Inrichten Identity & Access Management

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen

Deze pagina is vastgesteld door Architectuurraad, op 15 april 2025.

IV-domeinen > IV-domein IAM > Inrichten Identity & Access Management
Deze pagina is een uitgebreide beschrijving van modelelement Inrichten Identity & Access Management (IAM) (IV-procesmodel)

Het IV-procesmodel 'Inrichten Identity & Access Management' (IAM) beschrijft de generieke functies die relevant zijn bij het realiseren en gebruik van een gekwalificeerde digitale identiteit ten behoeve van toegang (identiteitsverklaring). De gekwalificeerde digitale identiteit van een bij het onderwijs betrokken persoon (dienstafnemer) wordt ten behoeve van een dienstverlener geleverd. Deze wil de dienstafnemer kunnen identificeren en autoriseren. Dit wordt schematisch weergegeven in onderstaande figuur.

Beschrijft de generieke functies die relevant zijn bij het realiseren en gebruik van een gekwalificeerde digitale identiteit ten behoeve van toegang (identiteitsverklaring). (Grouping) Inrichten Identity & Access Management (IAM) Proces dat digitale identiteiten tot stand brengt (en onderhoudt/actualiseert) voor entiteiten. (BusinessProcess) Identiteitenbeheer Gegevens betreffende de digitale representatie is van een persoon. Een identiteit die als basis kan worden gebruikt voor een gekwalificeerde verklaring. (BusinessObject) Gekwalificeerde digitale identiteit Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? (BusinessProcess) Authenticatie Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT-voorzieningen. (BusinessProcess) Autorisatie Uitkomst van een authenticatie die is uitgevoerd door een vertrouwde partij. (BusinessObject) Identiteitsverklaring BusinessRole Beheerder identiteiten NORA: Het proces dat Entiteiten voorziet van Authenticatiemiddelen of deze middelen intrekt. (BusinessProcess) Authenticatiemiddele- nbeheer Een set van attributen (bijvoorbeeld een certificaat) op grond waarvan authenticatie van een partij kan plaatsvinden. (BusinessObject) Authenticatiemiddel Een herkenbaar en onderscheidbaar iets dat relevant is voor identity and access management en waarbij een digitale identiteit kan behoren. (BusinessObject) Entiteit De authenticatiedienst beheerder is verantwoordelijk voor het leveren van identiteitsverklaringen. Dit doen zij via een authenticatiedienst. Om de dienstafnemer te kunnen authenticeren en de identiteitsverklaring te kunnen leveren moeten zij een persoonsgebonden authenticatiemiddel registreren. De registratie is in feite de binding tussen de digitale identiteit, het authenticatiemiddel en de persoon zelf. Er is dus sprake van een identiteitsverificatie en registratie van de gekwalificeerde digitale identiteit. Deze functies kunnen onderdeel zijn van het identiteitsbeheer dat door een andere partij en/of systeem uitgevoerd wordt of dat de authenticatiedienst beheerder zelf uitvoert. Binnen federatieve toegang wordt er vanuit gegaan dat een authenticatiedienst beheerder een rechtspersoon is. In de context van het onderwijs is dit over het algemeen de onderwijsorganisatie waar de dienstafnemer (onderwijsvolger of medewerker) aan verbonden is. (BusinessRole) Authenticatiedienst- beheerder Als informatie vastgelegde bevoegdheden. (BusinessObject) Autorisatieregels Voorziening waarmee Authenticatiemiddelen worden uitgegeven, ingenomen en vernietigd. (ApplicationComponent) Authenticatiemidde- lenvoorziening Voorziening waarmee de toegang van digitale identiteiten kan worden verbreed of beperkt, d.m.v. van rechten. (ApplicationComponent) Autorisatievoorzien- ing Voorziening waarmee digitale identiteiten worden aangemaakt, verwerkt en eventueel vernietigd. Deze ondersteunt het identiteitenbeheer. (ApplicationComponent) Identiteitsbeheervo- orziening De uitkomst van een autorisatie (BusinessObject) Autorisatiebeslissing ArchiMateNote Bevoegdhedenbeheer => levert Bevoegdheidsverklaring Een verklaring (verifieerbaar of gekwalificeerd) die de uitkomst bevat van een authenticatie. (BusinessObject) Gekwalificeerde verklaring Een organisatie die verifieerbare of gekwalificeerde verklaringen uitgeeft. (BusinessRole) Verklarende partij Een onderwijsbetrokkene heeft een universeel te gebruiken digitale identiteit (Requirement) Universele digitale identiteit De attributen in de identiteitsverklaring worden beperkt tot de attributen die de context/dienst vereist. (Requirement) Attributen worden beperkt tot wat de context/dienst vereist Entiteiten binnen een afsprakenstelsel moeten zichzelf elektronisch kunnen identificeren en authentiseren. (Requirement) Entiteiten beschikken over een digitale identiteit voor toegang De digitale identiteit is beveiligd tegen onrechtmatig gebruik. (Requirement) De digitale identiteit is veilig Biometrische kenmerken zijn geen onderdeel van de digitale identiteit (Requirement) Biometrische kenmerken zijn geen onderdeel van de digitale identiteit Toegang tot digitale diensten ("relying parties") wordt verleend op basis van verifieerbare verklaringen die afkomstig zijn van vertrouwde partijen ("trusted parties”). (Requirement) Toegang is gebaseerd op verifieerbare verklaringen Een onderwijsbetrokkene (onderwijsdeelnemer, onderwijsmedewerker) krijgt een digitale identiteit die rekening houdt met zijn of haar mogelijkheden en beperkingen. (Requirement) Passende gebruiksvriendelijke digitale identiteit AccessRelationship R AccessRelationship W InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship AccessRelationship R AccessRelationship W AccessRelationship R AccessRelationship R AccessRelationship R AccessRelationship W InfluenceRelationship SpecializationRelationship InfluenceRelationship AssignmentRelationship AccessRelationship W InfluenceRelationship AssignmentRelationship ServingRelationship ServingRelationship ServingRelationship AssignmentRelationship Deze svg is op 21-01-2026 16:29:20 CET gegenereerd door ArchiMedes™ © 2016-2026 ArchiXL. ArchiMedes 21-01-2026 16:29:20 CET

