Inrichten Identity & Access Management

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen

Deze pagina bevat een concepttekst die momenteel in bewerking is.
Toelichting: De invulling en beschrijving van het IV-domein wordt nader uitgewerkt ism de Werkgroep Toegang.

Het IV-domein 'Inrichten Identity & Access Management' (IAM) beschrijft de generieke functies die relevant zijn bij het realiseren en gebruik van een gekwalificeerde digitale identiteit ten behoeve van toegang (identiteitsverklaring). Deze beschrijving geeft inzicht in wat een dienstverlener moet organiseren om dienstafnemers toegang te kunnen verschaffen tot een dienst. Dit betreft het bepalen van de toegangseisen die voor een dienst moeten gelden en het (laten) organiseren dat dienstafnemers over de juiste middelen beschikken om toegang te kunnen krijgen tot de dienst. Dit wordt schematisch weergegeven in onderstaande figuur.

Grouping Inrichten Identity & Access Management (IAM) Proces dat digitale identiteiten tot stand brengt (en onderhoudt/actualiseert) voor entiteiten. (BusinessProcess) Identiteitenbeheer Gegevens betreffende de digitale representatie is van een persoon. (BusinessObject) Gekwalificeerde digitale identiteit Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? (BusinessProcess) Authenticatie Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT-voorzieningen. (BusinessProcess) Autorisatie Uitkomst van een authenticatie die is uitgevoerd door een onafhankelijke partij. (BusinessObject) Identiteitsverklaring BusinessRole Beheerder identiteiten BusinessProcess Authenticatiemiddele- nbeheer Een set van attributen (bijvoorbeeld een certificaat) op grond waarvan authenticatie van een partij kan plaatsvinden. (BusinessObject) Authenticatiemiddel Een herkenbaar en onderscheidbaar iets dat relevant is voor identity and access management en waarbij een digitale identiteit kan behoren. (BusinessObject) Entiteit De authenticatiedienst beheerder is verantwoordelijk voor het leveren van identiteitsverklaringen. Dit doen zij via een authenticatiedienst. Om de dienstafnemer te kunnen authenticeren en de identiteitsverklaring te kunnen leveren moeten zij een persoonsgebonden authenticatiemiddel registreren. De registratie is in feite de binding tussen de digitale identiteit, het authenticatiemiddel en de persoon zelf. Er is dus sprake van een identiteitsverificatie en registratie van de gekwalificeerde digitale identiteit. Deze functies kunnen onderdeel zijn van het identiteitsbeheer dat door een andere partij en/of systeem uitgevoerd wordt of dat de authenticatiedienst beheerder zelf uitvoert. Binnen federatieve toegang wordt er vanuit gegaan dat een authenticatiedienst beheerder een rechtspersoon is. In de context van het onderwijs is dit over het algemeen de onderwijsorganisatie waar de dienstafnemer (onderwijsvolger of medewerker) aan verbonden is. (BusinessRole) Authenticatiedienstbeheerder Als informatie vastgelegde bevoegdheden. (BusinessObject) Autorisatieregels Voorziening waarmee Authenticatiemiddelen worden uitgegeven, ingenomen en vernietigd. (ApplicationComponent) Authenticatiemiddelenvoorziening ApplicationService Registratie authenticatiemiddel Voorziening waarmee de toegang van digitale identiteiten kan worden verbreed of beperkt, d.m.v. van rechten. (ApplicationComponent) Autorisatievoorziening ApplicationService Controle betrouwbaarheidsniveau Voorziening waarmee digitale identiteiten worden aangemaakt, verwerkt en eventueel vernietigd. (ApplicationComponent) Identiteitsbeheervoorziening ApplicationService Creatie gekwalificeerde digitale identiteit De uitkomst van een autorisatie (BusinessObject) Autorisatiebeslissing Requirement Identiteitsverklaring conform betrouwbaarheidsniveau Requirement Bepaal design-time eisen (minmale betrouwbaarheidsniveaus) t.b.v. toegang Requirement Instemming voor verwerking vanuit de rechthebbende Requirement Registratie gekwalificeerde digitale identiteit conform een normenkader betrouwbaarheidsniveaus Requirement Digitale identiteit is uniek identificeerbaar Requirement Authenticatemiddel wordt gekoppeld aan een natuurlijk persoon conform een normenkader betrouwbaarheidsniveaus AccessRelationship R AccessRelationship W InfluenceRelationship InfluenceRelationship AccessRelationship R AccessRelationship W AccessRelationship R AccessRelationship R AccessRelationship R AccessRelationship W InfluenceRelationship InfluenceRelationship InfluenceRelationship AssignmentRelationship AccessRelationship W InfluenceRelationship AssignmentRelationship ServingRelationship ServingRelationship ServingRelationship Deze svg is op 11-04-2024 02:23:30 CEST gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 11-04-2024 02:23:30 CEST

