I.AM (Identity & Access Management) RSS
Algemene informatie
Download het informatiebladWat is de dienst ‘Geïntegreerd gebruikers- en toegangsbeheer’/I.AM (Identity & Access Management)?
De dienst geïntegreerd gebruikers- en toegangsbeheer van het eHealth-platform heeft als doel om de identificatie, de authenticatie en de machtiging van actoren in de gezondheidszorg te vergemakkelijken.
Deze dienst is samengesteld uit verschillende componenten die samenwerken om de (unieke) authenticatie, de machtiging en de identiteitsverspreiding van de gebruikers van de gezondheidszorg mogelijk te maken die toegang vragen tot de diensten (gehost bij de gezondheidszorginstanties en het eHealth-platform).
Deze componenten zijn conform de internationale normen voor de mededelingen tussen bedrijven teneinde de veiligheid en de stabiliteit te garanderen en de integratie te vergemakkelijken.
Welke functionaliteiten worden door de dienst I.AM aangeboden?
De dienst geïntegreerd gebruikers- en toegangsbeheer biedt de volgende functionaliteiten:
- Authenticatie van de gebruiker
- via het eHealth-certificaat
- via een numerieke sleutel die door het eHealth-platform wordt ondersteund
- Identificatie van de gebruiker, keuze van zijn profiel volgens
- zijn hoedanigheid / het type individuele zorgverlener (op basis van de informatie vervat in de gegevensbank Cobrha)
- zijn organisatie in naam waarvan hij kan optreden
- het mandaat waarvoor hij kan optreden
- zijn kind(eren) (op basis van de gegevens aanwezig in het Rijksregister)
- Unieke authenticatie (single sign-on)
- in het kader van een webtoepassing moet de gebruiker zich niet opnieuw authenticeren (behalve wanneer dit uitdrukkelijk wordt gevraagd voor een toepassing)
- in het kader van een webservice maakt de gebruiker een sessie aan die in het kader van verschillende diensten voor een bepaalde duur wordt gebruikt (de duur hangt af van het profiel van de gebruiker)
Opmerking : de single-sign-on IDP mag niet worden verward met een houding ‘isPassive’ waarin de schermen van de IDP die aan de gebruiker worden getoond, tot het strikte minimum worden beperkt. De isPassive is enkel geldig tussen de webtoepassingen die deze functionaliteit ondersteunen. Hierdoor kan de gebruiker onder meer een profiel selecteren in een toepassing en moet hij niet opnieuw een profiel selecteren wanneer hij overgaat naar een 2de toepassing (die dat profiel ondersteunt) die door onze I.AM IDP wordt beveiligd.
- Delegatie van toegangen tot de toepassingen
- binnen een instelling
- het is mogelijk om de gebruikers te bepalen die in naam van een instelling kunnen optreden voor bepaalde beschikbare toepassingen
- de delegatie gebeurt via de UserManagement
- bijkomend aan deze toewijzingen aan de gebruikers is het mogelijk om functies te bepalen binnen deze instelling
- de delegatie gebeurt via de UserManagement en Remaph
- deze functionaliteit kan in principe niet worden gebruikt in het kader van de webservices > indien deze functionaliteit wordt gebruikt, moet het project vragen om IDP te gebruiken
- indien een persoon die in de instelling werkt in naam van een andere gebruiker van die instelling mag optreden, kan een hiërarchische relatie tussen die 2 personen worden bepaald
- de delegatie gebeurt via UserManagement en Remaph
- deze functionaliteit kan in principe niet worden gebruikt in het kader van de webservices > indien deze functionaliteit wordt gebruikt, moet het project vragen om IDP en AttributeAuthority te gebruiken (waardoor onze partners de authentieke bronnen eHealth kunnen ondervragen)
- dit systeem werd uitgewerkt om een onderscheid te maken tussen de toegangen tot de toepassingen en de toegangen tot de gegevens.
