Inrichten Identity & Access Management
Het IV-domein 'Inrichten Identity & Access Management' (IAM) beschrijft de generieke functies die relevant zijn bij het realiseren en gebruik van een gekwalificeerde digitale identiteit ten behoeve van toegang (identiteitsverklaring). Deze beschrijving geeft inzicht in wat een dienstverlener moet organiseren om dienstafnemers toegang te kunnen verschaffen tot een dienst. Dit betreft het bepalen van de toegangseisen die voor een dienst moeten gelden en het (laten) organiseren dat dienstafnemers over de juiste middelen beschikken om toegang te kunnen krijgen tot de dienst. Dit wordt schematisch weergegeven in onderstaande figuur.
De kwaliteit van de identiteitsverklaring voor toegang wordt bepaald door het normenkader betrouwbaarheidsniveaus. Dit normenkader bevat voorschriften voor de generieke functies die een rol spelen bij het realiseren en gebruik ervan. Omdat de identiteitsverklaring mogelijk persoonsgegevens bevat die de dienst zal verwerken speelt ook instemming van de rechthebbende een rol. Afhankelijk van het scenario kan dit de betrokkene zelf zijn, of bijvoorbeeld een verwerkingsverantwoordelijke.
Digitale identiteit[bewerken]
wordt aangevuld
In de praktijk hebben zowel onderwijsinstellingen als onderwijsdeelnemers te maken met een heterogene set aan identifiers, attributen. In lokale context is dat praktisch oplosbaar, zodra contexten worden verbonden leidt dat tot uitdagingen. Precies dat verbinden van contexten is nu aan de hand:
- instellingscontexten raken steeds meer verbonden doordat er steeds meer opleidingen zijn die ofwel door meerdere instellingen worden verzorgd, ofwel waarvan delen buiten de thuisinstelling worden gevolgd.
- de onderwijscontext wordt verbonden met de nationale en internationale context doordat bijvoorbeeld badges en diploma's in digitale vorm direct worden toegepast in processen die buiten het onderwijs liggen. Dit betekent dat de identiteit waaraan het diploma wordt uitgegeven duurzaam moet worden gekoppeld aan de identeit die wordt gebruikt bij het tonen van de badge of het diploma [noot: dit wil geenszins zeggen dat dat dezelfde identifiers of attributen zijn]
- Wetgeving rondom gebruik PGN en BSN legt beperkingen op aan het gebruik van die nummers. Vaak terecht, soms onhandig.
- Identiteitenstelsels vertonen twee bewegingen:
- van herkenbare nummers naar pseudoniemen (eID)
- van nummers naar attributen (eIDAS 2, wallets)
- Voor intern gebruik en voor uitwisseling tussen instellingen onderling en met verschillende ketenpartners is gebruik van identifiers praktisch en soms verplicht. Als er een duidelijke grondslag is, is dat ook niet a priori een probleem. Privacytechnisch lijkt het gebruik van een 'nummer', zeker als dat zonder context betekenisloos is, te verkiezen boven het meesturen van attributen (dataminimalisatie).
Gevolg is dat alle mechanismen waarbij er vertrouwd wordt op nummers om personen te authenticeren uiteindelijk 'stuk' gaan. Enerzijds zien organisaties onderling verschillende niet direct aan elkaar te relateren pseudoniemen voor dezelfde onderwijsdeelnemer, anderzijds moet ook voor attributen steeds de vertaalslag worden gemaakt naar een intern te gebruiken identeit.
Wat is daar minimaal voor nodig:
- een stabiele set attributen horend bij een onderwijsdeelnemer die universeel is te gebruiken in het onderwijs
- een mechanisme om die attributen te relateren aan, of af te leiden van, verschillende identiteitenstelsels buiten het onderwijs
- een mechanisme om die attributen te herleiden naar diverse identifiers die in het onderwijs in het gebruik zijn
- een mechanisme om die attributen als credential op te nemen in de digitale wallets/kluizen van onderwijsdeelnemers
NB: de huidige set eIDAS-attributen is zeer beperkt: huidige voor- en achternaam, geboortedatum en een uniqueness identifier. Optioneel kunnen daar (land/middel-afhankelijk) aan worden toegevoegd: volledige geboortenaam, geboorteplaats, huidig adres en geslacht. Er wordt overwogen om ook nationaliteit(en) toe te voegen aan de optionele set.
Op basis van uitsluitend de verplichte attributen is geen betrouwbare match te maken met een onderwijsdeelnemer. Enige vorm van een specifieke onderwijsidentiteit/een set onderwijsspecifieke attributen is nodig om dat te bewerkstelligen. Langs de administratieve kant komt dan het PGN (in een of andere vorm) in beeld, in combinatie met het concept 'HO-kaart' zoals in HOSA IAM geïntroduceerd.
Generieke functies[bewerken]
De generieke functies die relevant zijn voor het realiseren van een digitale identiteit worden beschreven bij ‘voorbereiden toegang’. De generieke functies die relevant zijn bij het gebruik van een gekwalificeerde digitale identiteit ten behoeve van toegang worden beschreven bij ‘verlenen toegang’. De functies bij ‘voorbereiden toegang’ zijn randvoorwaardelijk voor de functies bij ‘verlenen toegang’.
Voorbereiden toegang[bewerken]
Voorbereiden toegang betreft de volgende beheerprocessen:
- Identiteitenbeheer;
- Authenticatiemiddelenbeheer;
- Bevoegdhedenbeheer.
