Wallet in federatief stelsel

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen

Deze pagina bevat een concepttekst die momenteel in bewerking is.
Toelichting: De invulling en beschrijving van deze pagina wordt nader uitgewerkt ism de Werkgroep Toegang.

IV-domeinen > IV-domein IAM > Doorgifte identiteiten > Wallet in federatief stelsel
Deze pagina is een uitgebreide beschrijving van het modelelement Wallet in federatief stelsel (IV-inrichtingssjabloon)

Het is een detaillering van het ROSA IV-procesmodel Inrichten Identity & Access Management (IAM).

Wallets (of andere vormen van 'bring your own identity') kunnen identiteitsverklaringen of identificerende attributen bevatten en deze verstrekken zonder actieve tussenkomst van een identiteitsprovider. Dit kan in een scenario zonder federatie: alle diensten begrijpen en vertrouwen dan de verklaringen die vanuit de wallet worden verstrekt. Het kan ook met een federatie: dan worden de identiteitsverklaringen uit de wallet doorgegeven door de hub (federatief basis), of getransformeerd (federatief met gedelegeerd identiteitsprovider).

Combinatie van inrichtingsvarianten voor federatieve toegang die er toe bijdragen dat een dienstafnemer met een bepaald authenticatiemiddel een dienst kan afnemen, maar hierin ook keuze heeft (eduID of schoolaccount, of..). (Grouping) Doorgifte identiteiten Wallets (of andere vormen van 'bring your own identity') kunnen identiteitsverklaringen of identificerende attributen bevatten en deze verstrekken zonder actieve tussenkomst van een identiteitsprovider. Dit kan in een scenario zonder federatie: alle diensten begrijpen en vertrouwen dan de verklaringen die vanuit de wallet worden verstrekt. Het kan ook met een federatie: dan worden de identiteitsverklaringen uit de wallet doorgegeven door de hub (federatief basis), of getransformeerd (federatief met gedelegeerd identiteitsprovider). (Grouping) Wallet in federatief stelsel ArchiMateNote Holder Een component die gebruikt wordt door zijn houder om verifieerbare credentials en cryptografische sleutels aan te vragen, op te slaan, uit te geven, te tonen en te beheren. Credentials en sleutels kunnen op verschillende manieren worden beheerd en opgeslagen, onder andere op een lokaal apparaat, in een zelf-gehoste service of in een externe dienst van een derde partij. (OpenID for Verifiable Credential Issuance) (ApplicationComponent) Wallet Ondersteuning bij het aanmaken, onderhouden en verwijderen van persoonsgebonden authenticatiemiddelen. (ApplicationService) Authenticatiebeheer Het vastleggen van een credential of set van credentials die een persoon uniek kan identificeren, optioneel aangevuld met andere persoonsgegevens. (ApplicationService) Identiteitregistratie Onderhouden van relaties met aangesloten uuthenticerende identiteitsproviders, federatieve hubs en diensten, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau. (ApplicationService) SSO-relatiebeheer Uitkomst van een authenticatie die is uitgevoerd door een vertrouwde partij. (BusinessObject) Identiteitsverklaring ArchiMateNote Issuer Een systeem dat de registratie, het beheer en de uitwisseling van persoonsgegevens ondersteunt. (ApplicationComponent) Bronsysteem identiteiten Het aanmaken van een bij een persoon behorende set persoonsgegevens. (ApplicationService) Identiteitcreatie Het opslaan, actualiseren, uitwisselen, verwijderen van een bij een persoon behorende set persoonsgegevens. (ApplicationService) Identiteitbeheer Uitkomst van een authenticatie die is uitgevoerd door een vertrouwde partij. (BusinessObject) Identiteitsverklaring Gegevens betreffende de digitale representatie is van een persoon. Een identiteit die als basis kan worden gebruikt voor een gekwalificeerde verklaring. (BusinessObject) Gekwalificeerde digitale identiteit ArchiMateNote Er kunnen richting de wallet meerdere bronsystemen identiteiten een gekwalificeerde digitale identiteit aanleveren. De Federatieve hub vervult een hubfunctie tussen functie tussen (Authenticerende of Delegerende) Identity Providers en Diensten met SSO. Van een Identity Provider ontvangt de Federatieve hub een Identiteitsverklaring. Deze kan worden doorgestuurd naar een Diensten met SSO. Deze uitwisselingen vinden alleen plaats met Identity Providers en Diensten met SSO waarmee de Federatieve hub een vertrouwensrelatie heeft. (ApplicationComponent) Federatieve hub ApplicationService Beheer (inzage en controle doorgifte) Functie om volgens een bepaalde voorschriften een voorspelbare en betrouwbare translatie van een protocol uit te kunnen voeren, bijvoorbeeld van SAML naar OpenID Connect. (ApplicationService) Protocoltranslatie Pseudonimiseren is een procedure waarmee identificerende gegevens met een bepaald algoritme worden vervangen door versleutelde gegevens (het pseudoniem). (ApplicationService) Pseudonimiseren Een dienstaanbieder kan mogelijk meerdere diensten bieden met een verschillend risicoprofiel. Omdat een hoger risicoprofiel een hoger betrouwbaarheidsniveau vereist en dit een negatieve impact heeft op de gebruikerservaring, kan een dienstaanbieder gebruikers op verschillende betrouwbaarheidsniveaus laten authenticeren. Bij step-up heeft er een authenticatie plaatsgevonden op een lager niveau voor een dienst met een lager risicoprofiel en moet de gebruiker zich authenticeren op een hoger betrouwbaarheidsniveau om gebruik te kunnen maken van een dienst met een hoger risicoprofiel. (ApplicationService) Step-up authenticatie ApplicationService Registratie authenticatiediensten en diensten ArchiMateNote Verifier Een Dienst die bij de authenticatie van eindgebruikers gebruikt maakt van een Identiteitsverklaring afgegeven door een (Authenticerende of Delegerende) Identity Provider of een Federatieve Hub. De Dienst met SSO verzorgt daarnaast de autorisatie van eindgebruikers en beschikt hiervoor over een eigen register van identiteiten en een autorisatievoorziening. (ApplicationComponent) Dienst met SSO RealizationRelationship AccessRelationship R AccessRelationship W AccessRelationship W AccessRelationship W AccessRelationship R AccessRelationship R Deze svg is op 13-02-2026 23:39:00 CET gegenereerd door ArchiMedes™ © 2016-2026 ArchiXL. ArchiMedes 13-02-2026 23:39:00 CET