- de toepassing is verantwoordelijk voor het weergeven aan de ondergeschikte van de lijst met zijn hiërarchische oversten nadat deze ondergeschikte de toegang tot deze toepassing (vanuit onze IDP) heeft gekregen
- het is mogelijk om de gebruikers te bepalen die in naam van een instelling kunnen optreden voor bepaalde beschikbare toepassingen
- van een instelling naar een andere instelling
- de delegatie gebeurt via de webtoepassing Mandaten
- indien de mandaattypes die in de toepassing beschikbaar zijn niet aan de verwachtingen van de toepassing voldoen, moet de aanmaak van een nieuw type mandaat worden aangevraagd via de verantwoordelijke projectleider binnen eHealth
- de delegatie gebeurt via de webtoepassing Mandaten
- van een natuurlijke persoon naar een andere natuurlijke persoon
- de delegatie gebeurt via de webtoepassing Mandaten
- binnen een instelling
- Toegang tot de gegevens
- via de webservice I.AM AA (AttributeAuthority, waardoor onze partners de authentieke bronnen eHealth kunnen ondervragen) kan toegang worden verleend tot bepaalde gegevens (contactadres van een zorgverlener, benaming van een instelling, lijst met hiërarchische verantwoordelijken van een ondergeschikte binnen een instelling, ...) in onze authentieke bronnen (waaronder CoBRHA)
- de toegang tot deze gegevens is beveiligd
- Beveiliging van de toepassing door middel van een machtigingsmechanisme gebaseerd op de identiteit van de gebruiker
In de praktijk
Afhankelijkheden, aanbevelingen en waarschuwingen
De integratie van deze basisdienst houdt nauw verband met de architecturen die door het eHealth-platform worden aangeboden.
In het kader van de ontwikkeling van een webtoepassing (server side) raden wij u aan om de software Shibboleth SP te gebruiken om de integratie van uw toepassing met onze I.AM IDP te vergemakkelijken.
Indien uw systeem de toegang tot bepaalde REST-diensten ( Representational State Transfert) van het eHealth-platform vereist, zal er een integratie met onze I.AM Connect moeten plaatsvinden.
Indien uw toepassing onze token eXchange moet kunnen gebruiken, moeten bepaalde regels worden nageleefd en moet een contract worden ondertekend.
Om de I.AM STS en I.AM AA te kunnen gebruiken is de eID van de actor in de gezondheidszorg of een certificaat afgeleverd door het eHealth-platform vereist.
I.AM mag enkel worden gebruikt voor de gezondheidsactoren die door het eHealth-platform zijn erkend
Wat zijn de voorwaarden voor de integratie van de dienst I.AM van het eHealth-platform?
- Neem contact op met de verantwoordelijke projectleider binnen het eHealth-platform eHealthppkb@ehealth.fgov.be en beschrijf de context en de finaliteit van uw project en geef een raming op het vlak van volume
- Na afloop en indien akkoord, de nodige documenten voor de configuratie van de gewenste diensten meedelen
- CAB-I.AM / eDU in te vullen in overleg met uw verantwoordelijke projectleider binnen het eHealth-platform
- om de functionaliteit van toegang tot de gegevens te gebruiken
- een eHealth-certificaat verkrijgen per gewenste omgeving
- het I.AM registration-formulier per omgeving invullen en voorleggen en daarbij het verkregen certificaat vermelden
- om I.AM Connect te gebruiken
- het juiste registratieformulier gebruiken afhankelijk van de realm: Healthcare of M2M
- om de I.AM IDP te gebruiken
- het I.AM Registration-formulier invullen per omgeving en voorleggen met vermelding van het gekregen certificaat
Om de integratie van de oproep van de STS-webservice te vergemakkelijken, stelt het eHealth-platform ‘connectoren' ter beschikking van de actoren in de gezondheidszorg.
Meer informatie: support@ehealth.fgov.be
Identity & Access management - Technische organisatie
Inleiding
Het I.AM-systeem (Identity & Access Management) van het eHealth-platform integreert alle basisdiensten waarvan de functionaliteiten het toegangsbeheer, het gebruikersbeheer en het beheer van de toegang tot de gegevens toelaten.
Naargelang de behoeften van de toepassing, onderscheiden we 4 contexten:
- De beveiliging van Web App
- De beveiliging van ‘Simple Object Access Protocol’ (SOAP) Web Service
- De beveiliging van ‘Representational State Transfert’ (REST) Web Service
- De Data Access
De authenticatie en de autorisatie zijn belangrijke aspecten van elk van deze contexten.
De beveiliging van Web App
Om toegang te krijgen tot een toepassing van het type beveiligde Web App, dient men zich te authenticeren en een autorisatie te verkrijgen
- voor de klassieke webapplicaties (typisch voor server-side HTML-applicaties), via het component ‘I.AM IDP’
- voor de mobiele webapplicaties (applicaties die gebruik maken van JavaScript voor het oproepen van REST-diensten bijvoorbeeld) of native applicaties, via het component ‘I.AM Connect’.
In al deze gevallen biedt het systeem de mogelijkheid van ‘single sign-on’ aan de gebruiker, zodat die zich slechts één keer moet identificeren om toegang te krijgen tot verschillende applicaties.
In het geval van klassieke Web Apps gebeurt het beheer van de autorisaties door onze IDP (Identity Provider) (via het User & Access Management - UAM).
In het geval van mobiele Web Apps gebeurt het beheer van de autorisaties door de verschillende opgeroepen diensten.
Nuttige documentatie voor de klassieke Web Apps:
- I.AM overview
- I.AM federation metadata
- I.AM IDP
- I.AM federation attributes
- I.AM logout
- I.AM SP Shibboleth
- I.AM SP Shibboleth upgrade
- I.AM registration
- Geïntegreerd gebruikers en toegangsbeheer - SLA
- UAM
Nuttige documentatie voor ‘mobiele’ Web Apps of native applicaties:
De beveiliging van SOAP Web Service
SOAP (Simple Object Access Protocol) is een objectgeoriënteerd protocol dat de uitwisseling van gestructureerde berichten toelaat (XML-formaat in een SOAP-enveloppe) tussen een WSC (Web Service Consumer) en een WSP (Web Service Provider).
Dit protocol wordt onder meer gebruikt in het kader van SOA-architecturen (Service Oriented Architecture).
De authenticatie van de WSC gebeurt via de dienst I.AM STS (Secure Token Service) aan de hand van een eHealth-certificaat of een elektronische identiteitskaart (eID). De assertion die wordt verkregen door de WSC wordt vervolgens geëvalueerd in het kader van de autorisatie.
De autorisatie wordt, voor elke opgeroepen dienst, hoofdzakelijk verricht door de Service Bus van het eHealth-platform op basis van voorgedefinieerde regels. Voor elke beveiligde SOAP service die beschikbaar is op de ESB van het eHealth-platform worden de gedefinieerde toegangsregels geëvalueerd teneinde al dan niet toegang te verlenen tot de dienst.
Het is voor een gebruiker ook mogelijk over te schakelen van authenticatie/autorisatie van het type Web service naar authenticatie/autorisatie van het type web App, via de ‘I.AM STS to IDP’.
Nuttige documentatie:
- eHealthcertificaat
- I.AM STS
- Coördinatie van processen
- Beveiliging van webservices
De beveiliging van REST Web Service
De REST-webservices (Representational State Transfert) worden gebruikt in het kader van de REST-architectuur. Deze architectuur is gebaseerd op het HTTP-protocol via de verschillende acties: GET, POST, PUT, DELETE.
Het formaat van de uitgewisselde berichten is niet XML maar JSON.
Dit type diensten is hoofdzakelijk bedoeld voor mobiele applicaties.
De authenticatie en autorisatie van de klanten gebeurt via de dienst ‘I.AM Connect’ die gebaseerd is op de standaard OIDC (OpenID Connect).
‘I.AM Connect’ laat onder mee toe om een ‘Access token’ uit te reiken aan de klant die deze token vervolgens naar de REST-dienst kan sturen.
De REST-dienst controleert vervolgens de inhoud van de ‘Access token’ i.v.m. opgelegde veiligheidsvereisten.
Nuttige documentatie:
De Data Access
Dit systeem doet een beroep op de component ‘I.AM AA’ waarvan de functie erin bestaat verschillende gegevensbronnen te raadplegen om na te gaan of de vastgestelde voorwaarden voor de toegang tot de gegevens vervuld zijn en, in voorkomend geval, al dan niet toegang te verlenen.
I.AM AA (AttributeAuthority)
I.AM AA laat onze partners toe om de authentieke eHealth-bronnen te raadplegen. Deze bronnen bevatten informatie over de gezondheidszorgactoren (CoBrHA), de mandaten, ....
Dit systeem werd ontworpen om de toegang tot de toepassingen te scheiden van de toegang tot de gegevens.
I.AM STS (Secure Token Service)
I.AM STS laat een gezondheidszorgactor toe om zich te identificeren via het genereren van een token (in tegenstelling tot de identificatie via eID of username). Dit systeem is bedoeld voor de identificatie voor webservices die geïntegreerd zijn in de softwarepakketten van de artsen en laat toe om zich te identificeren als arts, specialist, verpleegkundige, ...
I.AM IDP (IDentity Provider)
I.AM IDP is de dienst die toelaat om de identiteitsinformatie te creëren, te onderhouden en beheren voor de gebruikers die zich kunnen authenticeren in een gedistribueerd netwerk of een federatie.
IDP ondersteunt verschillende authenticatiemethoden zodat de gebruiker kan bewijzen dat hij wel degelijk degene is die hij beweert te zijn.
I.AM IDP laat toe de toegang tot de webapplicaties te beveiligen die aangeboden en gehost worden door de Service Providers via UAM.
