H2M identificatie en authenticatie

Titel

H2M identificatie en authenticatie

Status

In ontwikkeling ROSA-Architectuurscan BEsluitvorming implementatie in beheer

Versie

0.0.8

Datum

19 Juni 2024

Auteur

Architectenraad Edu-V

Acties

  • Monitoren ontwikkeling met betrekking tot Authenticatie-standaarden Forum standaardisatie

  • Monitoren ontwikkeling met betrekking tot Wallet

  • Monitoren ontwikkelingen met betrekking tot betrouwbaarheidsniveaus

Op deze pagina is het Human-to-Machine (H2M) kader uitgewerkt voor het idenficeren en authenticeren van Onderwijsdeelnemers en -medewerkers in de Edu-V praktijksituaties. In de diverse praktijksituaties vervullen deze eindgebruikers cruciale activiteiten om een scenario uit te voeren. Zodra een eindgebruiker deze rol vervult in een scenario, dan is aangegeven welke eisen er gesteld worden aan de identificatie en authenticatie.

Op deze pagina is uitgewerkt hoe de identificatie en authenticatie plaats kan vinden en op welke betrouwbaarheidsniveau een eindgebruiker geïdentificeerd en geauthenticeerd kan worden. Deze pagina bestaat uit de volgende onderwerpen:

Toepassingspatroon federatieve toegang

In het Edu-V afsprakenstelsel ondersteunen we de mogelijkheid om als dienst gebruik te maken van single-sign-on toegang via de Identity Provider van de onderwijsorganisatie. Hierdoor kunnen Personen via single-sign-on gebruik maken van applicaties van verschillende Leveranciers. Deze wijze van identificeren en authenticeren is gebaseerd op het toepassingspatroon Federatieve toegang.

Het federatieve patroon is een manier van samenwerken en gegevensuitwisseling tussen een IAM-inrichting van een (onderwijs)organisatie, een systeem voor federatieve toegang en een dienstverlener, die tot doel heeft om de gebruiker op een veilige en transparante manier te autoriseren voor gebruik van een dienst. De samenwerking gaat als volgt:

  1. Als een Eindgebruiker een Dienst met SSO wil gebruiken, vraagt de Dienst met SSO aan een (Authenticerende of Delegerende) Identity Provider of aan een Federatieve Hub om een Identiteitsverklaring voor de betreffende Eindgebruiker, zodat de autorisatievoorziening het proces van autorisateren kan uitvoeren en een autorisatiebeslissing kan nemen.

  2. In het geval van een Federatieve hub gaat de Federatieve hub na of de Eindgebruiker al is geauthenticeerd door zijn organisatie, en stelt een identiteitsverklaring met gebruikersgegevens op als dat zo is (single sign-on).

  3. Als de gebruiker nog niet is ingelogd, vraagt de Federatieve hub aan de (Authenticerende of Delegerende) Identity Provider van de onderwijsorganisatie om een Identiteitsverklaring voor deze Eindgebruiker. Als de Federatieve hub niet kan achterhalen bij welke onderwijsorganisatie de Eindgebruiker hoort, presenteert de Federatieve hub een selectiescherm aan de Eindgebruiker.

  4. De Authenticerende Identity Provider van de onderwijsorganisatie presenteert de Eindgebruiker een scherm om zich met het authenticatiemiddel te identificeren (bijvoorbeeld, inloggen met gebruikersnaam en wachtwoord). Als de Eindgebruiker kan worden geauthenticeerd, stelt de Identity Provider een identiteitsverklaring op, met de overeengekomen attributen.

De werking van Federatieve toegang is nader uitgewerkt in de praktijksituatie Doorgifte identiteiten. Daarnaast is ook meer informatie te vinden over het toepassingspatroon Federatieve toegang en de Architectuurkaders toegang en digitale identiteit onderwijs in de ROSA die onder beheer is van de Werkgroep Toegang van Edustandaard.

Identiteitsverklaring

Via een toegangsketen (van Identity Providers met al dan niet een Federatieve hub) kan een Dienst met SSO een identiteitsverklaring verkrijgen van een Onderwijsdeelnemer of -medewerker. Een identiteitsverklaring is een geverifieerde digitale identiteit met een minimale set aan attributen.

In deze identititeitsverklaring wordt tenminste de volgende attributen opgenomen:

  • Primaire identifier Persoon

    • Secundaire identifier Persoon (verplicht indien primaire identifier niet bekend is)

  • Primaire identifier Onderwijsorganisatie

    • Secundaire identifier Onderwijsorganisatie (verplicht indien primaire identifier niet bekend is)

  • Aanduiding of de Persoon een onderwijsdeelnemer, onderwijsmedewerker of betrokkene is.

Aanvullende (sectorspecifieke) attributen zijn mogelijk

In aanvulling op de hierboven genoemde gegevens in de identiteitsverklaring zijn er sectorspecifieke attributen die gedeeld worden. Zo wordt in het primair onderwijs bijvoorbeeld in de identiteitsverklaring vanuit Basispoort aangegeven of de Persoon thuis of op school is ingelogd.

Voor de continuïteit van de huidige praktijk blijft het toegestaan om in de identiteitsverklaring aanvullende attributen te delen. Hierbij geldt uiteraard het uitgangspunt dataminimalisatie en regie op gegevens en dient het streven te zijn om zo min mogelijk gegevens uit te wisselen.

