Voorbeelden van toegangsketens

Titel

Voorbeelden van toegangsketens

Status

In ontwikkeling ROSA-Architectuurscan BEsluitvorming implementatie in beheer

Versie

0.0.1

Datum

17 Mei 2024

Auteur

Werkgroep Doorgifte identiteiten

Acties

  • Geen openstaande acties

In de educatieve keten wordt op veel verschillende manieren identiteiten en andere gegevens doorgegeven tussen partijen met het doel om toegang tot educatieve diensten mogelijk te maken voor geautoriseerde gebruikers.

Op de hoofdpagina voor deze praktijksituatie zijn een aantal scenario’s benoemd vanuit de inlegpraktijk van een eindgebruiker die actief is op meerdere onderwijsinstellingen. Op deze pagina worden de inlegsituaties stuk voor stuk geconfigureerd met de gedetineerde referentiecomponenten van de toegangsketen.

De scenario's geven niet een uitputtend beeld van wat er mogelijk is, maar illustreren wel de beoogde werkwijze om de doorgifte van identiteitsverklaringen in de keten beheersbaar te maken met de referentiecomponenten die in dit afsprakenstelsel zijn uitgewerkt.

De volgende scenario’s zijn uitgewerkt:

A. Scenario's VO-school met meerdere Authenticerende Identity Provider’s

Deze school maakt gebruik van één of meer Authenticerende Identity Provider's voor onderwijsmedewekers. Er is een centrale Delegerende Identity Provider die alle binnenkomende authenticatieverzoeken delegeert naar de authenticerende Identity Provider.

Scenario A1: Ik ga werken aan mijn studiewijzer in een Onderwijsleeromgeving

image-20240517-120111.png

De docent navigeert naar de Onderwijs Leeromgeving die de school gebruikt. Als de docent nog niet is ingelogd, is de Onderwijs Leeromgeving ingericht om de IAM van de school te gebruiken om de docent te authenticeren. De school heeft verschillende Authenticerende Identity Providers in gebruik, en de Delegerende Identity Provider delegeert de docent naar zijn of haar Authenticerende Identity Provider.

Scenario A2: Ik navigeer naar een Leermiddelenportaal

image-20240517-120135.png

Als hierboven; vanuit de Onderwijs Leeromgeving navigeert de docent naar de Gebruikersomgeving Digitaal Leermateriaal. Entree Federatie federeert de identiteitsverklaring van de docent naar de Gebruikersomgeving Digitaal Leermateriaal.

Scenario A3: Ik navigeer naar het Digitaal toetssysteem van de school

De docent navigeert naar het Digitaal Toetssysteem van de school. Deze is gekoppeld aan Entree Federatie. Als de docent al is ingelogd via Entree Federatie, kan deze de bestaande identiteitsverklaring federeren, anders zal Entree Federatie de IAM van de school vragen om een nieuwe identiteitsverklaring.

Scenario A4: Ik log in op mijn laptop van school

De medewerker opent de laptop van school en logt in. De authenticatie-applicatie van het OS is ingericht om de Delegerende Identity Provider van de school te raadplegen voor authenticatie van medewerkers.

Scenario A5 Ik log in op het mailaccount van mijn school

De medewerker navigeert naar de webmailpagina van school. Deze vraagt om een authenticatie, en navigeert de medewerker vervolgens naar de IAM-inrichting van de school.

B. Scenario's VO-school met een LAS als Identity Provider

Deze school heeft een Leerlingadministratiesysteem dat dienstdoet als IAM-systeem voor docenten en leerlingen. Er is geen centrale IAM voor medewerkers.

Scenario B1: Ik ga werken aan mijn studiewijzer in een Onderwijsleeromgeving

De docent navigeert naar de Onderwijs Leeromgeving die de school gebruikt. Als de docent nog niet is ingelogd, is de Onderwijs Leeromgeving ingericht om de IAM van de school te gebruiken om de docent te authenticeren.

Scenario B2: Ik navigeer naar een leermiddel vanuit mijn Leermiddelenportaal

Als hierboven; vanuit de Onderwijs Leeromgeving navigeert de docent naar de Gebruikersomgeving Digitaal Leermateriaal. Entree Federatie federeert de identiteitsverklaring van de docent naar de Gebruikersomgeving Digitaal Leermateriaal.

Scenario B3: Ik neem een digitale toets af in een toetssysteem

De docent navigeert naar het Digitaal Toetssysteem van de school. Deze is gekoppeld aan Entree Federatie. Als de docent al is ingelogd via Entree Federatie, kan deze de bestaande identiteitsverklaring federeren, anders zal Entree Federatie de IAM van de school vragen om een nieuwe identiteitsverklaring.

Scenario B4: Ik log in op mijn laptop van school

De medewerker heeft een eigen, persoonlijke login op de laptop van school. De laptop fungeert als Authenticerende Dienst.

Scenario B5: Ik log in op het mailaccount van mijn school

De medewerker heeft een eigen, persoonlijke login op de webmail-dienst van de school.

C. Scenario's PO-school met netwerkleverancier

Deze onderwijsorganisatie laat medewerkers en leerkrachten inloggen via de netwerkleverancier die de IAM van de school heeft ingericht.

Scenario C1: Ik log in op de Digitale Leeromgeving van mijn school

De leerkracht navigeert naar de DLO van de school. Deze is geconfigureerd om rechtstreeks de IAM van de school te gebruiken om de docent te laten authenticeren.

