en de componenten van de Federation architectuur die de integratie tussen de applicatie en FAS mogelijk maakt. Deze sectie verbindt de abstracte componenten met de functionele flow en verklaart stap voor stap welke component welke taak voor zich neemt. De tweede sectie herhaalt de functionele flow uit de eerste sectie en illustreert de rollen van de verschillende componenten aan de hand van de Fedict IAM Referentie Architectuur. 3.1 Overzicht componenten in functie van Referentie Architectuur Figuur 3 hieronder geeft weer welke abstracte componenten werkzaam zijn in en met het Fedict IAM. De verticale kolommen geven de hoofd domeinen weer waarin de componenten werkzaam zijn. Horizontaal wordt weergegeven in welke laag de component werkzaam is: in business logica, in informatie uitwisseling of opslag van data. De componenten met een gekleurd kader zijn van belang in het kader van authenticatie via Federation met het Fedict IAM. De componenten met een oranje kader worden beheerd door Fedict. De componenten met een groen kader worden beheerd door de klant van Fedict. De volgende subsecties verduidelijken de algemene rol van deze componenten en illustreren deze ook in volgorde van hun voorkomen in de functionele flow uit sectie 2.1 hierboven. Figuur 4 onderaan deze sectie toont de informatieflows tussen de eindgebruiker, de verschillende componenten binnen een organisatie en tussen de componenten die de organisaties integreren. 16

17 Component bij Klant Component bij Fedict Figuur 3: Fedict Referentie Architectuur Access Control Policy Enforcement Point Het Policy Enforcement Point (PEP) is een component van een applicatie die toegang tot de applicatie controleert. De PEP bevindt zich typisch op twee plaatsen in de applicatie architectuur. Enerzijds zal er voor coarsegrained access control een PEP voorzien zijn vóór de web applicatie of zeer vroeg in de logica die sessie informatie controleert en zo toegang tot een pagina levert of niet. Concreet kan dit ingevuld worden door een web filter of een intercepting filter, etc. Anderzijds komt een PEP voor in de business logica waar fine-grained access control op business transaction niveau plaatsvindt. Wanneer een gebruiker een web applicatie contacteert onderschept de PEP van de applicatie de browser request en stelt een Policy vraag aan de Policy Decision Point. Tijdens het presenteren van pagina s en verwerken van transacties zal de business logic laag van de applicatie ook Policy vragen stellen aan de Policy Decision Point. Dit gebeurt in stap 2) van de functionele flow in sectie 2.1. De PEP zal conceptueel gezien geen beslissing nemen of een aanvraag tot toegang al dan niet mag uitgevoerd worden. De PEP geeft zijn vraag door aan de Policy Decision Point. Vaak vallen PEP en PDP samen in een conditional statement in applicatielogica. In dit geval zijn de PEP en de PDP geen logisch afzonderlijke modules, maar de functies van een PEP en PDP worden hierdoor wel degelijk ingevuld. 17

18 3.1.2 Access Control Policy Decision Point De Policy Decision Point (PDP) is een component die beslissingen neemt over het al dan niet ter beschikking stellen van functionaliteit, gebaseerd op informatie over een gebruiker (bvb privilege informatie, persoonlijke informatie zoals leeftijd, etc). Deze component kan centraal zijn of een onderdeel van de business logic laag van een applicatie. Door de PDP als een aparte logische component weer te geven kunnen autorisatievragen doorgegeven worden een bvb een centrale autorisatie server die vragen van verschillende applicaties centraal en dus uniform over de hele organisatie beantwoordt. De PDP baseert de beslissing op informatie over de gebruiker afkomstig van een Policy Information Point. Wanneer de PEP een vraag heeft geformuleerd over het leveren van toegang aan een pagina of transactie aan de sessie van een gebruiker, dan zal de PDP informatie vragen over de sessie aan de PIP Access Control Policy Information Point Het Policy Information Point (PIP) 1 is een component van een centrale PDP of van de PDP intern in de applicatie die informatie over een gebruiker uitlevert aan de PDP. De Fedlet vervult deze rol door sessie informatie en privilege informatie op te vragen bij de Identity Provider van Fedict, de FAS Federation Service Provider Een Federation Service Provider (SP) is een component in een Federation context die een dienst levert aan een verbruiker van de dienst en daarvoor vertrouwt op informatie over de verbruiker afkomstig van Trusted Third Parties. De SP haalt de informatie op via een authentication request aan de FAS Identity Provider in een Federation context. Daardoor fungeert de Fedlet enerzijds als PIP in de applicatie security architectuur en anderzijds als Service Provider in de Federation architectuur. Het doorgeven van de authentication request van de SP naar de IdP komt overeen met stap 2) in sectie Deze component staat niet afgebeeld in Error! Reference source not found., maar situeert zich op de Informatie laag voor Access Control & Identification. 18

19 3.1.5 Federation Identity Provider De Federation Identity Provider levert informatie over Identiteiten aan partijen die vertrouwen (relying) op het antwoord van de IdP. De IdP vormt zo een Circle of Trust met de Relying Parties, waaronder de Federation Service Providers uit sectie De doorgegeven informatie kan van verschillende aard zijn: Persoonlijke Informatie laat toe van de Identiteit van de gebruiker vast te stellen, bvb Rijksregister nummer. Contact Informatie bevat contactinformatie zoals adres of voorkeurstaal. Privilege Informatie bevat informatie over toegekende rollen aan de gebruiker. De IdP ontvangt een vraag van een Relying Party in stap 2) in sectie 2.1, maar moet mogelijk nog de identiteit van de gebruiker vaststellen. Deze identificatie zal gebeuren door een Access Control Identity Verification Point aan de gebruiker te presenteren Access Control Identity Verification Point Het Access Control Identity Verification Point (IVP) heeft als doel de identiteit van een gebruiker vast te stellen. In de FAS gebeurt dit op vraag van de IdP in de loginschermen van Fedict, waar de gebruiker een keuze kan maken tussen authenticatiemiddelen. De IVP baseert zich op credential information van identiteiten die opgeslagen zitten in de Identity Identification Storage Point en geeft het resultaat van de aanmelding terug aan de IdP Identity Identification Storage Point Het Identity Identification Storage Point (ISP) is een datastore die credential, persoonlijke en contact informatie over de identiteit bevat. De ISP wordt aangesproken door de IdP voor het uitleveren van attributen en door de IVP voor de verificatie van de identiteit Identity Privilege Storage Point Het Identity Privilege Storage Point (PSP) is een datastore die privilege informatie bevat voor een identiteit: roltoekenningen en alle parameters en metadata van die toekenningen zoals geldigheidsdata, parameterwaarden, enz. De PSP wordt aangesproken door de IdP voor het uitleveren van privilege informatie van een identiteit. 19

