Referentiecomponenten toegangsketen
- Koen Voermans
Titel | Referentiecomponenten toegangsketen |
Status | In ontwikkeling ROSA-Architectuurscan BEsluitvorming implementatie in beheer |
Versie | 0.0.2 |
Datum | 24 Mei 2024 |
Auteur | Werkgroep Doorgifte identiteiten |
Acties |
|
In het conceptueel model Doorgifte identiteiten zijn een aantal referentiecomponenten actief, die in specifieke configuraties samenwerken. Referentiecomponenten kunnen aan elkaar worden gekoppeld tot een toegangsketen van identificatie en authenticatie. Elke referentiecomponent heeft een unieke samenstelling van services, heeft zijn eigen functionele en technische werking en heeft invoer en/of uitvoer.
In deze paragraaf worden de referentiecomponenten besproken. Van elke referentiecomponent is een standaarddiagram gemaakt, gevolgd door een beschrijving van: de functionele werking en verantwoordelijkheid, de informatieobjecten die worden gelezen en/of geschreven, eventuele technische bijzonderheden die nodig zijn voor de correcte uitvoering van de bouwsteen, en standaarden voor gegevensuitwisseling waar de bouwsteen aan voldoet.
De beschrijving is opgesteld vanuit perspectief van de gebruiker; een uitvoering in de echte wereld zelf kan complexer in elkaar zitten en combinaties van functionaliteiten (d.w.z. meerdere referentiecomponenten) ondersteunen. In de gebruikssituatie is echter altijd een interpretatie van de referentiecomponent actief. Bijvoorbeeld, een IAM-inrichting van een onderwijsorganisatie kan een aantal referentiecomponenten inzetten als Authenticerende Identity provider voor de eigen leerlingen en medewerkers, maar dezelfde componenten kunnen functioneren in een Delegerende Identity provider voor externe medewerkers.
De volgende referentiecomponenten zijn uitgewerkt:
Authenticerende Identity Provider
Een onderwijsorganisatie gebruikt een Authenticerende Identity Provider om de digitale identiteit en andere attributen van geauthenticeerde onderwijsdeelnemers en –medewerkers aan ketenpartijen door te geven.
De Authenticerende Identity Provider onderhoudt digitale identiteiten en gerelateerde persoonsgegevens en authenticatiemiddelen voor gebruikers. Belangrijkste dienst is het samenstellen en uitgeven van identiteitsverklaring van geauthenticeerde personen voor gebruik in de keten.
De Authenticerende Identity Provider heeft de verantwoordelijkheid om de relatie tussen de digitale identiteit en het uitgegeven authenticatiemiddel bij te houden. Belangrijk is dat de Authenticerende Identity Provider tijdens het proces van authenticatie van de gebruiker beschikt over alle informatie om de identiteit van de gebruiker te verifiëren en alle attributen kan vinden om een Identiteitsverklaring mee samen te stellen.
De Authenticerende Identity Provider beschikt over de volgende functionaliteiten:
Register identiteiten: ondersteunt het inlezen en verwijderen van digitale identiteiten en persoonsgegevens voor personen. Het Register identiteiten kan optioneel informatie onderhouden over het niveau van betrouwbaarheid waarmee digitale identiteiten zijn vastgesteld. Als informatie over de betrouwbaarheid van digitale identiteiten beschikbaar is, is de Authenticerende Identity Provider in staat om authenticatie met verhoogde betrouwbaarheid uit te voeren.
Authenticatiebeheer: ondersteunt het aanmaken, onderhouden en verwijderen van persoonsgebonden authenticatiemiddelen. Authenticatiebeheer kan het gebruik van extra authenticatiemiddelen voor multi-factor authenticatie ondersteunen.
Identity provider: authenticeert gebruikers, eventueel ook step-up authenticatie (hoger betrouwbaarheidsniveau, bijvoorbeeld met extra authenticatiefactor) en stelt identiteitsverklaringen op op basis van gegevens in het register identiteiten.
Autorisatie: interne autorisatie van de Authenticerende Identity Provider waarmee deze de toegang tot zijn dienstverlening kan beperken tot de geautoriseerde gebruikers.
Inlogdienst: het deel van de Authenticerende Identity Provider dat diensten voor eindgebruikers levert. In dit geval, de authenticatiefunctie, functionaliteit voor het aanmaken, wijzigen en verwijderen van identiteiten en authenticatiemiddelen.
SSO-partnerbeheer: onderhouden van relaties met aangesloten Delegerende Identity Providers, Federatieve hubs en Diensten met SSO, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau.
