...
- Gebruikersnaam (verplicht, min. 6 karakters, bestaat uit letters en cijfers). Na aanmaken gebruiker is gebruikersnaam niet meer aan te passen.
- Status gebruiker (actief/ingeschakeld of inactief/uitgeschakeld).
- Tonen van QR code, voor eerste keer aanloggen in een authenticator app (bij aanmaken gebruiker standaard ingeschakeld, maar ook mogelijk op verzoek gebruiker).
- Naam gebruiker (verplicht).
- Email gebruiker (verplicht, hoeft niet uniek te zijn). Nodig voor communicatie wachtwoord en emailnotificaties m.b.t. connectieaanvragen.
- Telefoonnummer (verplicht, alleen nodig voor communicatie).
- Wachtwoord (verplicht, minimaal 12 karakters, zie ook 'BIN Inloggen en wachtwoorden' <link toevoegen>).
- Verander wachtwoord na aanmelden (standaard ingeschakeld). Deze bij nieuwe gebruiker of bij uitgeven nieuw wachtwoord altijd inschakelen. Deze kan uitgeschakeld worden, maar dat is niet te adviseren.
- Beheerdersrol (te selecteren uit de lijst van rollen). Autorisatieregels van de rollen zijn geen onderdeel van beheerschermen, maar worden beheerd door Itzos. Na aanmaken gebruiker is de rol niet meer aan te passen.
- Deze wordt automatisch uitgegeven bij aanmaken gebruiker, met datum van aanmaken.
- Deze wordt automatisch uitgegeven bij aanmaken gebruiker en krijgt de datum van aanmaken plus 1 jaar (security eis). Jaarlijks moet autorisatie gecontroleerd worden (procedure). Is autorisatie nog actueel, dan moet de datum gewijzigd worden naar weer een jaar verder. Dit is een handmatige actie. (Aan deze eis wordt nog niet voldaan. Einddatum is niet wijzigbaar.)
- Two-Factor Authenticatie (2FA) is vereist en mag niet uitgeschakeld kunnen worden.
...
- Beheren (aanmaken, wijzigen en beëindigen) van applicatie rollen. Applicatie rollen kunnen NIET beëindigd worden als deze aan een applicatie zijn toegekend. (Bevinding: Applicatierol kan niet beëindigd worden.)
- Beheren (aanmaken, wijzigen en beëindigen) van de autorisatieregels behorende bij een applicatierol.
- Aanmaken/registreren van een nieuwe applicatie.
- Beheren en aanpassen van de applicatierollen bij de applicatie. (Bevinding: Het is niet mogelijk om applicatierol aan te passen of toe te voegen.)
- Aanmaken/registreren van een nieuw domein.
- Aanmaken en beheren van account voor beheerders.
- Het toevoegen van een actieve applicatie-/domeinbeheerder aan resp. een applicatie of een domein, en het verwijderen daarvan.
- Kunnen aanpassen van de status van een applicatieinstantie, een applicatie of van het domein. (Zie DAI - Statussen van domein, applicatie en applicatieinstantie <link toevoegen>.)
- Als systeembeheerder kun je alle beheertaken op de beheerschermen uitvoeren, ook die in praktijk door domein- of applicatiebeheerder uitgevoerd worden. (Zie beschrijvingen hieronder.)
- Inzien van de loggingview van resource AuditEvents van alle domeinen, per domein.
- Inzien van logging van activiteiten op beheerschermen.
...
- Inzien alle details van zijn/haar domein.
- Beheren van de gegevens van het domein. Niet alle gegevens zijn wijzigbaar. De volgende gegevens zijn aan te passen: De status (zie DAI - Statussen van domein, applicatie en applicatieinstantie <link toevoegen>) en de gegevens contactpersoon.
- Inzien applicatie connectieaanvragen voor het domein.
- Connectieaanvraag (status 'open') kunnen goedkeuren of weigeren.
- Inzien van applicatieinstanties die in het domein zitten, inclusief de details van die applicatieinstanties.