De kwaliteit van de identiteitsverklaring voor toegang wordt bepaald door het normenkader betrouwbaarheidsniveaus. Dit normenkader bevat voorschriften voor de generieke functies die een rol spelen bij het realiseren en gebruik ervan. Omdat de identiteitsverklaring mogelijk persoonsgegevens bevat die de dienst zal verwerken speelt ook instemming van de rechthebbende een rol. Afhankelijk van het scenario kan dit de betrokkene zelf zijn, of bijvoorbeeld een verwerkingsverantwoordelijke.

Ontwerpkaders

Voor het inrichten van identity & access management gelden de volgende ontwerpkaders, die ontleend zijn aan ontwerpprincipes voor Digitale Identiteiten, IBP en H2M-interactie.

Beschrijft de generieke functies die relevant zijn bij het realiseren en gebruik van een gekwalificeerde digitale identiteit ten behoeve van toegang (identiteitsverklaring). (Grouping) Inrichten Identity & Access Management (IAM) Entiteiten binnen een afsprakenstelsel moeten zichzelf elektronisch kunnen identificeren en authentiseren. (Requirement) Entiteiten beschikken over een digitale identiteit voor toegang De attributen in de identiteitsverklaring worden beperkt tot de attributen die de context/dienst vereist. (Requirement) Attributen worden beperkt tot wat de context/dienst vereist Toegang tot digitale diensten ("relying parties") wordt verleend op basis van verifieerbare verklaringen die afkomstig zijn van vertrouwde partijen ("trusted parties”). (Requirement) Toegang is gebaseerd op verifieerbare verklaringen De digitale identiteit is beveiligd tegen onrechtmatig gebruik. (Requirement) De digitale identiteit is veilig Een onderwijsbetrokkene (onderwijsdeelnemer, onderwijsmedewerker) krijgt een digitale identiteit die rekening houdt met zijn of haar mogelijkheden en beperkingen. (Requirement) Passende gebruiksvriendelijke digitale identiteit Een onderwijsbetrokkene heeft een universeel te gebruiken digitale identiteit (Requirement) Universele digitale identiteit Biometrische kenmerken zijn geen onderdeel van de digitale identiteit (Requirement) Biometrische kenmerken zijn geen onderdeel van de digitale identiteit Het ontwerpgebied Digitale identiteiten heeft betrekking op digitale identiteiten die worden gehanteerd om entiteiten in het onderwijsdomein te kunnen herkennen. Ontwerpprincipes in dit ontwerpgebied en daarvan afgeleide ontwerpkaders helpen projecten bij het hanteren van identiteiten in gegevensuitwisselingen en toegangsvraagstukken. (Grouping) Digitale identiteiten Een entiteit (individu, organisatie, systeem) heeft ten minste één digitale identiteit. (Principle) Een entiteit heeft minstens één d igitale identiteit Grouping H2M-interactie Bij de inrichting van een ketensamenwerking zijn gebruikersvriendelijkheid en eenvoud voor de gebruiker het uitgangspunt. Dat geldt per stap in het proces én voor de flow door het proces. (Principle) Gebruikersvriendelijkheid en eenvoud Producten en diensten voldoen aan de eisen voor digitale toegankelijkheid, uit de daarvoor bestaande actuele Europese standaard. (Principle) Digitale toegankelijkheid Het ontwerpgebied Digitale identiteiten heeft betrekking op digitale identiteiten die worden gehanteerd om entiteiten in het onderwijsdomein te kunnen herkennen. Ontwerpprincipes in dit ontwerpgebied en daarvan afgeleide ontwerpkaders helpen projecten bij het hanteren van identiteiten in gegevensuitwisselingen en toegangsvraagstukken. (Grouping) Digitale identiteiten Stel een natuurlijk persoon (waar wenselijk) in staat