Technische info
gid vonet internet
Afhankelijk of je de toepassing wil ontsluiten naar het internet, het GID-netwerk of het VONET-netwerk kan je kiezen voor ontsluiting via de respectievelijke reverse proxy.
De keuze van de reverse proxy bepalen ook de mogelijke URL’s en de DNS waarnaar men moet verwijzen.
Backend
Het is cruciaal dat enkel de reverse proxy kan connecteren naar de toepassing en dat er geen andere trafiek daarnaar mogelijk is.
De manier om deze connectie te beveiligen hangt af van de locatie waar de toepassing gehost wordt:
- Indien de toepassing gehost wordt in NMC4 of VPC overgangszone, dan wordt er een specifieke datastroom open gezet tussen de reverse proxy en de toepassing. Het wordt aanbevolen om ook mTLS op te zetten
- Indien de toepassing in een ander datacenter gehost wordt, dan wordt er een mTLS connectie opgezet, waarbij enkel het client certificaat van de ACM reverse proxy wordt toegelaten. Er wordt ook een monitoring opgezet om te valideren dat connecties zonder het juiste client certificaat onmogelijk zijn
HTTP-headers
De HTTP-headers die voor de toepassing specifiek uitgeleverd moeten worden, staan gedefinieerd in het integratiedossier.
Session timeouts
Hoe lang de ACM sessie geldig mag zijn, kan op de reverse proxy ingesteld worden. Daarbij is er keuze tussen 2 varianten:
- Standaard sessie parameters: met een maximum session timeout van 2 uur en een idle timeout van 1 uur
- Lange sessie parameters: met een maximum session timeout van 9 uur en een idle timeout van 4 uur
Gelieve de gewenste session timeout instellingen aan te geven in het integratiedossier. Indien er niets aangegeven werd, dan zullen de “Standaard sessie parameters” gebruikt worden.
Afmelden
Om af te melden voert men eerst een logout in de toepassing zelf uit.
Om af te melden in ACM (en eventuele upstream IDP’s) redirect men naar:
https://mijn-toepassing.vlaanderen.be/stb/html/pages?TAM_OP=logout&type=local&returnurl=$returnurl
Switch identiteit
Indien de gebruiker aangemeld is in de toepassing, maar je wenst hem de mogelijkheid te bieden om namens een andere organisatie/doelgroep/mandaat aan te melden, dan kan je een switch-identiteit initiëren op de ACM IDP.
Men voert een logout uit op de toepassing en dan redirect men naar: