Inrichten Identity & Access Management

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen

Deze pagina bevat een concepttekst die momenteel in bewerking is.
Toelichting: De invulling en beschrijving van dit IV-toepassingsscenario wordt nader uitgewerkt ism de Werkgroep Toegang.

Deze pagina is een uitgebreide beschrijving van Inrichten Identity & Access Management (IAM) (IV-toepassingsscenario)

Het IV-toepassingsscenario 'Inrichten Identity & Access Management' (IAM) beschrijft de generieke functies die relevant zijn bij het realiseren en gebruik van een gekwalificeerde digitale identiteit ten behoeve van toegang (identiteitsverklaring). De gekwalificeerde digitale identiteit van een bij het onderwijs betrokken persoon (dienstafnemer) wordt ten behoeve van een dienstverlener geleverd. Deze wil de dienstafnemer kunnen identificeren en autoriseren. Dit wordt schematisch weergegeven in onderstaande figuur.

Beschrijft de generieke functies die relevant zijn bij het realiseren en gebruik van een gekwalificeerde digitale identiteit ten behoeve van toegang (identiteitsverklaring). (Grouping) Inrichten Identity & Access Management (IAM) Proces dat digitale identiteiten tot stand brengt (en onderhoudt/actualiseert) voor entiteiten. (BusinessProcess) Identiteitenbeheer Gegevens betreffende de digitale representatie is van een persoon. Een identiteit die als basis kan worden gebruikt voor een gekwalificeerde verklaring. (BusinessObject) Gekwalificeerde digitale identiteit Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? (BusinessProcess) Authenticatie Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT-voorzieningen. (BusinessProcess) Autorisatie Uitkomst van een authenticatie die is uitgevoerd door een vertrouwde partij. (BusinessObject) Identiteitsverklaring BusinessRole Beheerder identiteiten NORA: Het proces dat Entiteiten voorziet van Authenticatiemiddelen of deze middelen intrekt. (BusinessProcess) Authenticatiemiddele- nbeheer Een set van attributen (bijvoorbeeld een certificaat) op grond waarvan authenticatie van een partij kan plaatsvinden. (BusinessObject) Authenticatiemiddel Een herkenbaar en onderscheidbaar iets dat relevant is voor identity and access management en waarbij een digitale identiteit kan behoren. (BusinessObject) Entiteit De authenticatiedienst beheerder is verantwoordelijk voor het leveren van identiteitsverklaringen. Dit doen zij via een authenticatiedienst. Om de dienstafnemer te kunnen authenticeren en de identiteitsverklaring te kunnen leveren moeten zij een persoonsgebonden authenticatiemiddel registreren. De registratie is in feite de binding tussen de digitale identiteit, het authenticatiemiddel en de persoon zelf. Er is dus sprake van een identiteitsverificatie en registratie van de gekwalificeerde digitale identiteit. Deze functies kunnen onderdeel zijn van het identiteitsbeheer dat door een andere partij en/of systeem uitgevoerd wordt of dat de authenticatiedienst beheerder zelf uitvoert. Binnen federatieve toegang wordt er vanuit gegaan dat een authenticatiedienst beheerder een rechtspersoon is. In de context van het onderwijs is dit over het algemeen de onderwijsorganisatie waar de dienstafnemer (onderwijsvolger of medewerker) aan verbonden is. (BusinessRole) Authenticatiedienst- beheerder Als informatie vastgelegde bevoegdheden. (BusinessObject) Autorisatieregels Voorziening waarmee Authenticatiemiddelen worden uitgegeven, ingenomen en vernietigd. (ApplicationComponent) Authenticatiemidde- lenvoorziening Voorziening waarmee de toegang van digitale identiteiten kan worden verbreed of beperkt, d.m.v. van rechten. (ApplicationComponent) Autorisatievoorzien- ing Voorziening waarmee digitale identiteiten worden aangemaakt, verwerkt en eventueel vernietigd. Deze ondersteunt het identiteitenbeheer. (ApplicationComponent) Identiteitsbeheervo- orziening De uitkomst van een autorisatie (BusinessObject) Autorisatiebeslissing ArchiMateNote Bevoegdhedenbeheer => levert Bevoegdheidsverklaring Een verklaring (verifieerbaar of gekwalificeerd) die de uitkomst bevat van een authenticatie. (BusinessObject) Gekwalificeerde verklaring Een organisatie die verifieerbare of gekwalificeerde verklaringen uitgeeft. (BusinessRole) Verklarende partij AccessRelationship R AccessRelationship W AccessRelationship R AccessRelationship W AccessRelationship R AccessRelationship R AccessRelationship R AccessRelationship W SpecializationRelationship AssignmentRelationship AccessRelationship W AssignmentRelationship ServingRelationship ServingRelationship ServingRelationship AssignmentRelationship Deze svg is op 05-12-2024 12:20:41 CET gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 05-12-2024 12:20:41 CET

