Federatief basis

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen

Deze pagina bevat een concepttekst die momenteel in bewerking is.
Toelichting: De invulling en beschrijving van deze pagina wordt nader uitgewerkt ism de Werkgroep Toegang.

Deze pagina is een uitgebreide beschrijving van Federatief basis (IV-inrichtingssjabloon)

Dit IV-inrichtingssjabloon is een realisatie van Doorgifte identiteiten (IV-inrichtingsscenario) en valt binnen het IV-domein IAM.

Federatie basis is (net als Federatief gedelegeerd een functioneel model dat het federeren van identiteitsgegevens via een centrale hub beschrijft. Het is een detaillering van het ROSA IV-toepassingsscenario Inrichten Identity & Access Management (IAM). Het gaat uit van een vertrouwensrelatie tussen de authenticatiedienstbeheerder, de dienstafnemer, de dienstverlener en de Hub beheerder. De hub functioneert als een intermediair tussen authenticatiediensten en de diensten van dienstverleners. De authenticatiediensten (bronhouders) leveren de digitale identiteit (identiteitsverklaring) van de dienstafnemer (betrokkene) aan dienstverleners die deze identiteit weer via de hub afnemen.

De hub heeft de diensten geregistreerd (onderdeel ondersteunen toegang) en per dienst is vastgelegd welke rechten en plichten er gelden (mogelijk onderdeel van een wettelijk kader). Bij registratie wordt aangegeven welk type (persoons)gegevens er voor identificatie en autorisatie nodig zijn en welk betrouwbaarheidsniveau wordt vereist. Afhankelijk van het protocol kan de dienstverlener deze ook via de authenticatievraag specificeren.

Combinatie van inrichtingsvarianten voor federatieve toegang die er toe bijdragen dat een dienstafnemer met een bepaald authenticatiemiddel een dienst kan afnemen, maar hierin ook keuze heeft (eduID of schoolaccount, of..). (Grouping) Doorgifte identiteiten Federatief basis is een functioneel model dat het federeren van identiteitsgegevens via een centrale hub beschrijft. De hub functioneert als een intermediair tussen authenticatiediensten en de diensten van dienstverleners. In dit model kunnen identiteiten doorgegeven worden, maar niet getransformeerd. (Grouping) Federatief basis Gegevens betreffende de digitale representatie is van een persoon. Een identiteit die als basis kan worden gebruikt voor een gekwalificeerde verklaring. (BusinessObject) Gekwalificeerde digitale identiteit Uitkomst van een authenticatie die is uitgevoerd door een vertrouwde partij. (BusinessObject) Identiteitsverklaring Uitkomst van een authenticatie die is uitgevoerd door een vertrouwde partij. (BusinessObject) Identiteitsverklaring De Federatieve hub vervult een hubfunctie tussen functie tussen (Authenticerende of Delegerende) Identity Providers en Diensten met SSO. Van een Identity Provider ontvangt de Federatieve hub een Identiteitsverklaring. Deze kan worden doorgestuurd naar een Diensten met SSO. Deze uitwisselingen vinden alleen plaats met Identity Providers en Diensten met SSO waarmee de Federatieve hub een vertrouwensrelatie heeft. (ApplicationComponent) Federatieve hub ApplicationService Beheer (inzage en controle doorgifte) Functie om volgens een bepaalde voorschriften een voorspelbare en betrouwbare translatie van een protocol uit te kunnen voeren, bijvoorbeeld van SAML naar OpenID Connect. (ApplicationService) Protocoltranslatie Pseudonimiseren is een procedure waarmee identificerende gegevens met een bepaald algoritme worden vervangen door versleutelde gegevens (het pseudoniem). (ApplicationService) Pseudonimiseren Een dienstaanbieder kan mogelijk meerdere diensten bieden met een verschillend risicoprofiel. Omdat een hoger risicoprofiel een hoger betrouwbaarheidsniveau vereist en dit een negatieve impact heeft op de gebruikerservaring, kan een dienstaanbieder gebruikers op verschillende betrouwbaarheidsniveaus laten authenticeren. Bij step-up heeft er een authenticatie plaatsgevonden op een lager niveau voor een dienst met een lager risicoprofiel en moet de gebruiker zich authenticeren op een hoger betrouwbaarheidsniveau om gebruik te kunnen maken van een dienst met een hoger risicoprofiel. (ApplicationService) Step-up authenticatie ApplicationService Registratie authentiecatiediensten en diensten Een Identity Provider die de identificatie en authenticatie van eindgebruikers uitvoert. De Authenticerende Identity Provider beschikt hiervoor over authenticatiemiddelenvoorziening. (ApplicationComponent) Authenticerende IdP Ondersteunt het aanmaken, onderhouden en verwijderen van persoonsgebonden authenticatiemiddelen. Authenticatiebeheer kan het gebruik van extra authenticatiemiddelen voor multi-factor authenticatie ondersteunen. (ApplicationService) Authenticatiebeheer Het vastleggen van een credential of set van credentials die een persoon uniek kan identificeren, optioneel aangevuld met andere persoonsgegevens. (ApplicationService) Identiteitregistratie Onderhouden van relaties met aangesloten Authenticerende Identity Providers, Federatieve hubs en Diensten, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau. (ApplicationService) SSO-relatiebeheer Een systeem dat de registratie, het beheer en de uitwisseling van persoonsgegevens ondersteunt. (ApplicationComponent) Bronsysteem identiteiten Het aanmaken van een bij een persoon behorende set persoonsgegevens. (ApplicationService) Identiteitcreatie Het opslaan, actualiseren, uitwisselen, verwijderen van een bij een persoon behorende set persoonsgegevens. (ApplicationService) Identiteitbeheer Een Dienst die bij de authenticatie van eindgebruikers gebruikt maakt van een Identiteitsverklaring afgegeven door een (Authenticerende of Delegerende) Identity Provider of een Federatieve Hub. De Dienst met SSO verzorgt daarnaast de autorisatie van eindgebruikers en beschikt hiervoor over een eigen register van identiteiten en een autorisatievoorziening. (ApplicationComponent) Dienst met SSO RealizationRelationship AccessRelationship W AccessRelationship R AccessRelationship W AccessRelationship R AccessRelationship W AccessRelationship R Deze svg is op 09-12-2024 08:10:51 CET gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 09-12-2024 08:10:51 CET