om regie te voeren over de eigen digitale identiteit (uit verschillende bronnen). (Principle) Eigen regie over digitale identiteit Het ontwerpgebied Digitale identiteiten heeft betrekking op digitale identiteiten die worden gehanteerd om entiteiten in het onderwijsdomein te kunnen herkennen. Ontwerpprincipes in dit ontwerpgebied en daarvan afgeleide ontwerpkaders helpen projecten bij het hanteren van identiteiten in gegevensuitwisselingen en toegangsvraagstukken. (Grouping) Digitale identiteiten De digitale identiteit is uniek binnen de gedefinieerde scope en is alleen eenduidig te herleiden naar een Entiteit in gevallen waar dit noodzakelijk is. (Principle) De digitale identiteit is contextspecifiek Hanteer een digitale identiteit passend bij het vereiste betrouwbaarheidsniveau. (Principle) Digitale identiteit passend bij betrouwbaarheidsniveau Grouping H2M-interactie Producten en diensten zijn ook buiten de onderwijsorganisatie en buiten reguliere onderwijstijden beschikbaar, vanaf alle gangbare devices en met alle gangbare operating systems en browsers. (Principle) Overal beschikbaar Privacy en beveiliging heeft betrekking op doelen en principes die de veiligheid van informatie in de onderwijsketen en de bescherming van de privacy van betrokkenen waarborgen. De uit deze doelen en principes voortvloeiende kaders dienen door alle partijen in het onderwijsdomein in acht te worden genomen. Zie voor meer informatie en achtergronden het [https://www.edustandaard.nl/app/uploads/2017/05/02-07-2015_Bijlage_VI_-_ROSA_Katern_Privacy_en_informatiebeveiliging_v1.0.pdf ROSA Katern Kaders voor privacy en informatiebeveiliging in de onderwijsketen (v1.0, maart 2015)] (Grouping) IBP Ketenpartners nemen maatregelen op basis van een risicoanalyse en bijbehorende BIV-classificatie. (Principle) Risicogebaseerde BIV- classificatie en maatregelen InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship Deze svg is op 22-01-2026 04:26:34 CET gegenereerd door ArchiMedes™ © 2016-2026 ArchiXL. ArchiMedes 22-01-2026 04:26:34 CET
NaamStellingRationaleImplicatiesOntleend aan Ontwerpprincipe(s)Ontleend aan Ontwerpgebied(en)
Attributen worden beperkt tot wat de context/dienst vereistDe attributen in de identiteitsverklaring worden beperkt tot de attributen die de context/dienst vereist.De digitale identiteit moet het mogelijk maken om samen te werken binnen een specifieke context.
  • De toegangsinfrastructuur borgt dat alleen attributen worden verstrekt die eerder zijn geregistreerd door dienstverleners en waarvoor gebruikers voorafgaand aan hun handelen akkoord op hebben gegeven.
  • Verstrekkers van (voor toegang relevante) attributen weten niet voor welke dienst deze verklaringen worden gebruikt.
  • Gebruikers kunnen anoniem, met een pseudoniem of met een bekende identiteit toegang krijgen tot de dienst.
De digitale identiteit is contextspecifiekDigitale identiteiten
Biometrische kenmerken zijn geen onderdeel van de digitale identiteitBiometrische kenmerken zijn geen onderdeel van de digitale identiteitGecentraliseerde systemen die biometrische gegevens vastleggen of gebruiken zijn hiervoor zowel vanuit privacy als security fundamenteel ongeschikt, want veel te riskant. Oplossingen waarin biometrische kenmerken uitsluitend worden beheerd en gebruikt op de eigen device lijken voor identiteitsverificatie wel geschikt, mits de kenmerken zelf niet worden gedeeld. Verwerking van biometrische gegevens is in beginsel verboden, met slechts drie uitzonderingsgronden: 1. Expliciete wettelijke grondslag; 2. Strikte noodzakelijkheid en proportionaliteit voor de beoogde authenticatiedoelstellingen; 3. Uitdrukkelijke en vrijelijke toestemming van de (onderwijs)betrokkene.