De kwaliteit van de identiteitsverklaring voor toegang wordt bepaald door het normenkader betrouwbaarheidsniveaus. Dit normenkader bevat voorschriften voor de generieke functies die een rol spelen bij het realiseren en gebruik ervan. Omdat de identiteitsverklaring mogelijk persoonsgegevens bevat die de dienst zal verwerken speelt ook instemming van de rechthebbende een rol. Afhankelijk van het scenario kan dit de betrokkene zelf zijn, of bijvoorbeeld een verwerkingsverantwoordelijke.

Generieke functies[bewerken]

De generieke functies die relevant zijn voor het realiseren van een digitale identiteit worden beschreven bij ‘voorbereiden toegang’. De generieke functies die relevant zijn bij het gebruik van een gekwalificeerde digitale identiteit ten behoeve van toegang worden beschreven bij ‘verlenen toegang’. De functies bij ‘voorbereiden toegang’ zijn randvoorwaardelijk voor de functies bij ‘verlenen toegang’.

Voorbereiden toegang[bewerken]

Voorbereiden toegang betreft de volgende beheerprocessen:

  • Identiteitenbeheer;
  • Authenticatiemiddelenbeheer;
  • Bevoegdhedenbeheer.

Identiteitenbeheer[bewerken]

De digitale identiteit kent een vaste levenscyclus. Dit betekent dat een digitale identiteit gecreëerd wordt maar ook kan wijzigen of verwijderd worden. Deze functies zijn onderdeel van het identiteitenbeheer. Het identiteitenbeheer wordt ondersteund door een identiteitsbeheervoorziening (IDMS[1]) waarin de digitale identiteiten worden opgeslagen met de nodige attributen. Een digitale identiteit moet uniek identificeerbaar binnen de scope van een IDMS zijn en bevat dus voldoende informatie om deze van anderen te kunnen onderscheiden. Hieronder wordt de functie 'Creatie gekwalificeerde digitale identiteit' binnen het identiteitenbeheer nader toegelicht.

Creatie gekwalificeerde digitale identiteit

Bij creatie gekwalificeerde digitale identiteit gelden de volgende ontwerpkaders:

  1. Registratie en (persoons)gegevens van een natuurlijk persoon conform een normenkader betrouwbaarheidsniveaus waarbij deze voldoet aan het hoogste niveau dat bij gebruik van de digitale identiteit wordt vereist;
  2. De gekwalificeerde digitale identiteit is uniek identificeerbaar binnen het IDMS waarin deze is geregistreerd.

Authenticatiemiddelenbeheer[bewerken]

Ook het authenticatiemiddel kent een vaste levenscyclus. Dit betekent dat deze geregistreerd wordt, maar ook kan wijzigen of verwijderd worden. Het gaat hierbij over het algemeen om het wel of niet toepassen van een bepaalde authenticatiefactor en de gegevens die hiervoor geregistreerd worden. Of er bijvoorbeeld sprake is van uitgifte en beheer van een fysiek authenticatiemiddel hangt van de authenticatiefactor af.

Registratie authenticatiemiddel

Een authenticatiemiddel wordt geregistreerd en daarna gebruikt voor authenticatie van de dienstafnemer.