De federatieve hub ondersteunt vele authenticatiediensten en er moet dus een functie zijn zodat de federatieve hub weet welke authenticatiedienst de dienstafnemer wil gebruiken voor authenticatie. Federatief basis kan de volgende voordelen opleveren:

  1. Gebruiksgemak: Het toepassen hiervan kan in combinatie met Single Sign-On de dienstafnemer extra gebruiksgemak opleveren doordat met 1 login meerdere diensten van verschillende partijen afgenomen kunnen worden. Als een dienstafnemer is ingelogd kan die zonder opnieuw in te hoeven loggen alle diensten afnemen met een gelijkwaardig of lager betrouwbaarheidsniveau dan het betrouwbaarheidsniveau van de betreffende uitgevoerde authenticatie (zolang de sessie duurt). Of en hoe dit allelmaal kan is echter onderdeel van het afsprakenstelsel.
  2. Transparantie: Centrale regie over welke gegevens met welke ketenpartij(en) worden uitgewisseld en over het algemeen een open afsprakenstelsel dat is opgesteld met de verschillende betrokken ketenpartijen.
  3. Compliance: De afspraken die voor het afsprakenstelsel zijn gespecificeerd kunnen met de hub geborgd worden, zoals uitwisseling op basis van een (verwerkers)overeenkomst en toepassing van voorgeschreven standaarden en (beveiligings)technieken.
    • Veiligheid en vertrouwelijkheid: Gegevens worden veilig uitgewisseld conform de eisen van de toepasselijke wet en regelgeving
    • Privacy maatregelen: Alleen bepaalde attributen doorgeven, helemaal geen attributen doorgeven, enz)
    • Attributen toevoegen of manipuleren
  4. Interoperabiliteit:
  5. Herbruikbaarheid: Het is een standaardoplossing die breed inzetbaar is met een minimum aan ontwikkelinspanning of maatwerk. Dienstverleners hebben het voordeel dat ze relatief dure processen voor uitgifte en het beheer van authenticatiemiddelen en digitale identiteiten niet zelf hoeven in te richten.
    • Protocol translatie: met een vertaaldienst kan een protocolvertaling ondersteund worden.
    • Autorisatiefunctie: Op basis van een bepaalde (centrale) policy toegang tot een bepaalde dienst ondersteunen.
    • Step-up functie: Bijvoorbeeld hoger betrouwbaarheidsniveau afhandelen
    • Ontkoppeling: Authenticatiedienst is ontkoppelt van de dienst.
    • Efficiëntie: Authenticatiedienstbeheerders en dienstverleners hoeven de systemen slechts te koppelen met de federatieve hub (n+m koppelingen, in plaats van n*m koppelingen).

