Titel | Referentiecomponenten toegangsketen |
Status | IN ONTWIKKELING ROSA-ARCHITECTUURSCAN BESLUITVORMING IN BEHEER |
Versie | 0.0.1 |
Datum | 17 Mei 2024 |
Auteur | Werkgroep Doorgifte identiteiten |
Acties |
|
In het conceptueel model Doorgifte identiteiten zijn een aantal referentiecomponenten actief, die in specifieke configuraties samenwerken. Referentiecomponenten kunnen aan elkaar worden gekoppeld tot een toegangsketen van identificatie en authenticatie. Elke referentiecomponent heeft een unieke samenstelling van services, heeft zijn eigen functionele en technische werking en heeft invoer en/of uitvoer.
In deze paragraaf worden de referentiecomponenten besproken. Van elke referentiecomponent is een standaarddiagram gemaakt, gevolgd door een beschrijving van: de functionele werking en verantwoordelijkheid, de informatieobjecten die worden gelezen en/of geschreven, eventuele technische bijzonderheden die nodig zijn voor de correcte uitvoering van de bouwsteen, en standaarden voor gegevensuitwisseling waar de bouwsteen aan voldoet.
De beschrijving is opgesteld vanuit perspectief van de gebruiker; een uitvoering in de echte wereld zelf kan complexer in elkaar zitten en combinaties van functionaliteiten (d.w.z. meerdere referentiecomponenten) ondersteunen. In de gebruikssituatie is echter altijd een interpretatie van de referentiecomponent actief. Bijvoorbeeld, een IAM-inrichting van een onderwijsorganisatie kan een aantal referentiecomponenten inzetten als Authenticerende Identity provider voor de eigen leerlingen en medewerkers, maar dezelfde componenten kunnen functioneren in een Delegerende Identity provider voor externe medewerkers.
De volgende referentiecomponenten zijn uitgewerkt:
Authenticerende Identity provider
Een onderwijsorganisatie gebruikt een Authenticerende Identity provider om de digitale identiteit en andere attributen van geauthenticeerde onderwijsdeelnemers en –medewerkers aan referentiecomponenten door te geven.
De Authenticerende Identity provider registreert digitale identiteiten en gerelateerde persoonsgegevens en authenticatiemiddelen voor gebruikers. Belangrijkste dienst is het samenstellen en uitgeven van identiteitsverklaring van geauthenticeerde personen voor gebruik in de toegangsketen.
De Authenticerende IdP heeft de verantwoordelijkheid om de relatie tussen de digitale identiteit en het uitgegeven authenticatiemiddel bij te houden. Belangrijk is dat de Identity provider tijdens het proces van authenticatie van de gebruiker beschikt over alle informatie om de identiteit van de gebruiker te verifiëren en alle attributen kan vinden om een Identiteitsverklaring mee samen te stellen.
De Authenticerende Identity Provider beschikt over de volgende functionaliteiten:
Register identiteiten: ondersteunt het inlezen en verwijderen van digitale identiteiten en persoonsgegevens voor personen. Het Register identiteiten kan optioneel informatie onderhouden over het niveau van betrouwbaarheid waarmee digitale identiteiten zijn vastgesteld. Als informatie over de betrouwbaarheid van digitale identiteiten beschikbaar is, is de Authenticerende Identity provider in staat om authenticatie met verhoogde betrouwbaarheid uit te voeren.
Authenticatiebeheer: ondersteunt het aanmaken, onderhouden en verwijderen van persoonsgebonden authenticatiemiddelen. Authenticatiebeheer kan het gebruik van extra authenticatiemiddelen voor multi-factor authenticatie ondersteunen.
Identity provider: authenticeert gebruikers, eventueel ook step-up authenticatie (hoger betrouwbaarheidsniveau, bijvoorbeeld met extra authenticatiefactor) en stelt identiteitsverklaringen op op basis van gegevens in het register identiteiten.
SSO-partnerbeheer: onderhouden van relaties met aangesloten federaties en diensten, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau.
Autorisatie: interne autorisatie van de Authenticerende Identity provider waarmee deze de toegang tot zijn dienstverlening kan beperken tot de geautoriseerde gebruikers.
Inlogdienst: het deel van de Authenticerende Identity provider dat diensten voor eindgebruikers levert. In dit geval, de authenticatiefunctie, functionaliteit voor het aanmaken, wijzigen en verwijderen van identiteiten en authenticatiemiddelen en de configuratiefunctie voor het beheren van ketenrelaties met Delegerende Identity Providers, Federaties en het beheer van de registratie van identiteiten.
Delegerende Identity provider
Een onderwijsorganisatie gebruikt een Delegerende Identity provider om de digitale identiteit en andere attributen van geauthenticeerde onderwijsdeelnemers en –medewerkers, waarvan de onderwijsorganisatie niet zelf het beheer van de authenticatiemiddelen wil doen, toch te kunnen authenticeren en in een eigen identiteitsverklaring door te geven aan partijen in de toegangsketen.
Net als de Authenticerende Identity provider stelt deze referentiecomponent Identiteitsverklaringen op. Het belangrijkste verschil is dat de Delegerende Identity provider niet zelf authenticatiemiddelen beheert en uitgeeft. De Delegerende Identity provider laat zijn gebruikers authenticeren door een Authenticerende Identity provider. Op basis van diens Identiteitsverklaring stelt de Delegerende Identity provider een eigen Identiteitsverklaring op voor gebruik in de keten.
