Koppelprofiel Active directory: verschil tussen versies
(→Vereiste inrichting) |
|||
(16 tussenliggende versies door dezelfde gebruiker niet weergegeven) | |||
Regel 1: | Regel 1: | ||
__TOC__ | __TOC__ | ||
+ | == Inleiding == | ||
+ | Om gebruikers gebruik te laten maken van het zaaksysteem heeft deze een gebruikersnaam en een wachtwoord nodig. Deze gebruikersnamen en wachtwoorden, worden niet in het zaaksysteem beheerd maar binnen de eigen registratie van gebruikers. Zaaksysteem heeft hiervoor een koppelvlak voor de Active Directory, die door de meesten gemeenten wordt gebruikt voor het beheren van gebruikers. Met dit koppelvlak worden de gebruikers en hun (versleutelde) wachtwoord gesynchroniseerd met het zaaksysteem. Gebruikers kunnen dan inloggen in zaaksysteem met dezelfde gegevens als ze gewend zijn binnen de organisatie. | ||
+ | == Inrichting zaaksysteem == | ||
+ | === Beheerserver === | ||
+ | Om de synchronisatie van de gebruikers veilig te laten verlopen wordt er een beheerserver ingericht lokaal binnen de infrastructuur van de organisatie. Dit is bij voorkeur een virtuele server die vanuit het DMZ of LAN de Domain Controller kan benaderen. Periodiek zal deze beheerserver de Active Directory server bevragen om te bepalen of zaaksysteem nieuwe gebruikers moet aanmaken, of juist gebruikers moet verwijderen. Deze beheerserver maakt gebruik van Ubuntu Linux als besturingssysteem. Op deze beheerserver draait een service die periodiek alle actieve gebruikers van de aangegeven applicatiegroep uitleest op basis van het attribuut [http://support.microsoft.com/kb/305144 UserAccountControl] om een actueel overzicht te maken van de gebruikers die toegang mogen hebben tot het zaaksysteem. De eventuele wijzigingen worden via een beveiligde verbinding naar het zaaksysteem verstuurd. | ||
− | + | [http://releases.ubuntu.com/12.04/ubuntu-12.04.3-server-amd64.iso Download ubuntu-12.04.3-server-amd64.iso] | |
− | Deze worden ‘gemerged’ met de wachtwoorden, en worden direct in een beveiligde XML verstuurd naar de omgeving in de overheidscloud. De beheerserver maakt gebruik van een HTTPS verbinding die alleen met behulp van een API-Key kan worden opgezet. | + | [[bestand:AD-koppeling_archi_2013.png]] |
+ | |||
+ | === OpenLDAP === | ||
+ | Zaaksysteem maakt gebruik van OpenLDAP voor het authenticeren van gebruikers. Zodra een gebruiker moet worden aangemaakt, dan wordt deze aangemaakt in OpenLDAP. De | ||
+ | |||
+ | === Koppelprofiel LDAP Authenticatie === | ||
+ | Zaaksysteem heeft standaard een koppelprofiel beschikbaar om de koppeling met de Active Directory in te richten op het koppelplatform. De inrichting van dit koppelprofiel zorgt er voor dat de koppeling actief is, en dat transacties worden opgeslagen in het transactielog. De koppeling kan worden aangezet door een vinkje te plaatsen bij 'Koppeling Actief' | ||
+ | |||
+ | == Inrichting extern systeem == | ||
+ | === Applicatiegroep === | ||
+ | Om de beheerserver de juiste gebruikers te laten synchroniseren is het nodig om binnen de Active Directie een gebruikersgroep 'Zaaksysteem' te beheren. Dit is de groep die door de beheerserver wordt bevraagd. Indien een gebruiker toegang mag hebben tot het zaaksysteem, dan kan de lokale beheerder de gebruiker lid maken van de gebruikersgroep. Op deze wijze hebben gemeenten zelf in de hand wie wel en wie niet mag inloggen in het zaaksysteem. | ||
