CSAM Aanmelden
CSAM Aanmelden bevat de functionaliteiten:
- FAS – Federal Authentication Service
- SMA – Self Management Application / CSAM - Mijn digitale sleutels
- De FAS kan, ten behoeve van de autorisatie door een toepassing, gebruik maken van de (FOD BOSA) Attribute Publication Service (APS) voor het ophalen van een aantal attributen van de eindgebruikers in authentieke bronnen (vb. rollen).
Merk op: de Attribute Publication Service maakt echter geen deel uit van de FAS.
Omschrijving van de G-Clouddienst
‘CSAM aanmelden’ fungeert als ‘de centrale toegangspoort tot de onlinediensten van de overheid’ en organiseert de identiteitscontrole en het authenticatiebeheer binnen e-government.
Gebruikers (afnemers) van ‘CSAM aanmelden’:
‘CSAM aanmelden’ richt zich tot alle overheidsdiensten en –instellingen die een beveiligd authenticatieproces willen voor hun onlinediensten (applicaties):
- Federale overheidsdiensten en –instellingen
- Gemeenschappen en gewesten
- Provincies, gemeenten en OCMW’s
- Instanties belast met sociale bescherming of sociale zekerheid en actoren in de gezondheidszorg
- Ondernemingen of personen die een opdracht voor de overheid uitvoeren; instellingen met taken van algemeen belang, voor hun taken van algemeen belang.
Eindgebruikers van ‘CSAM aanmelden’:
De uiteindelijke eindgebruikers zijn de ‘klanten’ van de afnemers die via’ CSAM aanmelden’ toegang krijgen tot de toepassingen die ze wensen te gebruiken; dit zijn burgers die in eigen naam handelen, personen in naam van een organisatie of onderneming, ambtenaren of gemandateerden.
Werking van de dienst – CSAM aanmelden / FAS:
Doel: identificatie en authenticatie van gebruikers om toegang te krijgen tot onlinediensten van de overheid.
Een eindgebruiker die zich aanmeldt bij een online overheidsdienst (toepassing) wordt omgeleid naar het CSAM authenticatie-portaal (FAS).
De FAS biedt de eindgebruiker een login-scherm aan en vraagt de nodige credentials op.
Nadat de authenticatiegegevens zijn ontvangen zal de FAS de eindgebruiker terug omleiden naar de onlinedienst, samen met het antwoordbericht. Dit antwoordbericht bevat de authenticatie-informatie.
Merk op: op basis van de credentials kan de Attribute Publication Service een opvraging doen van attributen van de eindgebruiker bij de authentieke bronnen.
De Attribute Publication Service haalt enkel die attributen op uit de authentieke bronnen (rijksregister, BIS register of KBO) die nodig zijn voor de toepassing om een autorisatie te doen, en geen andere attributen die de toepassing eventueel zelf wil gebruiken.
Op basis van het antwoordbericht kan de ontvangende toepassing de beslissing nemen om een sessie te openen voor de eindgebruiker.
Het is dus de toepassing (onlinedienst van de overheid) zelf, die dankzij de FAS nu zekerheid heeft dat de persoon is wie hij/zij beweert te zijn, die beslist of de eindgebruiker toegang krijgt (autorisatie).
Indien er attributen opgehaald worden uit authentieke bronnen via de FAS (ten behoeve van de autorisatie door de toepassing) wordt er strikt rekening gehouden met de privacy van de eindgebruiker: enkel die informatie waar de onlinedienst toelating voor heeft en die ze effectief nodig heeft voor de autorisatie, zal opgehaald en beschikbaar zijn.
‘CSAM Aanmelden’ ondersteunt verschillende ‘digitale sleutels’, die onderverdeeld worden in verschillende veiligheidsniveaus. De gevoeligheid van de informatie waar de gebruiker in de onlinediensten toegang toe krijgt of nodig heeft, bepaalt het veiligheidsniveau. Welk veiligheidsniveau geschikt is, hangt dus af van hoe confidentieel de informatie is die de onlinediensten gebruiken:
Hieronder de huidige digitale sleutels, in dalende volgorde van veiligheidsniveau.
