Doorgifte identiteiten

Titel	Doorgifte identiteiten
Status	In ontwikkeling ROSA-Architectuurscan BEsluitvorming in beheer
Versie	0.0.2
Datum	17 Mei 2024
Auteur	Werkgroep Doorgifte identiteiten
Acties	Geen openstaande acties

De praktijksituatie Doorgifte identiteiten beschrijft de manier om binnen het afsprakenstelsel op een veilige en transparante manier onderwijsdeelnemers, onderwijsmedewerkers (vaste, tijdelijke en externe medewerkers) en andere IDn zoals ouders en verzorgers te identificeren, authenticeren en autoriseren. In het restant van de documentatie zullen we omwille van de leesbaarheid de term Eindgebruiker hanteren om te verwijzen naar een onderwijsdeelnemer, onderwijsmedewerker of andere betrokkenen.

Deze pagina bestaat uit de volgende onderdelen:

1 Scenario’s voor SSO-toegang tot (portaal)diensten en devices
2 Uitgangspunt: federatieve toegang
3 Conceptueel model Doorgifte identiteiten
- 3.1 Single-sign-on H2M toegangketens voor accountgegevens
- 3.2 M2M gegevensdiensten voor profielgegevens
4 Randvoorwaarde: inrichten Identity providers door onderwijsorganisatie
5 Alternatief model: Authenticerende dienst

Scenario’s voor SSO-toegang tot (portaal)diensten en devices

Een eindgebruiker in het onderwijs heeft al snel te maken met diverse applicaties en kan ook te maken hebben met meerdere onderwijsorganisaties. Idealiter kan de eindgebruiker op een eenduidige manier toegang krijgen tot al deze applicaties.

Figuur 1. Scenario’s voor SSO-toegang tot (portaal)diensten en devices

In Figuur 1 is voor een enkele eindgebruiker de gebruikscontext van meerdere portaaldiensten, diensten en devices in meerdere onderwijsorganisaties weergegeven. Dit overzicht is puur illustratief, bevat voorbeeld gebruiksscenario’s en heeft als doel om te laten zien dat het single-sign-on vraagstuk veelzijdig van aard is. Dit overzicht heeft niet als doel om uitputtend te zijn.

In het overzicht wordt onderscheid gemaakt in portaaldiensten en diensten. Een portaaldienst heeft een overkoepelende functie en kan als startpunt gebruikt worden om verder te navigeren naar diensten. Voorbeelden van portaaldiensten zijn de overzichten van leermiddelen voor onderwijsdeelnemers, een elektronische leeromgeving of een learning management system. In het afsprakenstelsel zijn de volgende referentiecomponenten te beschouwen als een portaaldienst:

Leermiddelenportaal
Onderwijsleeromgeving

Diensten betreffen alle applicaties waar je als eindgebruiker gebruik van maakt en waarop je kunt inloggen. Diensten met SSO maken het mogelijk om via single-sign-on toegang te krijgen tot de Dienst. In het afsprakenstelsel zijn de volgende referentiecomponenten te beschouwen als een dienst:

Administratiesysteem onderwijsdeelnemer
Administratiesysteem onderwijsmedewerker
Digitaal toetssysteem
Gebruiksomgeving digitaal leermateriaal
Bestelomgeving leermiddelen
Overkoepelende leermiddelencatalogus (zoekomgeving leermiddelen)
Selectieomgeving leermiddelen
Leermiddelenportaal
Onderwijsleeromgeving
Leermiddelendashboard
Consentdashboard

Tot slot is het mogelijk om op een device in te loggen met single-sign-on. Edu-V richt zich op digitale leer- en onderwijsmiddelen en niet op hardware. Vandaar dat de wijze van single-sign-on toegang tot devices niet nader is uitgewerkt.

Op de pagina Voorbeelden van toegangsketens zijn de hierboven beschreven scenario’s geconfigureerd met de referentiecomponenten zoals uitgewerkt in dit afsprakenstelsel.

Uitgangspunt: federatieve toegang

Zoals beschreven in het architectuurkader op de pagina H2M identificatie en authenticatie wordt in het Edu-V afsprakenstelsel uitgegaan van het patroon van federatieve toegang. Het federatieve patroon is een manier van samenwerken en gegevensuitwisseling tussen een IAM-inrichting van een (onderwijs)organisatie, een systeem voor federatieve toegang en een dienstverlener, die tot doel heeft om de gebruiker op een veilige en transparante manier te autoriseren voor gebruik van een dienst. De samenwerking gaat als volgt:

Als de gebruiker de dienst wil gebruiken, vraagt de dienst aan de federatie om een identiteitsverklaring voor deze gebruiker, zodat de autorisatie-component een autorisatiebeslissing kan nemen.
De federatie gaat na of de gebruiker al is geauthenticeerd door zijn organisatie, en stelt een identiteitsverklaring met gebruikersgegevens op als dat zo is (single sign-on).
Als de gebruiker nog niet is ingelogd, vraagt de federatie de identityprovider van de onderwijsorganisatie om een identiteitsverklaring voor deze gebruiker. Als de federatie niet kan achterhalen bij welke onderwijsorganisatie de gebruiker hoort, presenteert de federatie een selectiescherm aan de gebruiker.
De identityprovider van de onderwijsorganisatie presenteert de gebruiker een scherm om zich met het authenticatiemiddel te identificeren (bijvoorbeeld, inloggen met gebruikersnaam en wachtwoord). Als de gebruiker kan worden geauthenticeerd, stelt de identityprovider een identiteitsverklaring op, met de overeengekomen attributen.

