Door: Philippe Van De Vreken
Recent deed Geo Solutions bij het Agentschap voor Natuur en Bos (ANB) een integratie tussen ArcGIS Enterprise en ACM/IDM, in nauwe samenwerking met Digitaal Vlaanderen en de hoofdarchitect van ANB. Daardoor kunnen de eindgebruikers van ANB voortaan authenticeren via Itsme® in Portal for ArcGIS, maar ook in alle apps die via Portal worden ontsloten zoals ArcGIS Field Maps en VertiGIS Studio Web. Bijkomend automatiseerden we het gebruikersbeheer, waarbij eindgebruikers automatisch terecht komen in de juiste Portal-groepen zonder enige manuele interventie van het GIS-team.
Authenticatie vs. autorisatie in ArcGIS Enterprise en ArcGIS Online
Vele organisaties maken voor hun webGIS gebruik van ArcGIS Enterprise of ArcGIS Online. Een belangrijk aspect daarbij is authenticatie en autorisatie:
- Authenticatie: is de persoon die toegang wenst tot het GIS-Portaal ook werkelijk wie hij of zij beweert te zijn?
- Autorisatie: eenmaal een persoon toegang heeft tot het GIS-Portaal, welke taken mag hij/zij uitvoeren en tot welke (geo)data (services, web kaarten, web applicaties) mag hij/zij toegang hebben?
Autorisatie in ArcGIS Enterprise / ArcGIS Online wordt voornamelijk gestuurd via named user types, rollen en privileges en door het sharing model van ArcGIS (= met wie wordt een item op het GIS-Portaal gedeeld, bijvoorbeeld met een specifieke groep of met alle named users op het Portaal). Voor het authenticatieluik zijn er zowel in ArcGIS Online als ArcGISEnterpise verschillende mogelijkheden. Naast built-in users (ArcGIS logins) waarbij de administrator van het webGIS voor elke gebruiker een nieuwe username en initieel paswoord aanmaakt, ondersteunen zowel ArcGIS Online als ArcGIS Enterprise ook authenticatie via SAML 2.0 of via Open ID Connect. In beide gevallen worden de gebruikers beheerd via een externe IdP (Identity Provider). Het grote voordeel is dat de eindgebruikers kunnen aanmelden met dezelfde username die ze al gebruiken om toegang te krijgen tot de interne systemen en die centraal beheerd wordt buiten het ArcGIS systeem. Men spreekt van een organisatie-specifieke login: deze kan organisatiebreed worden aangewend voor verschillende applicaties (niet alleen voor ArcGIS). Via SAML en Open ID Connect zijn integraties mogelijk tussen ArcGIS en verschillende commerciële IdP’s zoals ADFS (Active Directory Federation Services), Microsoft Entra ID (voorheen bekend als Azure AD), OKTA, Google Workspace, enzovoort.
Een integratie tussen ArcGIS Enterprise & ACM/IDM
Ook integraties met custom IdP’s zijn mogelijk. Recent realiseerde Geo Solutions bij het Agentschap voor Natuur en Bos (ANB) een slimme integratie tussen ArcGIS Enterprise en het ACM/IDM authenticatie- en autorisatiesysteem dat werd ontwikkeld en wordt beheerd door Digitaal Vlaanderen.
Alle Vlaamse overheidsinstanties kunnen hun toepassingen integreren met ACM/IDM na het doorlopen van een integratietraject in nauwe samenwerking met Digitaal Vlaanderen. Het gaat om entiteiten van de Vlaamse Overheid (Departementen en Agentschappen), lokale besturen (provincies, steden, gemeenten, politiezones, etc.) en onderwijs- en vormingsinstellingen (scholen, universiteiten, CLB’s, enzovoort). Het ACM-luik staat voor Access Management en regelt het toegangsbeheer tot een applicatie. ACM stelt gebruikers in staat zich te identificeren en authenticeren, waarbij tijdens de integratie kan gekozen worden uit verschillende authenticatiemiddelen zoals Itsme®, een eID-kaart + aangesloten kaartlezer, een beveiligingscode via SMS, een beveiligingscode via een mobiele app, enzovoort.
Het IDM-luik staat voor Identity Management en regelt het gebruikersbeheer. Via de web-interface webIDM kunnen gebruikers en rechten op 1 plaats in real-time beheerd worden. IDM stelt beheerders van organisaties in staat hun medewerkers te beheren en rechten te geven voor een toepassing namens hun organisatie en maakt fijnmazige autorisatie mogelijk via gebruikersrechten en profielen (“rollen”). Eindgebruikers krijgen rechten toegewezen die toegang verlenen tot een bepaalde applicatie (bijvoorbeeld gebruikersrecht ANB Bosprognose Gebruiker) in de hoedanigheid van een bepaald profiel (bijvoorbeeld Raadpleger)
Voor organisaties die er gebruik van kunnen maken biedt een integratie tussen ArcGISEnterprise en ACM/IDM verschillende voordelen. Er is het gemak van authenticeren via een vertrouwde interface voor de eindgebruiker (in Portal for ArcGIS, maar ook in alle ArcGIS of VertiGIS apps die via Portal worden ontsloten). Maar het loont ook de moeite om voor het GIS te integreren met een IdP die heel vaak ook voor niet GIS-toepassingen wordt ingezet (uniform beheer van toegang tot alle applicaties).
