Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Titel

Referentiecomponenten toegangsketen

Status

Status
colourPurple
titleIn ontwikkeling
Status
colourGreen
titleROSA-Architectuurscan
Status
colourBlue
titleBEsluitvorming
Status
titleimplementatie
Status
titlein beheer

Versie

0.0.12

Datum

17 24 Mei 2024

Auteur

Werkgroep Doorgifte identiteiten

Acties

  • Geen openstaande acties

...

Table of Contents
minLevel1
maxLevel6
include
outlinefalse
indent
stylenone
excludeRelease notes
typelist
class
printabletrue

Authenticerende Identity

...

Provider

Een onderwijsorganisatie gebruikt een Authenticerende Identity provider Provider om de digitale identiteit en andere attributen van geauthenticeerde onderwijsdeelnemers en –medewerkers aan referentiecomponenten ketenpartijen door te geven.

...

De Authenticerende Identity provider registreert Provider onderhoudt digitale identiteiten en gerelateerde persoonsgegevens en authenticatiemiddelen voor gebruikers. Belangrijkste dienst is het samenstellen en uitgeven van identiteitsverklaring van geauthenticeerde personen voor gebruik in de toegangsketenketen.

De Authenticerende IdP Identity Provider heeft de verantwoordelijkheid om de relatie tussen de digitale identiteit en het uitgegeven authenticatiemiddel bij te houden. Belangrijk is dat de Authenticerende Identity provider Provider tijdens het proces van authenticatie van de gebruiker beschikt over alle informatie om de identiteit van de gebruiker te verifiëren en alle attributen kan vinden om een Identiteitsverklaring mee samen te stellen.

...

  • Register identiteiten: ondersteunt het inlezen en verwijderen van digitale identiteiten en persoonsgegevens voor personen. Het Register identiteiten kan optioneel informatie onderhouden over het niveau van betrouwbaarheid waarmee digitale identiteiten zijn vastgesteld. Als informatie over de betrouwbaarheid van digitale identiteiten beschikbaar is, is de Authenticerende Identity provider Provider in staat om authenticatie met verhoogde betrouwbaarheid uit te voeren.

  • Authenticatiebeheer: ondersteunt het aanmaken, onderhouden en verwijderen van persoonsgebonden authenticatiemiddelen. Authenticatiebeheer kan het gebruik van extra authenticatiemiddelen voor multi-factor authenticatie ondersteunen.

  • Identity provider: authenticeert gebruikers, eventueel ook step-up authenticatie (hoger betrouwbaarheidsniveau, bijvoorbeeld met extra authenticatiefactor) en stelt identiteitsverklaringen op op basis van gegevens in het register identiteiten.SSO-partnerbeheer: onderhouden van relaties met aangesloten federaties en diensten, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau.

  • Autorisatie: interne autorisatie van de Authenticerende Identity provider Provider waarmee deze de toegang tot zijn dienstverlening kan beperken tot de geautoriseerde gebruikers.

  • Inlogdienst: het deel van de Authenticerende Identity provider Provider dat diensten voor eindgebruikers levert. In dit geval, de authenticatiefunctie, functionaliteit voor het aanmaken, wijzigen en verwijderen van identiteiten en authenticatiemiddelen en de configuratiefunctie voor het beheren van ketenrelaties met .

  • SSO-partnerbeheer: onderhouden van relaties met aangesloten Delegerende Identity Providers, Federaties en het beheer van de registratie van identiteitenFederatieve hubs en Diensten met SSO, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau.

Delegerende Identity

...

Provider

Een onderwijsorganisatie gebruikt een Delegerende Identity provider Provider om de digitale identiteit en andere attributen van geauthenticeerde onderwijsdeelnemers en –medewerkers, waarvan de onderwijsorganisatie niet zelf het beheer van de authenticatiemiddelen wil doen, toch te kunnen authenticeren en in een eigen identiteitsverklaring door te geven aan partijen in de toegangsketenketen.

...

Net als de Authenticerende Identity provider Provider stelt deze referentiecomponent dienst Identiteitsverklaringen op. Het belangrijkste verschil is dat de Delegerende Identity provider Provider niet zelf authenticatiemiddelen beheert en uitgeeft. De Delegerende Identity provider Provider laat zijn gebruikers authenticeren door een Authenticerende Identity providerProvider en fungeert als een authenticatieproxy. Op basis van diens Identiteitsverklaring stelt de Delegerende Identity provider Provider een eigen Identiteitsverklaring op voor gebruik in de keten. Hierbij past de Delegerende Identity Provider identity mapping toe.

