BESCHRIJVING VAN DE COMPONENT

Transcriptie

1 Gebruikers- en Toegangsbeheer Component voor een geïntegreerd e-gov Wat is een component? Een noodzakelijk element voor de integratie van de e-govsystemen van de verschillende beleidsniveaus. Dat element moet herbruikbaar en integreerbaar zijn. Het kan gaan om een code, een applicatie, een authentieke informatiebron, een dienst. Instelling Doelpubliek Overheidsdiensten, instellingen van sociale zekerheid, ambtenaren, burgers, ondernemingen Inhoudstafel BESCHRIJVING VAN DE COMPONENT... 1 INHOUDSTAFEL BESCHRIJVING Generiek toegangsbeheer (UAM User Access Management) Toegangsbeheer voor ondernemingen Cirkels van vertrouwen STATUS CONTACTPERSOON GEBRUIKSVOORWAARDEN HERBRUIKBARE COMPONENT AANVRAAGPROCEDURES GEBRUIK SUPPORT (SERVICEMODUS) FUNCTIONELE INFORMATIE Beschrijving input/output van de herbruikbare component... 7 Registratie & Authenticatie van de identiteit... 7 Registratie en verificatie van kenmerken en mandaten Toegangsbewijzen voor externe toepassingen Generiek toegangsbeheer Beschrijving van de integratie- /interfacingmogelijkheden van de herbruikbare component

2 7.3. Beschrijving van de in aanmerking genomen volumetrie-elementen bij de ontwikkeling van die component Beschrijving van de andere relevante elementen TECHNISCHE INFORMATIE Generiek Toegangsbeheer Toegangsbeheer ondernemingen

3 1. Beschrijving Een systeem van gebruikers- en toegangsbeheer moet kunnen worden gebruikt om de entiteiten te identificeren, te authentiseren, en hun relevante kenmerken, mandaten en toegangsautorisaties te verifiëren wanneer zij gebruik wensen te maken van elektronische diensten die aangeboden worden door de Belgische overheidsdiensten, de openbare instellingen van sociale zekerheid en de andere Belgische instanties die belast zijn met het leveren van diensten van algemeen belang en het systeem wensen te gebruiken. Er zijn vele elektronische diensten die toegankelijk zijn voor diverse partijen zowel binnen als buiten de overheid. Deze diensten kunnen zowel gevoelige informatie bevatten als toelaten transacties uit te voeren. Het is dus uiterst belangrijk om enkel de bevoegde personen of organisaties toegang te verlenen. Een degelijke, flexibele en integreerbare toegangscontrolemodule is dus een cruciale bouwsteen voor een succesvol e-government. Het beheer van toegang behelst vier grote elementen: Identificatie Bepalen wie de eindgebruiker is. Dit gebeurt aan de hand van een identificatiegegeven zoals bijvoorbeeld een persoonsidentificatienummer (naargelang het geval een rijksregisternummer of KSZnummer) of een ondernemingsnummer. Authenticatie van de identiteit Dit is de verificatie van de identiteit. Typisch zal de authenticatie en identificatie van een gebruiker in één stap gebeuren. Er kan hierbij gesteund worden op het authenticatiesysteem voor burgers en ambtenaren, het authenticatiesysteem voor ondernemingen en de elektronische identiteitskaart (eid). Verificatie van kenmerken en mandaten Gebruikers kunnen bepaalde kenmerken bezitten. Dit zijn attributen die niet zijn identiteit bepalen maar wel zijn hoedanigheid, zijn functie in een bepaalde organisatie, zijn beroepskwalificatie Dezelfde gebruiker kan ook een mandaat bezitten dat hem toelaat in naam van een andere geïdentificeerde entiteit welbepaalde (juridische) handelingen te stellen. Autorisatie Enkel toegang verlenen tot elektronische diensten en gegevens waartoe de gebruiker toegang mag hebben. 3