- Kunnen aanpassen van de status van een applicatieinstantie of van het domein. (Zie ook 'DAI - Statussen van domein, applicatie en applicatieinstantie' <link toevoegen>.)
- Inzien alle beheerders. (Er wordt nog niet aan deze eis voldaan. Domeinbeheerder kan alleen zien welke domeinbeheerders bij het beheerde domein geregistreerd zijn.)
- Kunnen aanpassen van eigen email en telefoonnummer. (Er wordt nog niet aan deze eis voldaan.)
- Inzien van de loggingview van resource AuditEvents van het domein.
...
- Inzien alle details van zijn/haar applicatie.
- Doen van een connectieaanvraag voor een domein.
- Inzien applicatie connectieaanvragen voor de applicatie.
- Beheren van de gegevens van de applicatie. Niet alle gegevens zijn wijzigbaar. De volgende gegevens zijn aan te passen: De status (zie DAI - Statussen van domein, applicatie en applicatieinstantie <link toevoegen>) en de gegevens contactpersoon.
- Inzien domein(en) en details daarvan voor de domein(en) waar de applicatie als applicatieinstantie is gekoppeld. Dus inclusief domeinbeheerders, applicatieinstanties, connectieaanvragen en logging (AuditEvents).
- Kunnen aanpassen van de JWKS uri in de beheerde applicatieinstantie binnen een domein. (Domeinbeheerder mag die NOOIT kunnen aanpassen.)
- Redirect_uri kunnen invoeren, wijzigen of verwijderen bij de ingediende connectieaanvraag of beheerde applicatieinstantie, .
- Kunnen aanpassen van de status van een applicatieinstantie. (Zie ook 'DAI - Statussen van domein, applicatie en applicatieinstantie' <link toevoegen>.)
- Inzien alle beheerders. (Er wordt nog niet aan deze eis voldaan. Applicatiebeheerder kan alleen zien welke applicatiebeheerders en domeinbeheerders geregistreerd zijn bij die applicatie(s) of domein(en) waar zij toegang toe hebben.)
- Kunnen aanpassen van eigen email en telefoonnummer. (Er wordt nog niet aan deze eis voldaan.)
- Inzien van de loggingview van resource AuditEvents van het domein waarin applicatieinstantie status 'actief' of 'in onderhoud' heeft.
...
# | Eis |
---|---|
001 | De beheerders moeten hun beheerderstaken uit kunnen voeren zoals beschreven. |
002 | Strikte functiescheiding volgens beschrijving bij proces connectieaanvraag, om ongeautoriseerde toegang te voorkomen. |
003 | Aanpassen JWKS uri is mogelijk voor applicatiebeheerder en systeembeheerder. Niet voor domeinbeheerder. |
004 | Redirect_uri moet door applicatiebeheerder en systeembeheerder ingevoerd, gewijzigd, verwijderd kunnen worden. |
005 | Systeembeheerder kan gebruikers beheren, en deze koppelen aan domein/applicatie. |
006 | Alle beheerders moeten alle beheerders kunnen inzien. (Er wordt nog niet aan deze eis voldaan. Domein- en applicatiebeheerders zien alleen de beheerder die geregistreerd zijn bij de applicatie of het domein waar men toegang toe heeft.) |
007 | Een beheerder moet de eigen email en telefoonnummer kunnen aanpassen. (Er wordt nog niet aan deze eis voldaan.) |
008 | Een eenmalig toegewezen beheerdersrol aan een gebruikersaccount mag NOOIT gewijzigd worden. |
009 | Een gebruikersaccount KAN maar 1 rol hebben. |
010 | Autorisatie (toegewezen rechten op beheerdersfunctionaliteit) van gebruikersaccounts is gekoppeld via de beheerdersrol , NOOIT direct op gebruikersaccounts zelf. |
Zie ook eisen 'BIN - Inloggen en wachtwoorden'. <link toevoegen>