  • In de praktijk zal de onderwijssector alleen uitzonderingsgrond 3 zelf toepassen
  • De onderwijssector kan gebruik maken van middelen waarvoor uitzonderingsgrond 1 en 2 gelden. NB: Dit zullen in de praktijk middelen zijn die deze toestemming onder de wet digitale overheid hebben verkregen.
  • Voor elke toepassing van biometrie is een juridische analyse en een risicobeoordeling noodzakelijk; en de verwerking is zodanig ingericht dat biometrische gegevens niet gedeeld kunnen worden.
  • Biometrische gegevens mogen niet voorkomen in identiteitsverklaringen.
  • Afgeleide toepassing van biometrie is mogelijk, waarbij een toegestaan middel wordt gebruikt voor identiteitsverificatie bij uitgifte van een afgeleid middel waarin géén biometrie wordt toegepast.
  • Toepassing van biometrie is strikt beperkt tot de toegestane verwerkingen en middelen.
  • Toestemmingen van de onderwijsbetrokkene komen zonder dwang tot stand en zijn vastgelegd · Biometrie mag nooit de enige manier zijn om te identificeren of authenticeren.
Eigen regie over digitale identiteit
Risicogebaseerde BIV-classificatie en maatregelen		Digitale identiteiten
IBP
De digitale identiteit is veiligToegang tot digitale diensten ("relying parties") wordt verleend op basis van verifieerbare verklaringen die afkomstig zijn van vertrouwde partijen ("trusted parties”).De verschillende entiteiten kunnen elkaar vertrouwen in het digitale domein Een veilige digitale identiteit is beveiligd tegen misbruik om vertrouwen te borgen.
  • Toepassen van security by default and design
  • Bij misbruik/problemen is voor alle partijen duidelijk welke acties genomen moeten worden om afbreuk in vertrouwen te voorkomen
  • Er is een normenkader gedefinieerd die de maatregelen beschrijft voor een bepaald betrouwbaarheidsniveau ("level of assurance"). De maatregelen hebben betrekking op identiteitenbeheer, authenticatiemiddelenbeheer, authenticatie en autorisatie. Het vereiste betrouwbaarheidsniveau wordt voor een bepaalde context vastgesteld op basis van een risicoanalyse.
Digitale identiteit passend bij betrouwbaarheidsniveau
Risicogebaseerde BIV-classificatie en maatregelen		Digitale identiteiten
IBP
Entiteiten beschikken over een digitale identiteit voor toegangEntiteiten binnen een afsprakenstelsel moeten zichzelf elektronisch kunnen identificeren en authentiseren.De verschillende entiteiten (partijen in een bepaalde rol) zullen met elkaar in het digitale domein interacteren. Zij moeten hiervoor beschikken over een (betrouwbare) digitale identiteit. Een afsprakenstelsel bevat afspraken over digitale identiteiten. Deze afspraken en het nakomen hiervan zorgen voor vertrouwen (vertrouwensraamwerk).
  • Er is zicht op alle doelgroepen die toegang zouden moeten hebben tot diensten.
  • Er zijn voor alle doelgroepen gezaghebbende bronnen waarin de digitale identiteiten worden beheerd en deze registers zijn aangesloten op de toegangsinfrastructuur.
  • De toegangsinfrastructuur legt geen beperkingen op die bepaalde groepen onnodig uitsluiten of benadelen.
  • Een afsprakenstelsel bevat afspraken over digitale identiteiten. Het gaat dan over het identiteitenbeheer, authenticatiemiddelenbeheer, authenticatie en autorisatie.
Een entiteit heeft minstens één digitale identiteitDigitale identiteiten
