Inrichten Identity & Access Management
Deze pagina is een uitgebreide beschrijving van Inrichten Identity & Access Management (IAM) (IV-toepassingsscenario)
Het IV-toepassingsscenario 'Inrichten Identity & Access Management' (IAM) beschrijft de generieke functies die relevant zijn bij het realiseren en gebruik van een gekwalificeerde digitale identiteit ten behoeve van toegang (identiteitsverklaring). De gekwalificeerde digitale identiteit van een bij het onderwijs betrokken persoon (dienstafnemer) wordt ten behoeve van een dienstverlener geleverd. Deze wil de dienstafnemer kunnen identificeren en autoriseren. Dit wordt schematisch weergegeven in onderstaande figuur.
De kwaliteit van de identiteitsverklaring voor toegang wordt bepaald door het normenkader betrouwbaarheidsniveaus. Dit normenkader bevat voorschriften voor de generieke functies die een rol spelen bij het realiseren en gebruik ervan. Omdat de identiteitsverklaring mogelijk persoonsgegevens bevat die de dienst zal verwerken speelt ook instemming van de rechthebbende een rol. Afhankelijk van het scenario kan dit de betrokkene zelf zijn, of bijvoorbeeld een verwerkingsverantwoordelijke.
Generieke functies[bewerken]
De generieke functies die relevant zijn voor het realiseren van een digitale identiteit worden beschreven bij ‘voorbereiden toegang’. De generieke functies die relevant zijn bij het gebruik van een gekwalificeerde digitale identiteit ten behoeve van toegang worden beschreven bij ‘verlenen toegang’. De functies bij ‘voorbereiden toegang’ zijn randvoorwaardelijk voor de functies bij ‘verlenen toegang’.
Voorbereiden toegang[bewerken]
Voorbereiden toegang betreft de volgende beheerprocessen:
- Identiteitenbeheer;
- Authenticatiemiddelenbeheer;
- Bevoegdhedenbeheer.
Identiteitenbeheer[bewerken]
De digitale identiteit kent een vaste levenscyclus. Dit betekent dat een digitale identiteit gecreëerd wordt maar ook kan wijzigen of verwijderd worden. Deze functies zijn onderdeel van het identiteitenbeheer. Het identiteitenbeheer wordt ondersteund door een identiteitsbeheervoorziening (IDMS[1]) waarin de digitale identiteiten worden opgeslagen met de nodige attributen. Een digitale identiteit moet uniek identificeerbaar binnen de scope van een IDMS zijn en bevat dus voldoende informatie om deze van anderen te kunnen onderscheiden. Hieronder wordt de functie 'Creatie gekwalificeerde digitale identiteit' binnen het identiteitenbeheer nader toegelicht.
- Creatie gekwalificeerde digitale identiteit
Bij creatie gekwalificeerde digitale identiteit gelden de volgende ontwerpkaders:
- Registratie en (persoons)gegevens van een natuurlijk persoon conform een normenkader betrouwbaarheidsniveaus waarbij deze voldoet aan het hoogste niveau dat bij gebruik van de digitale identiteit wordt vereist;
- De gekwalificeerde digitale identiteit is uniek identificeerbaar binnen het IDMS waarin deze is geregistreerd.
Authenticatiemiddelenbeheer[bewerken]
Ook het authenticatiemiddel kent een vaste levenscyclus. Dit betekent dat deze geregistreerd wordt, maar ook kan wijzigen of verwijderd worden. Het gaat hierbij over het algemeen om het wel of niet toepassen van een bepaalde authenticatiefactor en de gegevens die hiervoor geregistreerd worden. Of er bijvoorbeeld sprake is van uitgifte en beheer van een fysiek authenticatiemiddel hangt van de authenticatiefactor af.
- Registratie authenticatiemiddel
Een authenticatiemiddel wordt geregistreerd en daarna gebruikt voor authenticatie van de dienstafnemer.
