Itium werkt voor diverse organisaties in Nederland. Middelgroot MKB, maar ook grote overheidsinstanties als het gaat om specifieke oplossingen. Door de jarenlange ervaring en technische kennis van ons team zijn op het eerste oog complexe problemen toch op te lossen door onze medewerkers. Zo heeft Itium een een APEX inlogpagina gebouwd met eHerkenning dat zowel in het huidige beleid als toekomstig beleid van dienst kan zijn. Dat lijkt een eenvoudige klus, maar door gebruik van bepaalde techniek en wetgeving was het maken van deze pagina niet eenvoudig.
Aanleiding
AZL is een Nederlandse organisatie in de publieke sector en dient daarom een nationaal erkend inlogmiddel aan te bieden aan burgers en bedrijven. Hoe een dergelijk inlogmiddel eruit moet zien is vastgelegd in de eIDAS verordening van de Europese Lidstaten. Een van de AZL applicaties die aan deze richtlijnen moet voldoen, is het Werkgeversportal (WGP) – een applicatie gebouwd in Oracle Application Express. De daar gebruikte inlogmethode (gebruikersnaam/wachtwoord) moet worden uitgebreid met (en later worden vervangen door) eHerkenning en eIDAS.
Implementatie en onderhoud vereenvoudigen
Het gebruikte protocol voor communicatie tussen applicaties en makelaars is SAML 2.0 (Security Assertion Markup Language). Dit op XML gebaseerde protocol is op zich redelijk eenvoudig, maar de SAML implementatie voor eHerkenning en eIDAS vereist ook XML-signing op basis van PKI-overheid SSL certificaten. Implementatie en onderhoud van deze koppeling vergt daardoor in verhouding veel resources van de AZL IT afdeling, dus om de aansluiting van de APEX applicatie te vereenvoudigen is gekozen voor een (hosted) Simple Identity & access Management (SIAM) oplossing.
De SIAM API is een stuk eenvoudiger dan SAML en vereist geen XML-signing. SIAM ondersteunt naast eHerkenning en eIDAS diverse andere methodes voor authenticatie, waaronder DigiD, Idensys, ADFS, OpenID en OAuth. Daarmee is het voor AZL ook mogelijk om in de toekomst andere authenticatie methodes eenvoudig te kunnen ondersteunen.
Specifieke acties ITIUM
- Bouw van een APEX inlogpagina met eHerkenning, eIDAS en gebruikersnaam/wachtwoord inlogmethodes, op basis van de nieuwe AZL huisstijl. Hierbij is rekening gehouden met het feit dat bepaalde inlogmethodes in de toekomst zullen verlopen – en dus een einddatum moeten krijgen – en dat er wellicht andere bij zullen komen. De pagina past zich hier dynamisch op aan en vergt dus weinig of geen onderhoud bij wijzigingen.
- Tabellen voor de SIAM configuratie van de verschillende inlogmethodes.
- Tabellen voor logging van alle inlogpogingen met alle relevante debugging informatie voor eventuele foutopsporing.
- PL/SQL packages voor de afhandeling van het SIAM API berichtenverkeer. Ook hier is er rekening mee gehouden dat er in de toekomst inlogmethodes bij kunnen komen, en is het geheel zo modulair mogelijk opgezet.
- Configuratie van ACL, Wallet en ORDS RPC (remote procedure call) voor de SIAM API communicatie.
- PL/SQL packages voor het koppelen (door middel van het KvK nummer) aan een bestaand (of nieuw aan te maken) WGP account, en het uiteindelijke inloggen in de APEX applicatie.
Resultaat
De gekozen oplossing voor ondersteuning van eHerkenning en eIDAS is flexibel en toekomstvast. Naast de ondersteuning van diverse methodes voor authenticatie, zowel bestaande als toekomstige, is dit ook een herbruikbare oplossing. AZL heeft meerdere APEX applicaties ontwikkeld, die in principe allemaal gebruik kunnen gaan maken van de hiervoor ontwikkelde programmatuur. Vanaf het begin van dit project is hier rekening mee gehouden, waardoor andere applicaties hier eenvoudig op kunnen worden aangesloten – en dus bestaande (en meer resources vergende) inlogmethodes kunnen worden uitgefaseerd.
Wilt u meer weten over een APEX – SAML 2.0 koppeling, neem dan contact op met onze Digital Business Consultants.
