Casus Federatieve Toegang

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen
Tekst op deze pagina is geschreven in de context van het ROSA Revisie project (2021/2022) en beschrijft de situatie die de grondslag vormde voor de uitgevoerde revisies.

Hoe sluiten de ROSA en de sectorale referentiearchitecturen op elkaar aan?[bewerken]

Uit een analyse van een concrete casus, namelijk hoe SURFconext en de Entree Federatie in de diverse referentiearchitecturen wordt beschreven, blijkt het belang van duidelijkheid over welke architectuur de bron van welke informatie is.

Archimate uitwerking van Casus toegang

Bovenstaande diagram toont hoe de Entree Federatie en SURFconext in de ROSA, HORA, MORA en FORA zijn beschreven.

  • als modelelement komen de Entree Federatie en/of SURFconext voor in de ROSA en de FORA. In de MORA en HORA wordt SURFconext als voorbeeld genoemd, maar is niet als instantie van een referentiecomponent opgenomen.
De Entree Federatie is opgenomen als realisatie van Toegangsdienst educatieve content in de ROSA en als Realisatie van twee services in de FORA. Wat opvalt is dat deze twee realisaties niet op hetzelfde niveau worden gelegd. Er zijn binnen de FORA namelijk geen relaties gelegd tussen het referentiecomponent: "Identificatie- en authenticatiesysteem", en de twee services.
  • het abstractiveniveau van referentiecomponenten binnen MORA, HORA en FORA lijkt goed op elkaar afgestemd. In alle drie de referentiearchitecturen wordt er in het algemeen gesproken over een systeem voor identificatie en authenticatie. In de MORA wordt hier ook direct de relatie gelegd met het NORA IAM component. ROSA spreekt in het model over een specifieker "toegangssysteem voor educatieve content", hoewel in het thema Identiteiten authenticatie en autorisatie een breder perspectief wordt gegeven van SURFconext en de Entree Federatie (en ook Basispoort) in relatie tot identiteiten van onderwijsvolgers en van onderwijsprofessionals.
  • de functionele afbakening van de referentiecomponenten verschilt op onderdelen.
Binnen de beschrijving van een "Identity- en accessmanagementsysteem" (HORA) en "Identity en accessmanagement systemen (IAM)" (MORA), valt namelijk ook het beheer van identiteiten als service. Dit is iets wat niet met SURFconext en de Entree Federatie gebeurt, maar wat door Identity providers wordt gedaan. Hiermee is de omschrijving van deze referentiecomponenten breder dan die van FORA en ROSA. Binnen de FORA bestaat er een apart referentiecomponent voor het beheren van identiteiten, namelijk het "Identiteitbeheersysteem”
In ROSA is de Entree Federatie in het model gescoped op de referentiecomponent "toegangsdienst educatieve instelling", terwijl het in de andere referentiearchitecturen (en ook in het ROSA thema Identiteiten, authenticatie en autorisatie) algemener gaat over IAM en Toegang. ROSA kent ook een referentiecomponent "Authenticatiedienst instelling", geënt op de Authenticatiedienst uit de processen rondom ECK Distributie en Toegang. MORA verwijst, als een van de sources voor het element Identity en accessmanagement systemen (IAM), naar deze component in ROSA.

Een te beantwoorden vraag is waar informatie over dit soort algemene referentiecomponenten en voorzieningen zou moeten worden bijgehouden. De sectorale referentiearchitecturen richten zich op processen en functies binnen onderwijsinstellingen. Hierbij zien we in de domeinstructuren binnen domeinen als bedrijfsvoering en ICT-beheer IAM-componenten terug, die steeds net iets anders uitgewerkt zijn. Het doel van de ROSA is om de samenwerking op het gebied van informatievoorziening te bevorderen binnen het onderwijs. Daarom lijkt de ROSA een logische plek om deze generieke referentiecomponenten en voorzieningen in onder te brengen. De sectorale referentiearchitecturen moeten hier dan op een eenduidige manier naar kunnen verwijzen.

Verantwoording[bewerken]

In deze casus kijken we hoe de Entree Federatie en SURFconext terugkomen in de verschillende sectorale referentiearchitecturen en de ROSA. De Entree Federatie en SURFconext zijn twee vergelijkbare diensten, die binnen andere sectoren van het onderwijs opereren. Beide zijn publieke toegangsdiensten die leraren en leerlingen snel en gemakkelijk toegang bieden tot een groot aanbod aan digitale leermaterialen en educatieve diensten voor in de klas. De Entree Federatie opereert binnen het Funderend Onderwijs en SURFconext voornamelijk binnen het Hoger Onderwijs. Door te inventariseren hoe deze twee vergelijkbare diensten binnen de verschillende referentiearchitecturen passen, willen we een beeld vormen van hoe de verschillende referentiearchitecturen nu samenhangen. Hierbij kijken we naar samenhang op het gebied van semantiek en vergelijken we het abstractieniveau van de verschillende referentiearchitecturen.


