Versions Compared

Old Version 4

changes.mady.by.user Koen Voermans

Saved on

compared with

New Version Current

changes.mady.by.user Koen Voermans

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Titel

Referentiecomponenten toegangsketen

Status

Status
titleIn ontwikkeling
Status
colourGreen
titleROSA-Architectuurscan
Status
colourBlue
titleBEsluitvorming
Status
titleimplementatie
Status
titlein beheer

Versie

0.0.2

Datum

24 Mei 2024

Auteur

Werkgroep Doorgifte identiteiten

Acties

  • Geen openstaande acties

...

  • Register identiteiten: ondersteunt het inlezen en verwijderen van digitale identiteiten en persoonsgegevens voor personen, en het aanbrengen van relaties tussen digitale identiteiten uit externe bron(nen) en de eigen digitale identiteiten. De aard en hoeveelheid gegevens die hier wordt verzameld is afhankelijk van de dienst.  Het register identiteiten kan informatie onderhouden over het niveau van betrouwbaarheid waarmee digitale identiteiten zijn vastgesteld zodat er een authenticatie met verhoogde betrouwbaarheid kan plaatsvinden.

  • Identity provider en autorisatie: nemen de beslissing om de gebruiker al dan niet toegang te verlenen tot de dienst. Hiervoor wordt gebruik gemaakt van de aangeleverde informatie (Identiteitsverklaring, geprovisionde gegevens) en van eigen informatie van de dienstverlener, zoals de licentiestatus.

  • Gebruikersdienst: het deel dat diensten voor eindgebruikers levert.

  • SSO-partnerbeheer: onderhouden van relaties met aangesloten (Authenticerende of Delegerende) Identity Providers, Federatieve hubs en Diensten met SSO, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau.

De Dienst met SSO kan gebruik maken van de toegangsketen en de gegevensdiensten uit de administratiesystemen onderwijsdeelnemer en onderwijsmedewerker. Vanuit deze bronnen is de Dienst met SSO in staat om alle strikt noodzakelijke persoons- en profielgegevens van een eindgebruiker te verkrijgen. Zodra een eindgebruiker succesvol is ingelogd op een Dienst met SSO zou het complementeren van een profiel met aanvullende informatie dan ook niet meer nodig moeten zijn.

Note

Aanvullen van profiel na inloggen

In de huidige praktijk vragen steeds meer Leveranciers nadat een eindgebruiker is ingelogd om zijn profiel compleet te maken met aanvullende informatie zoals:

  • Koppelen van de school

  • Invullen van het e-mailadres

  • Aanvullen van persoonsgegevens

Deze werkwijze leidt ertoe dat er redundante data (bijvoorbeeld persoon e-mailadres in plaats van e-mailadres van de onderwijsorganisatie) ontstaat.

We raden deze werkwijze nadrukkelijk af vanwege de volgende nadelen:

  • Het leidt tot redundante, niet actuele en mogelijk conflicterende data (bijvoorbeeld persoonlijk e-mailadres i.p.v. een e-mailadres van de onderwijsorganisatie)

  • De onderwijsorganisatie heeft niet per sé toestemming gegeven voor het verkrijgen van de gegevens.

We raden nadrukkelijk wel aan om gebruik te maken van de gegevensdiensten uit de administratiesystemen om op deze wijze op een veilige en betrouwbare manier profiel- en accountgegevens van eindgebruikers te ontvangen.

Authenticerende dienst

De Authenticerende dienst heeft een eigen register van gebruikers en authenticatiemiddelen, waarmee de dienst zelfstandig de identificatie en authenticatie kan verzorgen en een autorisatiebeslissing kan nemen. Gebruikers van deze dienst worden geauthenticeerd met behulp van eigen authenticatiemiddelen (gebruikersnaam, wachtwoord en dergelijke) van de dienst.

...