Titel | H2M identificatie en authenticatie | ||||||||||||||
Status |
| ||||||||||||||
Versie | 0.0.34 | ||||||||||||||
Datum | 25 Mei 5 December 2023 | ||||||||||||||
Auteur | Architectenraad Edu-V | ||||||||||||||
Acties | Architectenraad Edu-V
Werkgroep Doorgifte identiteiten
|
...
| Table of Contents | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
POC Scope: op basis van bestaande afspraken en federatieve authenticatiemiddelen
In de huidige praktijk zijn er al veel bestaande oplossingen ontwikkeld voor het betrouwbaar identificeren en authenticeren van Onderwijsdeelnemers en -medewerkers. Voor de POCs benutten we deze oplossingen en ontwikkelen we geen nieuwe afspraken.
Conceptueel model: toepassingspatroon federatieve toegang
...
Federatieve toegang is één van de toepassingspatronen binnen de Architectuurkaders toegang en digitale identiteit onderwijs, die onder beheer zijn in de Werkgroep Toegang van Bureau Edustandaard. Meer informatie over de werking van dit toepassingspatroon kan daar gevonden worden.
POC Scope
Voor de POCs werken we samen met de huidige Leveranciers van federatieve authenticatiedienstverleners:
...
...
...
| Panel | ||||||
|---|---|---|---|---|---|---|
| ||||||
[1] Werkgroep: afspraken maken over uniformeren werking federatieve authenticatiedienstverleners
|
...
| Info |
|---|
ARP formulier: verzoek uitbreiding attributen Entree federatie Stichting Kennisnet ondersteunt Leveranciers om via de federatieve authenticatiedienstverlener Entree aanvullende attributen te ontvangen. De Leverancier dient in dat geval de Onderwijsorganisatie om een ARP formulier in te laten vullen. Dit is een schriftelijk verzoek van een onderwijsorganisatie aan Stichting Kennisnet ten behoeve van de authenticatiedienstverlener Entree Federatie om meer informatie van een gebruiker door te geven aan een Leverancier. |
| Panel | ||||||
|---|---|---|---|---|---|---|
| ||||||
[2] Werkgroep: afspraken maken over de wijze waarop attributen gedeeld worden De federatieve authenticatiedienstverleners delen allen op een verschillende wijze attributen als onderdeel van de identiteitsverklaring. Tevens is er binnen Edu-K een afspraak gemaakt in het attributenbeleid. Binnen de Entree federatie worden er standaard attributen gedeeld en kunnen aanvullende attributen aangevraagd worden. Het is zinvol om deze werkwijzen te evalueren en toe te werken naar een eenduidige werking waarbij dataminimalisatie en doelbinding centraal staan. Hierbij kan bijvoorbeeld gedacht worden aan het delen van een minimale set en het uitvoeren van callback op de attributen die van belang zijn voor de situatie. Hierbij is een belangrijk aandachtspunt om de contexten goed te definiëren en ook een afweging te maken welke andere personen federatief geïdentificeerd en geauthenticeerd dienen te worden. Gedacht wordt onder meer aan ouders/verzorgens en afspraken over gast accounts. Dit vraagstuk is breed van toepassing in alle onderwijssectoren. Vandaar dat de werkgroep Doorgifte identiteiten dit vraagstuk in samenwerking met de Werkgroep Toegang van Edustandaard zal gaan uitwerken. |
| Panel | ||||||
|---|---|---|---|---|---|---|
| ||||||
[3] Werkgroep: afspraken maken over aanvullen van profiel na inloggen In de huidige praktijk vragen steeds meer Leveranciers nadat een Persoon is ingelogd om zijn profiel compleet te maken met aanvullende informatie zoals:
Deze werkwijze leidt ertoe dat er redundante data (bijvoorbeeld persoon e-mailadres in plaats van e-mailadres van de onderwijsorganisatie) ontstaat. Dit kan ook opgelost worden door het kunnen verkrijgen van gegevens via een koppeling met het Administratiesysteem onderwijsdeelnemers (via de SIS API) of de attributen uit de federatieve authenticatiedienstverlener. |
...
Referentiecomponenten
In het Ecosysteem zijn de ondersteunende rollen Beheerder identiteiten en Authenticatiedienstverlener referentiecomponenten Identiteitsbeheervoorziening en Authenticatiemiddelenvoorziening verantwoordelijk voor respectievelijk het beheer van de identiteit en het uitgeven van de Identiteitsverklaring. De huidige praktijk kent een aantal verschillende ketens van Leveranciers die deze rollen vervullen. Deze zijn weergegeven in onderstaande tabel.