Merk op:
itsme® is een inititiatief van Belgian Mobile ID, en is ‘erkend’ als digitale sleutel binnen de FAS volgens de modaliteiten van het Koninklijk besluit van 22 oktober 2017 tot vaststelling van de voorwaarden, de procedure en de gevolgen van de erkenning van diensten voor elektronische identificatie voor overheidstoepassingen (Belgisch Staatsblad van 8 november 2017) .
Een digitale sleutel met een hoger security level, geeft ook toegang tot onlinediensten die een sleutel van een lager niveau vereisen.
CSAM Aanmelden biedt vandaag géén oplossing voor identiteits- en toegangsbeheer voor interne gebruikers (voor interne applicaties) van een organisatie (vb. interne toepassingen achter een AD binnen een overheidsdienst).
Werking van de dienst – SMA: Self Management Application
Deze functionaliteit wordt aan de eindgebruikers aangeboden als ‘CSAM – Mijn digitale sleutels’.
Via deze module kunnen de eindgebruikers zelf hun contactgegevens beheren, en hun digitale sleutels activeren en beheren.
Service level agreements
De beschikbaarheid van ‘CSAM aanmelden’ is exclusief de overeengekomen geplande onbeschikbaarheden voor periodiek onderhoud en de overeengekomen onderhoudswerkzaamheden en in productiestellingen.
‘CSAM aanmelden’ streeft naar onderstaande beschikbaarheid (i.e. ‘objectief’):
| Service Naam | Periode | Objectief Beschikbaarheid |
Reële beschikbaarheid |
||||
|---|---|---|---|---|---|---|---|
| CSAM Aanmelden | 24 x 7 | 99,9% |
2017 99,93% |
2016 99,65% |
2015 99,78% |
||
Op jaarbasis worden een 4-tal major releases in productie gezet, dit gebeurt ’s nachts en we streven naar een in productiestelling zonder impact op de beschikbaarheid. Daarnaast zijn er enkele minor releases, en deze ook zonder impact op de beschikbaarheid productie.
- Er is 24/7 interventie gegarandeerd in geval van calamiteiten.
- In geval van een geplande onbeschikbaarheid worden klanten 1 week op voorhand verwittigd per mail. Deze mail bevat de datum, beginuur en de duur van de onderbreking. (Noot: timing van ‘1 week op voorhand’ wordt herbekeken).
- In geval van een ongeplande onbeschikbaarheid worden klanten per mail op de hoogte gebracht van de onderbreking. Zodra de dienst weer beschikbaar is, wordt er eveneens een mail rondgestuurd om de herstelde beschikbaarheid te melden.
Merk op: de beschikbaarheid van ‘CSAM aanmelden’ kan afhankelijk zijn van de beschikbaarheid van achter- en onderliggende diensten:
- authentieke bronnen
- eigen FOD BOSA systemen en infrastructuur
- systemen en infrastructuur van externe leveranciers
Indien de Attribute Publication Service wordt geactiveerd voor het ophalen van attributen van de gebruiker, kan de beschikbaarheid van ‘CSAM aanmelden’ geïmpacteerd worden indien de authentieke bronnen niet beschikbaar zijn.
De maximale beschikbaarheid (objectief) van ‘CSAM aanmelden’ is bijgevolg gelijk aan de minimum beschikbaarheid van de betrokken partijen.
Voor de performantie van ‘CSAM aanmelden’ zijn volgende objectieven naar responsetijden gedefinieerd:
| CSAM aanmelden | Norm | Objectief responsetijd | Reëel 2017 |
|---|---|---|---|
| User interface RT Transaction | < 2 sec | 95 % | 99,9% |
| Application interface RT Transaction | < 0,1 sec | 95 % |
De dienstverlening rond ‘CSAM aanmelden’ gebeurt op basis van “best effort”; er zijn geen penaliteiten voorzien.
