Le système IAM, Identity & Access Management, aussi connu comme gestion intégrée des utilisateurs et des accès, est composé de plusieurs composants qui travaillent ensemble et sont conformes aux normes internationales pour les communications inter-entreprises afin de garantir la sécurité et la stabilité et de faciliter l'intégration.
Le système offre les fonctionnalités suivantes :
- Authentification de l’utilisateur
- via certificat eHealth
- via une clé numérique supportée par la plate-forme eHealth
- Identification de l’utilisateur, choix de son profil selon
- sa qualité / le type de prestataire de soins individuel (sur base des informations contenues dans la base de données Cobrha)
- son organisation au nom de laquelle il/elle peut agir
- le mandant pour lequel il/elle peut agir
- son/ses enfant(s) (sur base des données présentes au Registre National)
- Authentification unique (single-sign-on)
- dans le cadre d’une application web, l’utilisateur ne devra pas se ré-authentifier (sauf si c’est explicitement demandé pour une application)
- dans le cadre d’un service web, l’utilisateur se crée une session qui peut être utilisée dans le cadre de plusieurs services sur une durée déterminée (durée dépendant du profil de l’utilisateur)
Remarque : le single-sign-on IDP ne doit pas être confondu avec un comportement "isPassive" dans lequel les écrans de l’IDP proposés à l’utilisateur sont limités au strict minimum. Le "isPassive" est uniquement applicable entre les applications web supportant cette fonctionnalité. Cela permet notamment à l’utilisateur de sélectionner un profil dans une application et de ne plus devoir sélectionner de profil s’il passe vers une 2ᵉ application (supportant ce profil) protégée par notre IAM IDP.
- Délégation d’accès aux applications
- au sein d’une institution
- il est possible de définir les utilisateurs qui peuvent agir au nom d’une institution pour certaines applications disponibles
- en complément de ces attributions d’application aux utilisateurs, il est possible de définir des fonctions au sein de cette institution
- la délégation s’effectue via le UserManagement et Remaph
- cette fonctionnalité ne peut en principe pas être utilisée dans le cadre des services web > si cette fonctionnalité est utilisée, le projet doit demander à utiliser IDP
- si une personne travaillant dans l’institution peut agir au nom d’un autre utilisateur de cette institution, il est possible de définir un lien hiérarchique entre ces 2 personnes.
- la délégation se fait via UserManagement et Remaph
- cette fonctionnalité ne peut en principe pas être utilisée dans le cadre des web services > si cette fonctionnalité est utilisée, le projet doit demander à avoir accès à IDP et AttributeAuthority (qui permet à nos partenaires d’interroger les sources authentiques eHealth)
- ce système a été défini afin de scinder les accès applicatifs des accès aux données.
- l’application est responsable de l’affichage pour le subordonné de la liste de ses supérieurs hiérarchiques, après que ce subordonné a reçu l’autorisation d’accéder à l’application (depuis notre IDP)
- d’une institution vers une autre institution
- la délégation se fait via l’application web Mandats
- si les types de mandats présents dans l’application ne répondent pas aux attentes de l’application, il est nécessaire de demander la création d’un nouveau type de mandat par l’intermédiaire du chef de projet eHealth responsable
- d’une personne physique à une autre personne physique
- Accès aux données
- certaines données (adresse de contact d’un prestataire de soins, dénomination d’une institution, liste de responsables hiérarchiques d’un subordonné au sein d’une institution…) présentes dans nos sources authentiques (dont CoBRHA) peuvent être accédées via le service web IAM AA (AttributeAuthority, qui permet à nos partenaires d’interroger les sources authentiques eHealth)
- l’accès à ces données est sécurisé
- Sécurisation d’application via un mécanisme d’autorisation basée sur l’identité de l’utilisateur
Public cible
IAM ne peut être utilisé que pour des acteurs de soins reconnus par la plate-forme eHealth.
Conditions d'intégration
L’intégration de ce système est étroitement liée aux architectures proposées par la plate-forme eHealth.
Dans le cadre du développement d’une application web (server side), nous vous recommandons d’utiliser le logiciel Shibboleth SP pour faciliter l’intégration de votre application avec notre IAM IDP.
Si votre système nécessite l’accès à certains services REST (Representational State Transfert) de la plate-forme eHealth, une intégration avec notre IAM Connect devra être réalisée.
Si votre application doit être capable d’utiliser notre token eXchange, certaines règles sont à respecter et un contrat doit être signé.
Pour pouvoir utiliser IAM STS et IAM AA, l’eID de l’acteur de soins de santé ou un certificat délivré par la plate-forme eHealth est requis.
Étapes :
-
prendre contact avec le chef de projet responsable au sein de la plate-forme eHealth eHealthppkb@ehealth.fgov.be en détaillant clairement le contexte, la finalité ainsi qu’une estimation volumétrique de votre projet
-
à cette issue, si accord, fournir les documents nécessaires à la configuration des services souhaités
- CAB-IAM / eDU à remplir en concertation avec votre chef de projet responsable au sein de la plate-forme eHealth
- pour utiliser la fonctionnalité d’accès aux données
- pour utiliser IAM Connect
- pour utiliser l’IAM IDP
Afin de faciliter l'intégration de l'appel au service web STS, la plate-forme eHealth met à la disposition des acteurs des soins de santé des ‘connecteurs’.
Contact : ReuseOperational@smals.be
Documentation
Certains des liens ci-dessous pourraient ne pas fonctionner en raison de restrictions de sécurité.
Si vous voulez obtenir ces informations, prenez contact avec l’équipe responsable via l’adresse email spécifiée dans le paragraphe ci-dessus consacré aux conditions d’intégration.