20 3.2 Toepassing: Fedlet FAS integratie uit architectuur oogpunt Figuur 4 hieronder geeft de verschillende abstracte componenten in de Fedict IAM Referentie Architectuur weer. De pijlen op de figuur geven weer welke component een andere component contacteert voor informatie. Merk op dat een technische component meerdere rollen kan vervullen: - In het integratiescenario van een Fedlet koppeling met de FAS vervult de Fedlet de rol van Access Control Policy Information Point en Federation Service Provider. - De Fedict edirectory doet dienst als zowel Identity Identification Storage Point als Identity Privilege Information point. Wanneer we de stappen uit sectie 2.1 volgen doorlopen we volgende componenten van de referentie architectuur: De Gebruiker contacteert de applicatie en wordt onderschept door de logica in de applicatie die sessies controleert, dit is een PEP op coarse-grained niveau, die toegang tot delen van de applicatie afschermt. De PEP stelt zijn vraagt aan de PDP om de gebruiker toegang te geven, maar er is nog geen informatie over de identiteit van de gebruiker of zijn/haar privileges. De PDP contacteert dus de PIP voor het ophalen van informatie van de gebruiker. De applicatie is in een Federation Circle of Trust verbonden met Fedict en vertrouwt op Fedict voor informatie over de gebruikers en hun privileges. De PIP contacteert dus een Federation Service Provider die een authentication request stelt aan de Federation Identity Provider. De IDP stelt vast dat er nog geen informatie bekend is over de sessie van de gebruiker, en moet dus de gebruiker identificeren. Daarom wordt de gebruiker naar een Identity Verification Point gestuurd waar zijn/haar identiteit op basis van informatie in een Identity Identification Storage Point wordt bepaald. Uit een Identity Privilege Storage Point wordt privilege informatie opgehaald, zodat de IDP de Identification Information en Privilege Information van de gebruiker kan terugsturen naar de Service Provider in een authentication response. Deze Service Provider ontvangt de authentication response en geeft de identity en privilege information terug aan het Privilege Information Point. De PIP kan nu de informatie doorgeven aan het Policy Decision Point, welke nu een beslissing kan nemen of de gebruiker toegang mag krijgen tot bepaalde logica. De goed- of afkeuring door de PDP wordt doorgegeven aan de Policy Enforcement Point, die de effectieve presentatie van de inhoud toelaat. 20

21 Fedlet IAM Application Integration Guide v2.0 Eindgebruiker Applicatie intern IDP - SP SP PIP PEP Web Pages WEB LAYER IVP IDP PDP Business Logic PEP BUSINESS LAYER PSP ISP Database Tables DATA LAYER FAS Applicatie Figuur 4: Referentie componenten in Fedlet koppeling 21

22 4 TECHNISCH OOGPUNT Dit hoofdstuk wil een overzicht bieden van drie technische implementatiescenario s en een inleiding bieden om een vrij verkrijgbare standaard oplossing, de OpenAM Fedlet, enerzijds te configureren als Federation Service Provider in een Circle of Trust met het Fedict IAM en anderzijds de Fedlet te integreren als Policy Information Point voor een web applicatie. Om de integratie met FAS+ te vereenvoudigen is er een integratie kit ontwikkeld. In annex 5.4 wordt deze integration kit uitgebreid beschreven. 4.1 Ondersteuning van integratiescenario s Drie belangrijke implementatiestrategieën kunnen gebruikt worden om te koppelen voor authenticatie en attribuut diensten met het Fedict IAM. Elk van deze strategieën biedt uiteraard voor- en nadelen, vooral naar complexiteit van implementatie en kost toe. De best ondersteunde integratiestrategie is het uitrollen van een vendor-supported Federation oplossing zoals ForgeRock OpenAM, Novell Access Manager, Oracle Identity Federation, Microsoft ADFS 2.0, etc. Deze producten nemen voor een groot deel de complexiteit van een Federation scenario voor zich. De rol van Fedict beperkt zich voor ondersteuning tot het aanleveren van het architectuurkader zoals hierboven omschreven en ondersteuning kan ook geboden worden door de vendor in kwestie. De tweede integratiestrategie gebruikt de Fedlet, een onderdeel van OpenAM code. Dit is een vrij te gebruiken, open source, lichtgewicht implementatie van een Federation Service Provider. Deze kan geïntegreerd worden met een web applicatie om deze via Federation te ontsluiten. Bij deze strategie biedt Fedict dit document als ondersteuning voor de technische configuratie maar het is aan de klanten van Fedict om de nodige know-how te voorzien voor de integratie van de Fedlet code met de web applicatie. Er is ook de mogelijkheid om een aangepaste Fedlet te gebruiken. Deze integration kit bevat al enkele elementen die specifiek zijn aan het Fedict systeem. De laatste integratiestrategie is een volledig custom implementatie van een Federation Service Provider te implementeren, al dan niet aan de hand van libraries zoals OpenSAML. Hierbij kan Fedict geen enkele ondersteuning bieden. 4.2 Migratie van standaard FAS1 implementaties naar FAS+ via Fedlet De Fedlet kan volledig de SAML1 implementatie die voor FAS1 door Fedict werd uitgerold bij klanten, vervangen. Deze SAML1 implementatie leverde een SAML1 consumer pagina waar een applicatie kon op inhaken. De integratiestrategie voor een Fedlet is in lijn met de voorgaande: de FAS+ roept een SAML2 consumer pagina aan waar de applicatielogica van de klant van Fedict op inhaakt om op policy beslissingen te nemen op basis van de geïnterpreteerde informatie uit de SAML2 response. Naast het gebruik van een nieuwe standaard (SAML2) zijn er nog enkele andere verschillen tussen de FAS1 en de FAS+. De volgende sectie (4.2.1) behandelt de voornaamste verschillen. 22

23 4.2.1 Technische verschillen tussen FAS1 en FAS Attribuut mapping De benaming van attributen, die de FAS1 teruggeeft, is veranderd in de FAS+. De FAS+ geeft de attributen onder een ander naam terug. Hiermee dient rekening gehouden te worden indien deze informatie nodig is in de applicatie. De tabel (Tabel 1) geeft het verschil in naamgeving weer. Naam attribuut FAS1 egovuserid SurName FirstName NRN Language AgencyCode AgencyName DepartmentCode DepartmentName Prof Statute Title Category Naam attribuut FAS+ uid surname givenname egovnrn mail PrefLanguage egovagency AgencyName egovdepartment DepartmentName egovprof egovcsstatute egovworktitle Category Tabel 1: Attribuut mapping Merk op dat indien gebruik gemaakt wordt van de integration kit, de mapping van attributen automatisch gebeurd. Gebruikers van de integration kit zullen dus de FAS1 benaming behouden Authenticatie middelen De FAS+ heeft de volgende authenticatie middelen: eid en burgertoken. Authenticatie met gebruikersnaam en paswoord of ambtenarentoken kan enkel nog voor klanten die migreren vanuit de FAS1 (en daar ook die authenticatiemiddelen hadden) of na expliciete goedkeuring van Fedict. Aanvraag kan via de ServiceDesk van Fedict Login scherm Het FAS+ loginscherm (Figuur 5) is opgesmukt en bevat nu rechtstreekse toegang tot het ingeven van gebruikersnaam en wachtwoord. Het bevat ook extra informatie en relevantie verwijzingen naar andere pagina s. De rode rechthoek op Figuur 5 en Figuur 6 kan, indien gewenst, het logo van de klant bevatten. In het geval er in de FAS1 een logo geconfigureerd was, zal dit automatisch overgenomen worden in de FAS+. 23

24 Figuur 5: FAS+ Login scherm Figuur 6: FAS1 Login scherm Single log-out De FAS+ ondersteunt ook Single log-out (SLO). De klant kan een SLO request sturen naar de FAS+. De FAS+ zal dan de sessie die het heeft met de gebruiker beëindigen. Er dienen hiervoor certificaten gebruikt te worden Configuratie Fedict kan indien gewenst aan haar klanten een voorgeconfigureerde Fedlet uitleveren. Op basis van de informatie verzameld in het onboardingsproces vult Fedict de metadata en certificaat informatie van de FAS+ IDP en de Service Provider van de klant in. Fedict levert dan de Fedlet configuratie files. De klant moet in dit geval enkel het integratie gedeelte in de volgende secties uitvoeren en de application server configureren. Er kan ook gebruik gemaakt worden van de FAS+ integration kit. Deze staat uitgebreid beschreven in annex 5.4. Ook in dit geval zullen de aangeleverde configuratiebestanden gekopieerd moeten worden. 24

25 4.3 Overzicht van configuratie en integratie van de OpenAM Fedlet Het is niet de bedoeling in dit document een volledige documentatie van de Fedlet te beschrijven, enkel van de grote lijnen en voorbeelden aan te duiden. De OpenAM Fedlet is een lichtgewicht implementatie van een Service Provider in een Identity Federation context. De Fedlet kan in een web applicatie geïntegreerd worden om toegangscontrole uit te voeren via Federation met een Identity Provider. De Fedlet komt historisch uit de source tree van Sun OpenSSO. OpenAM is een fork van de OpenSSO code sinds begin De Fedlet downloaden De Fedlet is verkrijgbaar in de distributie van OpenAM. De volledige OpenAM code kan gedownload worden via In de OpenAM download file bevindt zich een subdirectory Fedlet. Deze bevat de code voor ASP.NET of Java web containers. Deze Integration Guide focust op de Java deployment Prerequisites Java Servlet container Een Java Servlet container moet geconfigureerd zijn voor communicatie met Fedict: een private key voor https verkeer moet opgeladen zijn in een trust store. Het certificaat moet in de Fedict IDP voor de SP geregistreerd zijn en moet dus doorgegeven worden aan Fedict en correct opgeladen worden door Fedict in de IDP Toegang tot het FedMAN De Fedict Test & Acceptatie omgeving is niet publiek toegankelijk, maar enkel via het FedMAN. Daarom is toegang nodig van de SP op het FedMAN Deployment en configuratie van de Fedlet De Fedlet wordt geleverd als war file die een aantal basisfunctionaliteiten voorziet en testpagina s biedt. Voor test doeleinden kan de installatie van de Fedlet zich beperken tot het deployen van de Fedlet Web application Archive in de Java Servlet container, bvb, voor Tomcat moet fedlet.war in de webapps directory gezet worden. Daarna is de Fedlet bereikbaar op bvb De deployment voor zover ze in deze sectie is beschreven laat enkel toe van een SAML 2.0 koppeling te testen met een IDP en levert op zich geen integratie met een applicatie. Zie daarvoor sectie Fedlet 25

26 integreren in een applicatie beneden. De configuratie richtlijnen blijven echter dezelfde bij een integratie in een bestaande applicatie. Fedict biedt voor Java omgevingen aan van een zover mogelijk geconfigureerde Fedlet aan te leveren aan zijn klanten. Op basis van het boarding document kan de configuratie volledig worden klaargezet, afgezien van de locatie van de Java keystore en de Fedlet home directory die de Fedlet moet gebruiken Fedlet Home directory De Fedlet verwacht de SP en IDP metadata in eenzelfde directory. Deze moet meegegeven worden via de JAVA_OPTS environment variabele naar Tomcat. Volgende optie moet gezet worden in JAVA_OPTS: -Dcom.sun.identity.Fedlet.home=<pad_naar_Fedlet_home_dir> Metadata en Circle of Trust templates aanpassen Voor elk van de sp*.xml en idp*.xml metadata files is een template meegeleverd in de OpenAM Fedlet distributie. Deze templates bevatten placeholders die telkens vervangen moeten worden door een reële waarde specifiek voor de setup. Volgende placeholders moeten vervangen worden in de files: Bestandsnaam Fedlet.cot idp.xml idp-extended.xml sp.xml sp-extended.xml FederationConfig.properties Omschrijving Definitie van de Circle of Trust tussen IDP en Fedlet Entity descriptor, certificaten, url's en services van IDP Entity config. Referenties naar COT's per Federation domein. Entity descriptor, url's en services van SP Entity config. Requirements voor signing, attribute mapping, etc. Configuratie van Fedlet zelf Merk op dat in het kader van een Fedict onboarding de SP entityid moet ingevuld worden met de URL van de applicatie Opladen SP metadata in Fedict IDP De SP moet geregistreerd zijn in de Fedict IDP. Daarom moet de sp.xml file doorgestuurd worden aan Fedict zodat deze in de Test & Acceptatie omgeving kan opgeladen worden. Merk op dat het opladen van SP metadata enkel kan in het kader van de onboarding van een applicatie in het Fedict IAM. Het onboardingsproces kan via de Fedict Service Desk opgestart worden. Indien getest wordt buiten het kader van een onboarding moet lokaal een IDP opgezet worden. 26

27 4.3.5 Fedlet testen Ga met een web browser naar het Fedlet deployment URI. Als de SP metadata correct is doorgegeven aan Fedict en deze is opgeladen in de IDP dan zou de link voor Browser Initiated HTTP Post binding naar het Fedict login scherm (IVP) moeten leiden. Na authenticatie wordt de teruggegeven data uit de SAML 2.0 response van de Fedict IDP weergegeven Fedlet integreren in een applicatie Integratie van de Fedlet in een bestaande Java web applicatie gebeurt door de files in de fedlet.war uit te pakken en samen te voegen met de bestaande applicatie files. Vervolgens moeten de endpoint locations ingesteld worden in sp.xml voor de verschillende services en bindings en moeten deze locations de logica bevatten om de informatie in de responses van de IDP te consumeren Samenvoegen van code De integrale inhoud van de Fedlet war moet eerst uitgepakt worden op een tijdelijke locatie. Volgende bestanden moeten aangepast of verwijderd worden: 1. index.jsp index.jsp bevat het welkomscherm voor de test functionaliteit van de Fedlet. De links in de originele index.jsp geven een voorbeeld hoe de SSO jsp s moeten aangesproken worden. De originele index.jsp moet niet in de bestaande applicatie gevoegd worden. 2. fedletsampleapp.jsp fedletsampleapp.jsp bevat voorbeelden hoe een response verwerkt moet worden. fedletsampleapp.jsp moet niet as-is in de bestaande applicatie gevoegd worden, maar moet aangepast worden om de nodige applicatielogica op te roepen. 3. web.xml en sp.xml fedletsampleapp.jsp wordt gebruikt als jsp file voor servlet fedletapplication in web.xml. Deze fedletapplication servlet is standaard als endpoint location voor de verschillende services en bindings 27

De FAS (Federal Authentication Service) Peter Strick SmartCities IDM workshop 07/05/2009

De FAS (Federal Authentication Service) Peter Strick SmartCities IDM workshop 07/05/2009 De FAS (Federal Authentication Service) Peter Strick SmartCities IDM workshop 07/05/2009 Fedict 2009. All rights reserved Agenda Beschrijving van de FAS Authenticatie Veiligheidsniveaus voor authenticatie

Nadere informatie

SAML & FEDERATED IDENTITIES. The Single Sign-on provider

SAML & FEDERATED IDENTITIES. The Single Sign-on provider SAML & FEDERATED IDENTITIES The Single Sign-on provider Agenda Onderwerp: SAML Single Sign-on Justitie Uitleg: Waarom Identity en Access Management (IAM) Wat is IAM Wat is Security Assertion Markup Language

Nadere informatie

Handleiding: CIA - User Management

Handleiding: CIA - User Management Handleiding: CIA - User Management Onderwerp: Project: Ten behoeve van: Vanwege: Handleiding beheer gebruikers van CIA - Gerechtsdeurwaarders CIA Central Identification & Authentication server NKGB National

Nadere informatie

Single Sign On. voor. Residentie.net en Denhaag.nl

Single Sign On. voor. Residentie.net en Denhaag.nl Single Sign On voor Residentie.net en Denhaag.nl Omschrijving : -- Opgesteld door : Leon Kuunders Referentie : -- Datum : 30 augustus 2003 Versie : 0.31 (draft) Versiebeheer Versie Datum Auteur Wijziging

Nadere informatie

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van Alfresco aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 8 december 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305

Nadere informatie

Gebruikershandleiding: opzoekingen D.I.V.

