Beheerschermen Externe IdP Configuratie
Het aanmaken van een Identity Provider of Autorisatieregels gebeurt binnen een specifiek domein en zijn opgenomen als tabs. Na het inloggen op het portaal navigeert een eindgebruiker Domeinen > Klikt op een specifieke domein om de eerder genoemde functionaliteiten te gebruiken. Hieronder zijn de schermen beschreven:
Scherm 1: Identity Providers Overzicht
Gebruiker ziet een tabeloverzicht met actieknoppen om desbetreffende Identity providers aan te maken of te bewerken:
Als Domein- en Systeembeheerder zie je linksboven in het tabeloverzicht de blauwe knop '+Aanmaken', waarmee je een nieuwe Identity Provider kunt aanmaken. Deze knop wordt niet getoond aan de Applicatiebeheerder.
Rechtboven in het tabeloverzicht is een zoekbalk in de toolbar beschikbaar. Deze maakt het mogelijk om door te zoeken in de aangemaakte configuraties van het betreffende domein.
De eerste kolom genaamd “Naam“ weergeeft niet alleen de naam van de desbetreffende Identity Provider configuratie, het fungeert als een hyperlink. Waarop een Domein of Systeembeheerder de desbetreffende Identity Provider configuratie kan bewerken. In situatie voor Applicatiebeheerder beperkt het zich tot raadpleeg bevoegheid op deze wijze, om een eerdere aangemaakte Identity Provider configuratie alleen in te zien.
Rechterkant van de tabel derde kolom genaamd “Status“, geeft de status van desbetreffende Identity Provider als “Uitgeschakeld” danwel “Ingeschakeld”.
Rechterkant van de tabel vierde kolom genaamd “Verwijderen“ weergeeft een prullenbak icoon als een knop. Hiermee is het mogelijk om de desbetreffende Identity Provider configuratie te verwijderen. De eindgebruiker ziet dan een bevestigingsventer waarin middels een “Ja” of “Nee“ knop de verwijderactie kan bevestigen of annuleren. Deze kolom wordt niet getoond aan de Applicatiebeheerder.
.png?inst-v=e7e64041-3b9f-46c3-9134-c5d341724906)
Voorbeeld van Identity Provider configuratie verwijderactie bevestigingsventer. Ten behoeve van bevestiging wordt de desbetreffende naam getoond
Scherm 2: Identity Provider configuratiescherm
Dit configuratiescherm is beschikbaar door op de blauwe knop “+ Aanmaken” te klikken. Hiermee kan de eindgebruiker een Identity Provider aanmaken en deze actief of op non-actief zetten. Het bewerken van een Identity Provider configuratie gebeurt door een aantal velden in te vullen en op te slaan. De verplichte velden zijn aangegeven met een “ * ” en weergeven middels de browser validatie functionaliteit een terugkoppeling aan de eindgebruikers om verplichte velden in te vullen. De tooltips zijn beschikbaar als vraagtekenicoon, waarmee de eindgebruiker meer informatie kan opvragen over de in te vullen inhoud of waarde. Daarnaast voor de Applicatiebeheerder zijn de invulvelden en interacties van dit configuratiescherm op read-only vastgezet en beperkt zich tot het inzien van de gegevens. Hieronder staat een overzichtstabel met toelichting van de beschikbare velden, inclusief tool tip tekst en voorbeeldteksten in de invulvelden.
