Het algemeen veiligheidsbeleid van uw portaal configureren

Publiek of privaat?

De belangrijkste keuze is of uw portaal publiek of privaat dient te zijn. Dit is de keuze of u anonieme gebruikers wil toelaten om toegang te krijgen tot het portaal of wanneer u van mensen vereist dat ze zich eerst inschrijven alvorens ze tot iets toegang hebben.

Belangrijk

Uw portaal publiek maken betekent niet dat iedereen toegang zal hebben tot alle datasets! U zal altijd kunnen beperken wat het algemene publiek zal kunnen zien door gebruik te maken van gevoelige standaard veiligheidsparameters voor uw datasets en expliciete parameters voor elke dataset op zich.

Zie het speciale rubriek voor meer informatie over de veiligheid van datasets.

Deze instelling is terug te vinden in de subsectie veiligheid van de sectie configuratie van de back-office van uw portaal.

Merk op dat, wanneer u beslist om anonieme gebruikers niet toe te laten om zich toegang te verschaffen tot uw portaal, ze doorgestuurd zullen worden naar de inlogpagina tenzij u eerder wil dat ze terecht komen op een specifieke pagina die u hebt geschreven.

../../_images/configuration_anonymous-access.png

Intekenbeleid

Ongeacht uw keuze inzake publiek of privaat, u kan altijd beslissen over wie in staat zal worden gesteld om een geregistreerd lid te worden van uw portaal. Om dit te doen, ga naar de subsectie Configuratie/Inschrijving van de back-office van uw portaal.

../../_images/configuration_enable-signup.png

Gesloten intekenbeleid

Wanneer u beslist om mensen niet toe te laten gratis in te schrijven, kunt u leden enkel aan uw portaal toevoegen door middel van een rechtstreekse uitnodiging via e-mail.

Open intekenbeleid

Wanneer u daarentegen mensen wil toelaten zich in te schrijven, moet u beslissen of u wil dat elke toegangsaanvraag voor uw portaal al dan niet manueel moet worden goedgekeurd. Merk op dat, ongeacht uw beslissing, elk lid van het portaal dat in staat is om gebruikers te beheren, een kennisgeving zal ontvangen voor elke nieuwe toegangsaanvraag.

../../_images/configuration_signup-approval.png

Vergeet niet om de intekenknop toe te voegen aan het menu van uw header. Zo niet zullen mensen geen intekenformulier kunnen zien tot ze proberen toegang te krijgen tot een gelimiteerde rubriek op uw portaal.

../../_images/configuration_signup-link.png

Het intekenproces is meestal zeer vanzelfsprekend: een e-mail, een wachtwoord en meer is er niet nodig. Wel kan u beslissen om de ervaring aan te passen door een gepersonaliseerde tekst in te stellen als disclaimer, kan u gebruikers vragen om uw algemene voorwaarden te aanvaarden en zelfs vereisen dat ze een bericht nalaten voor de beheerder van het portaal (nuttig wanneer u toegangsaanvragen manueel wil goedkeuren).

../../_images/configuration_signup-form.png

Time-out gebruikerssessie

Standaard worden alle geauthentificeerde gebruikers na een periode van inactiviteit van 2 weken automatisch uitgelogd. Deze periode kan worden gewijzigd in de rubriek Configuratie/Veiligheid van de back-office.

Gelieve er rekening mee te houden dat telkens wanneer een gebruiker een verzoek doet aan het portaal, de time-out opnieuw wordt ingesteld. Dit betekent dat sessies effectief langer kunnen duren dan de time-outperiode.

Eenmalig intekenen

Wanneer uw organisatie reeds haar eigen identiteitsbeheersysteem heeft, kunt u een brug opzetten tussen uw identiteitsprovider en uw Opendatasoft-portaal. Hierdoor wordt een algemene toegang tot uw portaal verleend voor elk van de leden van uw organisatie.

Opendatasoft ondersteunt twee soorten identiteitsproviders:

Over plaatselijke gebruikers en gekoppelde gebruikers

Wanneer een SAML of een OpenID Connect identiteitsprovider geconfigureerd is op een domein, kan een gebruiker tot 3 categorieën behoren.