Gebruikershandleiding: opzoekingen D.I.V. Gebruikershandleiding: opzoekingen D.I.V. Betreffende: Project: C.I.A.-Server: opzoekingen D.I.V. C.I.A.-server: Central Identification & Authentication Server Ten behoeve van: Nationale Kamer van Gerechtsdeurwaarders

Nadere informatie

Kennisnet Federatie Handleiding Migratie Sharepoint 2007/2010 naar ADFS 2.0

Kennisnet Federatie Handleiding Migratie Sharepoint 2007/2010 naar ADFS 2.0 Kennisnet Federatie Handleiding Migratie Sharepoint 2007/2010 naar ADFS 2.0 voor aansluiting als identity provider Door Bastiaan van den Hoek (Kennisnet) Laatst aangepast op 9 januari 2013 Inhoudsopgave

Nadere informatie

Single sign on kan dé oplossing zijn

Single sign on kan dé oplossing zijn Whitepaper Single sign on kan dé oplossing zijn door Martijn Bellaard Martijn Bellaard is lead architect bij TriOpSys en expert op het gebied van security. De doorsnee ICT-omgeving is langzaam gegroeid

Nadere informatie

SURFconext Cookbook. Het koppelen van Wordpress aan SURFconext. Versie: 1.0. Datum: 7 november 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van Wordpress aan SURFconext. Versie: 1.0. Datum: 7 november 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van Wordpress aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 7 november 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305

Nadere informatie

Zelftest Java EE Architectuur

Zelftest Java EE Architectuur Zelftest Java EE Architectuur Document: n1218test.fm 22/03/2012 ABIS Training & Consulting P.O. Box 220 B-3000 Leuven Belgium TRAINING & CONSULTING INLEIDING BIJ DE ZELFTEST JAVA EE ARCHITECTUUR Nota:

Nadere informatie

Kennisnet Federatie Handleiding ADFS 2.0

Kennisnet Federatie Handleiding ADFS 2.0 Kennisnet Federatie Handleiding ADFS 2.0 voor aansluiting als identity provider Oorspronkelijke document gemaakt door SURFnet Aangepast door Bas Nedermeijer (Vasco) en Maurice G. Pasman (Kennisnet) Laatst

Nadere informatie

Installatie Handleiding: Activatie gebruikers Rijksregister

Installatie Handleiding: Activatie gebruikers Rijksregister Installatie Handleiding: Activatie gebruikers Rijksregister Betreffende: Project: C.I.A.-Server: Activatie gebruikers rijksregister C.I.A.-server: Central Identification & Authentication Server Ten behoeve

Nadere informatie

SURFFEDERATIE HANDLEIDING AD FS 2.0

SURFFEDERATIE HANDLEIDING AD FS 2.0 SURFFEDERATIE HANDLEIDING AD FS 2.0 VOOR AANSLUITING ALS IDENTITY PROVIDER versie 2.0, 15 juli 2010 SURFNET BV, R ADBOUDKWARTIER 273, P OSTBUS 19035, 3501 DA U TRECHT T +31 302 305 305, F +31 302 305 329,

Nadere informatie

Security web services

Security web services Security web services Inleiding Tegenwoordig zijn er allerlei applicaties te benaderen via het internet. Voor bedrijven zorgt dit dat zei de klanten snel kunnen benaderen en aanpassingen voor iedereen

Nadere informatie

SURFconext Cookbook. Het koppelen van LimeSurvey aan SURFconext. Versie: 1.0. Datum: 4 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van LimeSurvey aan SURFconext. Versie: 1.0. Datum: 4 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van LimeSurvey aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 4 december 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305

Nadere informatie

Internet-authenticatie management (A-select) Erik Flikkenschild e.flikkenschild@lumc.nl

Internet-authenticatie management (A-select) Erik Flikkenschild e.flikkenschild@lumc.nl Internet-authenticatie management (A-select) Erik Flikkenschild e.flikkenschild@lumc.nl Inhoud: Begrippenkader gezondheidszorg A-select scope A-select architectuur LUMC implementatie De uitdaging voor

Nadere informatie

BESCHRIJVING VAN DE COMPONENT

BESCHRIJVING VAN DE COMPONENT Gebruikers- en Toegangsbeheer Component voor een geïntegreerd e-gov Wat is een component? Een noodzakelijk element voor de integratie van de e-govsystemen van de verschillende beleidsniveaus. Dat element

Nadere informatie

Technisch Interface Specificatie Webservice Koppelvlak Versie 4.1.03. Datum 08-07-2013 Status Concept

Technisch Interface Specificatie Webservice Koppelvlak Versie 4.1.03. Datum 08-07-2013 Status Concept Technisch Interface Specificatie Webservice Koppelvlak Versie 4.1.03 Datum 08-07-2013 Status Concept Colofon Projectnaam Technisch Interface Specificatie Webservice Versienummer 4.1.03 Organisatie Logius

Nadere informatie

Beschrijving OpenTunnel koppelvlak met MijnOverheid BerichtenBox

Beschrijving OpenTunnel koppelvlak met MijnOverheid BerichtenBox Beschrijving OpenTunnel koppelvlak met MijnOverheid BerichtenBox INHOUDSOPGAVE INLEIDING... 3 OPVRAGEN GEABONNEERDEN... 4 MASSALE AANLEVERING OP BASIS VAN META- DATA VIA XML... 5 MASSALE AANLEVERING MET

Nadere informatie

Oracle Application Server Portal Oracle Gebruikersgroep Holland Oktober 2003

Oracle Application Server Portal Oracle Gebruikersgroep Holland Oktober 2003 Oracle Application Server Portal Oracle Gebruikersgroep Holland Oktober 2003 Page 1 1 Kees Vianen Senior Sales Consultant Technology Solutions Oracle Nederland Agenda Geschiedenis van Oracle Portal Portal

Nadere informatie

DigiD* Eenmalig inloggen

DigiD* Eenmalig inloggen Installatiehandleiding voor DigiD Eenmalig Inloggen www.novell.com Novell Access Manager configuratie voor DigiD* Eenmalig inloggen Published: Maart 2011 Disclaimer Novell, Inc. makes no representations

Nadere informatie

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Beveiligingsbeleid Perflectie. Architectuur & Procedures Beveiligingsbeleid Perflectie Architectuur & Procedures 30 november 2015 Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 0.1 Dimitri Tholen Software Architect

Nadere informatie

1 Aanmelden nieuwe parkeer dataset

1 Aanmelden nieuwe parkeer dataset Dit document beschrijft het proces voor het aanmelden en beheren van parkeer datasets ten behoeve van de Parkeer Data Catalogus van het Ministerie van Infrastructuur & Milieu. 1 Aanmelden nieuwe parkeer

Nadere informatie

Handleiding: User Management Schuldbemiddelaars

Handleiding: User Management Schuldbemiddelaars Handleiding: User Management Schuldbemiddelaars Betreffende: Project: Handleiding beheer gebruikers van CBB voor schuldbemiddelaars CBS: Centrale Bron Schuldbemiddelaars Centraal Bestand van Berichten

Nadere informatie

1. De dienst in het kort 3. 2. Voordelen 3. 3. Context 3. 4. Huidige en beoogde klanten 4. 5. Beschrijving van de dienst 4 5.