De Delegerende Identity provider Provider kan rechtstreeks koppelen met een Authenticerende Identity providerProvider, maar de koppeling kan ook tot stand komen via een Federatie. Koppelen via een Federatie heeft voordelen als de aansturing van het authenticatieproces of de syntax van de Identiteitsverklaring tussen beide partijen niet helemaal aansluit. De Delegerende Identity provider Provider is in dit geval aan de Federatie gekoppeld als Dienstverlener, en niet als Identity providerProvider.

De Delegerende Identity Provider beschikt over de volgende functionaliteiten:

  • Register identiteiten: ondersteunt het inlezen en verwijderen van digitale identiteiten en persoonsgegevens voor personen, en het aanbrengen van relaties tussen digitale identiteiten uit externe bron(nen) en de eigen digitale identiteiten. Het register identiteiten kan informatie onderhouden over het niveau van betrouwbaarheid waarmee digitale identiteiten zijn vastgesteld zodat er een authenticatie met verhoogde betrouwbaarheid kan plaatsvinden.

  • Identity provider: delegeert de authenticatie van gebruikers aan een (externe) Authenticerende Identity providerProvider, eventueel ook step-up inclusief authenticatie (hoger betrouwbaarheidsniveau, bijvoorbeeld authenticatie met extra factor). Leest Identiteitsverklaringen van Authenticerende Identity providerProvider, valideert de ondertekening indien van toepassing, en stelt identiteitsverklaringen Identiteitsverklaringen op, op basis van gegevens in de ingelezen Identiteitsverklaring en eigen identiteitenbeheer. Het is nader te bepalen of en hoe de identifier van de betrokkene uit de identiteitsverklaring van de externe Identity provider gebruikt wordt in de eigen identiteitsverklaring van de onderwijsorganisatie.

  • SSO-partnerbeheer: onderhouden van relaties met aangesloten Authenticerende Identity providers, federaties en diensten, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau.

  • De Delegerende Identity Provider fungeert als een authenticatieproxy en past identity mapping toe om de Identiteitsverklaring die wordt ingelezen om te zetten naar een Identiteitsverklaring die wordt afgegeven.

  • Autorisatie: interne autorisatie van de Delegerende Identity provider Provider waarmee deze de toegang tot zijn dienstverlening kan beperken tot de geautoriseerde gebruikers.

  • InlogdienstGebruikersdienst: het deel van de Delegerende Identity provider Provider dat diensten voor eindgebruikers levert. In dit geval, de configuratiefunctie voor het beheren van ketenrelaties met Authenticerende Identity Providers, Federaties en het beheer van de registratie van identiteiten..

Federatie

...

  • SSO-partnerbeheer: onderhouden van relaties met aangesloten Authenticerende Identity Providers, Federatieve hubs en Diensten met SSO, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau.

Federatieve hub

Een Federatieve hub functioneert als een intermediair tussen Identity providers (Authenticerend of Delegerend) en de Dienst met SSO van dienstverlenersProviders en Dienstverleners. Identity providers Providers leveren de digitale identiteit van de Onderwijsdeelnemer of –medewerker in een Identiteitsverklaring aan.

...

De Federatie Federatieve hub routeert de Identiteitsverklaring aan de gewenste Dienst met SSO. De Federatie kan op verzoek van aanleverende en/of afnemende partijen Identiteitsverklaringen transformeren of attributen eruit filteren. Federaties onderhouden relaties met aanleverende en afnemende partijen op bestuurlijk, juridisch, financieel, operationeel, informatie-technisch en technisch niveau.

De Federatie Federatieve hub beschikt over de volgende functionaliteiten:

  • Identity provider: valideren, lezen en interpreteren van Identiteitsverklaring die wordt aangeleverd door een aangesloten (Authenticerende of Delegerende) Identity providerProvider. Transformeren van aangeleverde Identiteitsverklaring of aanmaken Identiteitsverklaring. Invullen attributen en aangeleverde digitale identiteit in de verklaring, optioneel digitaal ondertekenen van identiteitsverklaring.

  • Autorisatie: vaststellen dat alleen geautoriseerde partijen gebruik maken van de dienstverlening van de federatieinterne autorisatie van de Federatieve hub waarmee deze de toegang tot zijn dienstverlening kan beperken tot de geautoriseerde gebruikers.