Betrouwbaarheidsniveaus voor identificatie en authenticatie

De Edu-V praktijksituaties vragen om diverse betrouwbaarheidsniveaus om eindgebruikers te identificeren en te authenticeren. Dit betrouwbaarheidsniveau is afhankelijk van de context en de gegevens die gedeeld worden. Voor deze situaties zijn de volgende patronen ontwikkeld:

Eindgebruiker

Betrouwbaarheidsniveau identiteitsverklaring

Toepassingspatroon identificatie en authenticatie

Eindgebruiker

Betrouwbaarheidsniveau identiteitsverklaring

Toepassingspatroon identificatie en authenticatie

Onderwijsdeelnemer

Gemiddeld (ingelogde gebruiker)

Federatieve toegang

Onderwijsmedewerker

Gemiddeld (ingelogde gebruiker)

Federatieve toegang

Verhoogd (gevoelige informatie)

Federatieve toegang

  • Multifactorauthenticatie

Dit patroon is afhankelijk van de onderwijssector al meer of minder de praktijk. In het middelbaar beroepsonderwijs is tweefactorauthenticatie steeds meer de norm.

Applicatiebeheerder

Verhoogd (gevoelige informatie)

Federatieve toegang

  • Rol: Applicatiebeheerder

  • Multifactorauthenticatie

Dit patroon is van toepassing voor Regie op gegevens tussen Leveranciers ten behoeve van een Onderwijsaanbieder.

Onderwijsbestuurder

Hoog

eHerkenning, tekenbevoegd

Dit patroon is van toepassing bij het digitaal ondertekenen van overeenkomsten tussen leveranciers en onderwijsorganisaties. Een voorbeeld is de Verwerkersovereenkomst.

Identiteitsverklaring als input voor autorisatie door Dienst met SSO

De afspraken over identificatie en authenticatie dragen door een betrouwbare identiteitsverklaring met minimale set attributen bij aan een correcte autorisatie, maar schrijven niet voor op welke wijze de autorisatie plaatsvindt. Leveranciers beschikken in hun eigen Leer- en onderwijsmiddelen over adequaat rollen en rechtenbeheer waar de autorisatie plaats kan vinden. De daadwerkelijke autorisatie valt hiermee buiten de scope van het afsprakenstelsel. De identiteitsverklaring bevat wel voldoende informatie om als Leverancier in een applicatie deze autorisatiebeslissing ten aanzien van (het betrouwbaarheidsniveau van) de digitale identiteit te maken.

Technisch: Authenticatie-standaarden Forum standaardisatie

Binnen Edu-V hanteren we de afspraak om technisch interoperabel te zijn conform de Authenticatie-standaarden (OpenID.NLGov en SAML) van het Forum Standaardisatie.

Detailuitwerking in praktijksituatie Doorgifte identiteiten

De op deze pagina beschreven architectuurkaders voor H2M identificatie en authenticatie van eindgebruikers zijn nader uitgewerkt in de praktijksituatie Doorgifte identiteiten. In deze praktijksituatie wordt ingegaan op:


Release notes

Deze uitwerking is gebaseerd op basis van de volgende stappen:

  • 0.0.1: Verzamelen van de relevante onderwerpen voor H2M identificatie

  • 0.0.2: Draft uitwerking van H2M kader voor scope van de POCs, bestaande uit:

    • Conceptueel model: toepassingspatroon federatieve toegang

    • Digitale identiteit Onderwijsdeelnemer en –medewerker

    • Digitale identiteit Onderwijsorganisaties

    • Betrouwbaarheidsniveaus voor identificatie en authenticatie

    • Buiten scope: Autorisatie

  • 0.0.3: Na feedback van Architectenraad Edu-V is de inhoud over identiteiten verplaatst naar een separate pagina. Tevens is feedback op de inhoud van de Architectenraad Edu-V verwerkt in deze iteratie.

    • POC Scope voor betrouwbaarheidsniveaus bijgesteld naar 2FA voor alleen de applicatiebeheerder.

    • Passage over attributenbeleid aangepast naar huidige praktijk bij de federatieve authenticatiedienstverleners.

    • Ketens van rollen Beheerder identiteiten en Authenticatiedienstverleners expliciet gemaakt.

    • De onderwerpen voor de werkgroep Doorgifte identiteiten geëxpliciteerd.

  • 0.0.4: POC Scope verwijderd. Definities van referentiecomponenten aangepast. Plaatje over Federatieve toegang geactualiseerd op basis van ROSA wijziging. Link naar de pagina van ROSA ook geactualiseerd.

  • 0.0.5: ARP formulier gewijzigd in digitaal toestemming geven voor delen van attributen via Mijn Entree Federatie.

  • 0.0.6: Tekst is aangepast als kader voor de praktijksituatie Doorgifte identiteiten. Ook is een verwijzing gemaakt naar de detailuitwerking in deze praktijksituatie.

  • 0.0.7: Openstaande acties met betrekking tot Federatieve hubs, Betrouwbaarheidsniveaus, Attributenbeleid en aanvullen van attributen na inloggen verwerkt. Dit is onder meer verwerkt op deze pagina maar ook beschreven op de pagina Federatieve hubs en een waarschuwing bij de Referentiecomponent Dienst met SSO op de pagina Referentiecomponenten Toegangsketen.

  • 0.0.8: Informatieblok over de Identiteitsverklaring verduidelijkt. De huidige inhoud van identiteitsverklaringen vanuit federatieve hubs wordt gedoogd omwille van de continuïteit van de huidige praktijk.

Â