1. De dienst in het kort 3. 2. Voordelen 3. 3. Context 3. 4. Huidige en beoogde klanten 4. 5. Beschrijving van de dienst 4 5. DIENST: EID DSS Dienstcode: Dienstengroep: Infrastructuur Doelpubliek: Partners Documentversie: V 1.0 Inhoudsopgave 1. De dienst in het kort 3 2. Voordelen 3 3. Context 3 4. Huidige en beoogde klanten

Nadere informatie

Installatie SQL: Server 2008R2

Installatie SQL: Server 2008R2 Installatie SQL: Server 2008R2 Download de SQL Server 2008.exe van onze site: www.2work.nl Ga naar het tabblad: Downloads en meld aan met: klant2work en als wachtwoord: xs4customer Let op! Indien u een

Nadere informatie

Implementatiekosten en baten van SURFconext. Versie: 0.5 Datum: 06/06/2013 Door: Peter Clijsters

Implementatiekosten en baten van SURFconext. Versie: 0.5 Datum: 06/06/2013 Door: Peter Clijsters Implementatiekosten en baten van SURFconext Versie: 0.5 Datum: 06/06/2013 Door: Peter Clijsters Dit document geeft een antwoord op de vraag hoeveel een aansluiting op SURFconext kost. Introductie... 1

Nadere informatie

Enterprise SSO Manager (E-SSOM) Security Model

Enterprise SSO Manager (E-SSOM) Security Model Enterprise SSO Manager (E-SSOM) Security Model INHOUD Over Tools4ever...3 Enterprise Single Sign On Manager (E-SSOM)...3 Security Architectuur E-SSOM...4 OVER TOOLS4EVER Tools4ever biedt sinds 2004 een

Nadere informatie

Desktop Single Sign-On Enterprise Single Sign-On

Desktop Single Sign-On Enterprise Single Sign-On Enterprise Single Sign-On 31 Mei 2007 Bob Lannoy Sectie Onderzoek Agenda Problematiek Situering Eigenschappen Marktoverzicht Demo Voordelen / nadelen Alternatieven Besluit 2 Problematiek (1/3) 3 Problematiek

Nadere informatie

HDN DARTS WEB AUTHENTICATIE

HDN DARTS WEB AUTHENTICATIE HDN DARTS WEB AUTHENTICATIE HDN Helpdesk T: 0182 750 585 F: 0182 750 589 M: helpdesk@hdn.nl Copyright Communications Security Net B.V. Inhoudsopgave 1. INLEIDING OP HET ONTWERP... 3 1.1 HET DOEL VAN DIT

Nadere informatie

De controlekaart volledige werkloosheid

De controlekaart volledige werkloosheid De controlekaart volledige werkloosheid Mobiele Versie Gebruikershandleiding Inhoudstafel Toegang 4 Algemene beschrijving 6 Bovenaan 7 Het logo van de uitbetalingsinstelling 7 De PDF downloaden 7 Instellingen

Nadere informatie

De SAP Cloud Connector 2.0 maakt SAPUI5 ontwikkeling via de WEB-IDE mogelijk met data uit je eigen backend systeem.

De SAP Cloud Connector 2.0 maakt SAPUI5 ontwikkeling via de WEB-IDE mogelijk met data uit je eigen backend systeem. De SAP Cloud Connector 2.0 maakt SAPUI5 ontwikkeling via de WEB-IDE mogelijk met data uit je eigen backend systeem. Vele van ons willen wel eens spelen met de WEB-IDE in de could via het SAP Trial Hana

Nadere informatie

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni 2008. Arthur Donkers, 1Secure BV arthur@1secure.nl

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni 2008. Arthur Donkers, 1Secure BV arthur@1secure.nl SOA Security en de rol van de auditor... ISACA Roundtable 2 juni 2008 Arthur Donkers, 1Secure BV arthur@1secure.nl 1 SOA Web 2.0, web services en service oriented architecture (SOA) is tegenwoordig de

Nadere informatie

A-PDF Split DEMO. Samoera Jacobs, Delphine Duprez, Peter Maes, Peter Strickx V-ICT-OR - 24 januari 2006

A-PDF Split DEMO. Samoera Jacobs, Delphine Duprez, Peter Maes, Peter Strickx V-ICT-OR - 24 januari 2006 Samoera Jacobs, Delphine Duprez, Peter Maes, Peter Strickx V-ICT-OR - 24 januari 2006 Agenda > Over Fedict - eid Presentatie Spreker: Peter Strickx > eid juridische aspecten Spreekster: Samoera Jacobs

Nadere informatie

Portals & Open Source

Portals & Open Source Portals & Open Source OGh Jaarcongres 2003 Zeist, 7 october R.V.L.P. Schaaf Agenda Introductie Begrippenkader en standaards Open Source portals Onder de loep: Imbrium Praktijk case Open Source in uw organisatie?

Nadere informatie

Gebruikershandleiding User Management Scenario 4

Gebruikershandleiding User Management Scenario 4 Gebruikershandleiding User Management Scenario 4 Inhoud Stap 1 Registratie entiteit & aanduiding VTE, aanvraag hoedanigheid Beheerder aanvullende pensioenen, activatie hoedanigheid & aanduiding Lokale

Nadere informatie

Aansluit handleiding Omgevingsloket online. Webservices INREGELOMGEVING (INR) Directie Concern Informatievoorziening

Aansluit handleiding Omgevingsloket online. Webservices INREGELOMGEVING (INR) Directie Concern Informatievoorziening Aansluit handleiding Omgevingsloket online Webservices INREGELOMGEVING (INR) Koningskade 4 Postbus 20901 2500 EX Den Haag Contactpersoon Postbus.functioneelbeheerolo @minienm.nl Betreft Aansluithandleiding

Nadere informatie

Self-Service Portal Registeren, downloaden & activeren van een soft token

Self-Service Portal Registeren, downloaden & activeren van een soft token Self-Service Portal Registeren, downloaden & activeren van een soft token Document versie: 3.2 Uitgavedatum: september 2014 Inhoud Introductie... 3 Over 2 e factor authenticatie... 3 Over egrid authenticatie...

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Installatiehandleiding. Facto minifmis

Installatiehandleiding. Facto minifmis Installatiehandleiding Facto minifmis 1. Installatie Facto MiniFMIS 1.1 Achtergrond Facto MiniFMIS biedt facilitaire organisaties een eenvoudige en gebruikersvriendelijke hulpmiddel bij het uitvoeren van

Nadere informatie

Gebruikershandleiding User Management Scenario 2

Gebruikershandleiding User Management Scenario 2 Gebruikershandleiding User Management Scenario 2 Inhoud Stap 1 Aanvraag van de hoedanigheid Beheerder aanvullende pensioenen... 3 Stap 2 Activeren van een hoedanigheid Beheerder aanvullende pensioenen

Nadere informatie

Koppelvlakspecificatie CGI - DigiD

Koppelvlakspecificatie CGI - DigiD Koppelvlakspecificatie CGI - DigiD Versie 2.3 Datum 17 december 2013 Colofon Projectnaam DigiD Versienummer 2.3 Organisatie Logius Postbus 96810 2509 JE Den Haag T 0900 555 4555 (10 ct p/m) servicecentrum@logius.nl

Nadere informatie

IH Berichtauthenticatie met DigiD

IH Berichtauthenticatie met DigiD IH Berichtauthenticatie met DigiD Datum: 15 November 2013 Publicatie: AORTA 2013 (V6.12.1.0) Inhoudsopgave 1 Inleiding... 3 1.1 Doel en scope... 3 1.2 Doelgroep voor dit document... 3 1.3 Documenthistorie...

