...
N.B. De logging van foute inlog door beheerders is niet opgenomen in de logging van de Beheerschermen. Dit wordt gelogd in de tooling van KT Support.
BEB - Eisen (en aanbevelingen) Beheren van entiteiten en bevoegdheden
# | Eis |
|---|---|
001 | Naam applicatierol is uniek en niet wijzigbaar. |
002 | Een applicatierol bevat een verzameling autorisatieregels. |
003 | Autorisatieregels: Per resource wordt vastgelegd of CRUD actie toegestaan is. |
004 | Autorisatieregels: Per RUD actie wordt vastgelegd of dit alleen mag voor 'eigen' resource (OWN) of voor alle van deze resources in domein (ALL). |
005 | Beheer applicatierollen is onafhankelijk van domein of applicatie uit te voeren. |
006 | Alleen de systeembeheerder heeft rechten om rollen te beheren. |
007 | Domein bevat unieke identifier. |
008 | Domein bevat de genoemde attributen met restricties. |
009 | Alleen de systeembeheerder heeft rechten om een domein aan te maken. |
010 | Applicatie bevat unieke identifier. |
011 | Applicatie bevat de genoemde attributen en restricties. |
012 | Alleen de systeembeheerder heeft rechten om een applicatie aan te maken. |
013 | De applicatiebeheerder (of systeembeheerder) kan een connectieaanvraag indienen van de applicatie. De applicatie mag dan niet de status 'Aanmaken' of 'Afgesloten' hebben. |
014 | De domeinbeheerder (of systeembeheerder) kan een connectieaanvraag accepteren/weigeren. |
015 | Geaccepteerde connectieaanvraag wordt een applicatieinstantie binnen het domein en krijgt daarmee ook een ClientId en Device. |
016 | Van een geweigerde connectieaanvraag wordt nooit een applicatieinstantie gemaakt, en kan daarna ook niet meer geaccepteerd worden. |
017 | In de connectieaanvraag kan slechts één rol, die vastgelegd is bij de applicatie, gekozen worden. |
018 | Het is voor een applicatie niet mogelijk meer dan één connectieaanvraag uit te voeren naar hetzelfde domein. |
019 | Het is te adviseren om een bereikbaarheids controle uit te voeren van de jwks uri. |
020 | Controle uitvoeren van de ingevoerde redirect_uri(s). Deze moet benaderbaar zijn. |
021 | De connectieaanvraag bevat genoemde attributen en restricties. |
022 | Proces van connectieaanvraag bevat genoemde mailnotificaties. |
023 | De applicatieinstantie bevat genoemde attributen en restricties. |
024 | Loggingscherm (view AuditEvents) moet de elementen bevatten voor zoeken zoals beschreven en de beschreven elementen ook tonen boven de kolommen in het overzicht. |
025 | Loggingscherm (view AuditEvents): Zoekacties kunnen worden uitgevoerd op beschreven elementen. |
026 | Loggingscherm (view AuditEvents): Zoekresultaten per scherm is max. 100, in totaal max. 1000 (in vervolgschermen). Bij meer dan 1000 zoekresultaten verschijnt melding om zoekfilter te verfijnen. |
027 | Loggingscherm (view AuditEvents): Elke zoekactie moet resulteren in een nieuwe AuditEvent. |
028 | Loggingscherm (view AuditEvents): Het overzicht van resultaten kan geëxporteerd worden naar een csv bestand. |
029 | Loggingscherm (view AuditEvents), optioneel: Mogelijkheid om te selecteren/filteren om logregels te archiveren. (Specificaties moeten hiervoor nog uitgewerkt worden.) |
030 | Logging (beheerschermen): Elke wijziging die via een beheerscherm wordt doorgevoerd moet door het systeem gelogd worden (wie, wanneer, wat). |
031 | Logging (beheerschermen): Voor statuswijzigingen moet min. het volgende worden vastgelegd: reden, datum/tijdstip, rol en naam van uitvoerend persoon. |
032 | Voor elke entiteit (record), die onder beheer valt, zoals rollen, domeinen, applicaties, applicatieinstanties, enz., wordt door het (beheer) systeem een uniek logische id aangemaakt en uitgegeven, om de entiteit uniek te kunnen identificeren. |
033 | Een uitgegeven logische id is NOOIT en te nimmer wijzigbaar. |
034 | Bij verwijderen van gegeven middels 'prullenbak' wordt altijd om een extra bevestiging gevraagd. |