Delegerende Identity Provider
Een onderwijsorganisatie gebruikt een Delegerende Identity Provider om de digitale identiteit en andere attributen van geauthenticeerde onderwijsdeelnemers en –medewerkers, waarvan de onderwijsorganisatie niet zelf het beheer van de authenticatiemiddelen wil doen, toch te kunnen authenticeren en in een eigen identiteitsverklaring door te geven aan partijen in de keten.
Net als de Authenticerende Identity Provider stelt deze dienst Identiteitsverklaringen op. Het belangrijkste verschil is dat de Delegerende Identity Provider niet zelf authenticatiemiddelen beheert en uitgeeft. De Delegerende Identity Provider laat zijn gebruikers authenticeren door een Authenticerende Identity Provider en fungeert als een authenticatieproxy. Op basis van diens Identiteitsverklaring stelt de Delegerende Identity Provider een eigen Identiteitsverklaring op voor gebruik in de keten. Hierbij past de Delegerende Identity Provider identity mapping toe.
De Delegerende Identity Provider kan rechtstreeks koppelen met een Authenticerende Identity Provider, maar de koppeling kan ook tot stand komen via een Federatie. Koppelen via een Federatie heeft voordelen als de aansturing van het authenticatieproces of de syntax van de Identiteitsverklaring tussen beide partijen niet helemaal aansluit. De Delegerende Identity Provider is in dit geval aan de Federatie gekoppeld als Dienstverlener, en niet als Identity Provider.
De Delegerende Identity Provider beschikt over de volgende functionaliteiten:
Register identiteiten: ondersteunt het inlezen en verwijderen van digitale identiteiten en persoonsgegevens voor personen, en het aanbrengen van relaties tussen digitale identiteiten uit externe bron(nen) en de eigen digitale identiteiten. Het register identiteiten kan informatie onderhouden over het niveau van betrouwbaarheid waarmee digitale identiteiten zijn vastgesteld zodat er een authenticatie met verhoogde betrouwbaarheid kan plaatsvinden.
Identity provider: delegeert de authenticatie van gebruikers aan een (externe) Authenticerende Identity Provider, eventueel ook step-up inclusief authenticatie (hoger betrouwbaarheidsniveau, bijvoorbeeld authenticatie met extra factor). Leest Identiteitsverklaringen van Authenticerende Identity Provider, valideert de ondertekening indien van toepassing, en stelt Identiteitsverklaringen op, op basis van gegevens in de ingelezen Identiteitsverklaring en eigen identiteitenbeheer. De Delegerende Identity Provider fungeert als een authenticatieproxy en past identity mapping toe om de Identiteitsverklaring die wordt ingelezen om te zetten naar een Identiteitsverklaring die wordt afgegeven.
Autorisatie: interne autorisatie van de Delegerende Identity Provider waarmee deze de toegang tot zijn dienstverlening kan beperken tot de geautoriseerde gebruikers.
Gebruikersdienst: het deel van de Delegerende Identity Provider dat diensten voor eindgebruikers levert. In dit geval, de configuratiefunctie voor het beheren van ketenrelaties met Authenticerende Identity Providers, Federaties en het beheer van de registratie van identiteiten.
SSO-partnerbeheer: onderhouden van relaties met aangesloten Authenticerende Identity Providers, Federatieve hubs en Diensten met SSO, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau.
Federatieve hub
Een Federatieve hub functioneert als een intermediair tussen Identity Providers en Dienstverleners. Identity Providers leveren de digitale identiteit van de Onderwijsdeelnemer of –medewerker in een Identiteitsverklaring aan.
De Federatieve hub routeert de Identiteitsverklaring aan de gewenste Dienst met SSO. De Federatie kan op verzoek van aanleverende en/of afnemende partijen Identiteitsverklaringen transformeren of attributen eruit filteren. Federaties onderhouden relaties met aanleverende en afnemende partijen op bestuurlijk, juridisch, financieel, operationeel, informatie-technisch en technisch niveau.
De Federatieve hub beschikt over de volgende functionaliteiten:
Identity provider: valideren, lezen en interpreteren van Identiteitsverklaring die wordt aangeleverd door een aangesloten (Authenticerende of Delegerende) Identity Provider. Transformeren van aangeleverde Identiteitsverklaring of aanmaken Identiteitsverklaring. Invullen attributen en aangeleverde digitale identiteit in de verklaring, optioneel digitaal ondertekenen van identiteitsverklaring.
Autorisatie: interne autorisatie van de Federatieve hub waarmee deze de toegang tot zijn dienstverlening kan beperken tot de geautoriseerde gebruikers.