+ | |||
+ | === Vereiste inrichting === | ||
+ | De volgende gegevens kunnen worden uitgelezen, mits de veldnamen de onderstaande naamgeving hebben: | ||
+ | {| class="wikitable" | ||
+ | |- | ||
+ | !Gegeven | ||
+ | !Veldnaam | ||
+ | !Verplicht aanwezig | ||
+ | !Verplicht gevuld | ||
+ | |- | ||
+ | |Achternaam | ||
+ | |sn | ||
+ | |Ja | ||
+ | |Ja | ||
+ | |- | ||
+ | |Voornaam | ||
+ | |givenName | ||
+ | |Ja | ||
+ | |Ja | ||
+ | |- | ||
+ | |Volledige naam | ||
+ | |displayName | ||
+ | |Ja | ||
+ | |Ja | ||
+ | |- | ||
+ | |E-mailadres | ||
+ | |mail | ||
+ | |Ja | ||
+ | |Ja | ||
+ | |- | ||
+ | |Telefoonnummer | ||
+ | |telephoneNumber | ||
+ | |Nee | ||
+ | |Nee | ||
+ | |- | ||
+ | |Wachtwoord | ||
+ | |password | ||
+ | |Nee | ||
+ | |Nee | ||
+ | |} | ||
+ | |||
+ | <i>Note: Initialen voor de gebruikers worden bij de import opgebouwd uit de voornaam.</i> | ||
+ | |||
+ | === Identity management for UNIX === | ||
+ | De beheer server is ingericht om met een readonly account de gegevens van de gebruikers van de applicatiegroep te lezen. Hiervoor wordt een account gebruikt die binnen de Active Directory wordt beheerd en enkel leesrechten heeft. De data van de gebruikers worden d.m.v. de Windows Service ‘Password synchronization for Unix systems’ gesynchroniseerd met de OpenLDAP van het zaaksysteem. Deze service dient te worden geactiveerd op een Domain Controller. Zodra een gebruiker wordt aangemaakt, zijn wachtwoord wijzigt of wordt verwijderd wordt deze actie ook verstuurd naar de beheerserver. Wijzigingen m.b.t. wachtwoorden zullen live worden gepushed naar de beheerserver op port 6677. De wachtwoorden worden direct gehashed opgeslagen voor verwerking. Deze worden ‘gemerged’ met de wachtwoorden, en worden direct in een beveiligde XML verstuurd naar de omgeving in de overheidscloud. De beheerserver maakt gebruik van een HTTPS verbinding die alleen met behulp van een API-Key kan worden opgezet. | ||
− | + | == Beheer en onderhoud == | |
+ | Alle wijzigingen die plaatsvinden via de koppeling met de Active Directory worden opgeslagen in het transactielog. Indien de koppeling actief is, dan zijn dus de wijzigingen hier te volgen. Of anders gezegd, als er iets niet goed gaat in de koppeling is hier de foutmelding te vinden. De transacties zijn door de beheerder te bekijken via Menu > Koppelingen > Transacties. | ||
== Hardwarematige sleutels == | == Hardwarematige sleutels == | ||
Authenticatie door middel van hardwarematige sleutels wordt niet ondersteund binnen het zaaksysteem. | Authenticatie door middel van hardwarematige sleutels wordt niet ondersteund binnen het zaaksysteem. |
Huidige versie van 9 jul 2015 om 09:07
Inhoud
Inleiding
Om gebruikers gebruik te laten maken van het zaaksysteem heeft deze een gebruikersnaam en een wachtwoord nodig. Deze gebruikersnamen en wachtwoorden, worden niet in het zaaksysteem beheerd maar binnen de eigen registratie van gebruikers. Zaaksysteem heeft hiervoor een koppelvlak voor de Active Directory, die door de meesten gemeenten wordt gebruikt voor het beheren van gebruikers. Met dit koppelvlak worden de gebruikers en hun (versleutelde) wachtwoord gesynchroniseerd met het zaaksysteem. Gebruikers kunnen dan inloggen in zaaksysteem met dezelfde gegevens als ze gewend zijn binnen de organisatie.