Huidige ROSA[bewerken]


We starten bij de huidige ROSA om een beeld te vormen van hoe de Entree Federatie en SURFconext hierin zijn opgenomen. Hierbij wordt gekeken naar alle elementen waarmee een relatie kan worden gelegd.

Referentiecomponenten/bouwstenen

Als we zoeken op Entree Federatie in de ROSA-wiki, komen we uit bij een ROSA Bouwsteen Toegangsmiddel educatieve content. Bouwstenen is een verouderde naam (ook binnen de context van de huidige ROSA) voor Referentiecomponenten.

Door te zoeken op bouwstenen, komen we op de pagina over Referentiecomponenten terecht. In de lijst met referentiecomponenten vinden we de Toegangsdienst educatieve content. Dit is een referentiecomponent zonder omschrijving. In het ArchiMate model valt te zien dat Entree Federatie een Realisatie is van dit referentiecomponent, dus is Toegangsdienst educatieve content ook het referentiecomponent waar SURFconext een implementatie van is. Wat echter voor verwarring zorgt, is het feit dat binnen de woordenlijst en begrippenlijst van ROSA de Entree Federatie staat beschreven als een voorbeeld van een Authenticatie Hub. Dit is niet de naam die wordt gehanteerd in de lijst met referentiecomponenten. In deze lijst bestaat wel een referentiecomponent met de naam Authenticatiedienst instelling. De beschrijving van dit RC is: "Middel dat toegang biedt tot digitale leermiddelen en educatieve diensten". Binnen deze beschrijving zouden de Entree Federatie en SURFconext vallen, maar binnen de ROSA is er geen relatie.

Matches met Entree Federatie in ROSA

De ArchiMate-weergave van Entree Federatie is een andere pagina dan de voorzieningenpagina van de Entree Federatie. Er bestaat geen directe link tussen de twee weergaves in de ROSA. De Entree Federatie is als instantie opgenomen binnen de ROSA. Dit valt te zien aan de invulling van het type ("Applicatie").

Wanneer we zoeken op de term "Entree", vinden we ook een aantal andere pagina's waarop de Entree Federatie genoemd wordt.

  • Op de themapagina Identiteiten authenticatie en autorisatie wordt de Entree Federatie genoemd als toegangsmiddel dat onderwijsvolgers toegang verleent tot digitaal leermateriaal.
  • In de ROSA woordenlijst staat de Entree Federatie beschreven als: "Entree Federatie is een toegangsdienst van Kennisnet, ontwikkeld voor scholen en aanbieders van educatief lesmateriaal."
    • Ook staat onder het woord Attribute Release Policy: "(ARP) Een schriftelijk verzoek van een onderwijsinstelling aan Stichting Kennisnet ten behoeve van de dienst Entree Federatie om meer informatie van een gebruiker door te geven aan een aanbieder."
    • Onder het woord Authenticatie Hub staat: "Dienst die verzoeken voor gebruikersauthenticatie van dienstverleners routeert naar de authenticatiediensten van die gebruikers (dwz doorgeefluik van authenticatieverzoeken). Entree federatie en SURFconext zijn voorbeelden."
  • In de ROSA Begrippenlijst staat de Entree Federatie op dezelfde manier beschreven als in de ROSA woordenlijst, maar dit lijken wel 2 verschillende pagina's te zijn.
  • Er is een ROSA Architectuurscan gedaan over de Entree Federatie.
Matches met SURFconext in ROSA

Binnen het ontwerpkader Voortbouwen op bestaande federaties staat SURFconext als voorbeeld genoemd in de stelling. In de ArchiMate weergave van dit ontwerpkader staat SURFconext niet genoemd als een applicatie. De ROSA bevat geen applicatie component of specifieke pagina over SURFconext.