4 De beschreven modules worden schematisch weergegeven in Figuur 1. De ingekleurde blokken geven aan welke componenten in het kader van dit dienstenaanbod worden aangeboden. Identificatie Persoonsidentificatienummer, Ondernemingsnummer, Authenticatie Token Gebruikersnaam / wachtwoord eid Gebruikersnaam / wachtwoord Burgers / beroepsbeoefenaars Ondernemingen Verificatie Kenmerk / Mandaat Authentieke bronnen (mandaten voor ondernemingen, ) Authentieke bronnen (kadaster van de zorgverstrekkers, Magma, ) Autorisatie Generiek toegangsbeheer UAM Burgers, ambtenaren, professionelen, Toegangsbeheer Ondernemingen Figuur 1 Situering van de concepten en componenten Het gebruikers- en toegangsbeheersysteem kan opgesplitst worden in twee grote luiken: een generiek systeem en een systeem dat gericht is op ondernemingen. Beide worden hier kort toegelicht en verder specifiek uitgewerkt in paragraaf Generiek gebruikers- en toegangsbeheer (UAM User and Access Management) Deze module werd opgezet om zo generiek en modulair mogelijk om te gaan met gebruikers- en toegangsbeheer. Het systeem is zo opgezet dat het bruikbaar kan zijn voor zowel burgers, beroepsbeoefenaars als ondernemingen. 4

5 Na de (externe) identificatie en authenticatie van de identiteit van de gebruiker kan het systeem beslissingen nemen omtrent het toegangsrecht. Alle beslissingsregels steunen op informatie uit achterliggende authentieke bronnen. Afhankelijk van het doelpubliek kunnen de correcte bronnen aangesproken worden. Het systeem kan steunen op zowel eigen bronnen als externe bronnen zoals bijvoorbeeld het Magma mandatensysteem, de databank van gerechtsdeurwaarders, databanken van Volksgezondheid, Het aangeboden systeem omvat de volgende functionaliteit: - flexibel systeem met beschrijving van toegangsregels - evaluatiemechanisme om de toegang te bepalen - gefedereerd model waar verschillende partners informatie met elkaar delen - integratiemechanismen met authentieke bronnen - webgebaseerd beheersysteem voor het beheren van de regels - integreerbaar als component in andere omgevingen 1.2. Toegangsbeheer voor ondernemingen In tegenstelling tot het generieke systeem is deze component gericht op het identificeren en authentiseren van de vertegenwoordigers van ondernemingen of van hun mandaathouders (sociale secretariaten, dienstverleners, full service centers, ) en het beheren en controleren van de toegang tot toepassingen door deze instanties. Niet alleen voor eigen medewerkers van een onderneming zelf maar ook voor medewerkers van mandaathouders van die onderneming kan dus een toegangscontrole uitgevoerd worden. Het aangeboden systeem omvat de volgende functionaliteit: - Elektronische registratie van een onderneming en zijn eventuele dienstverleners - Dienst voor identificatie en authenticatie - Webgebaseerd gebruikers- en autorisatiebeheer - Dienst voor autorisatiecontrole - Gebruikersbeheer voor verzenders van elektronische berichten 1.3. Cirkels van vertrouwen Een modulair en gefedereerd toegangsysteem laat toe om verschillende partijen te laten profiteren van elkaars elektronische toegangsmodules en authentieke bronnen. Dit samenwerkingsverband wordt vaak omschreven als cirkels van vertrouwen. Het doel hiervan is het vermijden van onnodige centralisatie vermijden van onnodige bedreigingen voor de persoonlijke levenssfeer vermijden van meervoudige identieke controles en opslag van loggings 5

6 Deze cirkels van vertrouwen kunnen worden gerealiseerd aan de hand van een taakverdeling bij de betrokken instanties met duidelijke afspraken inzake wie welke authenticaties, verificaties en controles verricht aan de hand van welke middelen en daarvoor verantwoordelijk en aansprakelijk is hoe tussen de betrokken instanties de resultaten van de verrichte authenticaties, verificaties en controles op een veilige wijze elektronisch worden uitgewisseld wie welke loggings bijhoudt hoe ervoor wordt gezorgd dat bij onderzoek, op eigen initiatief van een controle-orgaan of n.a.v. klacht, een volledige tracing kan geschieden van welke natuurlijke persoon welke dienst of transactie m.b.t. welke burger of onderneming wanneer, via welk kanaal en voor welke doeleinden heeft gebruikt 2. Status In productie 3. Contactpersoon Voor bijkomende inlichtingen omtrent die component kan u zich wenden tot : Naam : Gossiaux Jean-Marie Telefoon : 02/ Fax : Jean.Marie.Gossiaux@ksz.fgov.be Naam : Marti Alexandra Telefoon : 02/ Fax : Alexandra.Marti@smals.be Naam : Vandersteene Denis Telefoon : 02/ Fax : Denis.Vandersteene@smals.be 6