Voor authenticatiemiddelenbeheer gelden de volgende ontwerpkaders:

  1. Bij registratie van het authenticatiemiddel wordt deze gekoppeld aan een natuurlijk persoon (onderwijsbetrokkene) conform een normenkader betrouwbaarheidsniveaus;

Bevoegdhedenbeheer[bewerken]

Bevoegdhedenbeheer betreft de “levenscyclus” van bevoegdheden: vanaf het onderkennen (ontstaan en eventueel aanpassen), naar het toekennen aan digitale identiteiten en het verklaren daarvan, tot aan het intrekken (verwijderen) van bevoegdheden. Het registreren van bevoegdheden in het systeem wordt doorgaans ook wel Autorisatie beheer of Access management genoemd.

Bepalen minimale betrouwbaarheidsniveau identiteitsverklaring

Over het algemeen wordt vooraf aan verlenen toegang ook bepaald wat een dienstafnemer (een bepaalde digitale identiteit) mag. Autorisaties (toekennen van bevoegdheden aan een bepaalde digitale identiteit) kunnen op verschillende niveaus/manieren[2] gedefinieerd worden. Op het hoogste niveau gaat het om toegang tot een bepaalde dienst die (vertrouwelijke) gegevens van een bepaalde dataclassificatie ontsluit. Op een lager niveau kan het ook om autorisaties voor een bepaalde gegevensset gaan en de bewerkingen die uitgevoerd mogen worden.

Voor autorisaties op het hoogste niveau zal de dienstverlener op basis van een risicoanalyse bepalen wat het betrouwbaarheidsniveau van de identiteitsverklaring moet zijn.Voor het bepalen van het minimale betrouwbaarheidsniveau van een dienst gelden de volgende ontwerpkaders:

  1. Bepaal design-time eisen (minimale betrouwbaarheidsniveau ) t.b.v. toegang;
  2. De dienstverlener stelt op basis van een risicoanalyse vast wat het minimale betrouwbaarheidsniveau van de identiteitsverklaring moet zijn.

Verlenen toegang[bewerken]

Verlenen toegang betreft de volgende processen:

Authenticatie

Authenticatie toont met bepaalde mate van betrouwbaarheid aan of de dienstafnemer ook daadwerkelijk degene is die zich als zodanig voorgeeft. Het product van de authenticatie is de identiteitsverklaring van een bepaald betrouwbaarheidsniveau.

Bij het authentiseren speelt de authenticatiefactor een belangrijke rol. Het is een attribuut waarvan is bevestigd dat deze gebonden is aan een natuurlijk persoon die het authenticatiemiddel gebruikt en die onder een van de drie volgende categorieën valt.

  1. Op bezit gebaseerde authenticatiefactor: een authenticatiefactor waarvan de Entiteit moet aantonen dat deze in zijn bezit is.
  2. Op kennis gebaseerde authenticatiefactor: een authenticatiefactor waarvan de Entiteit moet aantonen dat hij ervan kennis draagt.
  3. Inherente authenticatiefactor: een authenticatiefactor die op een fysiek kenmerk van een Entiteit is gebaseerd en waarbij de Entiteit moet aantonen dat hij dat fysieke kenmerk bezit.
Autorisatie

Autorisatie is een functie van de dienstverlener. De autorisatie-functie wordt uitgevoerd aan de hand van autorisatieregels. Deze zijn o.a. gebaseerd op attributen in de identiteitsverklaring, maar ook het betrouwbaarheidsniveau van de identiteitsverklaring. Deze is bij het bepalen van het minimale betrouwbaarheidsniveau vastgesteld.

De autorisatie-functie leidt tot een autorisatiebeslissing die (inclusief de identiteitsverklaring) kan worden bewaard om zich later te kunnen verantwoorden voor het toegang geven tot een dienst. De attributen in de identiteitsverklaring of mogelijke aanvullende gegevens die apart opgehaald kunnen worden zijn bepalend voor de bevoegdheden van een dienstafnemer.

  1. Ook wel identiteitsmanagementsysteem (IDMS) genoemd
  2. Bijvoorbeeld 'iedereen die een bepaalde rol kan aantonen', of 'iedereen die een geldig OTP-token meeneemt'.