Transformatie en filtering: de onderwijsorganisatie is verantwoordelijk voor de verspreiding van persoonsgegevens binnen de kaders van de overeenkomsten tussen onderwijsorganisatie en dienstverlener. De onderwijsorganisatie kan het filteren en transformeren van de betreffende attributen delegeren aan de Federatieve hub. Daarnaast kan de Federatieve hub beschikken over transformaties waarmee op protocol- en berichtniveau vertaald wordt tussen verschillende standaarden.
SSO-Partnerbeheer: onderhouden van relaties met aangesloten (Authenticerende of Delegerende) Identity providers en Diensten met SSO, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau.
Dienst met SSO
De Dienst met SSO authenticeert zijn gebruikers op basis van een direct gekoppelde (Authenticerende of Delegerende) Identity Provider of via de Federatieve hub.
De dienst heeft een autorisatiecomponent, die een autorisatiebeslissing neemt. Afhankelijk van de wijze waarop de dienstverlener de dienst beschikbaar stelt, zijn hiervoor persoonsgegevens of andere attributen van de gebruiker nodig. De dienst gebruikt informatie uit de Identiteitsverklaring, eventueel in combinatie met geprovisionde persoonsgegevens vanuit de administratiesystemen onderwijsdeelnemer of onderwijsmedewerker, om de autorisatiebeslissing te nemen.
De Dienst met SSO beschikt over de volgende functionaliteiten:
Register identiteiten: ondersteunt het inlezen en verwijderen van digitale identiteiten en persoonsgegevens voor personen, en het aanbrengen van relaties tussen digitale identiteiten uit externe bron(nen) en de eigen digitale identiteiten. De aard en hoeveelheid gegevens die hier wordt verzameld is afhankelijk van de dienst. Â Het register identiteiten kan informatie onderhouden over het niveau van betrouwbaarheid waarmee digitale identiteiten zijn vastgesteld zodat er een authenticatie met verhoogde betrouwbaarheid kan plaatsvinden.
Identity provider en autorisatie: nemen de beslissing om de gebruiker al dan niet toegang te verlenen tot de dienst. Hiervoor wordt gebruik gemaakt van de aangeleverde informatie (Identiteitsverklaring, geprovisionde gegevens) en van eigen informatie van de dienstverlener, zoals de licentiestatus.
Gebruikersdienst: het deel dat diensten voor eindgebruikers levert.
SSO-partnerbeheer: onderhouden van relaties met aangesloten (Authenticerende of Delegerende) Identity Providers, Federatieve hubs en Diensten met SSO, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau.
De Dienst met SSO kan gebruik maken van de toegangsketen en de gegevensdiensten uit de administratiesystemen onderwijsdeelnemer en onderwijsmedewerker. Vanuit deze bronnen is de Dienst met SSO in staat om alle strikt noodzakelijke persoons- en profielgegevens van een eindgebruiker te verkrijgen. Zodra een eindgebruiker succesvol is ingelogd op een Dienst met SSO zou het complementeren van een profiel met aanvullende informatie dan ook niet meer nodig moeten zijn.
Aanvullen van profiel na inloggen
In de huidige praktijk vragen steeds meer Leveranciers nadat een eindgebruiker is ingelogd om zijn profiel compleet te maken met aanvullende informatie zoals:
Koppelen van de school
Invullen van het e-mailadres
Aanvullen van persoonsgegevens
Deze werkwijze leidt ertoe dat er redundante data (bijvoorbeeld persoon e-mailadres in plaats van e-mailadres van de onderwijsorganisatie) ontstaat.
We raden deze werkwijze nadrukkelijk af vanwege de volgende nadelen:
Het leidt tot redundante, niet actuele en mogelijk conflicterende data (bijvoorbeeld persoonlijk e-mailadres i.p.v. een e-mailadres van de onderwijsorganisatie)
De onderwijsorganisatie heeft niet per sé toestemming gegeven voor het verkrijgen van de gegevens.
We raden nadrukkelijk wel aan om gebruik te maken van de gegevensdiensten uit de administratiesystemen om op deze wijze op een veilige en betrouwbare manier profiel- en accountgegevens van eindgebruikers te ontvangen.
Authenticerende dienst
De Authenticerende dienst heeft een eigen register van gebruikers en authenticatiemiddelen, waarmee de dienst zelfstandig de identificatie en authenticatie kan verzorgen en een autorisatiebeslissing kan nemen. Gebruikers van deze dienst worden geauthenticeerd met behulp van eigen authenticatiemiddelen (gebruikersnaam, wachtwoord en dergelijke) van de dienst.