7 4. Gebruiksvoorwaarden herbruikbare component De component kan door andere Belgische overheidsdiensten worden gebruikt : Ja De gebruiksregeling moet worden afgesproken n.a.v. een installatieproject. Hiertoe worden de geïnteresseerde overheidsdiensten verzocht contact op te nemen met Jean-Marie Gossiaux. 5. Aanvraagprocedures gebruik Om die component te gebruiken / te integreren moeten volgende procedures worden doorlopen (ondertekening gebruikscontract, waarborgen, financiële voorwaarden, enz. : Alle aanvragen dienen gericht te zijn aan de KSZ (Jean-Marie Gossiaux). 6. Support (servicemodus) Ingeval die component effectief wordt gebruikt, wordt de support door de instelling geleverd en kan u zich richten tot : Naam : Marti Alexandra Telefoon: 02/ Fax : Alexandra.Marti@smals.be 7. Functionele informatie U vindt hieronder een overzicht van door de component geboden functionaliteiten 7.1. Beschrijving input/output van de herbruikbare component Registratie & Authenticatie van de identiteit Naargelang de beoogde doelgroep zijn de beschikbare registratieprocedures en de wijze van authenticatie mogelijks verschillend. Men kan hierbij een onderscheid maken tussen: Burgers 7

8 Beroepsbeoefenaars : deze groep omvat zowel medewerkers van overheidsdiensten als de vrije beroepen (zorgverstrekkers, notarissen, gerechtsdeurwaarders, boekhouders, ) Ondernemingen en hun mandaathouders Burgers Voor burgers is het federale authenticatiesysteem van toepassing. Er zijn verschillende veiligheidsniveau s mogelijk naargelang de aard van de toepassing. Onderstaande tabel bevat de wijze van registratie alsook het verkregen authenticatiemechanisme en voor welk domein van diensten deze vereist zijn. Niv Registratie identiteit burgers Authenticatie identiteit burgers Toepassingen 0 geen geen openbare info/diensten 1 on line door ingave Rijksregisternummer, nummer identiteitskaart en nummer SISkaart 2 Niveau 1 + verzending met activerings-url naar door burger opgegeven adres en verzending papieren token naar hoofdverblijfplaats burger in Rijksregister 3 fysieke aanmelding bij de gemeente voor verwerving EID 4 fysieke aanmelding bij de gemeente voor verwerving EID gebruikersnummer en wachtwoord gekozen door gebruiker niveau 1 + ingave van 1 willekeurig gevraagde letterreeks vermeld op het token (bevat 24 letterreeks) authenticatie-certificaat op EID + wachtwoord per sessie authenticatie-certificaat op EID + handtekeningcertificaat op EID + wachtwoord per transactie info/diensten van lage gevoeligheid info/diensten van gemiddelde gevoeligheid info/diensten van hoge gevoeligheid diensten die elektronische handtekening vereisen Beroepsbeoefenaars Deze volgen dezelfde procedures als een burger. In het geval van medewerkers van een overheidsdienst wordt bij niveau 2 het token evenwel opgestuurd naar de veiligheidsconsulent van de 8

9 Niv overheidsdienst waarvan de betrokkene een medewerker is en door die veiligheidsconsulent aan de medewerker overhandigd. Ondernemingen en hun mandaathouders Het beheer van de gebruikers van een onderneming of zijn mandaathouders is geen taak voor de overheid. Elke onderneming is na registratie verantwoordelijk voor het beheer van zijn eigen gebruikers in het toegangsbeheersysteem. Deze registratieprocedure is elektronisch en laat toe om op efficiënte en snelle wijze de onderneming in het toegangscontrole te registreren. De procedure kan zowel door ondernemingen als hun dienstverleners gevolgd worden. Na registratie beschikt men over een beheeraccount, de lokale beheerder genaamd. Deze lokale beheerder staat in voor het hele beheer van gebruikers en hun toegangen.dit wordt beheerd aan de hand van een webtoepassing. De authenticatie van de gebruiker kan zowel via de elektronische identiteitskaart (eid) als via een gebruikersnummer en wachtwoord gedefinieerd in het toegangsbeheersysteem voor ondernemingen. Onderstaande tabel bevat de wijze van registratie alsook het verkregen authenticatiemechanisme en voor welk domein van diensten deze vereist zijn. Registratie identiteit mandaathouders van ondernemingen Authenticatie identiteit mandaathouders van ondernemingen Toepassingen 0 Geen geen openbare info/diensten 1 lokale beheerder: brief aan de RSZ vanwege de onderneming waarvoor de betrokkene als lokale beheerder optreedt andere medewerkers: validatie door de lokale beheerder 2 fysieke aanmelding bij de gemeente voor verwerving EID 3 fysieke aanmelding bij de gemeente voor verwerving EID gebruikersnummer en wachtwoord authenticatie-certificaat op EID + wachtwoord per sessie info/diensten van lage en gemiddelde gevoeligheid info/diensten van hoge gevoeligheid authenticatie-certificaat op EID + handtekeningdiensten die elektronische 9

