IAM (Identity & Access Management)

Tout sur le service

Qu'est-ce que le service ‘Gestion intégrée des utilisateurs et des accès’ / I.AM (Identity & Access Management)?

Le service de gestion des utilisateurs et des accès de la plate-forme eHealth a pour objectif de faciliter l’identification, l’authentification et l’autorisation d’acteurs de soins de santé.

Ce service est composé de plusieurs composants qui travaillent ensemble pour permettre l’authentification (unique), l'autorisation et la propagation d'identité des utilisateurs de soins de santé, demandant l'accès aux services (hébergés par les organisations de soins de santé et la plateforme eHealth).

Ces composants sont conformes aux normes internationales pour les communications inter-entreprises afin de garantir la sécurité et la stabilité et de faciliter l'intégration.

Quelles sont les fonctionnalités du service I.AM?

Le service gestion intégrée des utilisateurs et des accès offre les fonctionnalités suivantes :

  • Authentification de l’utilisateur
  • Identification de l’utilisateur, choix de son profil selon
    • sa qualité / le type de prestataire de soins individuel (sur base des informations contenues dans la base de données Cobrha)
    • son organisation au nom de laquelle il/elle peut agir
    • le mandant pour lequel il/elle peut agir
    • son/ses enfant(s) (sur base des données présentes au Registre National)
  • Authentification unique (single-sign-on)
    • dans le cadre d’une application web, l’utilisateur ne devra pas se ré-authentifier (sauf si c’est explicitement demandé pour une application)
    • dans le cadre d’un service web, l’utilisateur se crée une session qui peut être utilisée dans le cadre de plusieurs services sur un durée déterminée (durée dépendant du profil de l’utilisateur)

Remarque: le single-sign-on IDP (wcag.label.file wcag.label.externalLink) ne doit pas être confondu avec un comportement ‘isPassive’ dans lequel les écrans de l’IDP proposés à l’utilisateur sont limités au strict minimum. Le isPassive est uniquement applicable entre les applications web supportant cette fonctionnalité. Cela permet notamment à l’utilisateur de sélectionner un profil dans une application et de ne plus devoir sélectionner de profil s’il passe vers une 2ème application (supportant ce profil) protégée par notre IAM IDP.

  • Délégation d’accès aux applications
    • au sein d’une institution
      • il est possible de définir les utilisateurs qui peuvent agir au nom d’une institution pour certaines applications disponibles
      • en complément de ces attributions d’application aux utilisateurs, il est possible de définir des fonctions au sein de cette institution
        • la délégation s’effectue via le UserManagement et Remaph ( wcag.label.externalLink)
        • cette fonctionnalité ne peut en principe pas être utilisée dans le cadre des services web > si cette fonctionnalité est utilisée, le projet doit demander à utiliser IDP
      • si une personne travaillant dans l’institution peut agir au nom d’un autre utilisateur de cette institution, il est possible de définir un lien hiérarchique entre ces 2 personnes.
        • la délégation se fait via UserManagement et Remaph ( wcag.label.externalLink)
        • cette fonctionnalité ne peut en principe pas être utilisée dans le cadre des web services > si cette fonctionnalité est utilisée, le projet doit demander à avoir accès à IDP et AttributeAuthority (qui permet à nos partenaires d’interroger les sources authentiques eHealth)
        • ce système a été défini afin de scinder les accès applicatifs des accès aux données.
        • l’application est responsable de l’affichage pour le subordonné de la liste de ses supérieurs hiérarchiques, après que ce subordonné a reçu l’autorisation d’accéder à l’application (depuis notre IDP)
    • d’une institution vers une autre institution
    • d’une personne physique à une autre personne physique
  • Accès aux données
    • certaines données (adresse de contact d’un prestataire de soins, dénomination d’une institution, liste de responsables hiérarchiques d’un subordonné au sein d’une institution…) présentes dans nos sources authentiques (dont CoBRHA ( wcag.label.externalLink) ) peuvent être accédées via le service web I.AM AA (AttributeAuthority, qui permet à nos partenaires d’interroger les sources authentiques eHealth)
    • l’accès à ces données est sécurisé
  • Sécurisation d’application via un mécanisme d’autorisation basée sur l’identité de l’utilisateur

En pratique

Dépendances, recommandations & avertissements

L’intégration de ce service de base est étroitement liée aux architectures proposées par la plate-forme eHealth.

