icon

IAM (Identity & Access Management)

Alles over deze dienst

Wat is de dienst ‘Geïntegreerd gebruikers- en toegangsbeheer’/I.AM (Identity & Access Management)?

De dienst geïntegreerd gebruikers- en toegangsbeheer van het eHealth-platform heeft als doel om de identificatie, de authenticatie en de machtiging van actoren in de gezondheidszorg te vergemakkelijken.

Deze dienst is samengesteld uit verschillende componenten die samenwerken om de (unieke) authenticatie, de machtiging en de identiteitsverspreiding van de gebruikers van de gezondheidszorg mogelijk te maken die toegang vragen tot de diensten (gehost bij de gezondheidszorginstanties en het eHealth-platform).

Deze componenten zijn conform de internationale normen voor de mededelingen tussen bedrijven teneinde de veiligheid en de stabiliteit te garanderen en de integratie te vergemakkelijken.

Welke functionaliteiten worden door de dienst I.AM aangeboden?

De dienst geïntegreerd gebruikers- en toegangsbeheer biedt de volgende functionaliteiten:

  • Authenticatie van de gebruiker
    • via het eHealth-certificaat
    • via een numerieke sleutel die door het eHealth-platform wordt ondersteund
  • Identificatie van de gebruiker, keuze van zijn profiel volgens
    • zijn hoedanigheid / het type individuele zorgverlener (op basis van de informatie vervat in de gegevensbank Cobrha)
    • zijn organisatie in naam waarvan hij kan optreden
    • het mandaat waarvoor hij kan optreden
    • zijn kind(eren) (op basis van de gegevens aanwezig in het Rijksregister)
  • Unieke authenticatie (single sign-on)
    • in het kader van een webtoepassing moet de gebruiker zich niet opnieuw authenticeren (behalve wanneer dit uitdrukkelijk wordt gevraagd voor een toepassing)
    • in het kader van een webservice maakt de gebruiker een sessie aan die in het kader van verschillende diensten voor een bepaalde duur wordt gebruikt (de duur hangt af van het profiel van de gebruiker)

Opmerking : de single-sign-on IDP mag niet worden verward met een houding ‘isPassive’ waarin de schermen van de IDP die aan de gebruiker worden getoond, tot het strikte minimum worden beperkt. De isPassive is enkel geldig tussen de webtoepassingen die deze functionaliteit ondersteunen. Hierdoor kan de gebruiker onder meer een profiel selecteren in een toepassing en moet hij niet opnieuw een profiel selecteren wanneer hij overgaat naar een 2de toepassing (die dat profiel ondersteunt) die door onze IAM IDP wordt beveiligd.

  • Delegatie van toegangen tot de toepassingen
    • binnen een instelling
      • het is mogelijk om de gebruikers te bepalen die in naam van een instelling kunnen optreden voor bepaalde beschikbare toepassingen
      • bijkomend aan deze toewijzingen aan de gebruikers is het mogelijk om functies te bepalen binnen deze instelling
        • de delegatie gebeurt via de UserManagement en Remaph
        • deze functionaliteit kan in principe niet worden gebruikt in het kader van de webservices > indien deze functionaliteit wordt gebruikt, moet het project vragen om IDP te gebruiken
      • indien een persoon die in de instelling werkt in naam van een andere gebruiker van die instelling mag optreden, kan een hiërarchische relatie tussen die 2 personen worden bepaald
        • de delegatie gebeurt via UserManagement en Remaph
        • deze functionaliteit kan in principe niet worden gebruikt in het kader van de webservices > indien deze functionaliteit wordt gebruikt, moet het project vragen om IDP en AttributeAuthority te gebruiken (waardoor onze partners de authentieke bronnen eHealth kunnen ondervragen)
        • dit systeem werd uitgewerkt om een onderscheid te maken tussen de toegangen tot de toepassingen en de toegangen tot de gegevens.
        • de toepassing is verantwoordelijk voor het weergeven aan de ondergeschikte van de lijst met zijn hiërarchische oversten nadat deze ondergeschikte de toegang tot deze toepassing (vanuit onze IDP) heeft gekregen
    • van een instelling naar een andere instelling
    • van een natuurlijke persoon naar een andere natuurlijke persoon
  • Toegang tot de gegevens
    • via de webservice I.AM AA (AttributeAuthority, waardoor onze partners de authentieke bronnen eHealth kunnen ondervragen) kan toegang worden verleend tot bepaalde gegevens (contactadres van een zorgverlener, benaming van een instelling, lijst met hiërarchische verantwoordelijken van een ondergeschikte binnen een instelling, ...) in onze authentieke bronnen (waaronder CoBRHA)
    • de toegang tot deze gegevens is beveiligd
  • Beveiliging van de toepassing door middel van een machtigingsmechanisme gebaseerd op de identiteit van de gebruiker

In de praktijk

Afhankelijkheden, aanbevelingen & waarschuwingen

De integratie van deze basisdienst houdt nauw verband met de architecturen die door het eHealth-platform worden aangeboden. (lien à ajouter)

In het kader van de ontwikkeling van een webtoepassing (server side) raden wij u aan om de software Shibboleth SP te gebruiken om de integratie van uw toepassing met onze I.AM IDP te vergemakkelijken.