  • Een standaard Opendatasoft user die via e-mail werd uitgenodigd of zich heeft geabonneerd op een domein: deze gebruiker logt in op het domein met behulp van de standaard sign-in interface met zijn gebruikelijke gebruikersnaam en wachtwoord van Opendatasoft en dit account is toegankelijk op het volledige Opendatasoft-netwerk. Opendatasoft-gebruikers worden op het volledige platform vertegenwoordigd met het icon-world pictogram.

  • Een plaatselijke gebruiker die wordt geauthentificeerd via de IdP van de organisatie: deze gebruiker logt uitsluitend via de IdP van de organisatie in op het domein en aangezien dit enkel beschikbaar is op een specifiek domein, kan het worden beperkt in het gebruik van de functies die vertrouwen op het Opendatasoft-netwerk. Plaatselijke gebruikers worden op het volledige platform vertegenwoordigd met het icon-id-card pictogram.

  • Een gekoppelde gebruiker die een standaard Opendatasoft-account heeft maar gekoppeld is aan dit specifieke domein met een identiteit van de IdP van de organisatie. Deze gebruiker is een standaard Opendatasoft-gebruiker die zich kan authentificeren met behulp van zowel de sign-in interface van Opendatasoft en de IdP van de organisatie. Aangezien gekoppelde gebruikers gebruikers van Opendatasoft zijn met SAML of OpenID Connect authentificatiemogelijkheden, worden ze op het volledige platform vertegenwoordigd met zowel het icon-world als het icon-id-card pictogram.

Plaatselijke gebruiker

Elke gebruiker die een gebruikersaccount op de identiteitsprovider heeft die toevertrouwd is door een domein en geen gebruikersaccount van Opendatasoft heeft, kan inloggen. Wanneer voor het eerst wordt ingelogd, zal een plaatselijke gebruiker worden aangemaakt voor de gebruiker op basis van de instellingen van de identiteitsprovider van het domein.

Deze plaatselijke gebruikers hebben de toelating om de publieke datasets op het standaard domein te exploreren. Er kunnen extra toelatingen worden gegeven aan deze gebruikers op domeinniveau, op individuele datasets of via groepen (andere dan de groepen SAML users of OpenID Connect users waarvan ze automatisch lid zijn).

Het aanmaken van nieuwe plaatselijke gebruikers via een IdP authentificatie kan worden gedeactiveerd met behulp van het "Disable local user provisioning" aanvinkvakje in de configuratie van de IdP (SAML of OpenID Connect-configuratie). Het deactiveren van het aanmaken van plaatselijke gebruikers zal niet verhinderen dat bestaande plaatselijke gebruikers intekenen.

Gekoppelde gebruiker

Gebruikers die een Opendatasoft gebruikersaccount hebben kunnen dit account koppelen aan een andere account bij de identiteitsprovider. Deze procedure wordt "accountkoppeling" genoemd.

Nadat de link werd aangemaakt, zullen gebruikers die inloggen via hun IdP ingelogd worden op hun Opendatasoft gebruikersaccount. Ze zullen wel nog kunnen inloggen met hun Opendatasoft wachtwoord.

Er zijn twee manieren om een Opendatasoft-gebruikersaccount te koppelen:

  • De eerste is om te klikken op Link your account to a SAML account on this domain of Link your account to an OpenID connect account on this domain in de identiteitstab van de instellingen van het gebruikersaccount:

"Link your account to a SAML account on this domain" link in the identity tab of the user account settings
  • De andere methode is om de koppeling aan te maken tijdens het aanmaakproces van het gebruikersaccount door te klikken op de koppeling om de registratie via SAML te voltooien. Hierdoor wordt het aanmaakproces van het gebruikersaccount versneld en wordt een snelle koppeling van het account mogelijk gemaakt:

Account registration in SAML enabled domains

Opmerking

Koppelen tijdens intekenen wordt enkel ondersteund door SAML-identiteitsproviders.

Selectie standaard inlogpagina

Het Opendatasoft-platform laat toe de inlogpagina te kiezen die weergegeven wordt aan gebruikers wanneer ze op een inloglink klikken of toegang proberen te krijgen tot een pagina waarvan de toegang beperkt is.

