First8 Conclusion implementeert Keycloak voor eLoket van DICTU: ‘Voor elke uitdaging kunnen we een plug-in schrijven’

De applicatie eLoket van DICTU verwerkt subsidieaanvragen vanuit burgers en bedrijven. Daarvoor moet het DigiD en eHerkenning aanbieden. Het interne toegangsverleningssysteem (TVS) dat daaraan gekoppeld is, wilde DICTU aansluiten via Keycloak. “Een belangrijke overweging daarbij is de moderne infrastructuur die Keycloak biedt”, geeft Arjan Gelderblom aan. Als Keycloak-consultant van First8 Conclusion verzorgt hij samen met het Keycloak-team de implementatie van de tool bij DICTU.

De uitdaging voor het team van First8 Conclusion werd versterkt door een strakke deadline. “Wegens potentiële security issues moest het oude systeem op een vaste datum uitgezet worden”, vertelt Arjan. “Op het moment dat wij binnen kwamen, was de druk al aardig hoog." 

Aanvankelijk zou een algemene oplossing beschikbaar gesteld worden vanuit RVO. Deze is echter niet van de grond gekomen, waardoor elk portaal zijn eigen richting moest kiezen. De Delivery Manager van DICTU, verantwoordelijk voor het portaal eLoket, heeft toen een aantal partijen benaderd die veel kennis en ervaring hebben met Keycloak-implementaties. In het gesprek met First8 Conclusion bleek dat er niet één iemand beschikbaar gesteld zou worden, maar dat een heel team beschikbaar was om aan de oplossing te werken. Dat was voor DICTU een grote meerwaarde, waardoor uiteindelijk gekozen werd voor First8 Conclusion.

Als Keycloak-consultant neemt Arjan een adviserende rol in bij zijn opdrachtgevers. In het geval van deze casus denkt hij de oplossing niet alleen uit, maar ondersteunt hij ook bij de technische uitrol. “Nadat ik in de vraag dook en een oplossing voor ogen had, haakte ik ons Keycloak-team aan. Op die manier kunnen we snel handelen en borgen we de continuïteit. Het is een flexibel team met een harde kern die bestaat uit mijn collega’s Annemieke en Jaap.”

Het in kaart brengen van de kernvraag en alle vragen die daaromheen spelen, vormde het startpunt voor Arjan. “Het was een leuke uitdaging om het volledige landschap van het eLoket te leren kennen. Het aansluiten op het TVS was maar een klein onderdeel van de vraag. Want waarop gaat het landen? Wat heeft DICTU momenteel aan omgeving en systemen? Wie moet er met wie praten? Door daar in te duiken, kwam er veel nieuwe informatie en ook nieuwe eisen naar boven.”

Vanuit een helder startpunt kon begonnen worden met het opbouwen van de acceptatieomgeving. Daar moesten meerdere hobbels voor worden genomen. Arjan schetst een van de hobbels: “Het landschap is gescheiden in een niet-vertrouwd (internet), semi-vertrouwd (alles wat internet raakt) en een vertrouwd gedeelte. Van de niet-vertrouwde omgeving mag je niet zomaar door naar vertrouwd. Dat moet altijd via een semi-vertrouwde machine gebeuren.” Die functie is niet standaard beschikbaar in Keycloak, dat vroeg dus om maatwerk. “Het eLoket is vertrouwd, maar in die omgeving kom je alleen als je ingelogd bent. Terwijl je vanuit een niet-vertrouwde omgeving niet op eLoket kunt inloggen … Die vicieuze cirkel moesten we doorbreken door er een proxy server tussen te plaatsen die al het ongeautoriseerde verkeer onderschept en naar een Keycloak-server leidt. Die server draait semi-vertrouwd, waardoor de brug tussen niet-vertrouwd en vertrouwd alsnog wordt geslagen.”

Door Arjans groeiende ervaring met Keycloak, ziet hij steeds sneller oplossingen. “Daardoor kunnen we versnellen in de oplossingen voor onze klanten”, zegt hij met gepaste trots. Voor DICTU is een belangrijke oplossing backchannel SAML artifact resolving. Arjan legt uit: “Log je als gebruiker in bij eLoket via DigiD, dan voer je een simpele code in. Achter de schermen stuurt DigiD je terug naar het eLoket en haalt het eLoket, zonder dat je dit ziet, met die simpele code de daadwerkelijke autorisaties op bij DigiD, zodat jij die nooit te zien krijgt. Omdat eLoket en DigiD van elkaar weten wie ze zijn, kunnen ze je veilig toegang geven tot het kanaal. Zo’n oplossing ondersteunt Keycloak niet, terwijl het voor deze partijen wel vereist is. Dus verzorgen wij maatwerk.” 

Op dit moment voert het Keycloak-team van First8 Conclusion nog onderhoud uit in Keycloak voor DICTU. De kennis die nu is gedeeld in het team, wordt vastgelegd in een F.A.Q. “De IT’ers van DICTU krijgen zo de handvatten om veelvoorkomende problemen zelf op te lossen. Komen ze ergens onverhoopt niet uit, dan zijn de lijntjes met ons team kort”, zegt Arjan.

Het oude systeem is inmiddels uitgezet en de Keycloak-implementatie bij DICTU is succesvol. “Het nieuwe systeem is volledig in productie en draait zonder grote verstoringen. We hebben de bestaande functionaliteiten in zijn geheel kunnen overnemen”, zegt Arjan. “We zijn transparant overgegaan naar het Keycloak-systeem. De eindgebruiker ziet en merkt hier niets van.”

Vanuit DICTU gezien was het cruciaal dat de implementatie tijdig opgeleverd kon worden. Door wekelijks met de groep die hiermee bezig was bijeen te komen, is dat ook gelukt. Er werd een actielijst bijgehouden en men koppelde goed naar elkaar terug hoe de voortgang ging. Toen de deadlinedatum naderde, kon First8 Conclusion haar inzet nog verder opvoeren, waardoor de implementatie succesvol heeft kunnen plaatsvinden.

Waarom werkt Arjan graag met Keycloak? “Het is volledig open source, waardoor wij dus ook volledig vrij zijn om het systeem te laten doen wat het moet doen. Door de semi-modulaire opzet kunnen we voor elke uitdaging een plug-in schrijven. Daar gaat mijn hart als techneut sneller van kloppen.”

De komende periode ligt er voor het Keycloak-team van First8 Conclusion nog een aantal mooie uitdagingen binnen DICTU. “Niet alleen het eLoket, ook andere afdelingen willen deze oplossing in gebruik nemen”, verduidelijkt Arjan. “De ambitie is dat meerdere afdelingen straks gebruik kunnen maken van één Keycloak-oplossing.”

Over DICTU

DICTU is een van de grootste ICT-dienstverleners binnen de Rijksoverheid. Ruim 1.600 gedreven professionals werken in Den Haag, Assen en Zwolle vol enthousiasme en met focus op de klant aan voor Nederland belangrijke IT-systemen. DICTU legt zich toe op het ontwikkelen en beheren van systemen en applicaties en de bijbehorende dienstverlening. Dat kunnen bedrijfsvoeringsapplicaties, websites en apps zijn, maar ook digitale werkplekken en applicaties op het gebied van subsidies, inspecties en registers. DICTU maakt daarbij gebruik van moderne technieken en ontwikkelingen zoals Cloud, Mobile en Big Data.