OpenID connect
Introductie
OpenID Connect (OIDC) biedt een gestandaardiseerde en veilige manier voor het federeren van systemen met een gemeenschappelijke identiteitsprovider (IdP) om gebruikersauthenticatie en autorisatie te kunnen beheren in verschillende applicaties. Het configureren van OIDC maakt het dus mogelijk om gebruikers een SSO-ervaring aan te bieden.
Los van de voordelen van OpenIDConnect, is het een methode om te voldoen aan de gestelde voorwaarden voor veilige toegang in het kader van Titan BelRAI. Een andere methode om hieraan te voldoen is gebruik maken van de nieuw ingebouwde Multi-Factor Authenticatie functionalitei.
Gebruikers, rollen en gebruikersgroepen binnen OIDC
Het beheer van uw gebruikers kunt u, zowel voor het beheer van de identiteit van de gebruikers als voor het beheer van de rollen, uitvoeren in uw IdP.
In het WZS IAM-systeem is het mogelijk om per dossier of specifieke context verschillende rollen toe te kennen aan gebruikers. Dit biedt een gedetailleerde en nauwkeurige controle over de toegangsrechten binnen het systeem, waarbij elke rol specifieke rechten kan hebben die zijn afgestemd op de behoeften van dat specifieke dossier.
Echter, in een gefedereerd systeem, waarin verschillende systemen en applicaties samenwerken en gegevens delen, is het vaak nodig om de complexiteit te verminderen en de interoperabiliteit te verbeteren. Hierdoor kan slechts één enkele rol aan een gebruiker wordt toegekend, ongeacht de specifieke context of dossier waarin ze actief zijn.
Deze overgang van een meer gedetailleerd toegangsbeheer naar een meer gestandaardiseerde aanpak is een compromis tussen veiligheid, gebruiksgemak en efficiëntie. Door slechts één rol toe te kennen aan een gebruiker in een gefedereerd systeem, wordt het beheer eenvoudiger en kunnen fouten worden geminimaliseerd. Echter, dit betekent ook dat sommige nuances en specifieke rechten die voorheen per dossier werden beheerd, mogelijk verloren gaan.
In de meeste IdP’s kan er evenwel ook gebruik gemaakt worden van gebruikersgroepen (of directory’s) om toegang tot bepaalde dossiers te beperken. Door gebruikers te organiseren in groepen op basis van hun plaats van tewerkstelling, regio of andere, kunnen toegangen beperkt worden tot de dossiers waartoe de gebruikersgroep toegang nodig heeft.
Eens de rollen en groepen zijn gedefinieerd, zal de mapping tussen de IdP en WZS IAM van deze rollen en groepen geconfigureerd moeten worden. WAS IAM moet immers een notie hebben van welke IdP-groepen toegang hebben tot welke dossiers enerzijds en welke rollen welke toegangsrechten toegekend moeten worden anderzijds. Hierdoor wordt de juiste toegang automatisch toegekend aan gebruikers op basis van hun lidmaatschap van specifieke groepen.
Vereisten
Het nieuwe eengemaakte identiteitssysteem (WZS IAM) kan via OpenID Connect geïntegreerd worden met uw eigen identiteitsprovider, op voorwaarde dat:
- U beschikt over een IdP die OpenID connect ondersteunt
- De WZS IAM geconfigureerd wordt met ClientID en Secret die gebruikt kan worden door WZS IAM
- Uw IdP moet geconfigureerd worden om WZS IAM te vertrouwen
- Er dient een mapping gemaakt te worden tussen de groepen en rechten in de IdP en in de WZS IAM
- Voldoet aan de voorwaarden van veilig toegangsbeheer binnen de vereisten voor TitanBelRAI
Interesse? Meer info? Contacteer ons Salesteam via het contactformulier onderaan de pagina.