10 certificaat op EID of certificaat uit het toegangssysteem ondernemingen + wachtwoord per transactie handtekening vereisen Momenteel kan een lokale beheerder zijn beheerdersrechten niet doordelegeren aan derden. Een aanpassing van het systeem is momenteel in uitwerking. Hierdoor zal het mogelijk zijn dat een lokale beheerder aan andere gebruikers het beheerdersrecht voor de toewijzing van bepaalde toepassingen kan doorgeven. Registratie en verificatie van kenmerken en mandaten Burgers Momenteel is er voor een burger geen verificatie van kenmerken of mandaten. Beroepsbeoefenaars De instantie die per soort van beroepsbeoefenaar met voldoende zekerheid het kenmerk of het mandaat kan vaststellen, zal dit ingeven in een authentieke bron die toegankelijk is voor alle belanghebbenden. De verificatie van dit kenmerk of mandaat gebeurt door een raadpleging van de authentieke bron. Indien er gebruik gemaakt wordt van het token, is er ook de willekeurig gevraagde letterreeks vermeld op het token. Het beheer kan worden gerealiseerd aan de hand van het systeem voor het beheer van mandaten van de KSZ, het Magma-systeem van Fedict of een eigen systeem. Mandaten Ondernemingen Een authentieke bron binnen de RSZ is beschikbaar met per onderneming, mandaat van lokale beheerder om namens de onderneming gebruik te maken van bepaalde info/diensten per onderneming, eventueel mandaat van dienstverlener (erkend sociaal secretariaat of andere dienstverlener) om namens onderneming gebruik te maken van bepaalde info/diensten per dienstverlener, mandaat van lokale beheerder om namens dienstverlener gebruik te maken van bepaalde info/diensten mogelijkheid voor lokale beheerders van ondernemingen/ dienstverleners om mandaten toe te kennen aan andere aangestelden van een onderneming/dienstverlener om namens 10

11 onderneming/ dienstverlener gebruik te maken van bepaalde info/diensten Dit systeem kan verder evolueren naargelang nieuwe behoeften van onderscheiden belanghebbenden onder coördinatie van een gebruikersgroep. Toegangsbewijzen voor externe toepassingen Het toegangsbeheer voor ondernemingen kan toegangsbewijzen afleveren aan externe portalen en websites. Deze toegangsbewijzen bevatten zowel het bewijs van de identiteit als informatie met betrekking tot de toegang tot toepassingen. Met dit gefedereerd model kan een overheidsdienst profiteren van een centraal toegangscontrolesysteem zonder hiervoor het beheer van te doen. Generiek toegangsbeheer Dit toegangscontrolesysteem steunt op enkele grote functionele componenten en is gebaseerd op het Policy Enforcement Model. De beschrijving van de toegangsregels wordt ook wel een Policy genoemd. - Policy Enforcement Point (PEP) : deze is verantwoordelijk voor de initiële onderschepping van de door de gebruiker uitgevoerde actie en het afdwingen van de finale autorisatiebeslissing. - Policy Decision Point (PDP) : is verantwoordelijk voor het nemen van de autorisatiebeslissing. Op basis van geformuleerde toegangsregels (policies) en informatie uit diverse bronnen (contextuele informatie en PIPs) wordt deze beslissing genomen. Deze beslissing wordt gemeld aan het Policy Enforcement Point (PEP). - Policy Administration Point (PAP) : deze component is verantwoordelijk voor het beheer van de toegangsregels. - Policy Information Point (PIP) : deze leveren de basisinformatie voor het toegangscontrole systeem. Elke PIP verzorgt de toegang tot zowel interne als externe authentieke bronnen, zoals het beheersysteem voor de professionelen van de Sociale Zekerheid, het Magma mandaatsysteem, de databank van de gerechtsdeurwaarders, databanken van de FOD Volksgezondheid, Het beheer en onderhoud van deze bronnen blijft bij de huidige instanties. Enkel de consultatie van deze bronnen wordt ontsloten via een PIP. Een PIP zal ook instaan voor de informatie die het mogelijk maakt om kenmerken en mandaten te verifiëren. 11