Dans le cadre du développement d’une application web (server side), nous vous recommandons d’utiliser le logiciel Shibboleth (wcag.label.file wcag.label.externalLink) SP pour faciliter l’intégration de votre application avec notre I.AM IDP.

Si votre système nécessite l’accès à certains services REST ( Representational State Transfert) de la plate-forme eHealth, une intégration avec notre IAM Connect devra être réalisée.

Si votre application doit être capable d’utiliser notre token eXchange, certaines règles sont à respecter et un contrat doit être signé. 

Pour pouvoir utiliser I.AM STS et I.AM AA, l’eID de l’acteur de soins de santé ou un certificat délivré par la plate-forme eHealth ( wcag.label.externalLink) est requis.

I.AM ne peut être utilisé que pour des acteurs de soins reconnus par la plate-forme eHealth.

Quelles sont les conditions d’intégration du service I.AM de la plate-forme eHealth ?

  • prendre contact avec le chef de projet responsable au sein de la plate-forme eHealth

eHealthppkb@ehealth.fgov.be ( wcag.label.externalLink)
en détaillant clairement le contexte, la finalité ainsi qu’une estimation volumétrique de votre projet

Afin de faciliter l'intégration de l'appel au service web STS, la plate-forme eHealth met à la disposition des acteurs des soins de santé des ‘ connecteurs ( wcag.label.externalLink) ’.

Plus d'info: support@ehealth.fgov.be ( wcag.label.externalLink)

Identity & Access management - Organisation technique

Introduction

Le système IAM (Identity & Access Management) de la plate-forme eHealth intègre l’ensemble des services de base dont les fonctionnalités permettent d’assurer une gestion des accès, une gestion des utilisateurs et une gestion de l’accès aux données.

Selon les besoins applicatifs, il est possible de distinguer 4 contextes :

  1. La sécurisation de Web App
  2. La sécurisation de Web Service ‘Simple Object Access Protocol’ (SOAP)
  3. La sécurisation de Web Service ‘Representational State Transfert’ (REST)
  4. Le Data Access

L’authentification et l’autorisation sont des aspects importants pour chacun de ces contextes.

La sécurisation Web App

Pour accéder à une application de type Web App sécurisée, il faut s’authentifier et obtenir une autorisation

  • pour les applications web classiques (typiquement des applications server-side HTML), via le composant ‘IAM IDP’
  • pour les applications web ‘mobile’ (applications utilisant du JavaScript pour appeler des services REST par exemple) ou applications natives, via le composant ‘IAM Connect’

Dans tous les cas, le système offre la possibilité aux utilisateurs d’avoir du ‘single sign-on’ qui permet de s’identifier une seule fois pour accéder à plusieurs applications différentes.

Il est également possible, pour un utilisateur, de basculer d’une authentification/autorisation de type Web App, vers une authentification/autorisation de type Web Service au moyen de la fonctionnalité ‘ SSO IDP to fat client (wcag.label.file wcag.label.externalLink) ’.

Dans le cas de Web Apps classiques, la gestion des autorisations est effectuée par notre IDP (Identity Provider) (via User & Acces Management - UAM).

Dans le cas de Web Apps ‘mobile’, la gestion des autorisations est effectuée par les différents services appelés.

Documentation utile pour les Web Apps classiques :

Documentation utile pour les Web Apps ‘mobile’ ou applications natives :

La sécurisation Web Service SOAP

SOAP (Simple Object Access Protocol) est un protocole orienté ‘objet’ qui permet la transmission de messages structurés (format XML dans une Enveloppe SOAP) entre un WSC (Web Service Consumer) et un WSP (Web Service Provider).

Ce protocole est notamment utilisé dans le cadre d’architectures de type SOA (Service Oriented Architecture).

L’authentification des WSC s’effectue via le service IAM STS (Secure Token Service) au moyen d’un certificat eHealth ou d’une carte d’identité électronique (eID). L’assertion obtenue par le WSC est ensuite évaluée dans le cadre de l’autorisation.

L’autorisation est principalement effectuée, pour chaque service appelé, par le service Bus de la plate-forme eHealth sur base de règles préalablement définies. Pour chaque service SOAP disponible et protégé sur l’ESB de la plate-forme eHealth, les règles d’accès définies sont évaluées afin d’autoriser ou non l’accès au service.