Scenario C2: Ik navigeer naar een leermiddel vanuit de Digitale leeromgeving

Vanuit de DLO navigeert de leerkracht naar de gebruikersomgeving Digitaal Leermateriaal. Deze zet de Federatie van Basispoort in om de identiteitsverklaring van de docent te achterhalen en om hiermee de docent te kunnen identificeren.

Scenario C3: Ik log met MFA in op Basispoort om de configuratie van Basispoort te wijzigen

De ICT-coördinator is ingelogd met een tweede factor. De identiteitsverklaring bevat een bevestiging hiervan. Basispoort gebruikt dit om wijzigingen in de configuratie te autoriseren.

Scenario C4: Ik log in op het Digibord van school

De leerkracht logt in op het Digibord van de school. Het digibord authenticeert de docent bij de IAM-inrichting van de school.

Scenario C5: Ik log in op het mailaccount van mijn school

 

De medewerker logt in op de webmailpagina van de school en gebruikt hiervoor de authenticatie van de IAM-inrichting van school.

D. Scenario's PO-school met Basispoort accounts

Deze school gebruikt Basispoort-accounts voor leerkrachten en de ICT-coördinator. Er is geen centrale IAM-inrichting voor medewerkers.

Scenario D1: Ik navigeer naar een leermiddel vanuit Basispoort

De leerkracht navigeert naar de portaal-pagina van de school bij Basispoort en logt daarvoor in bij Basispoort. Vanuit de portaal-pagina navigeert de docent naar een leermiddel. De gebruikersomgeving van het Digitaal leermateriaal van de uitgever gebruikt de Federatie van Basispoort om de docent te authenticeren en te autoriseren.

Scenario D2: Ik log met MFA in op Basispoort om de configuratie van Basispoort te wijzigen

Scenario D3: Ik log in op het Digibord van mijn school

De leerkracht logt in met een eigen persoonlijke account op het Digibord van school.

Scenario D4: Ik log in op het mailaccount van mijn school

De medewerker logt in met een eigen, persoonlijke account op de webmail-pagina van de school.

E. Scenario's PO-school met Basispoort accounts voor invalkrachten

Deze school maakt gebruik van Basispoort-accounts voor invalkrachten. Invalkrachten kunnen hiermee onmiddellijk aan het werk, zonder wachttijd voor provisioning van gegevens naar partijen in de keten.

Scenario E1: Ik als invalkracht navigeer naar een leermiddel vanuit Basispoort

De invalkracht navigeert naar de portaalpagina van Basispoort en logt daar in met een Basispoort-account. Vanuit de portaal-pagina navigeert de invalkracht naar de gebruikersomgeving digitaal leermateriaal. De gebruikersomgeving gebruikt de Federatie van Basispoort om de identiteitsverklaring van de invalkracht te verkrijgen.

Alternatief scenario: Delegeren naar Authenticerende Identity Provider voor invalkrachten

Als alternatief voor dit scenario kan een school met een eigen IAM inrichting en een specifieke Authenticerende Identity Provider voor invalkrachten meer centrale grip krijgen op de toegang tot leer- en onderwijsmiddelen.

In deze alternatieve keten wordt de registratie van invalkrachten belegd bij de Delegerende Identity Provider. De Delegerende Identity Provider kan de authenticatie uitbesteden aan een Authenticerende Identity Provider van de betreffende invalkracht of de betrokkene. Dit stelt deze invalkracht en betrokkene in staat om via dezelfde Authenticerende Identity Provider in te loggen op de schoolomgevingen van meerdere scholen.

F. Scenario's VO-school zonder accounts voor ouders (wettelijk vertegenwoordigers)

Scenario F1: Ik bekijk het rooster van mijn dochter

De wettelijk vertegenwoordiger van een leerling heeft een eigen account bij de LAS-leverancier aangemaakt, en kan hiermee gegevens van de eigen kinderen raadplegen.

Alternatief scenario: Delegeren naar Authenticerende Identity Provider voor ouders

In analogie met scenario E1, geldt ook hier dat er gekozen kan worden voor een andere inrichting van de toegangsketen waardoor de school meer centrale regie heeft over de toegang tot leer- en onderwijsmiddelen.

In deze alternatieve keten wordt de registratie van ouders belegd bij de Delegerende Identity Provider. De Delegerende Identity Provider kan de authenticatie uitbesteden aan een Authenticerende Identity Provider van de betreffende ouder. Dit stelt ouders in staat om via dezelfde Authenticerende Identity Provider in te loggen op de schoolomgevingen van meerdere scholen.

G. Scenario’s MBO-instelling met schoolaccounts voor studenten

Deze onderwijsorganisatie heeft een eigen IAM ingericht waarmee alle studenten zicht kunnen authenticeren. Er is een studentenportaal voor geauthenticeerde studenten. De onderwijsorganisatie maakt gebruik van SurfConext om toegang naar leermaterialen te faciliteren.

Scenario G1: Ik volg een cursus

De student navigeert naar de portaalpagina van de onderwijsorganisatie. Hierin klikt de student door naar de onderwijsleeromgeving, voor een link naar het leermiddel dat de student wil gebruiken. Het schoolportaal vraagt de student om in te loggen bij de IAM van de onderwijsorganisatie. De leeromgeving en de gebruikersomgeving van digitaal leesmateriaal gebruiken de identiteitsverklaring van SurfConext om de student te autoriseren.


Release notes

Deze uitwerking is gebaseerd op basis van de volgende stappen:

  • 0.0.1: Conceptuitwerking van enkele voorbeelden van toegangsketens.