Wanneer de IdP inlogpagina wordt geselecteerd als standaard, zal de authentificatiestroom (SAML of OpenID Connect) automatisch worden opgestart wanneer een anonieme gebruiker op de inloglink klikt of toegang probeert te krijgen tot een pagina waarvan de toegang beperkt is, zoals de back office. Wanneer de IdP inlogpagina wordt geselecteerd, hebben gebruikers, die met hun Opendatasoft-gegevens willen inloggen op het platform, de mogelijkheid om dit te doen door de inlogpagina van het domein handmatig te bezoeken via https://<platform-url>/login/.

Default login page selection interface in the security configuration page

Gebruikersattributen gebruiken om data te filteren

Voor gebruikers die hebben ingelogd via identiteitssamenvoeging (SAML 2.0 of OpenID Connect) kunnen specifieke profielattributen zijn ingesteld. Deze attributen kunnen gebruikt worden om de inhoud van datasets waar deze gebruikers toegang tot kunnen hebben, te filteren.

Om dit te doen kunt u de veiligheidsconfiguratie van een specifieke dataset bewerken en de #attr functie gebruiken in de filterzoekopdracht van de SAML of OpenID Connect veiligheidsgroep die gekoppeld is aan de dataset. Zo zullen gebruikers die tot deze groepen behoren enkel de dataset records kunnen zien die overeenstemmen met de filterzoekopdracht, zoals hieronder staat uitgelegd.

Via de #attr functie is het mogelijk om dataset records zodanig te filteren dat de enige records die worden weergegeven die zijn die overeenstemmen met een waarde die in gesteld is in de attributen van de gebruiker die worden doorgestuurd door de identiteitsprovider. Voor de volgende voorbeelden gaan we ervan uit dat we de 3 gebruikers hebben, met de respectieve gebruikersnamen en SAML-attributen user-country en user-language die gegeven worden door de volgende tabel.

Gebruiker

user-country user-language

Gebruiker1

Frankrijk

Frans

Gebruiker2

Canada

Frans

Gebruiker3

Verenigde Staten

Engels

En een dataset met records zoals die vermeld staan in de volgende tabel.

country language message

Wereldwijd

Engels

Hallo wereld

Frankrijk

Frans

Bonjour à tous les Français
Canada

Frans

Bonjour à tous les Canadiens
Canada

Engels

Hallo aan alle Canadezen

Verenigde Staten

Engels

Hallo aan alle Amerikanen

We kunnen deze gebruikers zodanig beperken dat ze enkel die berichten zien die van toepassing zijn op hun respectieve landen, met de zoekopdracht #attr(country, user-country).

Gebruiker1 ziet

country language message

Frankrijk

Frans

Bonjour à tous les Français

Gebruiker2 ziet

country language message
Canada

Frans

Bonjour à tous les Canadiens
Canada

Engels

Hallo aan alle Canadezen

Gebruiker3 ziet

country language message

Verenigde Staten

Engels

Hallo aan alle Amerikanen

We kunnen deze gebruikers ook zodanig beperken dat ze enkel berichten zien die in hun respectieve taal zijn weergegeven, met de zoekopdracht #attr(language, user-language).

Gebruiker1 ziet

country language message

Frankrijk

Frans

Bonjour à tous les Français
Canada

Frans

Bonjour à tous les Canadiens

Gebruiker2 ziet

country language message

Frankrijk

Frans

Bonjour à tous les Français
Canada

Frans

Bonjour à tous les Canadiens

Gebruiker3 ziet

country language message

Wereldwijd

Engels

Hallo wereld

Verenigde Staten

Engels

Hallo aan alle Amerikanen

Aangezien het een functie is van de taal van de zoekopdracht, kan ze ook gegroepeerd worden met de gebruikelijke operatoren. Zo kunnen we bijvoorbeeld gebruikers beperken tot diegene die enkel berichten zien die passen bij hun land en hun talen, en dit met de zoekopdracht #attr(language, user-language) AND #attr(country, user-country).

Gebruiker1 ziet

country language message

Frankrijk

Frans

Bonjour à tous les Français

Gebruiker2 ziet

country language message
Canada

Frans

Bonjour à tous les Canadiens

Gebruiker3 ziet

country language message

Verenigde Staten

Engels

Hallo aan alle Amerikanen