Nr. | Veldnaam of element | Toelichting | Voorbeeldtekst in cursief | Tooltip tekst |
|---|---|---|---|---|
1 | Naam* | Naam veld is verplicht en het invulveld voorziet de eindgebruiker een voorbeeld. Als suggestie is de conventie van Applicatie+Domein beschreven. Het Naam-veld is na opslaan nadat het record is opgeslagen niet meer wijzigbaar. | Vul in applicatie+domein bv. MedappDomein | Hierbij geeft u een gewenste naam op voor de IdP configuratie. Deze naam gebruikt u in de Autorisatieregels configurator. |
2 | Checkbox: Ingeschakeld | Checkbox Ingeschakeld is bedoeld om de desbetreffende Identity Provider configuratie in- of uit te schakelen. Deze optie is standaard aangevinkt, de IdP Provider is dus ingeschakeld. | Niet van toepassing | Niet van toepassing |
3 | Informatieveld - uitgelijnd in het middel | Weergeeft context over in te vullen inhoud bij de onderstaande velden voor de eindgebruiker. | Niet van toepassing | Niet van toepassing |
4 | Issuer URL Endpoint* | Issuer URL Endpoint veld is verplicht en moet een geldige url zijn. Hiermee wordt metadata opgehaald bij de Identity Provider. De Issuer Endpoint moet door de aanvrager (zorgaanbieder of IT-deelnemer) beschikbaar worden gesteld. | Voer hier de URL in om de configuratie op te halen bij de Identity Provider. | |
5 | Client Type* | Bij Client Type radioknoppen zijn de opties Confidential of Public beschikbaar. Afhankelijk van de geselecteerde optie wordt het veld Client Secret verborgen. Opm: Een public client is een app die geen geheim kan bewaren (zoals een mobiele of webapp), terwijl een confidential client wél een geheim (Client Secret) gebruikt om zich veilig te identificeren bij de identity provider. | Niet van toepassing | Kies hier tussen Confidential of Public. Bij keuze Public wordt het veld Client Secret niet getoond. |
6 | Client ID* | Client ID* is een verplichte invulveld bij zowel Confidential en Public client types. | Client ID | Vul hier de Client ID in die u hebt ontvangen van de Identity Provider. Dit is vergelijkbaar met een loginnaam. |
7 | Client Secret* | Client Secret* is een verplichte invulveld bij Confidential client type. Wanneer een Public als optie is geselecteerd zal het veld verbergen voor de Systeem en Domeinbeheerder. | Client Secret | Vul hier de Client Secret in die u hebt ontvangen van de Identity Provider. Dit is vergelijkbaar met een wachtwoord. |
.png?inst-v=e7e64041-3b9f-46c3-9134-c5d341724906)
Scherm 3: Autorisatieregels Overzicht
Gebruiker ziet een overzicht met actieknoppen om desbetreffende Identity providers Autorisatieregels aan te maken of te bewerken:
Als Domein- en Systeembeheerder zie je linksboven in het tabeloverzicht de blauwe knop '+Aanmaken', waarmee je nieuwe Autorisatieregels kan aanmaken. Deze knop wordt niet getoond aan de Applicatiebeheerder. Zie scherm 4: Autorisatieregel configuratiescherm voor meer informatie.
Rechtboven in het tabeloverzicht is een zoekbalk in de toolbar beschikbaar. Deze maakt het mogelijk om door te zoeken in de aangemaakte autorisatieregels van het betreffende domein.
De eerste kolom genaamd “ID nr.” toont het unieke identificatienummer van de regel.
De tweede kolom genaamd “Identity Provider” wordt getoond als een hyperlink. Door hierop te klikken kan een systeem- of domeinbeheerder de desbetreffende autorisatieregel bewerken. Voor de Applicatiebeheerder is dat beperkt tot raadplegen.
Rechterkant van de tabel vijfde kolom genaamd “Status”, geeft aan of de desbetreffende Autorisatieregel is In- of Uitgeschakeld.
Rechterkant van de tabel zesde kolom genaamd “Verwijderen“ heeft een prullenbak-icoon als een knop. Hiermee is het mogelijk om de desbetreffende autorisatieregel te verwijderen. De eindgebruiker ziet dan een bevestigingsvenster waarin deze middels een “Ja” of “Nee“ knop de actie kan bevestigen of annuleren. Deze kolom wordt niet getoond aan de Applicatiebeheerder.