Rollen[bewerken]

Dienstafnemer
Een dienstafnemer is een natuurlijk persoon die gebruik maakt van de verschillende diensten van de verschillende dienstverleners die aangesloten zijn op de federatie. Voor toegang maakt dienstafnemer gebruik van een authenticatiemiddel dat door een authenticatiedienst binnen de federatie aangeboden wordt. Zij moeten zorg dragen voor het authenticatiemiddel en beschermen tegen fraude en misbruik.
Dienstverlener
Dienstverleners die binnen een federatie opereren leveren diensten met een toegangsbeperking. Zij vertrouwen, en dus gebruiken, de identiteitsverklaringen (beweringen) die de hub levert om hiermee de dienstafnemers te kunnen autoriseren. Met het gebruik van de identiteitsverklaringen van de hub besparen zij op kosten die identiteitenbeheer en authenticatiemiddelenbeheer met zich meebrengt.
Authenticatiedienst beheerder
De authenticatiedienst beheerder is verantwoordelijk voor het leveren van identiteitsverklaringen. Dit doen zij via een authenticatiedienst. Om de dienstafnemer te kunnen authenticeren en de identiteitsverklaring te kunnen leveren moeten zij een persoonsgebonden authenticatiemiddel registreren. De registratie is in feite de binding tussen de digitale identiteit, het authenticatiemiddel en de persoon zelf. Er is dus sprake van een identiteitsverificatie en registratie van de gekwalificeerde digitale identiteit. Deze functies kunnen onderdeel zijn van het identiteitsbeheer dat door een andere partij en/of systeem uitgevoerd wordt of dat de authenticatiedienst beheerder zelf uitvoert. Binnen federatieve toegang wordt er vanuit gegaan dat een authenticatiedienst beheerder een rechtspersoon is. In de context van het onderwijs is dit over het algemeen de onderwijsorganisatie waar de dienstafnemer (onderwijsvolger of medewerker) aan verbonden is. [1]
Hub beheerder
De hub beheerder is verantwoordelijk voor het beheer van een federatieve toegangsvoorziening. Operationeel is de hub beheerder verantwoordelijk voor de betrouwbaarheid van de federatieve toegangsvoorziening en het kunnen doorgeven van identiteitsverklaringen. Naast de voorziening zijn ook de afspraken rond processen en procedures een belangrijk onderdeel waar deelnemers zich aan dienen te houden binnen de identiteitsfederatie. De dienstaanbieders moeten erop kunnen vertrouwen dat levenscyclus van de digitale identiteit en authenticatiemiddelen conform afspraken worden uitgevoerd.

Voetnoten[bewerken]

  1. NB Binnen federatieve toegang kan er een authenticatiedienst zijn die onder het beheer van de dienstafnemer zelf staat, of onder het beheer van een rechtspersoon die de dienstafnemer volledig regie laat voeren over zijn/haar eigen gegevens. Dit is deels een apart toepassingspatroon en wordt apart beschreven (zie Federatieve toegang - Regie op gegevens) omdat ook een aantal andere (bovenliggende) kaders gelden.