Nadere informatie

HANDLEIDING DMS Plugin Installatie, configuratie & werking

HANDLEIDING DMS Plugin Installatie, configuratie & werking HANDLEIDING DMS Plugin Installatie, configuratie & werking Dit document is de handleiding voor de installatie, configuratie en werking van de DMS Plugin. Versie 1-12/09/2005 Inhoudstafel 1 Installatie...

Nadere informatie

Handleiding Magento - Asperion

Handleiding Magento - Asperion Handleiding Magento - Asperion www.webwinkelfacturen.nl Samenvatting Dit is de handleiding voor de koppeling van Magento naar Asperion. De koppeling zorgt dat voor facturen in Magento automatisch een factuur

Nadere informatie

E-PROCUREMENT GEBRUIKERSBEHEER

E-PROCUREMENT GEBRUIKERSBEHEER E-PROCUREMENT GEBRUIKERSBEHEER HANDLEIDING VOOR AANKOPERS GEBRUIKSVOORWAARDEN Rechten De FOD Personeel en Organisatie behoudt alle rechten (waaronder auteursrechten, merkrechten en octrooien) met betrekking

Nadere informatie

Gebruikershandleiding ZorgInfo Verstrekkingen Portaal (VP)

Gebruikershandleiding ZorgInfo Verstrekkingen Portaal (VP) Gebruikershandleiding ZorgInfo Verstrekkingen Portaal (VP) Gebruikershandleiding depothouder 2.0.docx 29-12-14 1 van 16 Inleiding Het ZorgInfo Verstrekkingen Portaal (VP) is een internetapplicatie waarmee

Nadere informatie

Kennissessie INSPIRE. Algemene vereisten & architectuur Metadata View Services Download Services Ondersteuning vanuit Geonovum.

Kennissessie INSPIRE. Algemene vereisten & architectuur Metadata View Services Download Services Ondersteuning vanuit Geonovum. Kennissessie Algemene vereisten & architectuur Metadata View Services Download Services Ondersteuning vanuit Geonovum Thijs Brentjens Inhoud Download Services Pre-defined datasets via Atom feeds Pre-defined

Nadere informatie

dro - DSI Info voor software leveranciers

dro - DSI Info voor software leveranciers dro - DSI Info voor software leveranciers Wim De Smet Overleg SW-leveranciers 15-01-2015 1 Architectuur Service Oriented Architecture Services onderdeel van het platform Clients in gebruikerstoepassing

Nadere informatie

Gebruikershandleiding MobiDM

Gebruikershandleiding MobiDM Gebruikershandleiding MobiDM Gebruikershandleiding voor versie 3.6.2 Versie 1.0 INHOUDSOPGAVE 1. DE MOBIDM PORTAL.... 2 1.1. INLOGGEN... 2 1.2. WACHTWOORD VERGETEN?... 2 2. TOESTELBEHEER.... 3 2.1. OS-AFHANKELIJKE

Nadere informatie

Dit is een greep uit mijn stageverslag. 4. Citrix migratie

Dit is een greep uit mijn stageverslag. 4. Citrix migratie Dit is een greep uit mijn stageverslag 4. Citrix migratie Tijdens de eerste weken van mijn stage ben ik bezig geweest met het migreren van computer on wheels(cow s). Daarnaast heb ik ook de gebruikers

Nadere informatie

UZI-pas in gebruik. Maarten Schmidt Risk en Security manager 22 november 2012. Remco Schaar Consultant UL Transaction Security service

UZI-pas in gebruik. Maarten Schmidt Risk en Security manager 22 november 2012. Remco Schaar Consultant UL Transaction Security service UZI-pas in gebruik Maarten Schmidt Risk en Security manager 22 november 2012 Remco Schaar Consultant UL Transaction Security service Inhoud Agenda Gebruik UZI-pas, wat gaat er wijzigen Alternatief gebruik

Nadere informatie

Praktijkcasus Identity management. Bert Dondertman 14 september 2010

Praktijkcasus Identity management. Bert Dondertman 14 september 2010 Praktijkcasus Identity management Bert Dondertman 14 september 2010 Agenda Praktijkcasus: Waarom? Hoe? Score op de diverse dimensies OGh IAM presentatie juli 2010 2 Waarom? Centraal klantportaal waar mogelijkheden

Nadere informatie

FEDICT IAM SERVICE LEVEL AGREEMENT

FEDICT IAM SERVICE LEVEL AGREEMENT FEDICT IAM SERVICE LEVEL AGREEMENT Table of Content 1. Inleiding Dit ( SLA or Agreement ) is geldig voor de IAM Service tussen de klant (Fedict) en de nieuwe opdrachtnemer van het M1016 contract. Dit document

Nadere informatie

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Document: Beknopte dienstbeschrijving beveiligen van Webapplicaties Versie: maart 2002 mei 2002 Beknopte dienstbeschrijving

Nadere informatie

Cursus Software Architecture (T32311 en T32811)

Cursus Software Architecture (T32311 en T32811) Software Architecture, T 32311 en T32811 Cursus Software Architecture (T32311 en T32811) Dit tentamen bestaat uit 3 vragen, waarbij vraag 1 en vraag 3 elk uit 2 deelvragen bestaan. Voor dit tentamen kunt

Nadere informatie

4 ASP.NET MVC. 4.1 Controllers

4 ASP.NET MVC. 4.1 Controllers 4 ASP.NET MVC ASP.NET is het.net raamwerk voor het bouwen van webapplicaties. De MVC variant hiervan is speciaal ontworpen voor het bouwen van dergelijke applicaties volgens het Model-View-Controller paradigma.

Nadere informatie

Applicatie-Architecturen

Applicatie-Architecturen Applicatie-Architecturen joost.vennekens@kuleuven.be http://www.cs.kuleuven.be/~joost/dn/ Onderwerp Programming in the large! ( programming in the small)! Bijvoorbeeld: KU Leuven Veel verschillende functionaliteit

Nadere informatie

Installatie Avalanche Webview

Installatie Avalanche Webview Installatie Avalanche Webview Deze handleiding beschrijft de stappen om software voor Avalanche Webview op een huidige omgeving te updaten en te installeren. 1. Deïnstalleer de huidige Avalanche Webview

Nadere informatie

Met een LightSwitch applicatie een OData service uit de Windows Azure Marketplace consumeren

Met een LightSwitch applicatie een OData service uit de Windows Azure Marketplace consumeren Met een LightSwitch applicatie een OData service uit de Windows Azure Marketplace consumeren Om eens wat ervaring op te doen met de Windows Azure Marketplace heb ik een publieke en gratis databron gekozen

Nadere informatie

Software Test Plan. Yannick Verschueren

Software Test Plan. Yannick Verschueren Software Test Plan Yannick Verschueren November 2014 Document geschiedenis Versie Datum Auteur/co-auteur Beschrijving 1 November 2014 Yannick Verschueren Eerste versie 1 Inhoudstafel 1 Introductie 3 1.1

Nadere informatie

Software Engineering Groep 4

Software Engineering Groep 4 Software Engineering Groep 4 Software Design Description Jeroen Nyckees (Design Manager) Jan-Pieter Hubrecht (Project Manager) 3 e Bachelor Computerwetenschappen se4-1112@wilma.vub.ac.be 11 december 2011

Nadere informatie

Registratieprocedure voor de webapplicatie Energieaudit Grote Ondernemingen

Registratieprocedure voor de webapplicatie Energieaudit Grote Ondernemingen Registratieprocedure voor de webapplicatie Energieaudit Grote Ondernemingen Deze gebruikershandleiding helpt u stap voor stap doorheen de procedure om uw vestiging te registreren in de webapplicatie en