Voorbeeld van Autorisatieregel verwijderactie bevestigingsventer. Ten behoeve van bevestiging wordt zowel de ID nr met desbetreffende gekoppelde IdP naam getoond
Scherm 4: Autorisatieregel configuratiescherm
Dit configuratiescherm is beschikbaar door op de blauwe knop “+ Aanmaken” te klikken. De eindgebruiker kan hiermee een Autorisatieregel van een Identity Provider aanmaken. Het bewerken van een Autorisatieregel configuratie gaat door een aantal velden in te vullen en knoppen aan te klikken. De verplichte velden zijn aangegeven met een “ * ” en weergeven middels de browser validatie functionaliteit terugkoppeling aan de eindgebruikers om verplichte velden in te vullen. Daarnaast voor de Applicatiebeheerder zijn de invulvelden en interacties van dit configuratiescherm op readonly vastgezet en beperkt zich tot het inzien van de gegevens. De tooltips zijn beschikbaar als vraagtekenicoon, waarmee de eindgebruiker meer informatie kan opvragen over de in te vullen inhoud of waarde. Hieronder is een overzichtstabel met toelichting van de beschikbare velden, inclusief tooltiptekst en voorbeeldteksten in de invulvelden.
Nr. | Veldnaam of element | Toelichting | Voorbeeldtekst in cursief | Tooltip tekst |
|---|---|---|---|---|
1 | Checkbox Ingeschakeld | Checkbox Actief is bedoeld om de desbetreffende Autorisatieregel van In- of Uit te schakelen. Deze optie is standaard aangevinkt om zo de Autorisatieregel het actief te maken. | Niet van toepassing | Niet van toepassing |
2 | Identity Provider* | Identity Provider stelt het verplicht om een eerder aangemaakte Identity Provider te selecteren middels een drop-down. De keuzeopties zijn geënt op aangemaakte IdP’s binnen het domein. | Niet van toepassing | Selecteer een eerder aangemaakte Identity Provider uit de lijst. |
3 | IDToken Claim* | IDToken Claim is een verplichte invulveld om de relevante token claims in te vullen. Vul hier de relevante token claims in. | Bijvoorbeeld sub | Vul hier de IDToken Claim in die de waarde bevat zoals opgenomen in de identifier met het onderstaande FHIR Identifier System. Overleg met de beheerder van de Identity Provider waarmee wordt gekoppeld voor de juiste waarde. |
4 | FHIR Identifier System* | FHIR IdentifierSystem is een verplichte invul-veld om de desbetreffende FHIR identifier system resources aan een IdP-identiteit aan te koppelen. | Vul hier het FHIR identifier System in van de identifier die de waarde bevat zoals voorkomt in de bovengenoemde IDTokenClaim. | |
5 | Extra Scopes (naast openid en profile) | Extra Scopes is een optionele invulveld. Standaard worden de scopes openid en profile al meegegeven. In dit veld is het mogelijk om aanvullende context mee te geven als Extra Scopes. | Bijvoorbeeld email | Extra scopes die nodig zijn voor de Externe Identity Provider (naast openid en profile) om de in de IDToken Claim genoemde claim af te geven. Bijvoorbeeld email. Gebruik een spatie als scheidingsteken bij het opgeven van meerdere scopes |
6 | Resource Types | Resource Types zoals FHIR Subtypes Patient, Practitioner en/of RelatedPerson bedoeld. Standaard worden alle optie aangevinkt ter suggestie. | Niet van toepassing | Selecteer de FHIR Resource Types waarvoor deze Autorisatieregel van toepassing is. |
7 | Doelapplicaties | Dit is een overzichttabel met eerder aangemaakte doelapplicaties en de opties wordt dynamisch bijgehouden op basis van applicatieinstanties met de status “Actief“ en “In onderhoud“ binnen het domein. Hiermee kunnen meerdere doelapplicaties worden geselecteerd. | Niet van toepassing | Selecteer de doelapplicatie(s) waarop deze autorisatieregel van toepassing is. Standaard geldt de autorisatieregel voor alle applicaties. |
Foutmeldingen
Op de Identity Provider en Autorisatieregel configuratieschermen zijn er twee verschillende categorie foutmeldingen aanwezig. Enerzijds de standaard browser ingebouwde foutmeldingen op de verplichte invulvelden, anderzijds de beheerportaal specifieke foutmelding. Deze beheerportaal foutmeldingen worden middels een modelvenster bovenop de configuratieschermen weergegeven. Hieronder een overzicht van de beheerportaal foutmeldingen met beschrijvingen van aantal voorkomende situatie en de bijbehorende toelichtingen om situatie te corrigeren.