Wanneer we zoeken op de term "SURF", vinden we ook een aantal andere pagina's waarop SURFconext genoemd wordt:


HORA[bewerken]


In de HORA gaan we opzoek naar de referentiecomponenten/applicaties via de hoofdpagina. Hierop zien wij dat binnen de laag Informatievoorziening Applicaties zijn omschreven in het Applicatiecomponentmodel. In het applicatiemodel wordt onderscheid gemaakt tussen applicaties die de eerder beschreven bedrijfsfuncties direct ondersteunen (Specifieke applicaties) en applicaties die in veel verschillende bedrijfsfuncties worden gebruikt (Generieke applicaties). Onder het domein bedrijfsvoering vinden wij de specifieke Referentieapplicatie (zo worden referentiecomponenten in de HORA genoemd) Identity- en accessmanagementsysteem. Deze staat beschreven (zie kopje Documentatie) als: “Een systeem dat identiteiten (gebruikers) en toegangsrechten beheert.”. Het is onduidelijk of dit hetzelfde is als het ROSA RC Toegangsdienst educatieve content. Alleen op basis hiervan is het daarom lastig binnen het HORA Applicatiecomponentmodel een duidelijke match te vinden voor het ROSA RC. Nadat echter de MORA direct het voorbeeld SURFconext noemde en direct verwees naar zowel HORA Identity- en accessmanagementsysteem, als het ROSA RC “Authenticatiedienst instelling”. Leek dit voldoende reden om aan te nemen dat “Identity- en accessmanagementsysteem” een realisatie is van ROSA RC Toegangsdienst educatieve content en/of ROSA RC Authenticatiedienst instelling, maar alleen via een afgeleide semantische relatie.

Op de Technologielaag van de HORA bestaat ook nog het Applicatieplatformmodel. Het applicatieplatformmodel beschrijft de generieke software die gebruikt wordt voor applicaties en is daarmee onderdeel van de infrastructuur. Het verschil met de applicaties zoals beschreven in het applicatiemodel is dat de functionaliteit van onderdelen in het applicatieplatform (ook wel: “nodes”) vooral functionaliteit bieden die eindgebruikers niet direct zien. Het is mogelijk dat het ROSA RC Toegangsdienst educatieve content beter met de technologie laag van de HORA in relatie zou kunnen worden gebracht, aangezien de functionaliteiten niet direct zichtbaar zijn voor de eindgebruikers. In dit geval zou de verwachting zijn dat er in de groep Authenticatie & Autorisatie een Node zou bestaan waaraan kan worden gerefereerd. Dit lijkt echter niet direct het geval. Mogelijk bestaat er een relatie met de Node Authenticatie proxy, maar de voorbeelden hierbij ondersteunen deze denkrichting niet. Op de pagina Integratie wordt onder het kopje Identity management SURFconext genoemd als een authenticatieproxy binnen de sector HO. De ROSA RC Toegangsdienst educatieve content kan daarom worden geassocieerd met de HORA Node authenticatieproxy. De beschrijving van de HORA Node authenticatieproxy is wel breder dan de beschrijving van ROSA RC Toegangsdienst educatieve content. De authenticatieproxy is namelijk: “Een systeem dat in staat is gebruikers te authenticeren en grofmazig te autoriseren.”, dit is vergelijkbaar met een toegangsdienst niet beperkt tot educatieve content.

Matches met Entree Federatie in HORA

Binnen het ArchiMate model van de HORA is Entree Federatie niet opgenomen als een applicatie component of node. Wanneer wordt gezocht op “Entree Federatie” of “Entree” komen geen pagina’s naar voren.

Matches met SURFconext in HORA

Binnen het ArchiMate model van de HORA is SURFconext niet opgenomen als een applicatie component of node. Wanneer wordt gezocht op “SURFconext” komen wel twee pagina's naar worden waar SURFconext wordt besproken.

  • Op de pagina De inzet van cloud computing wordt het volgende over een koppeling met SURFconext geschreven: “Bij het gebruik van cloud diensten is de identiteit van de gebruiker noodzakelijk voor authenticatie en autorisatie. Op sectorniveau is hiervoor SURFconext gepositioneerd welke een intermediair vormt tussen instellingen (identity providers) en leveranciers van diensten (service providers). Als diensten SURFconext ondersteunen dan hebben gebruikers geen extra identiteit (en wachtwoord) nodig.”
  • Op de pagina Integratie wordt onder het kopje Identity management SURFconext genoemd. Hieruit valt onder andere te lezen dat SURFconext een authenticatieproxy is binnen de sector HO.

MORA[bewerken]


MORA matches met ROSA RC toegangsdienst voor educatieve content

De MORA is gebouwd rondom het hoofdprocesmodel. Op de MORA hoofdpagina vinden we het Applicatie en applicatieservices model. In dit model worden de applicaties en services beschreven die processen ondersteunen. De applicaties hierin zijn zo veel mogelijk gestructureerd aan de hand van procesdomeinen uit het hoofdprocesmodel van de MORA, maar naast deze is er nog een groep toegevoegd voor Generieke Applicaties (zoals ook in de HORA te zien was) en ICT-beheer. Binnen de groep ICT-beheer, vinden we de applicatie “Identity en accessmanagement systemen (IAM)”. Vanuit deze applicatie in de MORA wordt er, middels de eigenschap ‘source’, verwezen naar de ROSA Referentiecomponent “Authenticatiedienst instelling” en naar de HORA Referentieapplicatie “Identity- en accessmanagementsysteem” en naar de NORA pagina over IAM. Ook wordt SURFconext genoemd als een voorbeeld. Hier wordt dus een expliciete relatie gelegd met de ROSA, maar niet naar het ROSA RC waar de Entree Federatie als voorbeeld wordt genoemd.