Deze dienst maakt geen deel uit van een toegangsketen. De dienst heeft een autorisatiecomponent, die een autorisatiebeslissing neemt en hierbij de informatie uit het eigen register identiteiten kan gebruiken. Deze dienst kan normaal gesproken geen gebruik maken van geprovisionde gegevens, omdat er geen sprake is van gezamenlijk beheerde identiteiten waar de geprovisionde gegevens mee matchen.
Deze dienst kan worden aangeboden in combinatie als combinatie met een Dienst met SSO. De Authenticerende dienst wordt dan gebruikt als backup in situaties dat Federaties of andere ketenvoorzieningen niet bruikbaar of beschikbaar zijn.
De Authenticerende dienst beschikt over de volgende functionaliteiten:
Register identiteiten: ondersteunt het inlezen en verwijderen van digitale identiteiten en persoonsgegevens voor personen.
Authenticatiebeheer: ondersteunt het aanmaken, onderhouden en verwijderen van persoonsgebonden authenticatiemiddelen. Authenticatiebeheer kan het gebruik van extra authenticatiemiddelen voor multi-factor authenticatie ondersteunen.
Identity provider en autorisatie: authenticeren de gebruiker en nemen de beslissing om de gebruiker al dan niet toegang te verlenen tot de dienst. Hiervoor wordt gebruik gemaakt van eigen informatie van de dienstverlener, zoals de licentiestatus.
Gebruikersdienst: het deel dat diensten voor eindgebruikers levert.
De Authenticerende dienst is geen onderdeel van een toegangsketen en heeft dus ook geen SSO-relatiebeheer.
Wallet
Toekomstige uitbreiding
De Wallet is nog geen onderdeel van het Afsprakenstelsel Edu-V. In het afsprakenstelsel wordt uitgegaan van het patroon Federatieve toegang vanuit de referentiecomponenten (Authenticerende of Delegerende) Identity Provider, Federatieve Hub en Dienst met SSO.
De Wallet kan in de toekomst een rol gaan vervullen en is daarom wel uitgewerkt als referentiecomponent.
Een Wallet is een set persoonsgegevens en consent om de persoonsgegevens voor bepaalde doelen te gebruiken, die onder controle is van de persoon zelf. In Europees verband wordt gewerkt aan standaardisatie van Wallets voor gebruik in communicatie met overheidspartijen, in het onderwijs en in commerciële partijen. De Nederlandse overheid heeft recent de eerste NL-Wallet uitgebracht.
De Wallet is hier opgenomen om te laten zien dat deze, in elk geval volgens het hier gebruikte model, in het stelsel van bouwstenen kan worden ingepast. We gaan hierbij uit van het model Issuer – Wallet – Verifier. Op deze manier heeft de Wallet functioneel een vergelijkbare plek met de Authenticerende identiteitsprovider, zij het dat de Wallet andere technische standaarden hanteert voor het inlezen van credentials en de uitgegeven Identiteitsverklaring.
De Wallet beschikt over de volgende functionaliteiten:
Register identiteiten: ondersteunt het inlezen en verwijderen van digitale identiteiten en persoonsgegevens voor personen, en het aanbrengen van relaties tussen digitale identiteiten uit externe bron(nen) en de eigen digitale identiteiten. De Issuer is de organisatie die digitale identiteiten inbrengt in de Wallet. De gebruiker bepaalt welke Issuers gegevens aanleveren op zijn of haar Wallet.
Authenticatiebeheer: beheert de middelen waarmee de gebruiker zich identificeert bij de Wallet, en de middelen waarmee de Wallet zich identificeert bij Issuers en Verifiers.
Identity Provider: authenticeert de gebruiker en authenticeert Issuers en Verifiers.
Autorisatie: bepaalt of de gebruiker geautoriseerd is om de Wallet te gebruiken, en bepaalt of de Issuers en Verifiers geautoriseerd zijn voor hun verzoek. Hier vindt het afdwingen van consent plaats: Verifiers mogen gegevens raadplegen waar gebruikers in hebben toegestemd.
SSO-partnerbeheer: onderhouden van relaties met aangesloten Identity Providers, Federatieve hubs en Diensten met SSO, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau.
Release notes
Deze uitwerking is gebaseerd op basis van de volgende stappen:
0.0.1: Conceptbeschrijving van de referentiecomponenten zoals opgenomen in het conceptueel model Doorgifte identiteiten.
0.0.2: Omschrijvingen en functies bijgewerkt op basis van voortgang in de werkgroep Toegang van Edustandaard. Voor de toekomst de referentiecomponent Wallet toegevoegd.