Passende gebruiksvriendelijke digitale identiteitEen onderwijsbetrokkene (onderwijsdeelnemer, onderwijsmedewerker) krijgt een digitale identiteit die rekening houdt met zijn of haar mogelijkheden en beperkingenPersonen hebben recht op dienstverlening die past bij hun mogelijkheden en eventuele beperkingen. Het kan zijn dat op basis van bijvoorbeeld leeftijd, fysieke beperkingen (slechtzienden/slechthorenden) of taalvaardigheid de wijze van dienstverlening aangepast moet worden. De digitale identiteit moet dit mogelijk maken.
  • De digitale identiteit past bij de mogelijkheden en beperkingen van de persoon.
  • Er zijn voor minder digitaal vaardigen alternatieve kanalen waar zij gebruik van kunnen maken.
Digitale toegankelijkheid
Gebruikersvriendelijkheid en eenvoud		H2M-interactie
Toegang is gebaseerd op verifieerbare verklaringenToegang tot digitale diensten ("relying parties") wordt verleend op basis van verifieerbare verklaringen die afkomstig zijn van vertrouwde partijen ("trusted parties”).Digitale identiteiten worden betrouwbaarder wanneer organisaties vertrouwen kunnen baseren op verifieerbare verklaringen van erkende en betrouwbare partijen. Dit versterkt de zekerheid en integriteit van toegangsverlening.
  • Vertrouwende partijen vragen om verifieerbare verklaringen voor het verlenen van toegang.
  • Vertrouwende partijen borgen dat er voor hundienstverlening voldoende verklarende partijen zijn om hun vertrouwen op te baseren.
  • De vertrouwende partij vertrouwt de door de verklarende partij opgestelde verifieerbare verklaring.
  • Er is bewijs dat een verifieerbare verklaring hoort bij de gebruiker (of vertegenwoordigde).
  • De mate van vertrouwen in een verklaring is gebaseerd op onder meer het betrouwbaarheidsniveau, de geldigheid, de verstrekker, de actualiteit en of deze gekwalificeerd is.
  • Er kunnen verklaringen bij verschillende verklarende partijen worden opgehaald om voldoende vertrouwen te krijgen.
Digitale identiteit passend bij betrouwbaarheidsniveauDigitale identiteiten
Universele digitale identiteitEen onderwijsbetrokkene heeft een universeel te gebruiken digitale identiteitOm identiteiten op een veilige en betrouwbare en interoperabele manier te koppelen, maken we gebruik van unieke attributensets. Een onderwijsbetrokkene moet geïdentificeerd kunnen worden met een stabiele, unieke set attributen. Deze attributen zijn te relateren aan, of af te leiden van, verschillende identiteitstelsels die binnen en buiten het onderwijs gebruikt worden.
  • De universele onderwijsattributen moeten te relateren zijn aan, of af te leiden zijn van, verschillende identiteitsstelsels buiten het onderwijs.
  • De universele onderwijsattributen moeten herleidbaar zijn naar diverse identifiers die in het onderwijs in gebruik zijn.
  • De universele onderwijsattributen kunnen gerelateerd worden aan zowel gekwalificeerde als aan niet gekwalificeerde digitale entiteiten.
  • Het moet duidelijk zijn hoe de universele onderwijsattributen gebruikt worden binnen de voor onderwijs relevante afsprakenstelsels.
  • Pas lifecyclemanagement toe op de attributen op basis van de duur van de relatie, bewaartermijnen en/of wensen van de betrokkene
  • Verbindingen (en betreffende attributen) tussen identiteiten (foundational-functioneel en/of functioneel-functioneel) mogen alleen worden gelegd indien er sprake is van een passende grondslag.
Een entiteit heeft minstens één digitale identiteit
Overal beschikbaar		Digitale identiteiten
H2M-interactie