Indien uw systeem de toegang tot bepaalde diensten REST ( Representational State Transfert) van het eHealth-platform vereist, zal er een integratie met onze IAM Connect moeten plaatsvinden.

Indien uw toepassing onze token eXchange moet kunnen gebruiken, moeten bepaalde regels worden nageleefd en moet een contract worden ondertekend.

Om de I.AM STS en I.AM AA te kunnen gebruiken is de eID van de actor in de gezondheidszorg of een certificaat afgeleverd door het eHealth-platform vereist.

I.AM mag enkel worden gebruikt voor de gezondheidsactoren die door het eHealth-platform zijn erkend

Wat zijn de voorwaarden voor de integratie van de dienst I.AM van het eHealth-platform?

  • Neem contact op met de verantwoordelijke projectleider binnen het eHealth-platform

eHealthppkb@ehealth.fgov.be

en beschrijf de context en de finaliteit van uw project en geef een raming op het vlak van volume

  • na afloop en indien akkoord de nodige documenten voor de configuratie van de gewenste diensten meedelen

Om de integratie van de oproep van de STS webservice te vergemakkelijken, stelt het eHealth-platform ‘connectoren’ ter beschikking van de actoren in de gezondheidszorg.

Meer informatie: support@ehealth.fgov.be

Identity & Access management - Technische organisatie

Inleiding

Het IAM-systeem (Identity & Access Management) van het eHealth-platform integreert alle basisdiensten waarvan de functionaliteiten het toegangsbeheer, het gebruikersbeheer en het beheer van de toegang tot de gegevens toelaten.

Naargelang de behoeften van de toepassing, onderscheiden we 4 contexten:

  1. De beveiliging van Web App
  2. De beveiliging van ‘Simple Object Access Protocol’ (SOAP) Web Service
  3. De beveiliging van ‘Representational State Transfert’ (REST) Web Service
  4. De Data Access

De authenticatie en de autorisatie zijn belangrijke aspecten van elk van deze contexten.

De beveiliging van Web App

Om toegang te krijgen tot een toepassing van het type beveiligde Web App, dient men zich te authentiseren en een autorisatie te verkrijgen

  • voor de klassieke webapplicaties (typisch voor server-side HTML-applicaties), via het component ‘IAM IDP’
  • voor de mobiele webapplicaties (applicaties die gebruik maken van JavaScript voor het oproepen van REST-diensten bijvoorbeeld) of native applicaties, via het component ‘I AM Connect’.

In al deze gevallen biedt het systeem de mogelijkheid van ‘single sign-on’ aan de gebruiker, zodat die zich slechts één keer moet identificeren om toegang te hebben tot verschillende applicaties.

Het is ook mogelijk voor een gebruiker om over te schakelen van een authenticatie/autorisatie van het type Web App naar een authenticatie/autorisatie van het type Web Service via de functionaliteit ‘SSO IDP to fat client’.

In het geval van klassieke Web Apps gebeurt het beheer van de autorisaties door onze IDP (Identity Provider) (via het User & Access Management - UAM).

In het geval van mobiele Wep Apps gebeurt het beheer van de autorisaties door de verschillende opgeroepen diensten.

Nuttige documentatie voor de klassieke Web Apps:

Nuttige documentatie voor ‘mobiele’ Web Apps of native applicaties:

De beveiliging van SOAP Web Service

SOAP (Simple Object Access Protocol) is een objectgeoriënteerd protocol dat de uitwisseling van gestructureerde berichten toelaat (XML-formaat in een SOAP-enveloppe) tussen een WSC (Web Service Consumer) en een WSP (Web Service Provider).

Dit protocol wordt onder meer gebruikt in het kader van SOA-architecturen (Service Oriented Architecture).

De authenticatie van de WSC gebeurt via de dienst IAM STS (Secure Token Service) aan de hand van een eHealth-certificaat of een elektronische identiteitskaart (eID). De assertion die wordt verkregen door de WSC wordt vervolgens geëvalueerd in het kader van de autorisatie.

