IV-domein IAM
Naar navigatie springen
Naar zoeken springen
IV-domeinen > IV-domein IAM
Deze pagina is een uitgebreide beschrijving van het modelelement IAM (IV-domein)
Doel[bewerken]
Het IV-domein IAM dient een aantal doelen, dit zijn:
- inrichtingsvarianten die in praktijk bestaan zijn vergelijkbaar maken: dit wordt gerealiseerd door het beschrijven hoe een identiteitsverklaring verstrekt kan worden met de minimale attributenset die nodig is om de toegang tot een dienst te realiseren;
- bevorderen van privacy:de beschrijving omvat privacy-maatregelen die bij het delen van gegevens ten behoeve van toegang van toepassing zijn;
- bevorderen van interoperabiliteit: de beschrijving omvat maatregelen om semantische en technische interoperabiliteit te bevorderen;
Scenario's[bewerken]
Dit IV-domein omvat de volgende IV-procesmodellen:
- Inrichten Identity & Access Management (IAM): Beschrijft de generieke functies die relevant zijn bij het realiseren en gebruik van een gekwalificeerde digitale identiteit ten behoeve van toegang (identiteitsverklaring).
...de volgende IV-inrichtingsscenario's:
- Authenticerende dienst: Een dienst heeft toegang zelfstandig ingericht (als fallback) en vereist hiermee dat dienstafnemers over het door hen uitgegeven authenticatiemiddel gebruiken.
- Doorgifte identiteiten: Combinatie van inrichtingsvarianten voor federatieve toegang die er toe bijdragen dat een dienstafnemer met een bepaald authenticatiemiddel een dienst kan afnemen, maar hierin ook keuze heeft (eduID of schoolaccount, of..).
...de volgende IV-inrichtingssjablonen:
- Federatief basis: Federatief basis is een functioneel model dat het federeren van identiteitsgegevens via een centrale hub beschrijft. De hub functioneert als een intermediair tussen authenticatiediensten en de diensten van dienstverleners. In dit model kunnen identiteiten doorgegeven worden, maar niet getransformeerd.
- Federatief met gedelegeerd Identiteitsprovider: Federatief gedelegeerd is een functioneel model dat het federeren van identiteitsgegevens via een gedelegeerde identiteitsprovider beschrijft. De hub functioneert als een intermediair tussen authenticatiediensten, de identiteitsprovider en de diensten van dienstverleners. In dit model kunnen – via de gedelegeerde identiteitsprovider - identiteiten wel worden getransformeerd of kan een gedeelde identiteit worden gebruikt.
- Wallet in federatief stelsel: Wallets (of andere vormen van 'bring your own identity') kunnen identiteitsverklaringen of identificerende attributen bevatten en deze verstrekken zonder actieve tussenkomst van een identiteitsprovider. Dit kan in een scenario zonder federatie: alle diensten begrijpen en vertrouwen dan de verklaringen die vanuit de wallet worden verstrekt. Het kan ook met een federatie: dan worden de identiteitsverklaringen uit de wallet doorgegeven door de hub (federatief basis), of getransformeerd (federatief met gedelegeerd identiteitsprovider).
... en de volgende IV-inrichtingen:
- Basispoort: ‘Single Sign On’ toegangsdienst tot online software van de aangesloten uitgeverijen en distributeurs voor leerlingen, leerkrachten en ondersteunende medewerkers van basisscholen.
- Entree Federatie: Publieke voorziening die docenten en onderwijsdeelnemers single sign-on toegang biedt tot digitale leermiddelen en educatieve diensten.
- SURFconext: Toegangsdienst die identityproviders (onderwijsinstellingen) koppelt met clouddiensten van dienstverleners zodat gebruikers single sign-on een veilige toegang krijgen tot beschikbare diensten.
