Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Indien de applicatie reeds een connectieaanvraag heeft gedaan, dus bij status 'open', 'geaccepteerd' of 'geweigerd', is het niet meer mogelijk voor de applicatie een nieuwe connectieaanvraag te doen. De volgende melding verschijnt dan:  'Applicatieinstantie bestaat al.' à Zelfde melding verschijnt ook als 1e Indien de aanvraag is afgewezen. Dat is niet correct. Bevinding om melding aan te passen naar: ‘, verschijnt melding: “Er is eerder een connectieaanvraag ingediend. Het is niet mogelijk dit nogmaals te doen.'”.

Een connectieaanvraag kan niet geaccepteerd worden als de applicatie de status 'Afgesloten' heeft. De volgende melding verschijnt bij het accepteren: "De Connectieaanvraag kan niet geaccepteerd worden, de applicatie heeft de status 'Afgesloten'."

...

  • Een JWKS uri. Is een unieke resource identifier dat refereert naar een applicatie JSON Web Key Set bestand dat (roulerende) publieke sleutels van de applicatie bevat. Veld bevat controle of deze bereikbaar is. Getoonde melding: 'De JWKS URL is niet bereikbaar; controleer of de URL correct is. De Redirect URL (positie 1) is niet bereikbaar; controleer of de URL correct is.'..' Er zal geen controle plaatsvinden als het veld leeg gelaten wordt. Reden voor het leeg laten van het veld kan zijn als IT-deelnemer het ClientId van de applicatieinstantie nodig heeft om een JWKS uri aan te maken. De JWKS uri moet daarna alsnog toegevoegd worden aan de applicatieinstantie om deze te kunnen gebruiken. 
  • De redirect_uri(s). Max. 3 uri's mogelijk. Is optioneel veld, maar moet wel ingevuld worden om een SHOF launch uit te kunnen voeren.
  • De applicatienaam (wordt automatisch overgenomen en is niet wijzigbaar).
  • Eén rol die gekoppeld is aan de applicatie. Het is niet mogelijk om een andere rol te selecteren, dan die bij de applicatie is vastgelegd.
  • Domein waarnaar de connectieaanvraag gestuurd wordt. Het domein wordt geselecteerd uit een lijst van domeinen met status 'Actief' en 'In onderhoud'.

...

In het domein is het mogelijk om de resource AuditEvent in te zien. Iedere beheerder die toegang heeft tot het domein, kan de AuditEvents inzien. Ook als het domein de status 'afgesloten' heeft.


Algemeen:

  • Het overzichtsscherm wordt standaard met een lege respons getoond en pas gevuld na het invoeren van een zoekactie.
  • Er wordt maximaal 100 resultaten getoond op het scherm, met vervolgschermen tot maximaal 1000 resultaten. Levert de zoekopdracht meer dan 1000 resultaten op dan verschijnt een melding om de zoekfilters te verfijnen.
  • Sortering is standaard op datum van nieuw naar oud.
  • Het zoeken moet, net als elke GET actie, een AuditEvent aanmaken.
  • Het moet mogelijk zijn om van de resultaten van de zoekopdracht een csv bestand te maken. (Dit bevat dus alleen de informatie van het overzicht, niet van de details. Bevat dus max. 1000 records.)

...

BEB - Eisen (en aanbevelingen) Beheren van entiteiten en bevoegdheden


#

Eis

001

Naam applicatierol is uniek en niet wijzigbaar.

002

Een applicatierol bevat een verzameling autorisatieregels.

003

Autorisatieregels: Per resource wordt vastgelegd of CRUD actie toegestaan is.

004

Autorisatieregels: Per RUD actie wordt vastgelegd of dit alleen mag voor 'eigen' resource (OWN) of voor alle van deze resources in domein (ALL).

005

Beheer applicatierollen is onafhankelijk van domein of applicatie uit te voeren.

006

Alleen de systeembeheerder heeft rechten om rollen te beheren.

007

Domein bevat unieke identifier.

008

Domein bevat de genoemde attributen met restricties.

009

Alleen de systeembeheerder heeft rechten om een domein aan te maken.

010

Applicatie bevat unieke identifier.

011

Applicatie bevat de genoemde attributen en restricties.

012

Alleen de systeembeheerder heeft rechten om een applicatie aan te maken.

013

De applicatiebeheerder (of systeembeheerder) kan een connectieaanvraag indienen van de applicatie. De applicatie mag dan niet de status 'Aanmaken' of 'Afgesloten' hebben.

014

De domeinbeheerder (of systeembeheerder) kan een connectieaanvraag accepteren/weigeren.

015

Geaccepteerde connectieaanvraag wordt een applicatieinstantie binnen het domein en krijgt daarmee ook een ClientId en Device.

016

Van een geweigerde connectieaanvraag wordt nooit een applicatieinstantie gemaakt, en kan daarna ook niet meer geaccepteerd worden.

017

In de connectieaanvraag kan slechts één rol, die vastgelegd is bij de applicatie, gekozen worden.

018

Het is voor een applicatie niet mogelijk meer dan één connectieaanvraag uit te voeren naar hetzelfde domein.

019

Het is te adviseren om een bereikbaarheids controle uit te voeren van de jwks uri.

020

Controle uitvoeren van de ingevoerde redirect_uri(s). Deze moet benaderbaar zijn.

021

De connectieaanvraag bevat genoemde attributen en restricties.

022

021

Proces van connectieaanvraag bevat genoemde mailnotificaties.

023

022

De applicatieinstantie bevat genoemde attributen en restricties.

024

023

Loggingscherm (view AuditEvents) moet de elementen bevatten voor zoeken zoals beschreven en de beschreven elementen ook tonen boven de kolommen in het overzicht.

025

024

Loggingscherm (view AuditEvents): Zoekacties kunnen worden uitgevoerd op beschreven elementen.

026

025

Loggingscherm (view AuditEvents): Zoekresultaten per scherm is max. 100, in totaal max. 1000 (in vervolgschermen). Bij meer dan 1000 zoekresultaten verschijnt melding om zoekfilter te verfijnen.

027

026

Loggingscherm (view AuditEvents): Elke zoekactie moet resulteren in een nieuwe AuditEvent.

028

027

Loggingscherm (view AuditEvents): Het overzicht van resultaten kan geëxporteerd worden naar een csv bestand.

029

028

Loggingscherm (view AuditEvents), optioneel: Mogelijkheid om te selecteren/filteren om logregels te archiveren. (Specificaties moeten hiervoor nog uitgewerkt worden.)

030

029

Logging (beheerschermen): Elke wijziging die via een beheerscherm wordt doorgevoerd moet door het systeem gelogd worden (wie, wanneer, wat).

031

030

Logging (beheerschermen): Voor statuswijzigingen moet min. het volgende worden vastgelegd: reden, datum/tijdstip, rol en naam van uitvoerend persoon.

032

031

Voor elke entiteit (record), die onder beheer valt, zoals rollen, domeinen, applicaties, applicatieinstanties, enz., wordt door het (beheer) systeem een uniek logische id aangemaakt en uitgegeven, om de entiteit uniek te kunnen identificeren.

033

032

Een uitgegeven logische id is NOOIT en te nimmer wijzigbaar.

034

033

Bij verwijderen van gegeven middels 'prullenbak' wordt altijd om een extra bevestiging gevraagd.