De autorisatie wordt, voor elke opgeroepen dienst, hoofdzakelijk verricht door de Service Bus van het eHealth-platform op basis van voorgedefinieerde regels. Voor elke beveiligde SOAP service die beschikbaar is op de ESB van het eHealth-platform worden de gedefinieerde toegangsregels geëvalueerd teneinde al dan niet toegang te verlenen tot de dienst.

Net zoals het mogelijk is om over te schakelen van een authenticatie/autorisatie van het type Web App naar een authenticatie/autorisatie van het type Web Service, is het omgekeerde ook mogelijk via de dienst ‘IAM STS to IDP’.

Nuttige documentatie:

De beveiliging van REST Web Service

De REST-webservices (Representational State Transfert) worden gebruikt in het kader van de REST-architectuur. Deze architectuur is gebaseerd op het HTTP-protocol via de verschillende acties: GET, POST, PUT, DELETE.

Het formaat van de uitgewisselde berichten is niet XML maar JSON.

Dit type diensten is hoofdzakelijk bedoeld voor mobiele applicaties.

De authenticatie en autorisatie van de klanten gebeurt via de dienst ‘IAM Connect’ die gebaseerd is op de standaard OIDC (OpenID Connect).

‘IAM Connect’ laat onder mee toe om een ‘Access token’ uit te reiken aan de klant die deze token vervolgens naar de REST-dienst kan sturen.

De REST-dienst controleert vervolgens de inhoud van de ‘Access token’ i.v.m. opgelegde veiligheidsvereisten.

Nuttige documentatie:

De Data Access

Dit systeem doet een beroep op de component ‘IAM AA’ waarvan de functie erin bestaat verschillende gegevensbronnen te raadplegen om na te gaan of de vastgestelde voorwaarden voor de toegang tot de gegevens vervuld zijn en, in voorkomend geval, al dan niet toegang te verlenen.

IAM AA (AttributeAuthority)

IAM AA laat onze partners toe om de authentieke eHealth-bronnen te raadplegen. Deze bronnen bevatten informatie over de gezondheidszorgactoren (CoBrHA), de mandaten, ....

Dit systeem werd ontworpen om de toegang tot de toepassingen te scheiden van de toegang tot de gegevens.

IAM STS (Secure Token Service)

IAM STS laat een gezondheidszorgactor toe om zich te identificeren via het genereren van een token (in tegenstelling tot de identificatie via eID of username). Dit systeem is bedoeld voor de identificatie voor webservices die geïntegreerd zijn in de softwarepakketten van de artsen en laat toe om zich te identificeren als arts, specialist, verpleegkundige, ...

IAM IDP (IDentity Provider)

IAM IDP is de dienst die toelaat om de identiteitsinformatie te creëren, te onderhouden en beheren voor de gebruikers die zich kunnen authentiseren in een gedistribueerd netwerk of een federatie.

IDP ondersteunt verschillende authenticatiemethoden zodat de gebruiker kan bewijzen dat hij wel degelijk degene is die hij beweert te zijn.

IAM IDP laat toe de toegang tot de webapplicaties te beveiligen die aangeboden en gehost worden door de Service Providers via UAM.

IAM Connect

IAM Connect is een oplossing voor het beheer van de identiteit en de toegang voor webapplicaties en RESTful-webservices gebaseerd op OIDC (OpenID Connect).

Het laat de klanten toe om informatie te vragen en te verkrijgen over de geauthentiseerde sessies en de eindgebruikers. IAM Connect laat de klanten ook toe om de identiteit van de eindgebruiker te controleren in functie van de authenticatie die verricht werd door onze autorisatieserver.

Het gaat daarbij om diverse soorten klanten: klanten van webapplicaties, JavaScript-klanten, native applicaties (‘mobiele’ klanten).

Nuttige documentatie:

UAM

UAM = User & Access Management

Het UAM wordt gebruikt in het kader van klassieke Web Apps en webservices via de Service Bus van het eHealth-platform en laat toe om een gebruiker al dan niet toegang te verlenen tot een beveiligde resource.

Het UAM is gebaseerd op het generieke Policy Enforcement Model, dat een Policy Enforcement Point (PEP), een Policy Decision Point (PDP), een Policy Administration Point (PAP) en een Policy Information Points (PIP) omvat.

Informatie over UAM.

Attribute Authority WS

The “Attribute Authority (AA) web service (WS)” provided by the eHealth platform will allow our partners in the health sector to query the eHealth authentic source for health professional cadastre, file care providers, file care institutions, mandate, Responsibility Management for Public Health (ReMaPH), the National Registry of Belgian citizen data,… It was built to separate access to the application from data access. This service sole purpose is to return data.

Versie 1.3 (21/03/2018) - 870.41 KB

I.AM federation metadata

This document describes SAML Metadata in the context of the eHealth I.AM Federation.

