Hoe kan ik omgaan met beveiligde OGC services?

OGC standaarden als WFS en WMS worden al vele jaren gebruikt in de industrie. Een beperking van de OGC-specificaties is dat er geen security-aspecten zoals authenticatie worden beschreven.

Met de introductie van het ArcGIS portaal in 2013 had Esri behoefte aan een security-mechanisme dat de volgende use case ondersteunt: “Gebruikers worden geauthentiseerd en geautoriseerd door een portaal en gebruiken beveiligde services van de server”. Het gaat dus niet alleen om authenticatie (bijvoorbeeld single sign-on), maar ook autorisatie. De OGC-standaarden boden en bieden hier geen ondersteuning voor. Daarom heeft Esri gekozen voor een industriestandaard, OAuth2.

In januari 2019 heeft OGC [OGC Web Services Security] gepubliceerd. Hierin onderkent OGC dat het niet specificeren van authenticatie en autorisatie tot interoperability problemen leidt:

“…Information Assurance Controls for OGC Web Services (OWS) have been implemented for years. However, these implementations break interoperability, as they are not standardized by OGC Web Service standards. Interoperability between secured OGC Web Services and clients is limited to systems custom built to work with an IA implementation…”

De beveiliging van zowel WFS als WMS lagen in ArcGIS Server of Enterprise zijn afhankelijk van de beveiliging van de oorspronkelijke laag waaruit deze OGC services zijn gecreëerd. Lees hiervoor vooral ook de volgende documentatie beschikbaar voor WMS en WFS. Let er wel op dat deze methode mogelijk niet interoperabel is met niet-esri clients.

Indien van OGC clients die niet van Esri zijn gebruik gemaakt wordt is aangeraden te werken met HTTP basic, HTTP digest of IWA (Integrated Windows Authentication) als inlog-beveiliging. Deze 3 methodes zijn wijdverspreid over talloze applicaties en zullen door de meeste applicaties ondersteund worden.

Bron: [OGC Web Services Security] OGC Web Services Security, version 1.0, Publication Date: 2019-01-28 https://docs.opengeospatial.org/is/17-007r1/17-007r1.html