Tout comme il est possible de basculer d’une authentification/autorisation de type Web App vers une authentification/autorisation de type Web Service, l’exercice inverse est possible, via le service ‘ IAM STS to ID (wcag.label.file wcag.label.externalLink) P’.

Documentation utile :

La sécurisation Web Service REST 

Les web services REST (Representational State Transfert) sont utilisés dans le cadre d’architecture de type REST. Cette architecture se repose sur le protocole HTTP via ces différentes opérations : GET, POST, PUT, DELETE.

Le format des messages échangés ici n’est plus du XML mais du JSON.

Ce type de services s’adresse plus particulièrement aux applications ‘mobiles’.

L’authentification et l’autorisation des clients s’effectuent via le service ‘IAM Connect’ qui se base sur le standard OIDC (OpenID Connect).

‘IAM Connect’ permet, entre autres, de délivrer un ‘Access token’ au client qui peut l’envoyer ensuite vers le service REST.

Le service REST vérifie alors le contenu de cet ‘Access token’ afin de traiter les contraintes de sécurité préalablement établies.

Documentation utile :

Le Data Access

Ce système fait appel au composant ‘IAM AA’ dont la fonction est d’interroger différentes sources de données afin de vérifier si les conditions préétablies pour accéder aux données sont remplies et le cas échéant, autoriser ou non l’accès.

IAM AA (AttributeAuthority)

IAM AA permet à nos partenaires d’interroger les sources authentiques eHealth. Ces sources contiennent des informations concernant les acteurs des soins de santé (CoBrHA), les mandats, …

Ce système a été défini afin de scinder les accès applicatifs des accès aux données.

IAM STS (Secure Token Service)

IAM STS permet à un acteur de soins de santé de s’identifier via la génération d’un token (par opposition à l’identification par eID ou username). Il est dédié à l’identification pour les web services intégrés aux logiciels médecin, et permet de s’identifier en tant que médecin, médecin spécialiste, infirmier, etc.

IAM IDP (IDentity Provider)

IAM IDP est le service permettant de créer, de maintenir et de gérer les informations d’identité des utilisateurs pouvant s’authentifier dans un réseau distribué ou au sein d’une fédération.

Différentes méthodes d’authentification sont supportées par l’IDP afin de s’assurer que l’utilisateur puisse prouver qu’il est bien celui qu’il prétend être.

IAM IDP permet de sécuriser l’accès aux applications web proposées et hostées par des fournisseurs de service (Service Providers) via UAM.

IAM Connect

I.AM Connect est une solution de gestion d'identité et d'accès pour les applications Web et les services Web RESTful basée sur OIDC (OpenID Connect).

Elle permet aux clients de demander et recevoir des informations sur les sessions authentifiées et les utilisateurs finaux. I.AM Connect permet également aux clients de vérifier l'identité de l'utilisateur final en fonction de l'authentification effectuée par notre serveur d'autorisation.

Les clients de tous types sont pris en charge : clients d'applications Web, clients JavaScript, applications natives (clients ‘mobile’).

Documentation utile :

UAM

UAM = User & Access Management

L’UAM est utilisé dans le cadre de Web Apps classiques, de Web services via le service Bus de la plate-forme eHealth et permet d’autoriser ou non l’accès d’un utilisateur à une ressource protégée.

L’UAM fonctionne sur base du Policy Enforcement Model générique, comprenant le Policy Enforcement Point (PEP), le Policy Decision Point (PDP), le Policy Administration Point (PAP) et le Policy Information Points (PIP).

Informations sur UAM (wcag.label.file wcag.label.externalLink) .

Attribute Authority WS

Le service Web Attribute Authority (AA WS) de la plate-forme eHealth permet à nos partenaires du secteur de la santé d'accéder à la source authentique eHealth du cadastre des professionnels de la santé, des prestataires de soins de santé, des établissements de soins de dossiers, du mandat, de la gestion responsable de la santé publique (ReMaPH) le registre national des données des citoyens belges,… Il a été construit pour séparer l'accès à l'application de l'accès aux données. Le seul but de ce service est de renvoyer des données.

Version 1.5 (07/07/2021) - 1.48 MB Fichier PDF (Ce document est en anglais)

I.AM Federation Metadata

Ce document décrit les métadonnées SAML dans le contexte de l’eHealth I.AM Federation.

Version 1.1 (16/07/2015) - 248.69 KB Fichier PDF (Ce document est en anglais)

I.AM SSO from fat to thin client

Un utilisateur en possession d’un session token doit continuer son travail dans une application web remote qui nécessite une authentification auprès de la plate-forme eHealth. Ce document explique comment utiliser ce token sécurisé fourni par le Secure Token Service (STS) comme preuve d’identité pour démarrer une session Single-Sign-On. Vous trouverez des détails sur la façon d’obtenir un token sécurisé auprès du STS dans le cookbook STS – HolderofKey.

Version 1.1 (30/10/2018) - 993.81 KB Fichier PDF (Ce document est en anglais)

I.AM Identity Provider

Ce document donne un aperçu de l’Identity Provider eHealth (IDP), l'un des principaux composants de la eHealth I.AM Federation. C’est l’Identity Service de la plate-forme eHealth qui fournit l’authentification unique via le navigateur Web Cross Enterprise.

Version 1.3 (24/02/2021) - 2.47 MB Fichier PDF (Ce document est en anglais)

I.AM Logout

Ce document décrit comment déconnecter les utilisateurs d'une application sécurisée par I.AM.

Version 1.3 (24/02/2021) - 1.2 MB Fichier PDF (Ce document est en anglais)

I.AM Shibboleth

L’un des principaux services de la plate-forme eHealth est la gestion de l’identité et de l’autorisation des personnes, des institutions et de systèmes impliqués dans les soins de santé.

Version 1.0 (12/07/2013) - 379.25 KB Fichier PDF (Ce document est en anglais)

I.AM Shibboleth Upgrade

L’IDP eHealth a reçu une mise à jour majeure (v1.3 à v2) et fait désormais partie de la eHealth I.AM Federation.

Version 1.0 (12/07/2013) - 134.65 KB Fichier PDF (Ce document est en anglais)

SSO from I.AM IDP to fat client

Description technique comment demander un « secure token » délivré par l’IDP, comme preuve d’identitité pour démarrer une session Single-Sign-On pour les fat clients.

Version 1.0 (16/07/2016) - 516.73 KB Fichier PDF (Ce document est en anglais)

Secure Token Service – HolderofKey

Dans ce document, vous trouverez les informations techniques et fonctionnelles sur l’intégration du Secure Token Service (STS).

Version 1.4 (24/02/2021) - 1.29 MB Fichier PDF (Ce document est en anglais)

I.AM Connect - Mobile integration - Technical specifications

eHealth I.AM Connect est une solution de gestion des identités et des accès pour les applications Web et les services Web RESTful. Ce document contient les informations fonctionnelles et techniques permettant à une organisation d'intégrer et d'utiliser eHealth I.AM Connect.

Version 1.5 (26/06/2021) - 1.44 MB Fichier PDF (Ce document est en anglais)

I.AM eXchange – Technical specification

Pour faciliter l’intégration avec les services eHealth et/ou partenaires existants, I.AM eXchange peut être utilisé. Dans ce document vous trouverez des informations fonctionnelles et techniques le rendent possible. Il doit être utilisé en conjonction avec l’API Swagger pour obtenir une intégration correcte.

Version 1.0 (09/09/2021) - 1.48 MB Fichier PDF (Ce document est en anglais)

I.AM Federation attributes

Ce document décrit l’utilisation es attributs pour la gestion des identités et des autorisations dans l’eHeath I.AM Federation.

Version 1.3 (19/05/2021) - 1.21 MB Fichier PDF (Ce document est en anglais)

I.AM Overview

Le but de ce document est de fournir un aperçu général de l'Identity & Authorization Management (I.AM) d'eHealth, le projet de la plate-forme eHealth pour l'identification, l'authentification et l'autorisation interentreprises dans les environnements de soins de santé.

Version 1.0 (12/07/2013) - 173.83 KB Fichier PDF (Ce document est en anglais)

IAM Connect Token eXchange – Technical Specifications

I.AM Connect Token eXchange peut être utilisé pour faciliter l'intégration avec les services eHealth et / ou partenaires existants. Il authentifie le client auprès de la plupart des services eHealth ou partenaires en signant le Body des messages SOAP avec la clé privée correspondant à la clé publique répertoriée dans le token SAML, prouvant que le client est le propriétaire légitime du token.