Variant | Sector | Administratieysteem onderwijsdeelnemers | Beheerder identiteitenIdentiteitsbeheer-voorziening | Authenticatie-dienstverlenermiddelenvoorziening | Federatieve authenticatie-dienstverlenerhub |
|---|---|---|---|---|---|
I. | PO, (V)SO | LAS | Basispoort | Basispoort | Basispoort |
II. | PO, (V)SO | LAS | Netwerkleverancier | Netwerkleverancier | Basispoort |
III. | VO, VSO | LAS | LAS/ELO | LAS/ELO | Entree federatie |
IV | VO, VSO | LAS | IAM dienstverlener | IAM dienstverlener | Entree federatie |
V. | MBO | SIS | IAM dienstverlener | IAM dienstverlener | Entree federatie |
VI. | MBO | SIS | IAM dienstverlener | IAM dienstverlener | SURFConext |
...
Persoon | Betrouwbaarheidsniveau identiteitsverklaring | Toepassingspatroon identificatie en authenticatie |
|---|---|---|
Onderwijsdeelnemer | Laag | Federatieve toegang |
Onderwijsmedewerker | Laag | Federatieve toegang |
Gemiddeld/Hoog | Federatieve toegang
Dit patroon is afhankelijk van de onderwijssector al meer of minder de praktijk. In het middelbaar beroepsonderwijs is tweefactorauthenticatie steeds meer de norm. | |
Applicatiebeheerder | Gemiddeld/Hoog | Federatieve toegang
Dit patroon is van toepassing voor het /wiki/spaces/AFSPRAKENS/pages/9175055 tussen Leveranciers ten behoeve van een Onderwijsaanbieder. |
Onderwijsbestuurder | Gemiddeld/Hoog | eHerkenning, tekenbevoegd Dit patroon is van toepassing voor het ondertekenen van een Verwerkersovereenkomst dat leidt tot een mandaat in het mandatenregister voor een onderwijsbestuur. |
POC Scope
De wijze waarop betrouwbaarheidsniveaus van een identiteitsverklaring kunnen worden toegepast in een federatieve context is nog een onderzoeksvraag.
Voor de POC hanteren we als minimale eis om in de authenticatie gebruik te maken van multifactorauthenticatie voor Applicatiebeheerders.
. |
| Panel | ||||||
|---|---|---|---|---|---|---|
| ||||||
Werkgroep: Afspraken maken over betrouwbaarheidsniveaus substantieel voor Onderwijs Op basis van eIDAS en eHerkenning uitwerken van een onderwijsprofiel voor de identificatie en authenticatie van personen met een betrouwbaarheidsniveau Substantieel. Dit vraagstuk is breed van toepassing in alle onderwijssectoren. Vandaar dat de werkgroep Doorgifte identiteiten dit vraagstuk in samenwerking met de Werkgroep Uniforme Beveiligingsvoorschriften en Toegang van Edustandaard zal gaan uitwerken. |
...
Deze uitwerking is gebaseerd op basis van de volgende stappen:
0.0.1: Verzamelen van de relevante onderwerpen voor H2M identificatie
0.0.2: Draft uitwerking van H2M kader voor scope van de POCs, bestaande uit:
Conceptueel model: toepassingspatroon federatieve toegang
Digitale identiteit Onderwijsdeelnemer en –medewerker
Digitale identiteit Onderwijsorganisaties
Betrouwbaarheidsniveaus voor identificatie en authenticatie
Buiten scope: Autorisatie
0.0.3: Na feedback van Architectenraad Edu-V is de inhoud over identiteiten verplaatst naar een separate pagina. Tevens is feedback op de inhoud van de Architectenraad Edu-V verwerkt in deze iteratie.
POC Scope voor betrouwbaarheidsniveaus bijgesteld naar 2FA voor alleen de applicatiebeheerder.
Passage over attributenbeleid aangepast naar huidige praktijk bij de federatieve authenticatiedienstverleners.
Ketens van rollen Beheerder identiteiten en Authenticatiedienstverleners expliciet gemaakt.
De onderwerpen voor de werkgroep Doorgifte identiteiten geëxpliciteerd.
0.0.4: POC Scope verwijderd. Definities van referentiecomponenten aangepast. Plaatje over Federatieve toegang geactualiseerd op basis van ROSA wijziging. Link naar de pagina van ROSA ook geactualiseerd.