Voorkomende situatie | Foutmelding | Toelichting | |
|---|---|---|---|
| 1 | Aanmaken van nieuwe IdP met een bestaande naam | OAuth2 Client met de naam ” | Het is noodzakelijk om een unieke naam te gebruiken voor een externe Identity Provider. Als vanuit configuratiescherm een naam wordt ingevoerd die als in gebruik is wordt deze fout gegeven. |
| 2 | Aanmaken of bijwerken van Autorisatieregel met dezelfde combinatie van Resource Types en Doelapplicatie | Er is al een Autorisatieregel met dezelfde combinatie van Resource Types en Doelapplicatie | De combinatie van gekoppelde IdP met Resource Types en Doelapplicaties maakt een Autorisatieregel uniek voor het systeem. Indien er een bestaande combinatie wordt ingevoerd, zal het systeem weigeren om de combinatie op te slaan. Daarom is het aan te bevelen om een unieke combinatie van Patient, Practitioner, RelatedPerson en Doelapplicatie voor een Autorisatieregel aan te houden. |
| 3 | Aanmaken of bijwerken van IdP configuratie met een incorrecte Issuer URL Endpoint | Voorbeelden van technische foutmeldingen zoals die kunnen optreden: Server discovery failed for issuer endpoint https://ikbestaniet.nl/idp: ERROR #6059: Unable to open TCP/IP socket to server ikbestaniet.nl:443 Server discovery failed for issuer endpoint https://theo.nl/idp: ERROR #6085: Unable to write to socket with SSL/TLS configuration 'Default', error reported 'SSL/TLS error in SSL_connect(), SSL_ERROR_SSL: protocol error, error:0A00010B:SSL routines::wrong version number' Server discovery failed for issuer endpoint https://nu.nl/idp: ERROR #8880: Discovery response is not valid: Unexpected content-type: text/html. etc. | Met behulp van de ingevoerde Issuer URL Endpoint wordt tijdens het opslaan in het doeldomein een Server entiteit aangemaakt, waarbij de opgegeven URL wordt gebruikt voor de discovery om de metadata op te halen. Daarbij kunnen fouten optreden. De foutmelding wordt transparant getoond, om de gebruiker te helpen met oplossen van het probleem. Dat betekent ook dat er verschillende foutmeldingen kunnen worden getoond. |
| 4 | Verwijderen van een IdP met dezelfde Issuer URL Endpoints voor andere IdP’s | Client is verwijderd; Issuer URL Endpoint kan nog niet verwijderd worden omdat er nog andere clients naar verwijzen | Zoals hierboven beschreven bestaat de Externe Identity Provider Configuratie uit 2 delen, een Server Entiteit en een Client Configuratie. Deze foutmelding wordt gegeven als dezelfde Issuer URL Endpoint (en dus de Server Entiteit) gebruikt is bij meerdere IdP configuraties in het domein. Deze foutmelding wijst erop dat de Client configuratie succesvol is verwijderd, maar dat de Server entiteit niet verwijderd kan worden omdat er andere IdP configuraties naar verwijzen. |
| 5 | Verwijderen Identity Provider waaraan nog Autorisatieregels zijn gekoppeld | Er zijn nog
| Deze foutmelding geeft aan dat er nog Autorisatieregels aan de desbetreffende IdP configuratie gekoppeld zijn. Opmerking: Bij het verwijderen van IdP’s of Autorisatieregels wordt niet de status van betreffende regels gecontroleerd. |