Overzicht[bewerken]
Elementen die binnen het IV-domein IAM vallen zijn:
Ondersteunende processen[bewerken]
| Ondersteunend proces | Beschrijving |
|---|---|
| Authenticatie | Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? |
| Authenticatiemiddelenbeheer | NORA: Het proces dat Entiteiten voorziet van Authenticatiemiddelen of deze middelen intrekt. |
| Autorisatie | Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT-voorzieningen. |
| Identiteitenbeheer | Proces dat digitale identiteiten tot stand brengt (en onderhoudt/actualiseert) voor entiteiten. |
Rollen[bewerken]
| Rol | Beschrijving |
|---|---|
| Authenticatiedienstbeheerder | De authenticatiedienst beheerder is verantwoordelijk voor het leveren van identiteitsverklaringen. Dit doen zij via een authenticatiedienst. Om de dienstafnemer te kunnen authenticeren en de identiteitsverklaring te kunnen leveren moeten zij een persoonsgebonden authenticatiemiddel registreren. De registratie is in feite de binding tussen de digitale identiteit, het authenticatiemiddel en de persoon zelf. Er is dus sprake van een identiteitsverificatie en registratie van de gekwalificeerde digitale identiteit. Deze functies kunnen onderdeel zijn van het identiteitsbeheer dat door een andere partij en/of systeem uitgevoerd wordt of dat de authenticatiedienst beheerder zelf uitvoert. Binnen federatieve toegang wordt er vanuit gegaan dat een authenticatiedienst beheerder een rechtspersoon is. In de context van het onderwijs is dit over het algemeen de onderwijsorganisatie waar de dienstafnemer (onderwijsvolger of medewerker) aan verbonden is. |
| Beheerder identiteiten | |
| Verklarende partij | Een organisatie die verifieerbare of gekwalificeerde verklaringen uitgeeft. |
Referentiecomponenten[bewerken]
| Referentiecomponent | Beschrijving |
|---|---|
| Authenticatiemiddelenvoorziening | Voorziening waarmee Authenticatiemiddelen worden uitgegeven, ingenomen en vernietigd. |
| Authenticerende IdP | Een Identity Provider die de identificatie en authenticatie van eindgebruikers uitvoert. De Authenticerende Identity Provider beschikt hiervoor over authenticatiemiddelenvoorziening. |
| Authenticerende dienst | De Authenticerende Dienst verzorgt zelfstandig de authenticatie en autorisatie van eindgebruikers en beschikt hiervoor over een eigen register van identiteiten, authenticatiemiddelenvoorziening en een autorisatievoorziening. |
| Autorisatievoorziening | Voorziening waarmee de toegang van digitale identiteiten kan worden verbreed of beperkt, d.m.v. van rechten. |
| Bronsysteem identiteiten | Een systeem dat de registratie, het beheer en de uitwisseling van persoonsgegevens ondersteunt. |
| Delegerende IdP | Een Identity Provider die de identificatie en authenticatie van eindgebruikers delegeert aan een Authenticerende Identity Provider. |
| Dienst met SSO | Een Dienst die bij de authenticatie van eindgebruikers gebruikt maakt van een Identiteitsverklaring afgegeven door een (Authenticerende of Delegerende) Identity Provider of een Federatieve Hub. De Dienst met SSO verzorgt daarnaast de autorisatie van eindgebruikers en beschikt hiervoor over een eigen register van identiteiten en een autorisatievoorziening. |
| Federatieve hub | De Federatieve hub vervult een hubfunctie tussen functie tussen (Authenticerende of Delegerende) Identity Providers en Diensten met SSO.
Van een Identity Provider ontvangt de Federatieve hub een Identiteitsverklaring. Deze kan worden doorgestuurd naar een Diensten met SSO. Deze uitwisselingen vinden alleen plaats met Identity Providers en Diensten met SSO waarmee de Federatieve hub een vertrouwensrelatie heeft. |
| Identiteitsbeheervoorziening | Voorziening waarmee digitale identiteiten worden aangemaakt, verwerkt en eventueel vernietigd. Deze ondersteunt het identiteitenbeheer. |
| Identity provider | Een systeem waarin identiteiten worden geregistreerd en op basis van die identiteiten identiteitsverklaringen beschikbaar worden gesteld. |
| SSI-dienst | Een virtuele voorziening voor het ondersteunen van Self-Sovereign-Identity (SSI) services. Met self-sovereign identity (SSI) heeft de gebruiker de mogelijkheid om unieke identificatoren te maken en te beheren alsook om identiteit data op te slaan. In een self-sovereign identity aanpak kunnen gebruikers hun eigen identiteit maken en beheren, zonder dat ze afhankelijk zijn van een centrale autoriteit. |