Conceptueel model Doorgifte identiteiten

Zoals beschreven in het architectuurkader wordt binnen Edu-V het toegangspatroon van federatieve toegang gehanteerd. In dit patroon kan een Dienst met SSO een verzoek doen aan de federatieve hub of aan een (Authenticerende of Delegerende) Identity Provider om een eindgebruiker te authenticeren. De Dienst met SSO ontvangt een identiteitsverklaring en kan deze benutten om de eindgebruiker te autoriseren en al dan niet toegang te geven tot de Dienst.

Figuur 2. Conceptueel model Doorgifte identiteiten

In Figuur 2 is het conceptueel model van Doorgifte identiteiten weergegeven. In het conceptueel model worden de noodzakelijke gegevens over een eindgebruiker gedeeld om de identificatie, authenticatie en autorisatie mogelijk te maken. Hierbij maken we onderscheid in account- en profielgegevens:

Accountgegevens: minimale set aan gegevens waarmee Diensten hun authenticatie- en autorisatiebeslissing en basisfunctionaliteit mee kunnen uitvoeren. Accountgegevens worden meegeleverd in de identiteitsverklaring.
Profielgegevens: uitgebreide set persoonsgegevens, vaak specifiek samengesteld voor Diensten. Profielgegevens worden geprovisioned, in een apart proces dat los staat van authenticatie.

In het conceptueel model zijn de gegevensuitwisselingen voor single-sign-on H2M ketens voor accountgegevens en M2M gegevensdiensten voor profielgegevens schematisch weergegeven. Beide aspecten worden hieronder nader toegelicht.

Single-sign-on H2M toegangketens voor accountgegevens

In het conceptueel model is aan de rechterzijde de Dienst met SSO weergeven die beschikt over een autorisatievoorziening om de toegangsbeslissing te nemen en het Identiteitenbeheer waarin de eindgebruikers van de Dienst zijn geregistreerd. De Dienst met SSO kan een verzoek tot authenticatie doen bij een Federatieve hub of een Identity Provider.

Aan de linkerzijde staat de Authenticerende IdP. Deze Identity Provider geeft een identiteitsverklaring af op basis van de uitvoering van een authenticatieproces. In het authenticatieproces wordt gebruik gemaakt van een authenticatiemiddel dat uitgegeven is door de Authenticerende IdP. In het Identiteitenbeheer van de Authenticerende IdP worden gegevens over de eindgebruiker opgeslagen. Deze kunnen worden opgenomen in de identiteitsverklaring die de Identity Provider afgeeft.

In het conceptueel model zijn nog twee tussenliggende referentiecomponenten beschreven. De Delegerende IdP is ook een Identity Provider en kan een identiteitsverklaring afgeven. Tegelijkertijd is deze Delegerende IdP ook in staat om de authenticatie uit te laten voeren door een Authenticerende IdP. De Delegerende IdP leest de identiteitsverklaring van de Authenticerende IdP in en kan deze verrijken met informatie uit het eigen Identiteitenbeheer om vervolgens een eigen identiteitsverklaring af te geven.

De Federatieve hub betreft een subfunctie tussen Identity Provider enerzijds (authenticerend en/of delegerend) en Diensten met SSO anderzijds. De Federatieve hub heeft zelf geen Identiteitenbeheer en fungeert enkel als hub van identiteitsverklaringen. Hierbij kan de Federatieve hub transformatie en filtering toepassen. Denk bijvoorbeeld aan een identiteitsverklaring vanuit een Identity Provider in een SAML bericht naar een Dienst met SSO die OIDC ondersteunt.

Deze vier referentiecomponenten vormen de basis om allerlei toegangketens mee te configureren. In het conceptueel model zijn een aantal ketens weergegeven:

Authenticerende IdP direct naar de Dienst met SSO
Authenticerende IdP naar de Federatieve hub naar de Dienst met SSO
Authenticerende IdP naar de Delegerende IdP naar de Dienst met SSO
Authenticerende IdP naar de Delegerende IdP naar de Federatieve hub naar de Dienst met SSO

De toegangketens kunnen toegepast worden afhankelijk van de inlogcontext en ook de Identity en Access Management inrichting die een onderwijsorganisatie heeft gekozen. Voor ieder van de vier referentiecomponenten is er de component SSO-relatiebeheer opgenomen. In deze component worden de trust-relaties tussen de referentiecomponenten beheert. Zo kan een Dienst met SSO een SSO-relatie hebben met een Federatieve hub. En heeft de Federatieve hub meerdere trustrelaties met Diensten met SSO, Delegerende IdPs en Authenticerende IdP’s.