De kwaliteit van de identiteitsverklaring voor toegang wordt bepaald door het normenkader betrouwbaarheidsniveaus. Dit normenkader bevat voorschriften voor de generieke functies die een rol spelen bij het realiseren en gebruik ervan. Omdat de identiteitsverklaring mogelijk persoonsgegevens bevat die de dienst zal verwerken speelt ook instemming van de rechthebbende een rol. Afhankelijk van het scenario kan dit de betrokkene zelf zijn, of bijvoorbeeld een verwerkingsverantwoordelijke.

Digitale identiteit[bewerken]

wordt aangevuld

In de praktijk hebben zowel onderwijsinstellingen als onderwijsdeelnemers te maken met een heterogene set aan identifiers, attributen. In lokale context is dat praktisch oplosbaar, zodra contexten worden verbonden leidt dat tot uitdagingen. Precies dat verbinden van contexten is nu aan de hand:

  • instellingscontexten raken steeds meer verbonden doordat er steeds meer opleidingen zijn die ofwel door meerdere instellingen worden verzorgd, ofwel waarvan delen buiten de thuisinstelling worden gevolgd.
  • de onderwijscontext wordt verbonden met de nationale en internationale context doordat bijvoorbeeld badges en diploma's in digitale vorm direct worden toegepast in processen die buiten het onderwijs liggen. Dit betekent dat de identiteit waaraan het diploma wordt uitgegeven duurzaam moet worden gekoppeld aan de identeit die wordt gebruikt bij het tonen van de badge of het diploma [noot: dit wil geenszins zeggen dat dat dezelfde identifiers of attributen zijn]
  • Wetgeving rondom gebruik PGN en BSN legt beperkingen op aan het gebruik van die nummers. Vaak terecht, soms onhandig.
  • Identiteitenstelsels vertonen twee bewegingen:
    1. van herkenbare nummers naar pseudoniemen (eID)
    2. van nummers naar attributen (eIDAS 2, wallets)
  • Voor intern gebruik en voor uitwisseling tussen instellingen onderling en met verschillende ketenpartners is gebruik van identifiers praktisch en soms verplicht. Als er een duidelijke grondslag is, is dat ook niet a priori een probleem. Privacytechnisch lijkt het gebruik van een 'nummer', zeker als dat zonder context betekenisloos is, te verkiezen boven het meesturen van attributen (dataminimalisatie).

Gevolg is dat alle mechanismen waarbij er vertrouwd wordt op nummers om personen te authenticeren uiteindelijk 'stuk' gaan. Enerzijds zien organisaties onderling verschillende niet direct aan elkaar te relateren pseudoniemen voor dezelfde onderwijsdeelnemer, anderzijds moet ook voor attributen steeds de vertaalslag worden gemaakt naar een intern te gebruiken identeit.

Wat is daar minimaal voor nodig:

  • een stabiele set attributen horend bij een onderwijsdeelnemer die universeel is te gebruiken in het onderwijs
  • een mechanisme om die attributen te relateren aan, of af te leiden van, verschillende identiteitenstelsels buiten het onderwijs
  • een mechanisme om die attributen te herleiden naar diverse identifiers die in het onderwijs in het gebruik zijn
  • een mechanisme om die attributen als credential op te nemen in de digitale wallets/kluizen van onderwijsdeelnemers

NB: de huidige set eIDAS-attributen is zeer beperkt: huidige voor- en achternaam, geboortedatum en een uniqueness identifier. Optioneel kunnen daar (land/middel-afhankelijk) aan worden toegevoegd: volledige geboortenaam, geboorteplaats, huidig adres en geslacht. Er wordt overwogen om ook nationaliteit(en) toe te voegen aan de optionele set.

