Titel | H2M identificatie en authenticatie | |
Status |
|
| title | DRAFT |
|---|
|
|
| Status | ||||
|---|---|---|---|---|
|
|
Stadium
| Status | ||||
|---|---|---|---|---|
|
| Status | ||
|---|---|---|
|
| ||
Versie | 0.0.3 | |
Datum | 25 Mei 2023 | |
Auteur | Architectenraad Edu-V | |
Acties | Architectenraad Edu-V
Werkgroep Doorgifte identiteiten
|
Op deze pagina is het Human-to-Machine (H2M) kader uitgewerkt voor het idenficeren en authenticeren van Onderwijsdeelnemers en -medewerkers in het Ecosysteem. In de diverse praktijksituaties zijn deze Personen de eindgebruikers of vervullen ze cruciale activiteiten om een use case uit te voeren. Zodra een Persoon deze rol vervult in een use case, dan is aangegeven welke eisen er gesteld worden aan de identificatie en authenticatie van de Persoon.
...
In het Ecosysteem zijn de ondersteunende rollen Beheerder identiteiten en Authenticatiedienstverlener verantwoordelijk voor respectievelijk het beheer van de identiteit en het uitgeven van de Identiteitsverklaring. De huidige praktijk kent een aantal verschillende ketens van Leveranciers die deze rollen vervullen. Deze zijn weergegeven in onderstaande tabel.
Variant | Sector | Administratieysteem onderwijsdeelnemers | Beheerder identiteiten | Authenticatie-dienstverlener | Federatieve authenticatie-dienstverlener |
|---|---|---|---|---|---|
I. | PO, (V)SO | LAS | Basispoort | Basispoort | Basispoort |
II. | PO, (V)SO | LAS | Netwerkleverancier | Netwerkleverancier | Basispoort |
III. | VO, VSO | LAS | LAS/ELO | LAS/ELO | Entree federatie |
IV | VO, VSO | LAS | IAM dienstverlener | IAM dienstverlener | Entree federatie |
V. | MBO | SIS | IAM dienstverlener | IAM dienstverlener | Entree federatie |
VI. | MBO | SIS | IAM dienstverlener | IAM dienstverlener | SURFConext |
Betrouwbaarheidsniveaus voor identificatie en authenticatie
De praktijksituaties van het Ecosysteem vragen om diverse betrouwbaarheidsniveaus om Personen te identificeren en te authenticeren. Dit betrouwbaarheidsniveau is afhankelijk van de context en de gegevens die gedeeld worden. Voor deze situaties zijn de volgende patronen ontwikkeld:
Persoon | Betrouwbaarheidsniveau identiteitsverklaring | Toepassingspatroon identificatie en authenticatie |
|---|---|---|
Onderwijsdeelnemer | Laag | Federatieve toegang |
Onderwijsmedewerker | Laag | Federatieve toegang |
Gemiddeld/Hoog | Federatieve toegang
Dit patroon is afhankelijk van de onderwijssector al meer of minder de praktijk. In het middelbaar beroepsonderwijs is tweefactorauthenticatie steeds meer de norm. | |
Applicatiebeheerder | Gemiddeld/Hoog | Federatieve toegang
Dit patroon is van toepassing voor het /wiki/spaces/AFSPRAKENS/pages/9175055 tussen Leveranciers ten behoeve van een Onderwijsaanbieder. |
Onderwijsbestuurder | Gemiddeld/Hoog | eHerkenning, tekenbevoegd Dit patroon is van toepassing voor het ondertekenen van een Verwerkersovereenkomst dat leidt tot een mandaat in het mandatenregister voor een onderwijsbestuur. |
POC Scope
De wijze waarop betrouwbaarheidsniveaus van een identiteitsverklaring kunnen worden toegepast in een federatieve context is nog een onderzoeksvraag.
Voor de POC hanteren we als minimale eis om in de authenticatie gebruik te maken van multifactorauthenticatie voor Applicatiebeheerders.
Daarnaast wordt in het OSR van Kennisnet ook reeds eHerkenning toegepast voor het verlenen van een mandaat door een Onderwijsbestuurder.
...