De referentiecomponenten zijn nader uitgewerkt op de pagina Referentiecomponenten toegangsketen.

M2M gegevensdiensten voor profielgegevens

De vier referentiecomponenten uit het conceptueel model kunnen gebruik maken van een aantal gegevensdiensten uit de Administratiesystemen onderwijsdeelnemer en/of onderwijsmedewerker. Via deze gegevensdiensten kan een call-back worden gedaan om meer informatie op te halen over de betreffende eindgebruiker.

Identiteitenbeheer van de Authenticerende IdP, de Delegerende IdP en de Dienst met SSO kunnen gebruik maken van de gegevensdienst onderwijsdeelnemers en onderwijsmedewerkers en eventueel de scopes communicatie en organisatierollen. Via deze gegevensdienst kunnen persoonsgegevens van onderwijsdeelnemers en onderwijsmedewerkers worden opgevraagd.

De Autorisatievoorziening van de Dienst met SSO kan gebruik maken van de gegevensdiensten onderwijsaanbod en onderwijsinrichting uit het administratiesysteem onderwijsdeelnemer om inzicht te krijgen in de toewijzingen van onderwijsmedewerkers aan individuele leerlingen en/of groepen. Deze informatie kan worden benut om binnen de Dienst met SSO autorisaties in te richten voor onderwijsmedewerkers.

Een voorbeeld toepassing is bijvoorbeeld dat de onderwijsmedewerker alleen inzage heeft in de toetsresultaten van vakken van onderwijsdeelnemers waar hij of zij docent (vakdocent in het vo of vakleerkracht in het po) voor is en alle toetsresultaten van de de onderwijsdeelnemers waarvoor de onderwijsmedewerker klassendocent (mentor in het vo of leerkracht in het po) is.

Tot slot kan de Autorisatievoorziening van de Dienst met SSO gebruik maken van informatie uit de Licentieregistratie om te verifiëren of een eindgebruiker al dan niet het recht heeft om een leermiddel in gebruik te nemen of te gebruiken. In de praktijksituatie verwerven en in gebruik nemen is nader uitgewerkt op welke wijze dit recht kan worden verworven voor een eindgebruiker en op welke wijze een eindgebruiker een Dienst in gebruik kan nemen.

Op de pagina Administratiesystemen onderwijsaanbieder en -medewerker is meer informatie terug te vinden over het functioneel en technisch ontwerp van de gegevensdiensten vanuit deze referentiecomponenten.

Randvoorwaarde: inrichten Identity providers door onderwijsorganisatie

Onderwijsorganisatie is verantwoordelijk voor het inrichten van een of meer Identity providers. Ze kan de technische voorziening zelf inrichten en beheren, of een externe organisatie opdragen deze dienst te verlenen, of een combinatie van beiden gebruiken, bijvoorbeeld een externe dienstverlener voor specifieke doelgroepen. De externe organisatie heeft eigen identiteitenbeheer en al dan niet een authenticatiefunctie. De onderwijsorganisatie behoudt in elk geval de verantwoordelijkheid over het eigen identiteitenbeheer.

Hierbij geldt :

Een onderwijsorganisatie kan een of meer Identity providers inzetten voor zijn onderwijsdeelnemers, onderwijsmedewerkers en andere betrokkenen.
Elke persoon kan over een of meer digitale identiteiten beschikken, die voorkomen in een of meer Identity providers van de onderwijsorganisatie.
Een digitale identiteit zal in slechts één Identity provider voorkomen.
De onderwijsorganisatie bepaalt de verdeling van digitale identiteiten over de Identity providers

Alternatief model: Authenticerende dienst

In het afsprakenstelsel wordt geadviseerd te werken in een toegangsketen met Single Sign On. Niet alle Leer- en onderwijsmiddelen maken gebruik van deze mogelijkheid. Ook zijn er onderwijsmiddelen die gericht zijn op een kleine gebruikersgroep binnen een onderwijsinstelling, geen verdere persoonsgegevens bevatten van onderwijsdeelnemers en daarmee minder profijt hebben van SSO toegang.

Voor deze situatie bevat het Afsprakenstelsel de referentiecomponent Authenticerende Dienst. Op de pagina Referentiecomponenten toegangsketen is deze referentiecomponent nader uitgewerkt.

Release notes

Deze uitwerking is gebaseerd op basis van de volgende stappen:

0.0.1: Draft uitwerking van scenario’s en conceptueel model ter voorbereiding op de werkgroep Doorgifte identiteiten.
0.0.2: Verwijzing naar pagina referentiecomponenten toegangsketen en Voorbeelden van toegangsketens toegevoegd. Beschrijving Authenticerende dienst toegevoegd.