  • Transformatie en filtering: de onderwijsorganisatie is verantwoordelijk voor de verspreiding van persoonsgegevens binnen de kaders van de overeenkomsten tussen onderwijsorganisatie en dienstverlener. De onderwijsorganisatie kan het filteren en transformeren van de betreffende attributen delegeren aan de FederatieFederatieve hub. Daarnaast kan de Federatie Federatieve hub beschikken over transformaties waarmee op protocol- en berichtniveau vertaald wordt tussen verschillende standaarden De Federatie beschikt niet over een eigen register van identiteiten, en de Federatie zal ook niet eigen identiteiten invoegen in het bericht. Om transparantie in de keten te waarborgen zal de Federatie ook niet de bestaande identiteiten of andere sleutels wijzigen.

  • SSO-Partnerbeheer: beheer van overeenkomsten tussen de partijenonderhouden van relaties met aangesloten (Authenticerende of Delegerende) Identity providers en Diensten met SSO, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau.

Dienst met SSO

De Dienst met SSO authenticeert zijn gebruikers op basis van een direct gekoppelde Identity Provider (Authenticerend Authenticerende of DelegerendDelegerende) Identity Provider of via een Federatiede Federatieve hub.

...

De dienst heeft een autorisatiecomponent, die een autorisatiebeslissing neemt. Afhankelijk van de wijze waarop de dienstverlener de dienst beschikbaar stelt, zijn hiervoor persoonsgegevens of andere attributen van de gebruiker nodig. De dienst gebruikt informatie uit de Identiteitsverklaring, eventueel in combinatie met geprovisionde persoonsgegevens vanuit de administratiesystemen onderwijsdeelnemer of onderwijsmedewerker, om de autorisatiebeslissing te nemen.

...

  • Register identiteiten: ondersteunt het inlezen en verwijderen van digitale identiteiten en persoonsgegevens voor personen, en het aanbrengen van relaties tussen digitale identiteiten uit externe bron(nen) en de eigen digitale identiteiten. De aard en hoeveelheid gegevens die hier wordt verzameld is afhankelijk van de dienst.  Het register identiteiten kan informatie onderhouden over het niveau van betrouwbaarheid waarmee digitale identiteiten zijn vastgesteld zodat er een authenticatie met verhoogde betrouwbaarheid kan plaatsvinden.

  • Identity provider en autorisatie: nemen de beslissing om de gebruiker al dan niet toegang te verlenen tot de dienst. Hiervoor wordt gebruik gemaakt van de aangeleverde informatie (Identiteitsverklaring, geprovisionde gegevens) en van eigen informatie van de dienstverlener, zoals de licentiestatus.

  • Gebruikersdienst: het deel dat diensten voor eindgebruikers levert.

  • SSO-partnerbeheer: onderhouden van relaties met aangesloten (Authenticerende of Delegerende) Identity providersProviders, federaties en dienstenFederatieve hubs en Diensten met SSO, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau.

De Dienst met SSO kan gebruik maken van de toegangsketen en de gegevensdiensten uit de administratiesystemen onderwijsdeelnemer en onderwijsmedewerker. Vanuit deze bronnen is de Dienst met SSO in staat om alle strikt noodzakelijke persoons- en profielgegevens van een eindgebruiker te verkrijgen. Zodra een eindgebruiker succesvol is ingelogd op een Dienst met SSO zou het complementeren van een profiel met aanvullende informatie dan ook niet meer nodig moeten zijn.

Note

Aanvullen van profiel na inloggen

In de huidige praktijk vragen steeds meer Leveranciers nadat een eindgebruiker is ingelogd om zijn profiel compleet te maken met aanvullende informatie zoals:

  • Koppelen van de school

  • Invullen van het e-mailadres

  • Aanvullen van persoonsgegevens

Deze werkwijze leidt ertoe dat er redundante data (bijvoorbeeld persoon e-mailadres in plaats van e-mailadres van de onderwijsorganisatie) ontstaat.

We raden deze werkwijze nadrukkelijk af vanwege de volgende nadelen:

  • Het leidt tot redundante, niet actuele en mogelijk conflicterende data (bijvoorbeeld persoonlijk e-mailadres i.p.v. een e-mailadres van de onderwijsorganisatie)

  • De onderwijsorganisatie heeft niet per sé toestemming gegeven voor het verkrijgen van de gegevens.

We raden nadrukkelijk wel aan om gebruik te maken van de gegevensdiensten uit de administratiesystemen om op deze wijze op een veilige en betrouwbare manier profiel- en accountgegevens van eindgebruikers te ontvangen.

