...
Panel | ||||||
---|---|---|---|---|---|---|
| ||||||
[1] Werkgroep: afspraken maken over uniformeren werking federatieve authenticatiedienstverleners
|
Accountgegevens in de
...
Identiteitsverklaring
Via de federatieve toegangsvoorziening kan een Leverancier een ID-verklaring identiteitsverklaring verkrijgen van een Onderwijsdeelnemer of -medewerker. Een ID verklaring identiteitsverklaring is een geverifieerde digitale identiteit met een minimale set aan attributen, eventueel aangevuld met vooraf overeengekomen aanvullende attributen. In deze identititeitsverklaring wordt tenminste de volgende gegevens opgenomen:
...
Info |
---|
Sectorspecifieke attributen zijn mogelijk In aanvulling op de hierboven genoemde gegevens in de identiteitsverklaring zijn er sectorspecifieke attributen die vanuit de federatieve authentiatiedientsverlener gedeeld kunnen worden. Zo wordt in het primair onderwijs bijvoorbeeld aangegeven of de Persoon thuis of op school is ingelogd. Aandachtspunt bij het delen van (sector)specifieke attributen is om de juiste consent op het juiste moment te hebben van de partijen die de gegevens moeten delen (de onderwijsinstellingen). |
...
ARP: verzoek delen van attributen Entree federatie Stichting Kennisnet ondersteunt leveranciers om via de federatieve authenticatiedienstverlener Entree aanvullende attributen te ontvangen. De leverancier dient in dat geval de onderwijsorganisatie om een Attribute Release Policy (ARP) te vragen. De onderwijsorganisatie verleent deze attributen digitaal in Mijn Entree Federatie. Het verlenen van attributen is een verzoek van de onderwijsorganisatie aan Stichting Kennisnet ten behoeve van de authenticatiedienstverlener Entree Federatie om meer informatie van een gebruiker door te geven aan de leverancier. | ||||||
Panel | ||||||
---|---|---|---|---|---|---|
| ||||||
[2] Werkgroep: afspraken maken over de wijze waarop attributen gedeeld worden De federatieve authenticatiedienstverleners delen allen op een verschillende wijze attributen als onderdeel van de identiteitsverklaring. Tevens is er binnen Edu-K een afspraak gemaakt in het attributenbeleid. Binnen de Entree federatie worden er standaard attributen gedeeld en kunnen aanvullende attributen aangevraagd worden. Het is zinvol om deze werkwijzen te evalueren en toe te werken naar een eenduidige werking waarbij dataminimalisatie en doelbinding centraal staan. Hierbij kan bijvoorbeeld gedacht worden aan het delen van een minimale set en het uitvoeren van callback op de attributen die van belang zijn voor de situatie. Hierbij is een belangrijk aandachtspunt om de contexten goed te definiëren en ook een afweging te maken welke andere personen federatief geïdentificeerd en geauthenticeerd dienen te worden. Gedacht wordt onder meer aan ouders/verzorgens en afspraken over gast accounts. Dit vraagstuk is breed van toepassing in alle onderwijssectoren. Vandaar dat de werkgroep Doorgifte identiteiten dit vraagstuk in samenwerking met de Werkgroep Toegang van Edustandaard zal gaan uitwerken. |
Panel | ||||||
---|---|---|---|---|---|---|
| ||||||
[3] Werkgroep: afspraken maken over aanvullen van profiel na inloggen In de huidige praktijk vragen steeds meer Leveranciers nadat een Persoon is ingelogd om zijn profiel compleet te maken met aanvullende informatie zoals:
Deze werkwijze leidt ertoe dat er redundante data (bijvoorbeeld persoon e-mailadres in plaats van e-mailadres van de onderwijsorganisatie) ontstaat. Dit kan ook opgelost worden door het kunnen verkrijgen van gegevens via een koppeling met het Administratiesysteem onderwijsdeelnemers (via de /wiki/spaces/AFSPRAKENS/pages/21659714) of de attributen uit de federatieve authenticatiedienstverlener. |
...
Eindgebruiker | Betrouwbaarheidsniveau ID verklaringidentiteitsverklaring | Toepassingspatroon identificatie en authenticatie |
---|---|---|
Onderwijsdeelnemer | Laag | Federatieve toegang |
Onderwijsmedewerker | Laag | Federatieve toegang |
Gemiddeld/Hoog | Federatieve toegang
Dit patroon is afhankelijk van de onderwijssector al meer of minder de praktijk. In het middelbaar beroepsonderwijs is tweefactorauthenticatie steeds meer de norm. | |
Applicatiebeheerder | Gemiddeld/Hoog | Federatieve toegang
Dit patroon is van toepassing voor Regie op gegevens tussen Leveranciers ten behoeve van een Onderwijsaanbieder. |
Onderwijsbestuurder | Gemiddeld/Hoog | eHerkenning, tekenbevoegd Dit patroon is van toepassing voor het ondertekenen van een Verwerkersovereenkomst dat leidt tot een mandaat in het mandatenregister voor een onderwijsbestuur. |
Panel | ||||||
---|---|---|---|---|---|---|
| ||||||
Werkgroep: Afspraken maken over betrouwbaarheidsniveaus substantieel voor Onderwijs Op basis van eIDAS en eHerkenning uitwerken van een onderwijsprofiel voor de identificatie en authenticatie van personen met een betrouwbaarheidsniveau Substantieel. Dit vraagstuk is breed van toepassing in alle onderwijssectoren. Vandaar dat de werkgroep Doorgifte identiteiten dit vraagstuk in samenwerking met de Werkgroep Uniforme Beveiligingsvoorschriften en Toegang van Edustandaard zal gaan uitwerken. |
...
Identiteitsverklaring als input voor autorisatie door Dienst
De afspraken over identificatie en authenticatie dragen door een betrouwbare ID-verklaring identiteitsverklaring met accountgegevens bij aan een correcte autorisatie, maar schrijven niet voor op welke wijze de autorisatie plaatsvindt. Leveranciers beschikken in hun eigen Leer- en onderwijsmiddelen over adequaat rollen en rechtenbeheer waar de autorisatie plaats kan vinden. De daadwerkelijke autorisatie valt hiermee buiten de scope van het afsprakenstelsel. De ID-verklaring identiteitsverklaring bevat wel voldoende informatie om als Leverancier in een applicatie deze autorisatiebeslissing ten aanzien van (het betrouwbaarheidsniveau van) de digitale identiteit te maken.
...