Nadere informatie

Acht stappen voor JSF

Acht stappen voor JSF Acht stappen voor JSF Inleiding In deze tutorial zullen we JSF (Java server faces) installeren. Wat we niet beschrijven is hoe te werken met JSF, over dit onderwerp zijn er genoeg boeken en internetsites

Nadere informatie

Handleiding Magento - Yuki

Handleiding Magento - Yuki Handleiding Magento - Yuki www.webwinkelfacturen.nl Samenvatting Dit is de handleiding voor de koppeling van Magento naar Yuki. De koppeling zorgt dat voor facturen in Magento automatisch een factuur of

Nadere informatie

Implementatiehandleiding Digitaal Incassomachtigen

Implementatiehandleiding Digitaal Incassomachtigen Versie 1.0 december 2015 Implementatiehandleiding Digitaal Incassomachtigen 2 Inhoud 1. Inleiding 3 2. Varianten Digitaal Incassomachtigen 4 3. Technische ondersteuning 4 4. Basis 5 5. Zelfbouw 6 6. Externe

Nadere informatie

NIS Notarieel Informatie Systeem

NIS Notarieel Informatie Systeem INSTALLATIEHANDLEIDING CONVISO ID-SCAN NIS Notarieel Informatie Systeem Sportlaan 2h, 818 BE Heerde T (0578) 693646, F (0578) 693376 www.vanbrug.nl, info@vanbrug.nl 2014 Van Brug Software B.V. Hoewel deze

Nadere informatie

Handleiding Magento - Factuursturen

Handleiding Magento - Factuursturen Handleiding Magento - Factuursturen www.webwinkelfacturen.nl Samenvatting Dit is de handleiding voor de koppeling van Magento naar Factuursturen. De koppeling zorgt dat voor facturen in Magento automatisch

Nadere informatie

Technische nota AbiFire5 Rapporten maken via ODBC

Technische nota AbiFire5 Rapporten maken via ODBC Technische nota AbiFire5 Rapporten maken via ODBC Laatste revisie: 29 juli 2009 Inhoudsopgave Inleiding... 2 1 Installatie ODBC driver... 2 2 Systeeminstellingen in AbiFire5... 3 2.1 Aanmaken extern profiel...

Nadere informatie

Dit voorbeeldproject beschrijft het gebruik van web services (open standaarden) voor de ontsluiting van kernregistraties bij de gemeente Den Haag.

Dit voorbeeldproject beschrijft het gebruik van web services (open standaarden) voor de ontsluiting van kernregistraties bij de gemeente Den Haag. Voorbeeldproject Een Haagse SOA Dit voorbeeldproject beschrijft het gebruik van web services (open standaarden) voor de ontsluiting van kernregistraties bij de gemeente Den Haag. Aanleiding Vanuit de visie

Nadere informatie

INFITT01 - Internettechnologie WEEK 7

INFITT01 - Internettechnologie WEEK 7 INFITT01 - Internettechnologie WEEK 7 Programma Beveiliging Filters Security Beveiliging 4 belangrijke aspecten: Authenticatie (is de persoon wie hij/zijn zegt dat hij/zij is?) Autorisatie (welke rechten?)

Nadere informatie

SURFconext Cookbook. Het koppelen van BigBlueButton aan SURFconext. Versie: 1.0. Datum: 1 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van BigBlueButton aan SURFconext. Versie: 1.0. Datum: 1 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van BigBlueButton aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 1 december 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305

Nadere informatie

TimeManager Handleiding

TimeManager Handleiding TimeManager Handleiding DOT SYS 1997-2012 I TimeManual Inhoudstafel Deel I Gebruikershandleiding TimePlan 1 1 Configuratie... TimePlan 1 2 Verlofaanvraag... invoeren 4 Verlofaanvraag... ASP-Klant 5 Verlofaanvraag...

Nadere informatie

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode

Nadere informatie

Installatiehandleiding. ixperion Word Import. voor Windows 2008 R2 64bit. Smartsite ixperion WordImport Implementatie. Copyright 2010-2011

Installatiehandleiding. ixperion Word Import. voor Windows 2008 R2 64bit. Smartsite ixperion WordImport Implementatie. Copyright 2010-2011 Installatiehandleiding ixperion Word Import voor Windows 2008 R2 64bit Copyright 2010-2011 Versie 1.0.0 Seneca 2011 1 Auteur: ing. Silvio Bosch Versiebeheer: Versie Status Datum Omschrijving en wijzigingen

Nadere informatie

Organiseer uw verschillende SOAP services in één scenario

Organiseer uw verschillende SOAP services in één scenario 1 Organiseer uw verschillende SOAP services in één scenario Wouter Luijten wouterluijten@creetion.com 2 Introductie Tijdens de implementatie van een proces heeft u vaak te maken met een veelvoud aan services.

Nadere informatie

INHOUDSOPGAVE 3. 3.5 Het Boekenwinkeltje... 90 3.5.1 Registreer.aspx... 90 3.6 Opgaven... 97

INHOUDSOPGAVE 3. 3.5 Het Boekenwinkeltje... 90 3.5.1 Registreer.aspx... 90 3.6 Opgaven... 97 Inhoudsopgave 1 Inleiding 8 1.1 Het.Net Framework................................ 8 1.1.1 Het.Net Ontwikkelingsmodel....................... 8 1.1.2 Compilatie en Uitvoering in.net.....................

Nadere informatie

Algemene Beschrijving Gegevensuitwisseling Index

Algemene Beschrijving Gegevensuitwisseling Index Algemene Beschrijving Gegevensuitwisseling Index Algemene Beschrijving Gegevensuitwisseling... 1 Index... 1 Doel van het document...2 Scope... 2 1. Glossarium... 2 1.1. Functioneel... 2 1.2. Technisch...

Nadere informatie

Handleiding ONLI. Inhoudstafel

Handleiding ONLI. Inhoudstafel Handleiding ONLI Versiebeheer: Versie Datum wijzigingen 1.0 19/01/2015 Eerste versie 1.1 30/01/2015 Blz. 9 : antwoorden op een bericht in je mailbox die verstuurd werd uit ONLI. Inhoudstafel Inleiding...

Nadere informatie

Bij problemen of vragen omtrent de login gegevens, kan er contact worden opgenomen met de webmaster bij Lannoo.

Bij problemen of vragen omtrent de login gegevens, kan er contact worden opgenomen met de webmaster bij Lannoo. Jean-Baptiste de Ghellincklaan 13, Bus 301 9051 Gent +32/497.52.61.20 www.misterduke.be Manual: Aanmaak Event/ Expo : Lannoocampus-Academie.nl 1. Inloggen CMS Via http://www.lannoocampus-academie.nl/beta/cms

Nadere informatie

Aansluiten op govroam

Aansluiten op govroam Aansluiten op govroam stichting government roaming nederland versie 1.0 februari 2015 1 Geef uw gebruikers toegang tot govroam U vertegenwoordigt een overheidsorganisatie en u wilt uw medewerkers en organisatie

Nadere informatie

OpenIMS 4.2 Portaal Server

OpenIMS 4.2 Portaal Server OpenIMS 4.2 Portaal Server Inhoudsopgave 1 WAT IS EEN ENTERPRISE INFORMATIE PORTAAL?...3 1.1 BESPARINGEN...3 1.2 GERICHT OP EEN SPECIFIEKE DOELGROEP...3 2 OPENIMS PORTAAL SERVER (PS)...4 2.1 CENTRAAL BEHEER...4

Nadere informatie

1. Milieuklacht... 2 1.1 Handleiding opladen XML in mkros... 2 2. Werken met Refertes... 5

1. Milieuklacht... 2 1.1 Handleiding opladen XML in mkros... 2 2. Werken met Refertes... 5 1. Milieuklacht............................................................................................. 2 1.1 Handleiding opladen XML in mkros......................................................................

