OpenID connect 

Introductie

OpenID Connect (OIDC) biedt een gestandaardiseerde en veilige manier voor het federeren van systemen met een gemeenschappelijke identiteitsprovider (IdP) om gebruikersauthenticatie en autorisatie te kunnen beheren in verschillende applicaties. Het configureren van OIDC maakt het dus mogelijk om gebruikers een SSO-ervaring aan te bieden. 

Los van de voordelen van OpenIDConnect, is het een methode om te voldoen aan de gestelde voorwaarden voor veilige toegang in het kader van Titan BelRAI.  Een andere methode om hieraan te voldoen is gebruik maken van de nieuw ingebouwde Multi-Factor Authenticatie functionalitei.

Gebruikers, rollen en gebruikersgroepen binnen OIDC 

Het beheer van uw gebruikers kunt u, zowel voor het beheer van de identiteit van de gebruikers als voor het beheer van de rollen, uitvoeren in uw IdP.  

In het WZS IAM-systeem is het mogelijk om per dossier of specifieke context verschillende rollen toe te kennen aan gebruikers. Dit biedt een gedetailleerde en nauwkeurige controle over de toegangsrechten binnen het systeem, waarbij elke rol specifieke rechten kan hebben die zijn afgestemd op de behoeften van dat specifieke dossier. 

Echter, in een gefedereerd systeem, waarin verschillende systemen en applicaties samenwerken en gegevens delen, is het vaak nodig om de complexiteit te verminderen en de interoperabiliteit te verbeteren. Hierdoor kan slechts één enkele rol aan een gebruiker wordt toegekend, ongeacht de specifieke context of dossier waarin ze actief zijn. 

Deze overgang van een meer gedetailleerd toegangsbeheer naar een meer gestandaardiseerde aanpak is een compromis tussen veiligheid, gebruiksgemak en efficiëntie. Door slechts één rol toe te kennen aan een gebruiker in een gefedereerd systeem, wordt het beheer eenvoudiger en kunnen fouten worden geminimaliseerd. Echter, dit betekent ook dat sommige nuances en specifieke rechten die voorheen per dossier werden beheerd, mogelijk verloren gaan. 

In de meeste IdP’s kan er evenwel ook gebruik gemaakt worden van gebruikersgroepen (of directory’s) om toegang tot bepaalde dossiers te beperken. Door gebruikers te organiseren in groepen op basis van hun plaats van tewerkstelling, regio of andere, kunnen toegangen beperkt worden tot de dossiers waartoe de gebruikersgroep toegang nodig heeft. 

Eens de rollen en groepen zijn gedefinieerd, zal de mapping tussen de IdP en WZS IAM van deze rollen en groepen geconfigureerd moeten worden. WAS IAM moet immers een notie hebben van welke IdP-groepen toegang hebben tot welke dossiers enerzijds en welke rollen welke toegangsrechten toegekend moeten worden anderzijds. Hierdoor wordt de juiste toegang automatisch toegekend aan gebruikers op basis van hun lidmaatschap van specifieke groepen. 

Vereisten 

Het nieuwe eengemaakte identiteitssysteem (WZS IAM) kan via OpenID Connect geïntegreerd worden met uw eigen identiteitsprovider, op voorwaarde dat:  

  • U beschikt over een IdP die OpenID connect ondersteunt  
  • De WZS IAM geconfigureerd wordt met ClientID en Secret die gebruikt kan worden door WZS IAM 
  • Uw IdP moet geconfigureerd worden om WZS IAM te vertrouwen 
  • Er dient een mapping gemaakt te worden tussen de groepen en rechten in de IdP en in de WZS IAM
  • Voldoet aan de voorwaarden van veilig toegangsbeheer binnen de vereisten voor TitanBelRAI

  

Interesse? Meer info? Contacteer ons Salesteam via het contactformulier onderaan de pagina. 

Raadpleeg ook onze FAQ: 

Wat is OpenID Connect? (OIDC)

OpenID Connect is een open standaard voor authenticatie en autorisatie op het internet, gebaseerd op het OAuth 2.0-protocol. Het biedt een veilige en gestandaardiseerde manier voor gebruikers om zich te authentiseren bij webapplicaties en om toegang te krijgen tot hun gegevens, terwijl het tegelijkertijd de privacy van de gebruikers beschermt. 

Waarom zou ik OpenIDConnect willen gebruiken?

OpenID Connect is een industriestandaard voor het opzetten van Single-Sign-On (SSO) met uw Identiteitsprovider (IdP). Dit betekent enerzijds dat gebruikers zich slechts één keer hoeven aan te melden om toegang te krijgen tot meerdere applicaties. Anderzijds kan met gebruikers- en toegangsbeheer centraliseren in de IdP in plaats van deze te moeten beheren in alle gefedereerde applicaties. 

Welke identiteitsproviders ondersteunen jullie?

Iedere IdP die een ondersteuning voor OICD (OpenIDConnect) heeft, wordt ondersteund. Een lijst van alle OIDC gecertificeerde IdP’s vindt u hier

Kunnen we een hybride systeem, waarbij een deel van de gebruikers in WZS IAM en een deel van de gebruikers in de IdP beheerd worden?

Dit kan. Let op een gebruiker die eerst aangemaakt wordt in WZS IAM zal manueel gelinkt moeten worden met de gebruiker in de IdP.  

Welke veiligheidsmaatregelen moeten we implementeren bij het gebruik van OpenID Connect?

Voor het opzetten van OIDC dient WZS configureerd te worden voor HTTPS. Meer info over het opzetten van HTTPS vind u hier.

Voor een nieuwe medewerker die opstart tijdens het weekend kan geen gebruiker aangemaakt worden in de IdP, kan een tijdelijke gebruiker aangemaakt worden?

Een tijdelijke gebruiker aanmaken is wellicht niet wensenlijk. U kunt een gebruiker aanmaken in de WZS IAM op voorwaarde dat u de rechten gebruikersbeheer en toegangsrechten heeft in het dossier waarvoor u een gebruiker wenst toe te voegen. Na het weekend kan deze gebruiker gekoppeld worden met een IdP-gebruiker. 

Hoe worden onze Caresolutions-gebruikers gekoppeld met de gebruikers uit de IdP?

De gebruikers uit de IdP worden gekoppeld met de CareSolutions gebruikers doormiddel van het e-mailadres.