Federatief basis
Deze pagina is een uitgebreide beschrijving van Federatief basis (IV-inrichtingssjabloon)
Dit IV-inrichtingssjabloon is een realisatie van Doorgifte identiteiten (IV-inrichtingsscenario) en valt binnen het IV-domein IAM.
Federatie basis is (net als Federatief gedelegeerd een functioneel model dat het federeren van identiteitsgegevens via een centrale hub beschrijft. Het is een detaillering van het ROSA IV-toepassingsscenario Inrichten Identity & Access Management (IAM). Het gaat uit van een vertrouwensrelatie tussen de authenticatiedienstbeheerder, de dienstafnemer, de dienstverlener en de Hub beheerder. De hub functioneert als een intermediair tussen authenticatiediensten en de diensten van dienstverleners. De authenticatiediensten (bronhouders) leveren de digitale identiteit (identiteitsverklaring) van de dienstafnemer (betrokkene) aan dienstverleners die deze identiteit weer via de hub afnemen.
De hub heeft de diensten geregistreerd (onderdeel ondersteunen toegang) en per dienst is vastgelegd welke rechten en plichten er gelden (mogelijk onderdeel van een wettelijk kader). Bij registratie wordt aangegeven welk type (persoons)gegevens er voor identificatie en autorisatie nodig zijn en welk betrouwbaarheidsniveau wordt vereist. Afhankelijk van het protocol kan de dienstverlener deze ook via de authenticatievraag specificeren.
De federatieve hub ondersteunt vele authenticatiediensten en er moet dus een functie zijn zodat de federatieve hub weet welke authenticatiedienst de dienstafnemer wil gebruiken voor authenticatie. Federatief basis kan de volgende voordelen opleveren:
- Gebruiksgemak: Het toepassen hiervan kan in combinatie met Single Sign-On de dienstafnemer extra gebruiksgemak opleveren doordat met 1 login meerdere diensten van verschillende partijen afgenomen kunnen worden. Als een dienstafnemer is ingelogd kan die zonder opnieuw in te hoeven loggen alle diensten afnemen met een gelijkwaardig of lager betrouwbaarheidsniveau dan het betrouwbaarheidsniveau van de betreffende uitgevoerde authenticatie (zolang de sessie duurt). Of en hoe dit allelmaal kan is echter onderdeel van het afsprakenstelsel.
- Transparantie: Centrale regie over welke gegevens met welke ketenpartij(en) worden uitgewisseld en over het algemeen een open afsprakenstelsel dat is opgesteld met de verschillende betrokken ketenpartijen.
- Compliance: De afspraken die voor het afsprakenstelsel zijn gespecificeerd kunnen met de hub geborgd worden, zoals uitwisseling op basis van een (verwerkers)overeenkomst en toepassing van voorgeschreven standaarden en (beveiligings)technieken.
- Veiligheid en vertrouwelijkheid: Gegevens worden veilig uitgewisseld conform de eisen van de toepasselijke wet en regelgeving
- Privacy maatregelen: Alleen bepaalde attributen doorgeven, helemaal geen attributen doorgeven, enz)
- Attributen toevoegen of manipuleren
- Interoperabiliteit:
- Op semantisch niveau: zowel alle authenticatiediensten als alle diensten hebben een eenduidig beeld rond uitgewisselde gegevens (attributen).
- Op technisch niveau: de interoperabiliteit van diensten wordt versterkt door het gebruik van bewezen interoperabele open internationale standaarden.
- Herbruikbaarheid: Het is een standaardoplossing die breed inzetbaar is met een minimum aan ontwikkelinspanning of maatwerk. Dienstverleners hebben het voordeel dat ze relatief dure processen voor uitgifte en het beheer van authenticatiemiddelen en digitale identiteiten niet zelf hoeven in te richten.
- Protocol translatie: met een vertaaldienst kan een protocolvertaling ondersteund worden.
- Autorisatiefunctie: Op basis van een bepaalde (centrale) policy toegang tot een bepaalde dienst ondersteunen.
- Step-up functie: Bijvoorbeeld hoger betrouwbaarheidsniveau afhandelen
- Ontkoppeling: Authenticatiedienst is ontkoppelt van de dienst.
- Efficiëntie: Authenticatiedienstbeheerders en dienstverleners hoeven de systemen slechts te koppelen met de federatieve hub (n+m koppelingen, in plaats van n*m koppelingen).
Rollen[bewerken]
- Dienstafnemer
- Een dienstafnemer is een natuurlijk persoon die gebruik maakt van de verschillende diensten van de verschillende dienstverleners die aangesloten zijn op de federatie. Voor toegang maakt dienstafnemer gebruik van een authenticatiemiddel dat door een authenticatiedienst binnen de federatie aangeboden wordt. Zij moeten zorg dragen voor het authenticatiemiddel en beschermen tegen fraude en misbruik.
- Dienstverlener
- Dienstverleners die binnen een federatie opereren leveren diensten met een toegangsbeperking. Zij vertrouwen, en dus gebruiken, de identiteitsverklaringen (beweringen) die de hub levert om hiermee de dienstafnemers te kunnen autoriseren. Met het gebruik van de identiteitsverklaringen van de hub besparen zij op kosten die identiteitenbeheer en authenticatiemiddelenbeheer met zich meebrengt.
- Authenticatiedienst beheerder
- De authenticatiedienst beheerder is verantwoordelijk voor het leveren van identiteitsverklaringen. Dit doen zij via een authenticatiedienst. Om de dienstafnemer te kunnen authenticeren en de identiteitsverklaring te kunnen leveren moeten zij een persoonsgebonden authenticatiemiddel registreren. De registratie is in feite de binding tussen de digitale identiteit, het authenticatiemiddel en de persoon zelf. Er is dus sprake van een identiteitsverificatie en registratie van de gekwalificeerde digitale identiteit. Deze functies kunnen onderdeel zijn van het identiteitsbeheer dat door een andere partij en/of systeem uitgevoerd wordt of dat de authenticatiedienst beheerder zelf uitvoert. Binnen federatieve toegang wordt er vanuit gegaan dat een authenticatiedienst beheerder een rechtspersoon is. In de context van het onderwijs is dit over het algemeen de onderwijsorganisatie waar de dienstafnemer (onderwijsvolger of medewerker) aan verbonden is. [1]
- Hub beheerder
- De hub beheerder is verantwoordelijk voor het beheer van een federatieve toegangsvoorziening. Operationeel is de hub beheerder verantwoordelijk voor de betrouwbaarheid van de federatieve toegangsvoorziening en het kunnen doorgeven van identiteitsverklaringen. Naast de voorziening zijn ook de afspraken rond processen en procedures een belangrijk onderdeel waar deelnemers zich aan dienen te houden binnen de identiteitsfederatie. De dienstaanbieders moeten erop kunnen vertrouwen dat levenscyclus van de digitale identiteit en authenticatiemiddelen conform afspraken worden uitgevoerd.
Voetnoten[bewerken]
- ↑ NB Binnen federatieve toegang kan er een authenticatiedienst zijn die onder het beheer van de dienstafnemer zelf staat, of onder het beheer van een rechtspersoon die de dienstafnemer volledig regie laat voeren over zijn/haar eigen gegevens. Dit is deels een apart toepassingspatroon en wordt apart beschreven (zie Federatieve toegang - Regie op gegevens) omdat ook een aantal andere (bovenliggende) kaders gelden.