I.AM Connect
I.AM Connect is een oplossing voor het beheer van de identiteit en de toegang voor webapplicaties en RESTful-webservices gebaseerd op OIDC (OpenID Connect).
Het laat de klanten toe om informatie te vragen en te verkrijgen over de geauthenticeerde sessies en de eindgebruikers. I.AM Connect laat de klanten ook toe om de identiteit van de eindgebruiker te controleren op basis van de authenticatie die verricht werd door onze autorisatieserver.
Het gaat daarbij om diverse soorten klanten: klanten van webapplicaties, JavaScript-klanten, native applicaties (‘mobiele’ klanten).
Nuttige documentatie:
UAM
UAM = User & Access Management
Het UAM wordt gebruikt in het kader van klassieke Web Apps en webservices via de Service Bus van het eHealth-platform en laat toe om een gebruiker al dan niet toegang te verlenen tot een beveiligde resource.
Het UAM is gebaseerd op het generieke Policy Enforcement Model, dat een Policy Enforcement Point (PEP), een Policy Decision Point (PDP), een Policy Administration Point (PAP) en een Policy Information Points (PIP) omvat.
Cookbook
I.AM Connect - Mobile integration - Technical specifications
eHealth IAM Connect is een identiteits- en toegangsbeheeroplossing voor webapplicaties en RESTful webservices. Dit document bevat de functionele en technische informatie zodat een organisatie de eHealth IAM Connect kan integreren en gebruiken.
Dit document is in het Engels
I.AM eXchange
Om integratie met bestaande eHealth- en of partnerdiensten te vergemakkelijken, kan gebruik gemaakt worden van I.AM eXchange. In dit document vindt u functionele en technische informatie die dit mogelijk maakt. Het moet gebruikt worden in combinatie met de Swagger API om tot een goede integratie te komen.
Dit document is in het Engels
I.AM Federation Metadata
Dit document beschrijft de SAML Metadata in de context van de eHealth I.AM Federatie.
Dit document is in het Engels
I.AM Identity Provider
Dit document geeft een overzicht van de eHealth Identity Provider (IDP), een van de belangrijkste componenten van de eHealth I.AM Federation. Het is de Identity Service van het eHealth-platform die een eenmalige aanmelding via de Cross Enterprise Web Browser biedt.
Dit document is in het Engels
I.AM Logout
Dit document beschrijft hoe u gebruikers kun loskoppelen van een applicatie die is beveiligd met I.AM.
Dit document is in het Engels
I.AM Shibboleth
Een van de kerndiensten van het eHealth-platform is het beheer van identiteit en autorisatie van personen, instellingen en systemen die bij de gezondheidszorg betrokken zijn.
Dit document is in het Engels
I.AM Shibboleth Upgrade
De eHealth IDP heeft een belangrijke upgrade gekregen (v1.3 naar v2) en maakt nu deel uit van de eHealth I.AM Federation.
Dit document is in het Engels
I.AM SSO from fat to thin client – Technical Specifications
Een gebruiker die in het bezit is van een session token dient zijn werk verder te zetten in een remote webapplicatie waarvoor authenticatie bij het eHealth-platform vereist is. In dit document vindt u hoe u een beveiligd token, geleverd door de Secure Token Service (STS) kunt gebruiken als identiteitsbewijs om een webbrowser Single-Sign-On sessie te starten. Details over hoe een veilig token te krijgen van de STS, vindt u in het cookbook STS HolderofKey.
Dit document is in het Engels
Secure Token Service - Annex Mapping Certificate Holder
Dit document bevat een lijst met attributen die moeten worden gebruikt bij het identificeren van een Web Service Consumer (WSC) naar de STS.
Dit document is in het Engels
Secure Token Service – HolderofKey
In dit document kan u de technische en functionele informatie vinden over de integratie van de Secure Token Service (STS).
Dit document is in het Engels
Attribute Authority WS
De Attribute Authority webservice (AA WS) van het eHealth-platform stelt onze partners in de gezondheidssector in staat om de authentieke eHealth-bron te raadplegen voor het kadaster van gezondheidswerkers, dossierzorgverleners, dossierzorginstellingen, mandaat, Responsibility Management for Public Health (ReMaPH), het Nationaal Register van gegevens van Belgische burgers,… Het werd gebouwd om de toegang tot de applicatie te scheiden van de gegevenstoegang. Het enige doel van deze service is om gegevens terug te sturen.
Dit document is in het Engels
Secure Token Service - WS Trust
Deze dienst biedt een op webservice gebaseerde single-sign-on oplossing (SSO) voor de zorgsector.