Version 1.4 (04/02/2021) - 1.32 MB Fichier PDF (Ce document est en anglais)

SOA – Error Guide

Tous les services utilisent des codes d’erreur définis de manière uniforme pour signaler les erreurs système. Dans ce document, vous trouverez un aperçu des messages d’erreur possibles et de leur solution.

Version 1.0 (10/06/2021) - 668.68 KB Fichier PDF (Ce document est en anglais)

I.AM Connect – Claim Mappers

L’objectif de ce document est de fournir des explications sur les claims I.AM Connect de eHealth, générées après que l’utilisateur final ait sélectionné son profil et de les mettre en correspondance avec les I.AM Attributes utilisés pour la solution web SSO.

Version 1.0 (28/05/2021) - 922.32 KB Fichier PDF (Ce document est en anglais)

I.AM Registration

Ce document contient toutes les informations nécessaires pour établir l’intégration avec l’un des environnements de la plate-forme eHealth.

Version 1.5 (19/05/2021) - 742.1 KB Fichier PDF (Ce document est en anglais)

eHealth I.AM Connect

eHealth I.AM Connect permet aux clients d’accéder aux services REST pour le domaine eHealth. Ce document servira de base pour enregistrer le domaine et devrait donc contenir toutes les informations nécessaires pour configurer le domaine dans le AuthorizationServer.

Version 1.1 (12/08/2019) - 413.22 KB Fichier PDF (Ce document est en anglais)

I.AM Connect – HealthCare Client Registration

I.AM Connect permet aux clients d’accéder aux services REST pour le domaine eHealth. Ce document servira de bas à l’inscription du client dans un healthcare realm. Il doit contenir toutes les informations nécessaires pour ajouter le partenaire à la fédération et s’intégrer à l’un des environnements de la plate-forme eHealth.

Version 1.2 (28/06/2021) - 773.51 KB Fichier PDF (Ce document est en anglais)

I.AM Connect – M2M Client registration

eHealth I.AM permet à un client d’accéder aux services REST pour le domaine eHealth. Ce document servira de base à l’enregistrement du client dans un realm M2M. Il doit contenir toutes les informations nécessaires pour ajouter le partenaire à la fédération et s’intégrer à l’un des environnements eHealth. 

Version 1.1 (07/07/2021) - 735.01 KB Fichier PDF (Ce document est en anglais)

I.AM Registration – Joined STS Protected Service

Ce document est destiné à être joint à un formulaire d’inscription I.AM rempli et a pour but de permettre au partenaire de décrire un de STS Protected Services.

Version 1.0 (21/01/2021) - 726.63 KB Fichier PDF (Ce document est en anglais)

I.AM Registration – Joined IDP Protected Service

Ce document est destiné à être joint à un formulaire d’inscription I.AM rempli et a pour but de permettre au partenaire de décrire un de IDP Protected Services.

Version 1.0 (21/01/2021) - 765.46 KB Fichier PDF (Ce document est en anglais)

I.AM Registration – Joined AA Protected Service

Ce document est destiné à être joint à un formulaire d’inscription I.AM rempli et a pour but de permettre au partenaire de décrire un de AA Protected Services.

Version 1.0 (21/01/2021) - 734.59 KB Fichier PDF (Ce document est en anglais)

Gestion intégrée des utilisateurs et des accès - SLA

Offre de niveau de service pour la disponibilité et la performance du service de la gestion intégrée des utilisateurs et des accès.

Version 2.1 (30/05/2018) - 1.04 MB Fichier PDF (Ce document est en anglais)

Vous pouvez nous joindre en utilisant le formulaire de contact ci-dessous

Vos coordonnées
Votre demande

1500/1500 caractère(s) restant(s)

Remise à zéro

En raison de la migration vers une nouvelle technologie, il ne sera plus possible de télécharger les WSDL et XSD via l’UDDI. Vous trouverez dorénavant ces informations sur l’API Portal.

Le Registry est le catalogue des webservices offerts par la plate-forme eHealth et ses partenaires. Les informations sont structurées selon le standard UDDI.

Il s’agit d’informations :

  • techniques : URL, version, contrat formel (WSDL+XSD)
  • fonctionnelles : liens vers la documentation disponible, description des services en ligne