Authenticerende dienst

De Authenticerende dienst heeft een eigen register van gebruikers en authenticatiemiddelen, waarmee de dienst zelfstandig de identificatie en authenticatie kan verzorgen en een autorisatiebeslissing kan nemen. Gebruikers van deze dienst worden geauthenticeerd met behulp van eigen authenticatiemiddelen (gebruikersnaam, wachtwoord en dergelijke) van de dienst.

...

  • Register identiteiten: ondersteunt het inlezen en verwijderen van digitale identiteiten en persoonsgegevens voor personen.

  • Authenticatiebeheer: ondersteunt het aanmaken, onderhouden en verwijderen van persoonsgebonden authenticatiemiddelen. Authenticatiebeheer kan het gebruik van extra authenticatiemiddelen voor multi-factor authenticatie ondersteunen.

  • Identity provider en autorisatie: authenticeren de gebruiker en nemen de beslissing om de gebruiker al dan niet toegang te verlenen tot de dienst. Hiervoor wordt gebruik gemaakt van eigen informatie van de dienstverlener, zoals de licentiestatus.

  • Gebruikersdienst: het deel dat diensten voor eindgebruikers levert.

De Authenticerende dienst is geen onderdeel van een toegangsketen en heeft dus ook geen SSO-relatiebeheer.

Wallet

Info

Toekomstige uitbreiding

De Wallet is nog geen onderdeel van het Afsprakenstelsel Edu-V. In het afsprakenstelsel wordt uitgegaan van het patroon Federatieve toegang vanuit de referentiecomponenten (Authenticerende of Delegerende) Identity Provider, Federatieve Hub en Dienst met SSO.

De Wallet kan in de toekomst een rol gaan vervullen en is daarom wel uitgewerkt als referentiecomponent.

Een Wallet is een set persoonsgegevens en consent om de persoonsgegevens voor bepaalde doelen te gebruiken, die onder controle is van de persoon zelf. In Europees verband wordt gewerkt aan standaardisatie van Wallets voor gebruik in communicatie met overheidspartijen, in het onderwijs en in commerciële partijen. De Nederlandse overheid heeft recent de eerste NL-Wallet uitgebracht.

...

De Wallet is hier opgenomen om te laten zien dat deze, in elk geval volgens het hier gebruikte model, in het stelsel van bouwstenen kan worden ingepast. We gaan hierbij uit van het model Issuer – Wallet – Verifier. Op deze manier heeft de Wallet functioneel een vergelijkbare plek met de Authenticerende identiteitsprovider, zij het dat de Wallet andere technische standaarden hanteert voor het inlezen van credentials en de uitgegeven Identiteitsverklaring.

De Wallet beschikt over de volgende functionaliteiten:

  • Register identiteiten: ondersteunt het inlezen en verwijderen van digitale identiteiten en persoonsgegevens voor personen, en het aanbrengen van relaties tussen digitale identiteiten uit externe bron(nen) en de eigen digitale identiteiten. De Issuer is de organisatie die digitale identiteiten inbrengt in de Wallet. De gebruiker bepaalt welke Issuers gegevens aanleveren op zijn of haar Wallet.

  • Authenticatiebeheer: beheert de middelen waarmee de gebruiker zich identificeert bij de Wallet, en de middelen waarmee de Wallet zich identificeert bij Issuers en Verifiers.

  • Identity Provider: authenticeert de gebruiker en authenticeert Issuers en Verifiers.

  • Autorisatie: bepaalt of de gebruiker geautoriseerd is om de Wallet te gebruiken, en bepaalt of de Issuers en Verifiers geautoriseerd zijn voor hun verzoek. Hier vindt het afdwingen van consent plaats: Verifiers mogen gegevens raadplegen waar gebruikers in hebben toegestemd.

  • SSO-partnerbeheer: onderhouden van relaties met aangesloten Identity Providers, Federatieve hubs en Diensten met SSO, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau.

...

Release notes

Deze uitwerking is gebaseerd op basis van de volgende stappen:

  • 0.0.1: Conceptbeschrijving van de referentiecomponenten zoals opgenomen in het conceptueel model Doorgifte identiteiten.

  • 0.0.2: Omschrijvingen en functies bijgewerkt op basis van voortgang in de werkgroep Toegang van Edustandaard. Voor de toekomst de referentiecomponent Wallet toegevoegd.