Identiteitenbeheer[bewerken]
De digitale identiteit kent een vaste levenscyclus. Dit betekent dat een digitale identiteit gecreëerd wordt maar ook kan wijzigen of verwijderd worden. Deze functies zijn onderdeel van het identiteitenbeheer. Het identiteitenbeheer wordt ondersteund door een identiteitsbeheervoorziening (IDMS[1]) waarin de digitale identiteiten worden opgeslagen met de nodige attributen. Een digitale identiteit binnen een IDMS moet uniek identificeerbaar zijn en bevat dus voldoende informatie om deze van anderen te kunnen onderscheiden. Hieronder wordt de functie 'Creatie gekwalificeerde digitale identiteit' binnen het identiteitenbeheer nader toegelicht.
- Creatie gekwalificeerde digitale identiteit
Bij creatie gekwalificeerde digitale identiteit gelden de volgende ontwerpkaders:
- Registratie en (persoons)gegevens van een natuurlijk persoon conform een normenkader betrouwbaarheidsniveaus;
- De gekwalificeerde digitale identiteit is uniek identificeerbaar.
Authenticatiemiddelenbeheer[bewerken]
Ook het authenticatiemiddel kent een vaste levenscyclus. Dit betekent dat deze geregistreerd wordt, maar ook kan wijzigen of verwijderd worden. Het gaat hierbij over het algemeen om het wel of niet toepassen van een bepaalde authenticatiefactor en de gegevens die hiervoor geregistreerd worden. Of er bijvoorbeeld sprake is van uitgifte en beheer van een fysiek authenticatiemiddel hangt van de authenticatiefactor af.
- Registratie authenticatiemiddel
Een authenticatiemiddel wordt geregistreerd en daarna gebruikt voor authenticatie van de dienstafnemer.
Voor authenticatiemiddelenbeheer gelden de volgende ontwerpkaders:
- Bij registratie van het authenticatiemiddel wordt deze gekoppeld aan een natuurlijk persoon conform een normenkader betrouwbaarheidsniveaus;
Bevoegdhedenbeheer[bewerken]
Bevoegdhedenbeheer betreft de “levenscyclus” van bevoegdheden: vanaf het onderkennen (ontstaan en eventueel aanpassen), naar het toekennen aan digitale identiteiten en het verklaren daarvan, tot aan het intrekken (verwijderen) van bevoegdheden. Doorgaans wordt dit ook wel Autorisatie beheer of Access management genoemd.
- Bepalen minimale betrouwbaarheidsniveau identiteitsverklaring
Over het algemeen wordt vooraf aan verlenen toegang ook bepaald wat een dienstafnemer (een bepaalde digitale identiteit) mag. Autorisaties (toekennen van bevoegdheden aan een bepaalde digitale identiteit) kunnen op verschillende niveaus gedefinieerd worden. Op het hoogste niveau gaat het om toegang tot een bepaalde dienst die (vertrouwelijke) gegevens van een bepaalde dataclassificatie ontsluit. Op een lager niveau kan het ook om autorisaties voor een bepaalde gegevensset gaan en de bewerkingen die uitgevoerd mogen worden.
Voor autorisaties op het hoogste niveau zal de dienstverlener op basis van een risicoanalyse bepalen wat het betrouwbaarheidsniveau van de identiteitsverklaring moet zijn.Voor het bepalen van het minimale betrouwbaarheidsniveau van een dienst gelden de volgende ontwerpkaders:
- Bepaal design-time eisen (minimale betrouwbaarheidsniveau ) t.b.v. toegang;
- De dienstverlener stelt op basis van een risicoanalyse vast wat het minimale betrouwbaarheidsniveau van de identiteitsverklaring moet zijn.
Verlenen toegang[bewerken]
Verlenen toegang betreft de volgende processen:
- Authenticatiemiddelenbeheer;
- Bevoegdhedenbeheer.
Authenticatiemiddelenbeheer[bewerken]
- Authenticatie
Authenticatie toont met bepaalde mate van betrouwbaarheid aan of de dienstafnemer ook daadwerkelijk degene is die zich als zodanig voorgeeft. Het product van de authenticatie is de identiteitsverklaring van een bepaald betrouwbaarheidsniveau.
Bij het authentiseren speelt de authenticatiefactor een belangrijke rol. Het is een attribuut waarvan is bevestigd dat deze gebonden is aan een natuurlijk persoon die het authenticatiemiddel gebruikt en die onder een van de drie volgende categorieën valt.
- Op bezit gebaseerde authenticatiefactor: een authenticatiefactor waarvan de Entiteit moet aantonen dat deze in zijn bezit is.
- Op kennis gebaseerde authenticatiefactor: een authenticatiefactor waarvan de Entiteit moet aantonen dat hij ervan kennis draagt.
- Inherente authenticatiefactor: een authenticatiefactor die op een fysiek kenmerk van een Entiteit is gebaseerd en waarbij de Entiteit moet aantonen dat hij dat fysieke kenmerk bezit.
- Autorisatie
Autorisatie is een functie van de dienstverlener. De autorisatie-functie wordt uitgevoerd aan de hand van autorisatieregels. Deze zijn o.a. gebaseerd op attributen in de identiteitsverklaring, maar ook het betrouwbaarheidsniveau van de identiteitsverklaring. Deze is bij het bepalen van het minimale betrouwbaarheidsniveau vastgesteld.
De autorisatie-functie leidt tot een autorisatiebeslissing die (inclusief de identiteitsverklaring) kan worden bewaard om zich later te kunnen verantwoorden voor het toegang geven tot een dienst. De attributen in de identiteitsverklaring of mogelijke aanvullende gegevens die apart opgehaald kunnen worden zijn bepalend voor de bevoegdheden van een dienstafnemer.
- ↑ Ook wel identiteitsmanagementsysteem (IDMS) genoemd