Inrichting zaaksysteem
Beheerserver
Om de synchronisatie van de gebruikers veilig te laten verlopen wordt er een beheerserver ingericht lokaal binnen de infrastructuur van de organisatie. Dit is bij voorkeur een virtuele server die vanuit het DMZ of LAN de Domain Controller kan benaderen. Periodiek zal deze beheerserver de Active Directory server bevragen om te bepalen of zaaksysteem nieuwe gebruikers moet aanmaken, of juist gebruikers moet verwijderen. Deze beheerserver maakt gebruik van Ubuntu Linux als besturingssysteem. Op deze beheerserver draait een service die periodiek alle actieve gebruikers van de aangegeven applicatiegroep uitleest op basis van het attribuut UserAccountControl om een actueel overzicht te maken van de gebruikers die toegang mogen hebben tot het zaaksysteem. De eventuele wijzigingen worden via een beveiligde verbinding naar het zaaksysteem verstuurd.
Download ubuntu-12.04.3-server-amd64.iso
OpenLDAP
Zaaksysteem maakt gebruik van OpenLDAP voor het authenticeren van gebruikers. Zodra een gebruiker moet worden aangemaakt, dan wordt deze aangemaakt in OpenLDAP. De
Koppelprofiel LDAP Authenticatie
Zaaksysteem heeft standaard een koppelprofiel beschikbaar om de koppeling met de Active Directory in te richten op het koppelplatform. De inrichting van dit koppelprofiel zorgt er voor dat de koppeling actief is, en dat transacties worden opgeslagen in het transactielog. De koppeling kan worden aangezet door een vinkje te plaatsen bij 'Koppeling Actief'
Inrichting extern systeem
Applicatiegroep
Om de beheerserver de juiste gebruikers te laten synchroniseren is het nodig om binnen de Active Directie een gebruikersgroep 'Zaaksysteem' te beheren. Dit is de groep die door de beheerserver wordt bevraagd. Indien een gebruiker toegang mag hebben tot het zaaksysteem, dan kan de lokale beheerder de gebruiker lid maken van de gebruikersgroep. Op deze wijze hebben gemeenten zelf in de hand wie wel en wie niet mag inloggen in het zaaksysteem.
Vereiste inrichting
De volgende gegevens kunnen worden uitgelezen, mits de veldnamen de onderstaande naamgeving hebben:
Gegeven | Veldnaam | Verplicht aanwezig | Verplicht gevuld |
---|---|---|---|
Achternaam | sn | Ja | Ja |
Voornaam | givenName | Ja | Ja |
Volledige naam | displayName | Ja | Ja |
E-mailadres | Ja | Ja | |
Telefoonnummer | telephoneNumber | Nee | Nee |
Wachtwoord | password | Nee | Nee |
Note: Initialen voor de gebruikers worden bij de import opgebouwd uit de voornaam.
Identity management for UNIX
De beheer server is ingericht om met een readonly account de gegevens van de gebruikers van de applicatiegroep te lezen. Hiervoor wordt een account gebruikt die binnen de Active Directory wordt beheerd en enkel leesrechten heeft. De data van de gebruikers worden d.m.v. de Windows Service ‘Password synchronization for Unix systems’ gesynchroniseerd met de OpenLDAP van het zaaksysteem. Deze service dient te worden geactiveerd op een Domain Controller. Zodra een gebruiker wordt aangemaakt, zijn wachtwoord wijzigt of wordt verwijderd wordt deze actie ook verstuurd naar de beheerserver. Wijzigingen m.b.t. wachtwoorden zullen live worden gepushed naar de beheerserver op port 6677. De wachtwoorden worden direct gehashed opgeslagen voor verwerking. Deze worden ‘gemerged’ met de wachtwoorden, en worden direct in een beveiligde XML verstuurd naar de omgeving in de overheidscloud. De beheerserver maakt gebruik van een HTTPS verbinding die alleen met behulp van een API-Key kan worden opgezet.
Beheer en onderhoud
Alle wijzigingen die plaatsvinden via de koppeling met de Active Directory worden opgeslagen in het transactielog. Indien de koppeling actief is, dan zijn dus de wijzigingen hier te volgen. Of anders gezegd, als er iets niet goed gaat in de koppeling is hier de foutmelding te vinden. De transacties zijn door de beheerder te bekijken via Menu > Koppelingen > Transacties.
Hardwarematige sleutels
Authenticatie door middel van hardwarematige sleutels wordt niet ondersteund binnen het zaaksysteem.