Op basis van uitsluitend de verplichte attributen is geen betrouwbare match te maken met een onderwijsdeelnemer. Enige vorm van een specifieke onderwijsidentiteit/een set onderwijsspecifieke attributen is nodig om dat te bewerkstelligen. Langs de administratieve kant komt dan het PGN (in een of andere vorm) in beeld, in combinatie met het concept 'HO-kaart' zoals in HOSA IAM geïntroduceerd.

Generieke functies[bewerken]

De generieke functies die relevant zijn voor het realiseren van een digitale identiteit worden beschreven bij ‘voorbereiden toegang’. De generieke functies die relevant zijn bij het gebruik van een gekwalificeerde digitale identiteit ten behoeve van toegang worden beschreven bij ‘verlenen toegang’. De functies bij ‘voorbereiden toegang’ zijn randvoorwaardelijk voor de functies bij ‘verlenen toegang’.

Voorbereiden toegang[bewerken]

Voorbereiden toegang betreft de volgende beheerprocessen:

  • Identiteitenbeheer;
  • Authenticatiemiddelenbeheer;
  • Bevoegdhedenbeheer.

Identiteitenbeheer[bewerken]

De digitale identiteit kent een vaste levenscyclus. Dit betekent dat een digitale identiteit gecreëerd wordt maar ook kan wijzigen of verwijderd worden. Deze functies zijn onderdeel van het identiteitenbeheer. Het identiteitenbeheer wordt ondersteund door een identiteitsbeheervoorziening (IDMS[1]) waarin de digitale identiteiten worden opgeslagen met de nodige attributen. Een digitale identiteit binnen een IDMS moet uniek identificeerbaar zijn en bevat dus voldoende informatie om deze van anderen te kunnen onderscheiden. Hieronder wordt de functie 'Creatie gekwalificeerde digitale identiteit' binnen het identiteitenbeheer nader toegelicht.

Creatie gekwalificeerde digitale identiteit

Bij creatie gekwalificeerde digitale identiteit gelden de volgende ontwerpkaders:

  1. Registratie en (persoons)gegevens van een natuurlijk persoon conform een normenkader betrouwbaarheidsniveaus;
  2. De gekwalificeerde digitale identiteit is uniek identificeerbaar.

Authenticatiemiddelenbeheer[bewerken]

Ook het authenticatiemiddel kent een vaste levenscyclus. Dit betekent dat deze geregistreerd wordt, maar ook kan wijzigen of verwijderd worden. Het gaat hierbij over het algemeen om het wel of niet toepassen van een bepaalde authenticatiefactor en de gegevens die hiervoor geregistreerd worden. Of er bijvoorbeeld sprake is van uitgifte en beheer van een fysiek authenticatiemiddel hangt van de authenticatiefactor af.

Registratie authenticatiemiddel

Een authenticatiemiddel wordt geregistreerd en daarna gebruikt voor authenticatie van de dienstafnemer.

Voor authenticatiemiddelenbeheer gelden de volgende ontwerpkaders:

  1. Bij registratie van het authenticatiemiddel wordt deze gekoppeld aan een natuurlijk persoon conform een normenkader betrouwbaarheidsniveaus;

Bevoegdhedenbeheer[bewerken]

Bevoegdhedenbeheer betreft de “levenscyclus” van bevoegdheden: vanaf het onderkennen (ontstaan en eventueel aanpassen), naar het toekennen aan digitale identiteiten en het verklaren daarvan, tot aan het intrekken (verwijderen) van bevoegdheden. Doorgaans wordt dit ook wel Autorisatie beheer of Access management genoemd.

Bepalen minimale betrouwbaarheidsniveau identiteitsverklaring

Over het algemeen wordt vooraf aan verlenen toegang ook bepaald wat een dienstafnemer (een bepaalde digitale identiteit) mag. Autorisaties (toekennen van bevoegdheden aan een bepaalde digitale identiteit) kunnen op verschillende niveaus gedefinieerd worden. Op het hoogste niveau gaat het om toegang tot een bepaalde dienst die (vertrouwelijke) gegevens van een bepaalde dataclassificatie ontsluit. Op een lager niveau kan het ook om autorisaties voor een bepaalde gegevensset gaan en de bewerkingen die uitgevoerd mogen worden.