Voor authenticatiemiddelenbeheer gelden de volgende ontwerpkaders:
- Bij registratie van het authenticatiemiddel wordt deze gekoppeld aan een natuurlijk persoon (onderwijsbetrokkene) conform een normenkader betrouwbaarheidsniveaus;
Bevoegdhedenbeheer[bewerken]
Bevoegdhedenbeheer betreft de “levenscyclus” van bevoegdheden: vanaf het onderkennen (ontstaan en eventueel aanpassen), naar het toekennen aan digitale identiteiten en het verklaren daarvan, tot aan het intrekken (verwijderen) van bevoegdheden. Het registreren van bevoegdheden in het systeem wordt doorgaans ook wel Autorisatie beheer of Access management genoemd.
- Bepalen minimale betrouwbaarheidsniveau identiteitsverklaring
Over het algemeen wordt vooraf aan verlenen toegang ook bepaald wat een dienstafnemer (een bepaalde digitale identiteit) mag. Autorisaties (toekennen van bevoegdheden aan een bepaalde digitale identiteit) kunnen op verschillende niveaus/manieren[2] gedefinieerd worden. Op het hoogste niveau gaat het om toegang tot een bepaalde dienst die (vertrouwelijke) gegevens van een bepaalde dataclassificatie ontsluit. Op een lager niveau kan het ook om autorisaties voor een bepaalde gegevensset gaan en de bewerkingen die uitgevoerd mogen worden.
Voor autorisaties op het hoogste niveau zal de dienstverlener op basis van een risicoanalyse bepalen wat het betrouwbaarheidsniveau van de identiteitsverklaring moet zijn.Voor het bepalen van het minimale betrouwbaarheidsniveau van een dienst gelden de volgende ontwerpkaders:
- Bepaal design-time eisen (minimale betrouwbaarheidsniveau ) t.b.v. toegang;
- De dienstverlener stelt op basis van een risicoanalyse vast wat het minimale betrouwbaarheidsniveau van de identiteitsverklaring moet zijn.
Verlenen toegang[bewerken]
Verlenen toegang betreft de volgende processen:
- Authenticatie;
- Autorisatie.
Authenticatie toont met bepaalde mate van betrouwbaarheid aan of de dienstafnemer ook daadwerkelijk degene is die zich als zodanig voorgeeft. Het product van de authenticatie is de identiteitsverklaring van een bepaald betrouwbaarheidsniveau.
Bij het authentiseren speelt de authenticatiefactor een belangrijke rol. Het is een attribuut waarvan is bevestigd dat deze gebonden is aan een natuurlijk persoon die het authenticatiemiddel gebruikt en die onder een van de drie volgende categorieën valt.
- Op bezit gebaseerde authenticatiefactor: een authenticatiefactor waarvan de Entiteit moet aantonen dat deze in zijn bezit is.
- Op kennis gebaseerde authenticatiefactor: een authenticatiefactor waarvan de Entiteit moet aantonen dat hij ervan kennis draagt.
- Inherente authenticatiefactor: een authenticatiefactor die op een fysiek kenmerk van een Entiteit is gebaseerd en waarbij de Entiteit moet aantonen dat hij dat fysieke kenmerk bezit.
- Autorisatie
Autorisatie is een functie van de dienstverlener. De autorisatie-functie wordt uitgevoerd aan de hand van autorisatieregels. Deze zijn o.a. gebaseerd op attributen in de identiteitsverklaring, maar ook het betrouwbaarheidsniveau van de identiteitsverklaring. Deze is bij het bepalen van het minimale betrouwbaarheidsniveau vastgesteld.
De autorisatie-functie leidt tot een autorisatiebeslissing die (inclusief de identiteitsverklaring) kan worden bewaard om zich later te kunnen verantwoorden voor het toegang geven tot een dienst. De attributen in de identiteitsverklaring of mogelijke aanvullende gegevens die apart opgehaald kunnen worden zijn bepalend voor de bevoegdheden van een dienstafnemer.