Generieke functies

De generieke functies die relevant zijn voor het realiseren van een digitale identiteit worden beschreven bij ‘voorbereiden toegang’. De generieke functies die relevant zijn bij het gebruik van een gekwalificeerde digitale identiteit ten behoeve van toegang worden beschreven bij ‘verlenen toegang’. De functies bij ‘voorbereiden toegang’ zijn randvoorwaardelijk voor de functies bij ‘verlenen toegang’.

Voorbereiden toegang

Voorbereiden toegang betreft de volgende beheerprocessen:

  • Identiteitenbeheer;
  • Authenticatiemiddelenbeheer;
  • Bevoegdhedenbeheer.

Identiteitenbeheer

De digitale identiteit kent een vaste levenscyclus. Dit betekent dat een digitale identiteit gecreëerd wordt maar ook kan wijzigen of verwijderd worden. Deze functies zijn onderdeel van het identiteitenbeheer. Het identiteitenbeheer wordt ondersteund door een identiteitsbeheervoorziening (IDMS[1]) waarin de digitale identiteiten worden opgeslagen met de nodige attributen. Een digitale identiteit moet uniek identificeerbaar binnen de scope van een IDMS zijn en bevat dus voldoende informatie om deze van anderen te kunnen onderscheiden. Hieronder wordt de functie 'Creatie gekwalificeerde digitale identiteit' binnen het identiteitenbeheer nader toegelicht.

Creatie gekwalificeerde digitale identiteit

Bij creatie gekwalificeerde digitale identiteit gelden de volgende ontwerpkaders:

  1. Registratie en (persoons)gegevens van een natuurlijk persoon conform een normenkader betrouwbaarheidsniveaus waarbij deze voldoet aan het hoogste niveau dat bij gebruik van de digitale identiteit wordt vereist;
  2. De gekwalificeerde digitale identiteit is uniek identificeerbaar binnen het IDMS waarin deze is geregistreerd.

Authenticatiemiddelenbeheer

Ook het authenticatiemiddel kent een vaste levenscyclus. Dit betekent dat deze geregistreerd wordt, maar ook kan wijzigen of verwijderd worden. Het gaat hierbij over het algemeen om het wel of niet toepassen van een bepaalde authenticatiefactor en de gegevens die hiervoor geregistreerd worden. Of er bijvoorbeeld sprake is van uitgifte en beheer van een fysiek authenticatiemiddel hangt van de authenticatiefactor af.

Registratie authenticatiemiddel

Een authenticatiemiddel wordt geregistreerd en daarna gebruikt voor authenticatie van de dienstafnemer.

Voor authenticatiemiddelenbeheer gelden de volgende ontwerpkaders:

  1. Bij registratie van het authenticatiemiddel wordt deze gekoppeld aan een natuurlijk persoon (onderwijsbetrokkene) conform een normenkader betrouwbaarheidsniveaus;

Bevoegdhedenbeheer

Bevoegdhedenbeheer betreft de “levenscyclus” van bevoegdheden: vanaf het onderkennen (ontstaan en eventueel aanpassen), naar het toekennen aan digitale identiteiten en het verklaren daarvan, tot aan het intrekken (verwijderen) van bevoegdheden. Het registreren van bevoegdheden in het systeem wordt doorgaans ook wel Autorisatie beheer of Access management genoemd.