Wallets kunnen worden toegepast in meerdere contexten:

  1. Digitale identiteiten
  2. Gegevensuitwisseling
  3. Specifieke functies zoals ondertekenen en consent

Binnen het IV-domein IAM wordt alleen de context 'Digitale identiteiten' uitgewerkt.

De gangbare modellen voor wallet ecosystemen gaan uit van een rolverdeling Issuer – Holder – Verifier[1]. Hierbij worden attributen uitsluitend uitgewisseld met tussenkomst van degene over wie de attributen gaan (of die daar zeggenschap over heeft). Hoewel dit model afwijkt van het bekende federatieve stelsel zijn de rollen wel af te beelden op het functionele model dat gehanteerd wordt voor het ontwerpgebied Doorgifte Identiteiten.

De rol Issuer komt dan overeen met ‘Bronsysteem Identiteiten’, de rol Verifier met een 'Dienst'. Een Wallet heeft functioneel een vergelijkbare plek met de Authenticerende dienst, zij het dat de Wallet een ander interactiepatroon implementeert ('Bring your own identity' – BYOD) en andere technische standaarden hanteert voor de uitgegeven Identiteitsverklaring. Een federatieve hub die dit interactiepatroon en de bijbehorende standaarden implementeert kan met het patroon 'Wallet in federatief stelsel' een ontzorgende rol naar de achterliggende diensten vervullen, aanvullend op de bestaande federatieve patronen.

  1. Binnen het onderwijsdomein is de gangbare standaard: https://www.w3.org/TR/vc-data-model-2.0/

Een blauwdruk voor een concrete inrichting die een inrichtingsscenario (of toepassingsscenario) realiseert.

Naar de pagina met de definitie van ‘inrichtingssjabloon’

Een eigenschap, kenmerk of kwaliteit van een natuurlijke of rechtspersoon of een entiteit, in elektronisch formaat.

Naar de pagina met de definitie van ‘attributen’

Beredeneerde en samenhangende clustering van inhouden als onderdeel van een leergebied of vak.

Naar de pagina met de definitie van ‘domein’

Een aspect van ketensamenwerking waarvoor naast relevante overkoepelende architectuurprincipes ook specifieke ontwerpprincipes en ontwerpkaders van toepassing zijn.

Naar de pagina met de definitie van ‘ontwerpgebied’

Vormen van berichtuitwisseling tussen twee partijen.

Naar de pagina met de definitie van ‘interactiepatroon’
Overgenomen van "https://rosa.wikixl.nl/index.php?title=Wallet_in_federatief_stelsel&oldid=149095"