Dit document verschaft functionele en technische informatie die een organisatie in staat stelt om deze dienst te integreren en te gebruiken.
Dit document is in het Engels
Formulier
IAM Connect Token eXchange – Security commitment
Met de ondertekening van dit document verklaart een integrator die de rol van een “Trusted Platform” speelt, zich akkoord tot het naleven van de verplichtingen hierin opgesomd.
Dit document is in het Engels
IAM eXchange – Ann A - Security commitment Trusted Platform
Partners met de intentie om “Trusted platform”-diensten aan te bieden, verbinden zich er met dit document toe om deze diensten met het juiste beveiligingsniveau aan te bieden en de daarmee verbonden veiligheidsregels te respecteren. (Cfr IAM eXchange – Tech Specs)
Dit document is in het Engels
I.AM Registration
Dit document bevat alle informatie die nodig is om de integratie tot stand te kunnen brengen met één van omgevingen van het eHealth-platform.
Dit document is in het Engels
I.AM Registration – Joined STS Protected Service
Dit document moet worden gevoegd bij het ingevuld I.AM-inschrijvingsformulier en is bedoeld om de partner in staat te stellen een van zijn STS Protected Services te beschrijven.
Dit document is in het Engels
I.AM Registration – Joined IDP Protected Service
Dit document moet worden gevoegd bij het ingevuld I.AM-inschrijvingsformulier en is bedoeld om de partner in staat te stellen een van zijn IDP Protected Services te beschrijven.
Dit document is in het Engels
I.AM Registration – Joined AA Protected Service
Dit document moet worden gevoegd bij het ingevuld I.AM-inschrijvingsformulier en is bedoeld om de partner in staat te stellen een van zijn AA Protected Services te beschrijven.
Dit document is in het Engels
I.AM Connect – M2M Client registration
eHealth I.AM Connect geeft een klant toegang tot REST-services voor het eHealth domein. Dit document zal dienen als basis om de cliënt in een M2M- realm te registreren. Het moet alle informatie bevatten die nodig is om de partner aan de federatie toe te voegen en te integreren met een van de eHealth-omgevingen.
Dit document is in het Engels
I.AM Connect – HealthCare Client Registration
I.AM Connect geeft klanten toegang tot de REST-services voor het eHealth-domein. Dit document zal dienen als basis om de cliënt te registreren in een healthcare realm. Het moet alle informatie bevatten die nodig is om de partner aan de federatie toe te voegen en te integreren met één van de omgevingen van het eHealth-platform.
Dit document is in het Engels
Informatief document
SOA – Error Guide
Alle diensten gebruiken uniform gedefinieerde foutcodes om systeemfouten te melden. In dit document vindt u een overzicht van mogelijke foutmeldingen en hun oplossing.
Dit document is in het Engels
I.AM Overview
Het doel van dit document is om een algemeen overzicht te geven van eHealth's Identity & Authorization Management (I.AM), het project van het eHealth-platform voor identificatie, authenticatie en autorisatie tussen ondernemingen in zorgomgevingen.
Dit document is in het Engels
I.AM Federation attributes
Dit document beschrijft het gebruik van attributen voor identiteits- en autorisatiebeheer in de eHealth I.AM Federation.
Dit document is in het Engels
I.AM Connect – Claim Mappers
Het doel van dit document is uitleg geven over eHealth I.AM Connect claims die worden gegenereerd nadat de eindgebruiker een profiel heeft geselecteerd en deze in kaart brengen met de I.AM Attributes die worden gebruikt voor de web SSO oplossing.
Dit document is in het Engels
Service Level agreement/SLA
Geïntegreerd gebruikers-en toegangsbeheer - SLA
Overeenkomst betreffende het dienstverleningsniveau voor beschikbaarheid en de performantie van de dienst voor het geïntegreerde gebruikers- en toegangsbeheer.
Dit document is in het Engels
XML-bestand
STS WS Trust – Annex HolderofKey examples
Dit document is in het Engels
Contact
Ons formulier wordt geladen. Als deze melding zichtbaar blijft en er geen formulier verschijnt, controleer dan of Javascript in uw browser is geactiveerd, accepteer de betreffende cookies en probeer deze pagina opnieuw te laden.
API Catalog
De portal 'API Catalog' is de catalogus van de webservices die aangeboden worden door het eHealth-platform en zijn partners via de API Gateway, die onder meer instaat voor het beheer van het gebruik van de webservices.
Het betreft:
- technische informatie: URL, versie, formeel contract (WSDL+XSD voor de SOAP-diensten of Swagger voor de REST-diensten
- functionele informatie: link naar de beschikbare documentatie, beschrijving van de online diensten.