Matches met Entree Federatie in MORA

Binnen het ArchiMate model van de MORA is Entree Federatie niet opgenomen als een applicatie component of node. Wanneer wordt gezocht op “Entree Federatie” of “Entree” komen geen pagina’s naar voren.

Matches met SURFconext in MORA

Binnen het ArchiMate model van de MORA is SURFconext niet opgenomen als een applicatie component. Wanneer wordt gezocht op “SURFconext” zijn er twee zoekresultaten waar SURFconext wordt besproken.

  • Op de pagina van Applicatieservice “Toegang verlening”, wordt SURFconext genoemd als een voorbeeld. De Applicatieservice wordt omschreven als: “Het authenticeren, autoriseren, toegang verlenen tijdens het inloggen. Inclusief de voorziening in federatieve diensten.”.
  • Op de pagina van Applicatie “Identity en accessmanagement systemen (IAM)”, wordt SURFconext genoemd als een voorbeeld. De Applicatie wordt omschreven als: “Verzamelbegrip van systemen die zorgdragen voor het: beheren van digitale identiteiten beheren autorisaties authenticeren van gebruikers faciliteren van het inlogproces”.

FORA[bewerken]


FORA matches met ROSA RC toegangsdienst voor educatieve content

Op de hoofdpagina van de FORA staat onder het kopje FORA wiki verhalend beschreven waar de FORA uit bestaat. In deze tekst vinden we een verwijzing naar het bedrijfsfunctiemodel met referentiecomponenten. In dit model worden referentiecomponenten gekoppeld aan bedrijfsfuncties. Binnen de bedrijfsfuntie Ict-ondersteuning vinden we de bedrijfsfuncties : “Beheer identiteiten” en “Authenticatie en autorisatie”. Bij Beheer identiteiten hoor het referentiecomponent "Identiteitbeheersysteem”. Dit staat omschreven als: “Systeem of geheel van systemen en modules waarmee digitale identiteiten van personen worden aangemaakt, verwerkt, verwijderd en uitgewisseld.”. Bij Authenticatie en autorisatie hoort referentiecomponent “Identificatie-en authenticatiesysteem”. Dit is gedocumenteerd als: “Systeem of geheel van systemen en modules dat identificatie en Authenticatie en autorisatie van gebruikers aan de hand van Authenticatiemiddelen uitvoert.”. Deze laatste past het best bij de applicatie componenten die in de HORA en MORA zijn gevonden. Daarnaast zijn de Entree Federatie en SURFconext geen applicaties waarmee identiteiten kunnen worden beheerd.

Het Identificatie-en authenticatiesysteem RC lijkt minder specifiek te zijn dan ROSA RC Toegangsdienst educatieve content. Dit is in lijn met wat we hebben gezien bij de andere sectorale referentiearchitecturen MORA en HORA. Wat betreft abstractieniveau lijkt dit beter aan te sluiten op het ROSA RC Authenticatiedienst instelling, maar deze is wat betreft naamgeving en omschrijving minder gedetailleerd.

Matches met Entree Federatie in FORA

Binnen het ArchiMate model van de FORA is Entree Federatie opgenomen als een applicatie component van het type 'landelijke voorziening'. De beschrijving van dit component komt overeen met hoe dit in de ROSA is opgenomen. Het component is niet gekoppeld aan een RC binnen de FORA, maar wordt bijvoorbeeld in de view “Applicatiefuncties en referentiecomponenten Landelijke voorzieningen” gebruikt. In deze view staan nog een paar andere instanties van applicaties zoals Basispoort, Nummervoorziening en RIO Register.

Wanneer wordt gezocht op “Entree” vinden we ook nog de applicatie service “Services voor service providers”. Hierbij wordt onder andere de Entree Federatie genoemd als voorbeeld.

Matches met SURFconext in FORA

Binnen het ArchiMate model van de FORA is SURFconext niet opgenomen als een applicatiecomponent. Wanneer wordt gezocht op “SURFconext” komen “Services voor service providers” en “Services voor identity providers” naar voren, waar SURFconext als voorbeeld van wordt genoemd.