De Service Desk van BOSA DG – Digitale Transformatie wordt voor de afgenomen diensten beschouwd als het enig contactpunt voor de afnemers van ‘CSAM aanmelden’.
Het is de verantwoordelijkheid van de afnemer om te voorzien in een voldoende uitgeruste en voldoende degelijke eindgebruikersondersteuning (= eerste lijnsondersteuning eindgebruikers) voor de afgenomen diensten in de context van zijn eigen dienstenaanbod. In geen enkel geval, tenzij anders overeengekomen, verzorgt de Service Desk van BOSA DG – Digitale Transformatie een rechtstreeks dienstverlening aan de eindgebruikers van de afnemer.
Ondersteuning voor overheidsdiensten en -instellingen (= tweede lijnsondersteuning naar afnemers) van maandag tot vrijdag, telkens van 8u30 tot 17u30 (op openingsdagen van de federale overheid) gebeurt door de Service Desk van BOSA DG – Digitale Transformatie.
| Beschikbaarheid | Contact | Maandag tot vrijdag |
|---|---|---|
|
Service Desk van BOSA DG – DT |
Telefonisch |
8:30- 17:00 |
Service model van ‘CSAM aanmelden’
‘CSAM aanmelden’ is een mature service die end-to-end gemanaged wordt.
Geïnteresseerde nieuwe potentiële afnemers worden van bij de eerste contacten grondig geïnformeerd over de mogelijkheden en voorwaarden voor het gebruik van ‘CSAM aanmelden’. Dit beperkt zich niet tot enkel technische of functionele aspecten, maar ook bijvoorbeeld voor wat de verplichtingen betreft voor het gebruik van het Rijksregister-nummer.
Voor de effectieve onboarding worden de afnemers door de Service Desk van BOSA DG – Digitale Transformatie begeleid of kunnen zelfs via een opdrachtencentrale beroep doen op externe expertise.
Eenmaal ‘CSAM aanmelden’ geïmplementeerd is, kunnen de afnemers terecht bij de Service Desk van BOSA DG – Digitale Transformatie, als escalatieniveau voor hun eigen support-diensten.
Andere aspecten worden behartigd door het IAM Service Management (vb. rapportering, activeren andere authenticatiemethodes, …).
Verplichtingen van de afnemers van ‘CSAM aanmelden’
De voorwaarden voor gebruik en verplichtingen voor de afnemers van ‘CSAM aanmelden’ worden vastgelegd in een bindende gebruiksovereenkomst, en zijn van diverse aard: technisch, functioneel, operationeel, juridisch, audit, …
- Zorg dragen voor een technisch correcte implementatie van ‘CSAM aanmelden’ volgens de richtlijnen van BOSA DG – Digitale Transformatie
- Indien de afnemer beroep doet op een integrator, er op toezien dat deze op zijn beurt de verplichtingen van de afnemer strikt naleeft
- Zorg dragen dat de functionele werking van ‘CSAM aanmelden’ correct geïmplementeerd is (vb. Single Logon / Single Logout functionaliteit)
- Beschikken over een machtiging van het sectoraal comité van het Rijksregister dat toegang geeft tot gegevens van het Rijksregister, of aansluiten op de algemene machtiging (Beraadslaging RR nr. 21/2015 van 25 maart 2015) om het rijksregisternummer te gebruiken bij aanwending van de FAS.
- Respecteren bij het gebruik van ‘CSAM aanmelden’ van de wetgeving rond de bescherming van de persoonlijk levenssfeer
- Voorzien in een audit trail voor alle transacties die via ‘CSAM aanmelden’ verlopen
- (Niet limitatieve enumeratie) …
Schaalbaarheid van ‘CSAM aanmelden’
- ‘CSAM aanmelden’ is qua capaciteit lineair schaalbaar, met behoud van de huidige performantie, beschikbaarheid en betrouwbaarheid (zie thresholds hierboven).