Voor autorisaties op het hoogste niveau zal de dienstverlener op basis van een risicoanalyse bepalen wat het betrouwbaarheidsniveau van de identiteitsverklaring moet zijn.Voor het bepalen van het minimale betrouwbaarheidsniveau van een dienst gelden de volgende ontwerpkaders:

  1. Bepaal design-time eisen (minimale betrouwbaarheidsniveau ) t.b.v. toegang;
  2. De dienstverlener stelt op basis van een risicoanalyse vast wat het minimale betrouwbaarheidsniveau van de identiteitsverklaring moet zijn.

Verlenen toegang[bewerken]

Verlenen toegang betreft de volgende processen:

  • Authenticatiemiddelenbeheer;
  • Bevoegdhedenbeheer.

Authenticatiemiddelenbeheer[bewerken]

Authenticatie

Authenticatie toont met bepaalde mate van betrouwbaarheid aan of de dienstafnemer ook daadwerkelijk degene is die zich als zodanig voorgeeft. Het product van de authenticatie is de identiteitsverklaring van een bepaald betrouwbaarheidsniveau.

Bij het authentiseren speelt de authenticatiefactor een belangrijke rol. Het is een attribuut waarvan is bevestigd dat deze gebonden is aan een natuurlijk persoon die het authenticatiemiddel gebruikt en die onder een van de drie volgende categorieën valt.

  1. Op bezit gebaseerde authenticatiefactor: een authenticatiefactor waarvan de Entiteit moet aantonen dat deze in zijn bezit is.
  2. Op kennis gebaseerde authenticatiefactor: een authenticatiefactor waarvan de Entiteit moet aantonen dat hij ervan kennis draagt.
  3. Inherente authenticatiefactor: een authenticatiefactor die op een fysiek kenmerk van een Entiteit is gebaseerd en waarbij de Entiteit moet aantonen dat hij dat fysieke kenmerk bezit.
Autorisatie

Autorisatie is een functie van de dienstverlener. De autorisatie-functie wordt uitgevoerd aan de hand van autorisatieregels. Deze zijn o.a. gebaseerd op attributen in de identiteitsverklaring, maar ook het betrouwbaarheidsniveau van de identiteitsverklaring. Deze is bij het bepalen van het minimale betrouwbaarheidsniveau vastgesteld.

De autorisatie-functie leidt tot een autorisatiebeslissing die (inclusief de identiteitsverklaring) kan worden bewaard om zich later te kunnen verantwoorden voor het toegang geven tot een dienst. De attributen in de identiteitsverklaring of mogelijke aanvullende gegevens die apart opgehaald kunnen worden zijn bepalend voor de bevoegdheden van een dienstafnemer.

  1. Ook wel identiteitsmanagementsysteem (IDMS) genoemd

Een te onderscheiden aspect van de informatiehuishouding dat handvatten biedt voor de inrichting ervan in ketensamenwerkingen en ketenvoorzieningen.

Een functie die voor alle actoren herkenbaar, bruikbaar en binnen het eigen proces of activiteit inzetbaar is.

Een identiteit die een digitale representatie is van een entiteit

De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers).

De persoon of organisatie die een dienst in ontvangst neemt.

Een afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de afnemers).

De mate waarin vertrouwen kan worden gesteld in een identificatiemiddel, gebaseerd op de mate van zekerheid waarmee attributen, identiteiten, identificatiemiddelen en/of bevoegdheden zijn vastgesteld.

Geheel van autorisaties voor de uitvoering van een bepaalde functie.

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.

Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Een beschrijving, "draaiboek", van een bepaalde gebeurtenis of reeks gebeurtenissen.

De persoon op wie persoonsgegevens betrekking hebben.

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Een onderwijsgerelateerde organisatie met het aanbieden van onderwijs als doel.

Een natuurlijk persoon die deelneemt aan een onderwijsactiviteit om zich kennis, vaardigheden en attitudes eigen te maken.

Een label (meestal een string of tekst) waarmee je een entiteit aanduidt.