Bepalen minimale betrouwbaarheidsniveau identiteitsverklaring

Over het algemeen wordt vooraf aan verlenen toegang ook bepaald wat een dienstafnemer (een bepaalde digitale identiteit) mag. Autorisaties (toekennen van bevoegdheden aan een bepaalde digitale identiteit) kunnen op verschillende niveaus/manieren[2] gedefinieerd worden. Op het hoogste niveau gaat het om toegang tot een bepaalde dienst die (vertrouwelijke) gegevens van een bepaalde dataclassificatie ontsluit. Op een lager niveau kan het ook om autorisaties voor een bepaalde gegevensset gaan en de bewerkingen die uitgevoerd mogen worden.

Voor autorisaties op het hoogste niveau zal de dienstverlener op basis van een risicoanalyse bepalen wat het betrouwbaarheidsniveau van de identiteitsverklaring moet zijn.Voor het bepalen van het minimale betrouwbaarheidsniveau van een dienst gelden de volgende ontwerpkaders:

  1. Bepaal design-time eisen (minimale betrouwbaarheidsniveau ) t.b.v. toegang;
  2. De dienstverlener stelt op basis van een risicoanalyse vast wat het minimale betrouwbaarheidsniveau van de identiteitsverklaring moet zijn.

Verlenen toegang

Verlenen toegang betreft de volgende processen:

  • Authenticatie;
  • Autorisatie.
Authenticatie

Authenticatie toont met bepaalde mate van betrouwbaarheid aan of de dienstafnemer ook daadwerkelijk degene is die zich als zodanig voorgeeft. Het product van de authenticatie is de identiteitsverklaring van een bepaald betrouwbaarheidsniveau.

Bij het authentiseren speelt de authenticatiefactor een belangrijke rol. Het is een attribuut waarvan is bevestigd dat deze gebonden is aan een natuurlijk persoon die het authenticatiemiddel gebruikt en die onder een van de drie volgende categorieën valt.

  1. Op bezit gebaseerde authenticatiefactor: een authenticatiefactor waarvan de Entiteit moet aantonen dat deze in zijn bezit is.
  2. Op kennis gebaseerde authenticatiefactor: een authenticatiefactor waarvan de Entiteit moet aantonen dat hij ervan kennis draagt.
  3. Inherente authenticatiefactor: een authenticatiefactor die op een fysiek kenmerk van een Entiteit is gebaseerd en waarbij de Entiteit moet aantonen dat hij dat fysieke kenmerk bezit.
Autorisatie

Autorisatie is een functie van de dienstverlener. De autorisatie-functie wordt uitgevoerd aan de hand van autorisatieregels. Deze zijn o.a. gebaseerd op attributen in de identiteitsverklaring, maar ook het betrouwbaarheidsniveau van de identiteitsverklaring. Deze is bij het bepalen van het minimale betrouwbaarheidsniveau vastgesteld.

De autorisatie-functie leidt tot een autorisatiebeslissing die (inclusief de identiteitsverklaring) kan worden bewaard om zich later te kunnen verantwoorden voor het toegang geven tot een dienst. De attributen in de identiteitsverklaring of mogelijke aanvullende gegevens die apart opgehaald kunnen worden zijn bepalend voor de bevoegdheden van een dienstafnemer.


Ondersteunende processen

Ondersteunend procesBeschrijvingToelichting
AuthenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt?NORA 30 sept 2024: Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit
AuthenticatiemiddelenbeheerNORA: Het proces dat Entiteiten voorziet van Authenticatiemiddelen of deze middelen intrekt.
AutorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT-voorzieningen.
IdentiteitenbeheerProces dat digitale identiteiten tot stand brengt (en onderhoudt/actualiseert) voor entiteiten.De digitale identiteit van een natuurlijk persoon kent een vaste levenscyclus. Dit betekent dat een digitale identiteit gecreëerd wordt maar ook kan wijzigen of verwijderd worden.
Het identiteitenbeheer wordt ondersteund door een identiteitsbeheervoorziening (Ook wel identiteitsmanagementsysteem (IDMS) genoemd) waarin de digitale identiteiten worden opgeslagen met de nodige attributen. Een digitale identiteit binnen een IDMS moet uniek identificeerbaar zijn en bevat dus voldoende informatie om deze van anderen te kunnen onderscheiden.