- De belasting van ‘CSAM aanmelden’ tijdens ToW-periode (= piekperiode belasting) bedraagt ca. 30% van de huidige totale beschikbare capaciteit.
- ‘CSAM aanmelden’ zal vanaf 2018 ook beschikbaar gesteld worden als ‘hosted model’ op virtuele platformen
- Sinds 2017 worden major en minor releases van ‘FAS / CSAM aanmelden’ zonder impact op de beschikbaarheid, performantie en betrouwbaarheid in productie gezet, maar met een tijdelijke beperkte vermindering van de totale capaciteit.
Kostprijsregeling
Het gebruik van ‘CSAM aanmelden’ (voor zowel de eigen als erkende authenticatiemethodes / digitale sleutels) is gratis voor de eindgebruikers en voor de afnemers die behoren tot het doelpubliek.
(Uitzondering: digitale sleutel SMSOTP; kost versturen SMS is ten laste van de afnemer)
Eventuele betaling verschuldigd aan de verantwoordelijken van de informatiebronnen voor diensten van de informatiebron (=authentieke bronnen), is ten laste van de afnemers van ‘CSAM aanmelden’ die gebruik maken van de diensten van die informatiebron.
Wat is de voorziene verdere evolutie van de dienst ?
Toekomstige kerntaken van ‘CSAM aanmelden’:
- Fungeren als hub voor externe authenticatie, door o.a. nieuwe authenticatiemethodes van externe ‘erkende ‘diensten te koppelen aan ‘CSAM aanmelden’ als trusted authenticatie dienst
- Anonimiseren van gebruikers (attributen) tav. toepassingen
- Single Signon beheer
- Vertaling naar Rijksregisternummer
- Compliancy eIDAS regulation; elektronische identificatie en trust services
- Compliancy GDPR
Belangrijke opgeleverde functionaliteiten
- ‘CSAM aanmelden’ – Levels of Assurance; van digitale sleutel naar security niveau (rel. 12.0.0 – Jan 2017)
- TMA – applicatie om de eID login te testen na installatie eID middleware (rel. 13.0.0 – Apr 2017)
- Laagdrempelig profiel (zwakke authenticatie) met mogelijke step-up (rel. 14.0.0 – Dec 2017)
- Life cycle management op digitale sleutels en contactgegevens eindgebruikers (rel. 15.0.0 – Feb 2018)
- Sterke mobiele authenticatie via erkende externe partners (Jan 2018 – itsme® in de FAS in PROD)
- ‘CSAM aanmelden’ voor niet-eID houders (LRA model) (Apr 2018 – infosessies voor Steden & Gemeenten ongoing)
Belangrijke mogelijke toekomstige functionaliteiten:
- Basisprofiel /signaletiek van de gebruikers
- Veralgemenen gebruik ‘CSAM aanmelden’ voor Sociale Zekerheid
- ‘CSAM aanmelden’ – life cycle management van personen en ondernemingen
- ‘CSAM aanmelden’ voor niet-eID houders (LRA model)
- Identificatie en registratie ‘op afstand’ voor niet-eID houders
- ‘CSAM aanmelden’ als hosted model op virtuele platformen
Doelstellingen 2018-2020:
- 100% van de authenticaties voor gebruikers van onlinediensten van de overheid verlopen via ‘CSAM aanmelden’
- 100% van de onlinediensten van de overheid maken gebruik van ‘CSAM aanmelden’ voor de authenticatie van hun gebruikers
- de onlinediensten van de overheid bieden alle authenticatiemethodes (‘digitale sleutels’) die ‘CSAM aanmelden’ ter beschikking stelt aan, voor toegang van hun gebruikers