Versie 1.1 (16/07/2015) - 248.69 KB

I.AM STS to IDP - SSO

A user, in possession of a sessionToken needs to continue his work in a remote web application for which authentication at the eHealth platform is required. This document describes in detail how to use a secure token, delivered by the STS, as identity proof to start a web browser Single Sign on Session.
Details on how to get a secure token from the STS in the first place can be found in the cookbook STS.

Versie 1.1 (30/10/2018) - 993.81 KB

I.AM IDP - Cookbook

This document gives an overview of the eHealth Identity Provider (IDP), one of the key components of the eHealth I.AM Federation. It is the Identity Service of eHealth that provides Cross Enterprise Web Browser Single Sign On.

Versie 1.0 (12/07/2013) - 687.78 KB

I.AM logout - Cookbook

This document describes how to deconnect users from an application protected with I.AM.

Versie 1.2 (08/05/2019) - 720.5 KB

I.AM overview

One of the core services of eHealth is management of identity and authorization of persons, institutions and systems involved in HealthCare.

Versie 1.0 (12/07/2013) - 173.83 KB

I.AM SP Shibboleth - Cookbook

One of the core services of eHealth is management of identity and authorization of persons, institutions and systems involved in HealthCare.

Versie 1.0 (12/07/2013) - 379.25 KB

I.AM SP Shibboleth upgrade

The eHealth IDP has received a major upgrade (v1.3 à v2) and is now part of the eHealth I.AM Federation.

Versie 1.0 (12/07/2013) - 134.65 KB

Secure Token Service HolderofKey - Cookbook

In this document the technical and functional information about the integration of the STS-service can be found.

Versie 1.3 (18/07/2018) - 754.79 KB

Annex - List Of Attributes

Overview of the current supported urn’s.

Versie 1.1 (31/08/2010) - 61.78 KB

Mapping Certificateholder - Cookbook
IAM Connect Token eXchange – Technical Specifications

I.AM Connect Token eXchange can be used to facilitate integration with existing eHealth and/or partner services.

It is used to authenticate the client to most eHealth or partner services by signing the Body of SOAP messages with the Private Key that corresponds with the Public Key mentioned in the SAMLtoken, which proves that the client is the legitimate owner of the token.

Versie 1.2 (02/01/2019) - 752 KB

I.AM federation attributes

This document describes the use of attributes for identity and authorization management in the eHealth I.AM Federation.

Versie 1.2 (27/04/2017) - 282.29 KB

I.AM IDP to fat client

Technical description how to request a secure token, delivered by the IDP, as identity proof to start a Single-Sign-On session for fat clients.

Versie 1.0 (16/07/2016) - 516.73 KB

I.AM registration

This document contains all information, necessary to integrate with one of the eHealth environments.

Versie 1.0 (12/07/2013) - 240.76 KB

Geïntegreerd gebruikers-en toegangsbeheer - SLA

Overeenkomst betreffende het dienstverleningsniveau voor beschikbaarheid en de performantie van de dienst voor het geïntegreerde gebruikers- en toegangsbeheer.

Versie 2.1 (30/05/2018) - 1.04 MB

I.AM Connect - Mobile integration - Technical specifications

eHealth I.AM Connect is an identity and access management solution for web applications and RESTful web services. This document provides functional and technical information and allows an organization to integrate and use eHealth I.AM Connect.

Versie 1.2 (25/02/2019) - 871.19 KB

I.AM Connect – Client registration

eHealth I.AM Connect allows client to access REST services for the eHealth domain. This document will serve as base to register the client and must contain all information required to add the partner to the federation.

Versie 1.1 (12/08/2019) - 427.66 KB

I.AM Connect – Realm registration

eHealth I.AM Connect allows clients to access REST services for the eHealth domain. This document will serve as base to register the realm and must contain all information required to configure the realm in the AuthorizationServer.

Versie 1.1 (12/08/2019) - 413.22 KB

Cookbook Annex – HolderOfKey examples

Gebruik onderstaand formulier om ons te contacteren

Uw gegevens
Uw vraag

1500/1500 resterende karakters

Een bestand toevoegen
Opnieuw beginnen

Om de eHealth Service Bus (ESB) niet te overbelasten, zullen de WSDL's en XSD's vanaf 11 mei 2014 alleen via UDDI-downloads beschikbaar zijn.

De "Registry" is de catalogus van webservices die aangeboden worden door het eHealth-platform en zijn partners. De informatie is gestructureerd volgens de UDDI-standaard.
Het gaat om de volgende informatie:

  • technisch : URL, versie, WSDL en XSD
  • functioneel : link naar de beschikbare documentatie, beschrijving van de online diensten

U kunt een abonnement nemen op de Registry, u ontvangt dan een mail als er wijzigingen zijn.