Nadere informatie

Handleiding (Verzender Ontvanger)

Handleiding (Verzender Ontvanger) Handleiding (Verzender Ontvanger) Anachron B.V. Steven Nijholt & Maarten Wiggers 28-02-2014 Version: 1.1 Status: Released Inhoud 1. Over dit document... 3 1.1 List of changes... 3 1.2 Scope... 3 2. Registratie...

Nadere informatie

Claims-based authenticatie in SharePoint 2010

Claims-based authenticatie in SharePoint 2010 Claims-based authenticatie in SharePoint 2010 MAAKT HET REALISEREN VAN DIVERSE SCENARIO S MAKKELIJKER Mirjam van Olst SharePoint 2010 maakt gebruik van claims-based authenticatie. Omdat claims-based authenticatie

Nadere informatie

DOCUMENTATIE donatiemodule koppeling

DOCUMENTATIE donatiemodule koppeling DOCUMENTATIE donatiemodule koppeling Stichting GeefGratis Documentatie koppeling GeefGratis donatiemodule v1.02 Pagina 1 INHOUDSOPGAVE INHOUDSOPGAVE... 2 Inleiding... 3 Versiebeheer... 3 1. POST service

Nadere informatie

Software Requirements Specification

Software Requirements Specification Software Requirements Specification PEN: Paper Exchange Network Software Engineering groep 1 (se1-1415) Academiejaar 2014-2015 Jens Nevens - Sander Lenaerts - Nassim Versbraegen Jo De Neve - Jasper Bevernage

Nadere informatie

ebir th Controlelijst Ziekenhuizen ebirth web service voor de zorgverleners van ziekenhuizen Versie 2.0

ebir th Controlelijst Ziekenhuizen ebirth web service voor de zorgverleners van ziekenhuizen Versie 2.0 ebir th ebirth web service voor de zorgverleners van ziekenhuizen Ziekenhuizen Versie 2.0 Inhoudsopgave 1 INLEIDING... 3 2 TE DOORLOPEN ETAPPES VOOR HET GEBRUIK VAN DE WEB SERVICE EBIRTH... 4 3 BIJLAGE:

Nadere informatie

Aansluithandleiding Omgevingsloket online. Webservices PRODUCTIEOMGEVING. Directie Concern Informatievoorziening Beheer

Aansluithandleiding Omgevingsloket online. Webservices PRODUCTIEOMGEVING. Directie Concern Informatievoorziening Beheer Aansluithandleiding Omgevingsloket online Webservices PRODUCTIEOMGEVING Koningskade 4 Postbus 20901 2500 EX Den Haag Contactpersoon Postbus.functioneelbeheerolo @minienm.nl Betreft Aansluithandleiding

Nadere informatie

Uniforme Pensioen Aangifte (UPA)

Uniforme Pensioen Aangifte (UPA) Beschrijving Koppelvlak Uniforme Pensioen Aangifte (UPA) De standaard voor het digitaal uitwisselen van werknemer- en salarisgegevens tussen werkgevers, administratiekantoren en pensioenuitvoerders. Uitgave

Nadere informatie

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat KENNISNET 1. Zijn er volgens u in deze toelichting aanvullingen of anderszins wijzigingen

Nadere informatie

https://pvo-idbeheer.vlaanderen.be

https://pvo-idbeheer.vlaanderen.be HANDLEIDING Gebruikersbeheer voor intergemeentelijke entiteiten april 2015 De toegang tot het online rapporteringsinstrument van de Vlaamse Milieumaatschappij (VMM) verloopt via het gebruikersbeheerplatform

Nadere informatie

TaskCentre Web Service Connector: Creëren van requests in Synergy Enterprise

TaskCentre Web Service Connector: Creëren van requests in Synergy Enterprise TaskCentre Web Service Connector: Creëren van requests in Synergy Enterprise Inhoudsopgave 1. Voorbereiding... 4 2. Web Service Connector tool configuratie... 5 3. TaskCentre taak voor het aanmaken van

Nadere informatie

Neptune. Het complete integratieplatform voor uw organisatie! BROCHURE OPTIMALISEREN VAN INFORMATIE EN PROCESSEN

Neptune. Het complete integratieplatform voor uw organisatie! BROCHURE OPTIMALISEREN VAN INFORMATIE EN PROCESSEN BROCHURE Neptune Het complete integratieplatform voor uw organisatie! OPTIMALISEREN VAN INFORMATIE EN PROCESSEN Axians Rivium Boulevard 41 2909 LK Capelle aan den IJssel Tel: +31 88 988 96 00 - www.axians.nl

Nadere informatie

Invantive Producer. Als integriteit en compliance noodzakelijk is. Maar niks extra mag kosten.

Invantive Producer. Als integriteit en compliance noodzakelijk is. Maar niks extra mag kosten. Invantive Producer Als integriteit en compliance noodzakelijk is. Maar niks extra mag kosten. Agenda Invantive Visie De Invantive Benadering Het Invantive Resultaat Invantive Producer Praktijkvoorbeelden

Nadere informatie

SMS Webservice Implementatie handleiding

SMS Webservice Implementatie handleiding SMS Webservice Implementatie handleiding Versie 1.2 Inhoudspagina Versiebeheer... 2 Overzicht webservice... 2 Begrippenlijst... 2 Starten met de straightxs webservice... 3 Algemene beschrijving van de

Nadere informatie

Gebruikershandleiding. StUF Testplatform Versie 1.3.1

Gebruikershandleiding. StUF Testplatform Versie 1.3.1 Gebruikershandleiding StUF Testplatform Versie 1.3.1 Inhoudsopgave 1 INLEIDING... 3 2 GEBRUIK MAKEN VAN HET STUF TESTPLATFORM... 4 2.1 INLOGGEN OP HET STUF TESTPLATFORM... 4 2.2 OPVOEREN EN CONFIGUREREN

Nadere informatie

INSPIRE en wat te doen bij wijzigingen

INSPIRE en wat te doen bij wijzigingen INSPIRE en wat te doen bij wijzigingen Geonovum datum 22 mei 2012 versie v1.0 Inhoudsopgave 1 Inleiding...4 1.1 Doel...4 1.2 Relevante achtergrondinformatie...4 1.3 Leeswijzer...4 1 Kader INSPIRE en wijzigingen...5

Nadere informatie

DOCUMENTATIE DONATIEMODULE KOPPELING

DOCUMENTATIE DONATIEMODULE KOPPELING DOCUMENTATIE DONATIEMODULE KOPPELING Stichting GeefGratis GeefSamen via Geef.nl Documentatie koppeling GeefGratis donatiemodule v1.06 Pagina 1 INHOUDSOPGAVE INHOUDSOPGAVE... 2 Inleiding... 3 Versiebeheer...

Nadere informatie

INFITT01 - Internettechnologie WEEK 8

INFITT01 - Internettechnologie WEEK 8 INFITT01 - Internettechnologie WEEK 8 Programma Databases (JDBC, JNDI, ORM, JPA) MVC & Spring/Struts EJB Databases Veel web applicaties moeten informatie over langere tijd op kunnen slaan. Een voor de

Nadere informatie