12 Het toegangscontrolesysteem steunt op een externe identificatie en authenticatie van de gebruiker. Naargelang de gevoeligheid van de toepassing waartoe de gebruiker toegang wenst (vertrouwelijkheidsgraad van ontsloten informatie, soort verwerking en de impact van de verwerking) moet bepaald worden welk niveau van authenticatie vereist is. Figuur 2 Het Policy Enforcement Model in actie Een mogelijk scenario wordt weergegeven in Figuur 2: 1. De gebruiker wenst toegang tot een toepassing op het portaal van overheidsdienst. 2. Voor de authenticatie wordt er gebruik gemaakt van een dienst extern aan het toegangscontrolesysteem. Deze dienst levert een bewijs af dat de gebruiker effectief diegene is wie hij beweert te zijn. Een mogelijk voorbeeld is de Federale authenticatiedienst die een SAML-token aflevert. 3. De toegang tot een applicatie wordt onderschept en via de PEP wordt een autorisatieaanvraag doorgestuurd naar de PDP. 4. De PDP haalt de toepasbare policy uit de PAP. 5. Alle informatie die betrekking heeft op de opgeladen policy wordt via de PIPs uit de verschillende authentieke bronnen opgehaald. Dit zijn zowel gegevens over de gebruiker, zijn mandaten als andere toepasselijke informatie. 12

13 6. De genomen autorisatiebeslissing wordt dan door de PDP teruggestuurd naar de PEP die deze zal toepassen Beschrijving van de integratie- /interfacingmogelijkheden van de herbruikbare component Het PEP is beschikbaar als J2EE security-component voor BEA WebLogic en IBM WebSphere. Het PDP kan aangeroepen worden via web service aanroep die een SAML boodschap bevat. Op deze wijze kan elke omgeving zijn eigen PEP bouwen met integratie van het autorisatiebeslissingsysteem. Het toegangsbeheer Ondernemingen kan SAML-asserties afleveren met betrekking tot een authenticatie of autorisatie van een gebruiker Beschrijving van de in aanmerking genomen volumetrie-elementen bij de ontwikkeling van die component Het generiek toegangsbeheersysteem werd ontwikkeld met een voorziene belasting van hits/dag bezoekers/dag 2.5 verschillende beveiligde applicaties per bezoek Maximale aanvaarde responstijd (normale belasting) 0.5 sec/request Maximale aanvaarde responstijd (piekbelasting) 1 sec/request 7.4. Beschrijving van de andere relevante elementen 8. Technische informatie 8.1. Generiek Toegangsbeheer Het toegangscontrolesysteem maakt gebruik van J2EE standaarden (J2EE Security 1.3) voor het afdwingen van de toegangscontrole. Het PEP is momenteel beschikbaar als een component voor BEA WebLogic 8.1 en IBM WebSphere 6.0. Deze kan echter in functie van de noden ontwikkeld worden voor andere platformen. De toegangsregels worden beschreven aan de hand van XACML 2.0 (Oasis standaard). 13

14 De communicatie tussen diverse componenten gebeurt aan de hand van het SAML protocol (request/reponse) geëncapsuleerd in Web Services Toegangsbeheer ondernemingen De gebruikersgegevens en hun autorisaties worden via een Java-gebaseerde webtoepassing opgeslagen in een LDAP-directory en een Oracle databank. Deze zijn consulteerbaar via de basisdienst CLC (Consultation LDAP Consultatie). Voor WebLogic 8.1 bestaat er een User Access module die zowel de login als de toegangscontrole afhandelt. De module FAS/E (Federal Authentication Service Enterprise) laat toe aan toepassingen extern aan het Portaal van Sociale Zekerheid om zowel de authenticatie als autorisatie van het Toegangsbeheer Ondernemingen te gebruiken. Deze aanroep gebeurt via het standaard SAML asserties. Op termijn zal het toegangsbeheer Ondernemingen als PIP via het generieke toegangsbeheersysteem worden ontsloten. 14