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.

Een eigenschap, kenmerk of kwaliteit van een natuurlijke of rechtspersoon of een entiteit, in elektronisch formaat.

Een samenhangend geheel van onderwijs, gericht op de verwezenlijking van welomschreven doelstellingen op het gebied van kennis, inzicht en vaardigheden.

Een organisatie die door een onderwijsbestuur is ingesteld voor het verzorgen van onderwijs.

Waardedocument dat vastlegt en aantoont dat de bezitter een omschreven opleiding met succes heeft afgerond.

Een natuurlijk persoon of een organisatie die een bepaalde rol heeft binnen een keten(samenwerking).

De reden waarvoor persoonsgegevens moeten worden verwerkt, en die de rechtmatigheid van de verwerking bepaalt.

Een privacyprincipe dat inhoudt dat alleen de strikt noodzakelijke hoeveelheid persoonlijke gegevens moet worden verzameld, gebruikt, verwerkt en bewaard.

Een publiekrechtelijke (zoals overheidsorganen) of privaatrechtelijke rechtspersoon.

Een natuurlijk persoon die deelneemt aan een onderwijsactiviteit om zich kennis, vaardigheden en attitudes eigen te maken.

Een label (meestal een string of tekst) waarmee je een entiteit aanduidt.

Het proces dat beschrijft hoe een gebruiker toegang krijgt tot een bepaalde dienst of gerechtigd is een bepaalde actie uit te voeren.

Proces dat digitale identiteiten tot stand brengt (en onderhoudt/actualiseert) voor entiteiten.

Een identiteit die een digitale representatie is van een entiteit

Een maatregel op een bepaald ontwerpgebied, die aangeeft hoe informatiesystemen en informatieuitwisseling op dit gebied ingericht zouden moeten worden om aan de doelen en principes van ROSA te voldoen.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Een individueel menselijk wezen en subject van rechten en drager van plichten.

Een fysiek of digitaal middel op grond waarvan authenticatie van een partij kan plaatsvinden.

Een factor waarvan is bevestigd dat deze gebonden is aan een bepaalde persoon en die onder een van de drie volgende categorieën valt: a) Op bezit gebaseerde authenticatiefactor: een authenticatiefactor waarvan de betrokkene moet aantonen dat deze in zijn bezit is; b) Op kennis gebaseerde authenticatiefactor: een authenticatiefactor waarvan de betrokkene moet aantonen dat hij ervan kennis draagt; c) Inherente authenticatiefactor: een authenticatiefactor die op een fysiek kenmerk van een natuurlijke persoon is gebaseerd en waarbij de betrokkene moet aantonen dat hij dat fysieke kenmerk bezit.

De persoon of organisatie die een dienst in ontvangst neemt.

De mate waarin vertrouwen kan worden gesteld in een identificatiemiddel, gebaseerd op de mate van zekerheid waarmee attributen, identiteiten, identificatiemiddelen en/of bevoegdheden zijn vastgesteld.

Aanduiding van een kwalificerende eigenschap van een onderwijseenheid.

Het werk- en denkniveau dat verwacht wordt bij deelname aan een opleiding in het non-formele onderwijs.

Het door het Ministerie van OCW erkende opleidingsniveau ten behoeve van opleidingen en vakken van alle onderwijssectoren.

Aanduiding van een kwalificerende eigenschap van een onderwijseenheid.

Het proces om te beslissen of een entiteit op grond van een authenticatiemiddel, identiteitsverklaring of een machtiging toegang krijgt tot een applicatie.

Een proces waarbij de potentiële risico's voor de vertrouwelijkheid, integriteit en beschikbaarheid van informatie en persoonsgegevens worden geïdentificeerd, geëvalueerd en geprioriteerd.

Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt?

De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem.

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.

Een eigenschap, kenmerk of kwaliteit van een natuurlijke of rechtspersoon of een entiteit, in elektronisch formaat.

Het proces om te beslissen of een entiteit op grond van een authenticatiemiddel, identiteitsverklaring of een machtiging toegang krijgt tot een applicatie.

De uitkomst van een autorisatie

Overgenomen van "https://rosa.wikixl.nl/index.php?title=Inrichten_Identity_%26_Access_Management&oldid=74512"