Informatieobjecten

InformatieobjectBeschrijvingToelichting
AuthenticatiemiddelEen set van attributen (bijvoorbeeld een certificaat) op grond waarvan authenticatie van een partij kan plaatsvinden.NORA 30 sept 2024: Het middel waarmee een persoon zijn of haar identiteit kan aantonen c.q. laten verifiëren.
AutorisatiebeslissingDe uitkomst van een autorisatieNORA 30 sept 2024: Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen
AutorisatieregelsAls informatie vastgelegde bevoegdheden.Autorisatieregels worden vaak geformuleerd in termen van voorwaarden die gesteld worden aan zowel de entiteit als de resource.
EntiteitEen herkenbaar en onderscheidbaar iets dat relevant is voor identity and access management en waarbij een digitale identiteit kan behoren.
Gekwalificeerde digitale identiteitGegevens betreffende de digitale representatie is van een persoon. Een identiteit die als basis kan worden gebruikt voor een gekwalificeerde verklaring.
Gekwalificeerde verklaringEen verklaring (verifieerbaar of gekwalificeerd) die de uitkomst bevat van een authenticatie.
IdentiteitsverklaringUitkomst van een authenticatie die is uitgevoerd door een vertrouwde partij.De identiteitsverklaring is het resultaat van een identiteitstoets. In de verklaring staat wat de identiteit is en met welk betrouwbaarheids-niveau de identiteit is vastgesteld. De identiteitsverklaring bevat de attributen waarover de verklaring gaat. Het betrouwbaarheidsniveau maakt deel uit van de Identiteitsverklaring; soms is deze meta-gegeven in de verklaring opgenomen. Een Wettelijk Identiteitsbewijs is een door de overheid afgegeven Identiteitsverklaring.
NORA (concept): Een gekwalificeerde verklaring over een digitale identiteit.

Rollen

RolBeschrijvingToelichting
AuthenticatiedienstbeheerderDe authenticatiedienst beheerder is verantwoordelijk voor het leveren van identiteitsverklaringen. Dit doen zij via een authenticatiedienst. Om de dienstafnemer te kunnen authenticeren en de identiteitsverklaring te kunnen leveren moeten zij een persoonsgebonden authenticatiemiddel registreren. De registratie is in feite de binding tussen de digitale identiteit, het authenticatiemiddel en de persoon zelf. Er is dus sprake van een identiteitsverificatie en registratie van de gekwalificeerde digitale identiteit. Deze functies kunnen onderdeel zijn van het identiteitsbeheer dat door een andere partij en/of systeem uitgevoerd wordt of dat de authenticatiedienst beheerder zelf uitvoert. Binnen federatieve toegang wordt er vanuit gegaan dat een authenticatiedienst beheerder een rechtspersoon is. In de context van het onderwijs is dit over het algemeen de onderwijsorganisatie waar de dienstafnemer (onderwijsvolger of medewerker) aan verbonden is.
Beheerder identiteiten
Verklarende partijEen organisatie die verifieerbare of gekwalificeerde verklaringen uitgeeft.

Referentiecomponenten

ReferentiecomponentBeschrijvingToelichting
AuthenticatiemiddelenvoorzieningVoorziening waarmee Authenticatiemiddelen worden uitgegeven, ingenomen en vernietigd.
AutorisatievoorzieningVoorziening waarmee de toegang van digitale identiteiten kan worden verbreed of beperkt, d.m.v. van rechten.
IdentiteitsbeheervoorzieningVoorziening waarmee digitale identiteiten worden aangemaakt, verwerkt en eventueel vernietigd. Deze ondersteunt het identiteitenbeheer.
  1. Ook wel identiteitsmanagementsysteem (IDMS) genoemd
  2. Bijvoorbeeld 'iedereen die een bepaalde rol kan aantonen', of 'iedereen die een geldig OTP-token meeneemt'.
Overgenomen van "https://rosa.wikixl.nl/index.php?title=Inrichten_Identity_%26_Access_Management&oldid=163837"