Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  1. Als een Eindgebruiker een Dienst met SSO wil gebruiken, vraagt de Dienst met SSO aan een (Authenticerende of Delegerende) Identity Provider of aan een Federatieve Hub om een Identiteitsverklaring voor de betreffende Eindgebruiker, zodat de autorisatievoorziening het proces van autorisateren kan uitvoeren en een autorisatiebeslissing kan nemen.

  2. In het geval van een Federatieve hub gaat de Federatieve hub na of de Eindgebruiker al is geauthenticeerd door zijn organisatie, en stelt een identiteitsverklaring met gebruikersgegevens op als dat zo is (single sign-on).

  3. Als de gebruiker nog niet is ingelogd, vraagt de Federatieve hub aan de (Authenticerende of Delegerende) Identity Provider van de onderwijsorganisatie om een Identiteitsverklaring voor deze Eindgebruiker. Als de Federatieve hub niet kan achterhalen bij welke onderwijsorganisatie de Eindgebruiker hoort, presenteert de Federatieve hub een selectiescherm aan de Eindgebruiker.

  4. De Authenticerende Identity Provider van de onderwijsorganisatie presenteert de Eindgebruiker een scherm om zich met het authenticatiemiddel te identificeren (bijvoorbeeld, inloggen met gebruikersnaam en wachtwoord). Als de Eindgebruiker kan worden geauthenticeerd, stelt de Identity Provider een identiteitsverklaring op, met de overeengekomen attributen.

...

  • Primaire identifier Persoon

    • Secundaire identifier Persoon (verplicht indien primaire identifier niet bekend is)

  • Primaire identifier Onderwijsorganisatie

    • Secundaire identifier Onderwijsorganisatie (verplicht indien primaire identifier niet bekend is)

  • Aanduiding of de Persoon een onderwijsdeelnemer, onderwijsmedewerker of betrokkene is.

Info

Sectorspecifieke Aanvullende (sectorspecifieke) attributen zijn mogelijk

In aanvulling op de hierboven genoemde gegevens in de identiteitsverklaring zijn er sectorspecifieke attributen die vanuit de federatieve authentiatiedientsverlener gedeeld kunnen worden. Zo wordt in het primair onderwijs bijvoorbeeld in de identiteitsverklaring vanuit Basispoort aangegeven of de Persoon thuis of op school is ingelogd.Aandachtspunt bij het delen van (sector)specifieke attributen is om de juiste consent op het juiste moment te hebben van de partijen die de gegevens moeten delen (de onderwijsinstellingen). 

Betrouwbaarheidsniveaus voor identificatie en authenticatie

...

Eindgebruiker

Betrouwbaarheidsniveau identiteitsverklaring

Toepassingspatroon identificatie en authenticatie

OnderwijsdeelnemerLaag

Gemiddeld (ingelogde gebruiker)

Federatieve toegang

Onderwijsmedewerker

LaagGemiddeld (ingelogde gebruiker)

Federatieve toegang

Gemiddeld/HoogVerhoogd (gevoelige informatie)

Federatieve toegang

  • TweefactorauthenticatieMultifactorauthenticatie

Dit patroon is afhankelijk van de onderwijssector al meer of minder de praktijk. In het middelbaar beroepsonderwijs is tweefactorauthenticatie steeds meer de norm.

Applicatiebeheerder

Gemiddeld/HoogVerhoogd (gevoelige informatie)

Federatieve toegang

  • Rol: Applicatiebeheerder

  • Multifactorauthenticatie

Dit patroon is van toepassing voor Regie op gegevens tussen Leveranciers ten behoeve van een Onderwijsaanbieder.

Onderwijsbestuurder

Gemiddeld/Hoog

eHerkenning, tekenbevoegd

...

De afspraken over identificatie en authenticatie dragen door een betrouwbare identiteitsverklaring met accountgegevens minimale set attributen bij aan een correcte autorisatie, maar schrijven niet voor op welke wijze de autorisatie plaatsvindt. Leveranciers beschikken in hun eigen Leer- en onderwijsmiddelen over adequaat rollen en rechtenbeheer waar de autorisatie plaats kan vinden. De daadwerkelijke autorisatie valt hiermee buiten de scope van het afsprakenstelsel. De identiteitsverklaring bevat wel voldoende informatie om als Leverancier in een applicatie deze autorisatiebeslissing ten aanzien van (het betrouwbaarheidsniveau van) de digitale identiteit te maken.

...