Slim linken van groepen in Portal for ArcGIS aan SAML-groepen
ACM/IDM kan via verschillende protocollen geïntegreerd worden (zowel SAML als Open ID Connect worden ondersteund). Voor de integratie met ArcGIS Enterprise kozen we bij ANB voor het SAML-protocol, waarbij we het concept van SAML based group membership gebruiken om Portal groepen te linken aan ‘groepen’ in IDM. Een groep in IDM definieerden we conceptueel als de combinatie van een bepaald gebruikersrecht met een specifiek profiel. Iedereen met bijvoorbeeld het gebruikersrecht ANB Bosprognose Gebruiker in combinatie met de rol Raadpleger behoort tot de IDM-groep BOSPRG_RAADPLEGER. Door in Portal for ArcGIS een groep aan te maken o.b.v. dezelfde tag, stromen eindgebruikers bij authenticatie door naar de juiste Portal-groepen, waarmee een bepaalde flavour van een web app gedeeld wordt.
Een view-versie en een editeer-versie van dezelfde web app worden gedeeld met verschillende groepen in Portal for ArcGIS die elk gevoed worden door gebruikers in webIDM die beschikken over een andere profiel voor hetzelfde gebruikersrecht. Voor het gebruikersrecht ANB Bosprognose Gebruiker bestaat naast het profiel Raadpleger bijvoorbeeld nog een profiel Indiener. Daarom maken we in Portal een tweede groep aan o.b.v. de tag BOSPRG_INDIENER waarmee we een editeer-versie van dezelfde Bosprognose web app delen. Eindgebruikers die enkel mogen kijken (raadplegen) en eindgebruikers die mogen editeren (indienen) stromen door naar twee aparte Portal groepen. Op die manier kan via de ACM/IDM integratie ook een fijnmazige autorisatie gerealiseerd worden.
Geautomatiseerd gebruikersbeheer
Om zo weinig mogelijk manuele interventies te hebben door de GIS beheerders configureerden we de SAML authenticatie in ArcGIS Enterprise zodanig dat voor nieuwe gebruikers automatisch een nieuw named user account wordt aangemaakt op ArcGISEnterprise wanneer ze voor het eerst authenticeren. Iedereen krijgt daarbij standaard een Viewer named user type. Voor named users die doorstromen naar een ‘editeer-groep’ in Portal wordt het named user type (en de rol) automatisch opgetrokken van Viewer naar Contributor via een script dat gebruik maakt van de ArcGIS API for Python.
Samengevat verloopt de werking van de slimme integratie tussen ArcGIS Enterprise en ACM/IDM als volgt:
- Voor elke webapp die in Portal gehost wordt, wordt éénmalig een afzonderlijk gebruikersrecht aangemaakt door Digitaal Vlaanderen waarbij telkens één of meerdere profielen (rollen) worden gedefinieerd.
- Eenmaal het gebruikersrecht is aangemaakt kan het worden toegewezen aan eindgebruikers via de webIDM interface. Dit gebeurt volledig buiten ArcGISEnterprise om.
- Wanneer een eindgebruiker voor het eerst authenticeert op Portal for ArcGIS (via Itsme® of één van de andere authenticatiemechanismen), wordt een Viewer named user aangemaakt. Enkel personen die beschikken over de juiste gebruikersrechten voor één van de via Portal gehoste apps krijgen toegang tot Portal for ArcGIS (toegang tot Portal via whitelisting van specifieke rechten). Wanneer een gebruiker niet over de juiste gebruikersrechten beschikt wordt toegang geweigerd.
- De GIS admins maken éénmalig een Portal groep aan die ze linken aan een SAML-groep. Ze hoeven zelf geen gebruikers toe te voegen aan elke groep.
- Wanneer een eindgebruiker authenticeert wordt hij automatisch toegevoegd aan de juiste Portal groepen. Wanneer later toegang tot bijkomende applicaties wordt verleend of toegang tot bestaande applicaties weer wordt ingetrokken, wordt de gebruiker respectievelijk toegevoegd aan extra Portal groepen / verwijderd uit Portal groepen de eerstvolgende keer hij/zij authenticeert. De Portal-groepen zijn op die manier steeds in sync met de SAML-groepen in webIDM
- Gebruikers die doorstromen naar een ‘editeer-groep’ in Portal hebben een hoger named user type nodig dan louter Viewer. Named user types worden automatisch opgetrokken via de ArcGIS API for Python.
Bovenstaande manier van werken resulteert in een volledig geautomatiseerd gebruikersbeheer en ontzorgt het GIS-team in grote mate, zodat ze zich kunnen focussen op hun kerntaken, namelijk het aanmaken en onderhouden van GIS services en GIS apps. Het concept kan worden toegepast door alle Vlaamse overheidsinstanties die ArcGIS Enterprise/Online willen integreren met AMC/IDM, maar in een breder perspectief is het ook toepasbaar voor iedereen die ArcGIS wil integreren met een commerciële IdP via SAML of Open ID Connect.
Meer info? Contacteer ons dan via info@geosolutions.be
