IAM - Identity & Access Management

Typologie
System
Eigenaar
eHealth

Overzicht

Systeem om de identificatie, de authenticatie en de machtiging van actoren in de gezondheidszorg te faciliteren, wanneer deze toegang vragen tot de diensten gehost bij de gezondheidszorginstanties en het eHealth-platform.

Beschrijving

Het systeem IAM, Identity & Access Management, ook Geïntegreerd gebruikers- en toegangsbeheer, is samengesteld uit verschillende componenten die samenwerken en conform de internationale normen voor de mededelingen tussen bedrijven zijn, teneinde de veiligheid en de stabiliteit te garanderen en de integratie te vergemakkelijken.

Het systeem biedt volgende functionaliteiten:

  • Authenticatie van de gebruiker
    • via het eHealth-certificaat
    • via een numerieke sleutel die door het eHealth-platform wordt ondersteund
  • Identificatie van de gebruiker, keuze van zijn profiel volgens
    • zijn hoedanigheid / het type individuele zorgverlener (op basis van de informatie vervat in de gegevensbank Cobrha)
    • zijn organisatie in naam waarvan hij kan optreden
    • het mandaat waarvoor hij kan optreden
    • zijn kind(eren) (op basis van de gegevens aanwezig in het Rijksregister)
  • Unieke authenticatie (single sign-on)
    • in het kader van een webtoepassing moet de gebruiker zich niet opnieuw authenticeren (behalve wanneer dit uitdrukkelijk wordt gevraagd voor een toepassing)
    • in het kader van een webservice maakt de gebruiker een sessie aan die in het kader van verschillende diensten voor een bepaalde duur wordt gebruikt (de duur hangt af van het profiel van de gebruiker)

Opmerking : de single-sign-on IDP mag niet worden verward met een houding ‘isPassive’ waarin de schermen van de IDP die aan de gebruiker worden getoond, tot het strikte minimum worden beperkt. De isPassive is enkel geldig tussen de webtoepassingen die deze functionaliteit ondersteunen. Hierdoor kan de gebruiker onder meer een profiel selecteren in een toepassing en moet hij niet opnieuw een profiel selecteren wanneer hij overgaat naar een 2de toepassing (die dat profiel ondersteunt) die door onze IAM IDP wordt beveiligd.

  • Delegatie van toegangen tot de toepassingen
    • binnen een instelling
      • het is mogelijk om de gebruikers te bepalen die in naam van een instelling kunnen optreden voor bepaalde beschikbare toepassingen
      • bijkomend aan deze toewijzingen aan de gebruikers is het mogelijk om functies te bepalen binnen deze instelling
        • de delegatie gebeurt via de UserManagement en Remaph
        • deze functionaliteit kan in principe niet worden gebruikt in het kader van de webservices > indien deze functionaliteit wordt gebruikt, moet het project vragen om IDP te gebruiken
      • indien een persoon die in de instelling werkt in naam van een andere gebruiker van die instelling mag optreden, kan een hiërarchische relatie tussen die 2 personen worden bepaald.
        • de delegatie gebeurt via UserManagement en Remaph
        • deze functionaliteit kan in principe niet worden gebruikt in het kader van de webservices > indien deze functionaliteit wordt gebruikt, moet het project vragen om IDP en AttributeAuthority te gebruiken (waardoor onze partners de authentieke bronnen eHealth kunnen ondervragen)
        • dit systeem werd uitgewerkt om een onderscheid te maken tussen de toegangen tot de toepassingen en de toegangen tot de gegevens
        • de toepassing is verantwoordelijk voor het weergeven aan de ondergeschikte van de lijst met zijn hiërarchische oversten nadat deze ondergeschikte de toegang tot deze toepassing (vanuit onze IDP) heeft gekregen
    • van een instelling naar een andere instelling
      • de delegatie gebeurt via de webtoepassing Mandaten
        • indien de mandaattypes die in de toepassing beschikbaar zijn niet aan de verwachtingen van de toepassing voldoen, moet de aanmaak van een nieuw type mandaat worden aangevraagd via de verantwoordelijke projectleider binnen eHealth
    • van een natuurlijke persoon naar een andere natuurlijke persoon
  • Toegang tot de gegevens
    • via de webservice IAM AA (AttributeAuthority, waardoor onze partners de authentieke bronnen eHealth kunnen ondervragen) kan toegang worden verleend tot bepaalde gegevens (contactadres van een zorgverlener, benaming van een instelling, lijst met hiërarchische verantwoordelijken van een ondergeschikte binnen een instelling...) in onze authentieke bronnen (waaronder CoBRHA)
    • de toegang tot deze gegevens is beveiligd
  • Beveiliging van de toepassing door middel van een machtigingsmechanisme gebaseerd op de identiteit van de gebruiker

Gebruikersgroepen

IAM kan enkel gebruikt worden door gezondheidsactoren, erkend door het eHealth-platform.

Integratie voorwaarden

De integratie van het systeem IAM houdt nauw verband met de architecturen die door het eHealth-platform worden aangeboden.

In het kader van de ontwikkeling van een webtoepassing (server side) raden wij u aan om de software Shibboleth SP te gebruiken om de integratie van uw toepassing met onze IAM IDP te vergemakkelijken.

Indien uw systeem de toegang tot bepaalde REST-services (Representational State Transfert) van het eHealth-platform vereist, zal er een integratie met onze IAM Connect moeten plaatsvinden.

Indien uw toepassing onze token eXchange moet kunnen gebruiken, moeten bepaalde regels worden nageleefd en moet een contract worden ondertekend.

Om IAM STS en IAM AA te kunnen gebruiken is de eID van de actor in de gezondheidszorg of een certificaat afgeleverd door het eHealth-platform vereist.

Stappen:

  1. neem contact op met de verantwoordelijke projectleider binnen het eHealth-platform ppkb@ehealth.fgov.be en beschrijf de context en de finaliteit van uw project en geef een raming op het vlak van volume

  2. na afloop en indien akkoord de nodige documenten voor de configuratie van de gewenste diensten meedelen

  • CAB-IAM / eDU in te vullen in overleg met uw verantwoordelijke projectleider binnen het eHealth-platform
  • om de functionaliteit van toegang tot de gegevens te gebruiken
  • om IAM connect te gebruiken
  • om de IAM IDP te gebruiken
    • het IAM Registration formulier invullen en voorleggen per omgeving en daarbij het verkregen certificaat vermelden

Om de integratie van de oproep van de STS webservice te vergemakkelijken, stelt het eHealth-platform ‘connectoren’ ter beschikking van de actoren in de gezondheidszorg.

Contact: support@ehealth.fgov.be

Documentatie

back2top