| Wallet | Een component die gebruikt wordt door zijn houder om verifieerbare credentials en cryptografische sleutels aan te vragen, op te slaan, uit te geven, te tonen en te beheren. Credentials en sleutels kunnen op verschillende manieren worden beheerd en opgeslagen, onder andere op een lokaal apparaat, in een zelf-gehoste service of in een externe dienst van een derde partij. (OpenID for Verifiable Credential Issuance) |
Informatieobjecten[bewerken]
| Informatieobject | Beschrijving |
|---|---|
| Authenticatiemiddel | Een set van attributen (bijvoorbeeld een certificaat) op grond waarvan authenticatie van een partij kan plaatsvinden. |
| Autorisatiebeslissing | De uitkomst van een autorisatie |
| Autorisatieregels | Als informatie vastgelegde bevoegdheden. |
| Digitale identiteit | Een identiteit die een digitale representatie is van een persoon. |
| Entiteit | Een herkenbaar en onderscheidbaar iets dat relevant is voor identity and access management en waarbij een digitale identiteit kan behoren. |
| Gekwalificeerde digitale identiteit | Gegevens betreffende de digitale representatie is van een persoon. Een identiteit die als basis kan worden gebruikt voor een gekwalificeerde verklaring. |
| Gekwalificeerde verklaring | Een verklaring (verifieerbaar of gekwalificeerd) die de uitkomst bevat van een authenticatie. |
| Identiteitsverklaring | Uitkomst van een authenticatie die is uitgevoerd door een vertrouwde partij. |
| Toegang tot leermiddel | De constatering dat een gebruiker toegelaten wordt tot het educatieve digitale product (leermiddel) en gebruik mag maken van het desbetreffende digitaal leermateriaal. |
Ketenvoorzieningen[bewerken]
| Ketenvoorziening | Beschrijving |
|---|---|
| Basispoort | ‘Single Sign-On’ toegangsdienst tot online software van de aangesloten uitgeverijen en distributeurs voor leerlingen, leerkrachten en ondersteunende medewerkers van basisscholen. |
| DigiD | DigiD is het digitale authenticatiesysteem voor overheidsorganisaties en publieke dienstverleners. Met DigiD kunnen zij online de identiteit van burgers vaststellen |
| Directe Toegang | Doel van "Directe Toegang" is om de toegang en het gebruik van het digitale lesmateriaal van uitgeverijen te ondersteunen in het vo. |
| Eduroam | Eduroam is een internationaal netwerk om toegang te krijgen tot vaste en draadloze netwerken (wifi) in het onderwijs. |
| Entree Federatie | Publieke voorziening die docenten en onderwijsdeelnemers single sign-on toegang biedt tot digitale leermiddelen en educatieve diensten. |
| SURFconext | Toegangsdienst die identityproviders (onderwijsinstellingen) koppelt met clouddiensten van dienstverleners zodat gebruikers single sign-on een veilige toegang krijgen tot beschikbare diensten. |
| eHerkenning | eHerkenning is een overheidsdienst die de digitale herkenning van (zakelijke) afnemers (publieke en private organisaties) van overheidsdiensten regelt. De voorziening biedt een veilig en betrouwbaar inlogmiddel waarmee medewerkers bij bedrijven en organisaties bij ruim 500 verschillende dienstverleners, zoals UWV, gemeenten, Belastingdienst en verzekeraars kunnen inloggen en diensten kunnen afnemen. |
| eduID.nl | eduID is een voorziening voor gebruik binnen het Nederlandse onderwijs en onderzoek. Met eduID kan een overkoepelende digitale identiteit worden gemaakt, onafhankelijk van een instelling. Hiermee kunnen studenten, medewerkers en onderzoekers inloggen op diensten die zijn aangesloten op SURFconext. eduID wordt ingezet voor instellingsoverstijgende diensten voor studentmobiliteit, onderwijsuitvoering en disseminatie van onderzoek. |
Standaarden en afspraken[bewerken]
| Standaard / Afspraak | Beschrijving |
|---|---|
| ECK iD | De afspraak ECK iD helpt scholen de privacy en beveiliging rond digitale leermiddelen veilig te regelen. Het ECK iD maakt dat er minder identificerende gegevens over de lijn hoeven wat goed is voor de privacy. Vaste afspraken over hóe informatie gedeeld en opgeslagen wordt verstevigen bovendien de informatiebeveiliging. |
| OpenID Connect | Maakt Single Sign On (SSO) mogelijk. |
| SAML 2.0 | Security Assertion Markup Language (SAML) maakt Single Sign On (SSO) mogelijk. |