De Delegerende Identity provider kan rechtstreeks koppelen met een Authenticerende Identity provider, maar de koppeling kan ook tot stand komen via een Federatie. Koppelen via een Federatie heeft voordelen als de aansturing van het authenticatieproces of de syntax van de Identiteitsverklaring tussen beide partijen niet helemaal aansluit. De Delegerende Identity provider is in dit geval aan de Federatie gekoppeld als Dienstverlener, en niet als Identity provider.
De Delegerende Identity Provider beschikt over de volgende functionaliteiten:
Register identiteiten: ondersteunt het inlezen en verwijderen van digitale identiteiten en persoonsgegevens voor personen, en het aanbrengen van relaties tussen digitale identiteiten uit externe bron(nen) en de eigen digitale identiteiten. Het register identiteiten kan informatie onderhouden over het niveau van betrouwbaarheid waarmee digitale identiteiten zijn vastgesteld zodat er een authenticatie met verhoogde betrouwbaarheid kan plaatsvinden.
Identity provider: delegeert de authenticatie van gebruikers aan een (externe) Authenticerende Identity provider, eventueel ook step-up inclusief authenticatie (hoger betrouwbaarheidsniveau, bijvoorbeeld authenticatie met extra factor). Leest Identiteitsverklaringen van Authenticerende Identity provider, valideert de ondertekening indien van toepassing, en stelt identiteitsverklaringen op op basis van gegevens in de ingelezen Identiteitsverklaring en eigen identiteitenbeheer. Het is nader te bepalen of en hoe de identifier van de betrokkene uit de identiteitsverklaring van de externe Identity provider gebruikt wordt in de eigen identiteitsverklaring van de onderwijsorganisatie.
SSO-partnerbeheer: onderhouden van relaties met aangesloten Authenticerende Identity providers, federaties en diensten, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau.
Autorisatie: interne autorisatie van de Delegerende Identity provider waarmee deze de toegang tot zijn dienstverlening kan beperken tot de geautoriseerde gebruikers.
Inlogdienst: het deel van de Delegerende Identity provider dat diensten voor eindgebruikers levert. In dit geval, de configuratiefunctie voor het beheren van ketenrelaties met Authenticerende Identity Providers, Federaties en het beheer van de registratie van identiteiten..
Federatie
Een Federatie functioneert als een intermediair tussen Identity providers (Authenticerend of Delegerend) en de Dienst met SSO van dienstverleners. Identity providers leveren de digitale identiteit van de Onderwijsdeelnemer of –medewerker in een Identiteitsverklaring aan.
De Federatie routeert de Identiteitsverklaring aan de gewenste Dienst met SSO. De Federatie kan op verzoek van aanleverende en/of afnemende partijen Identiteitsverklaringen transformeren of attributen eruit filteren. Federaties onderhouden relaties met aanleverende en afnemende partijen op bestuurlijk, juridisch, financieel, operationeel, informatie-technisch en technisch niveau.
De Federatie beschikt over de volgende functionaliteiten:
Identity provider: valideren, lezen en interpreteren van Identiteitsverklaring die wordt aangeleverd door een aangesloten Authenticerende Identity provider. Transformeren van aangeleverde Identiteitsverklaring of aanmaken Identiteitsverklaring. Invullen attributen en aangeleverde digitale identiteit in de verklaring, optioneel digitaal ondertekenen van identiteitsverklaring.
Autorisatie: vaststellen dat alleen geautoriseerde partijen gebruik maken van de dienstverlening van de federatie.
Transformatie en filtering: de onderwijsorganisatie is verantwoordelijk voor de verspreiding van persoonsgegevens binnen de kaders van de overeenkomsten tussen onderwijsorganisatie en dienstverlener. De onderwijsorganisatie kan het filteren en transformeren van de betreffende attributen delegeren aan de Federatie. Daarnaast kan de Federatie beschikken over transformaties waarmee op protocol- en berichtniveau vertaald wordt tussen verschillende standaarden De Federatie beschikt niet over een eigen register van identiteiten, en de Federatie zal ook niet eigen identiteiten invoegen in het bericht. Om transparantie in de keten te waarborgen zal de Federatie ook niet de bestaande identiteiten of andere sleutels wijzigen.
SSO-Partnerbeheer: beheer van overeenkomsten tussen de partijen.
Dienst met SSO
De Dienst met SSO authenticeert zijn gebruikers op basis van een direct gekoppelde Identity Provider (Authenticerend of Delegerend) of via een Federatie.
De dienst heeft een autorisatiecomponent, die een autorisatiebeslissing neemt. Afhankelijk van de wijze waarop de dienstverlener de dienst beschikbaar stelt, zijn hiervoor persoonsgegevens of andere attributen van de gebruiker nodig. De dienst gebruikt informatie uit de Identiteitsverklaring, eventueel in combinatie met geprovisionde persoonsgegevens, om de autorisatiebeslissing te nemen.
De Dienst met SSO beschikt over de volgende functionaliteiten:
Register identiteiten: ondersteunt het inlezen en verwijderen van digitale identiteiten en persoonsgegevens voor personen, en het aanbrengen van relaties tussen digitale identiteiten uit externe bron(nen) en de eigen digitale identiteiten. De aard en hoeveelheid gegevens die hier wordt verzameld is afhankelijk van de dienst. Het register identiteiten kan informatie onderhouden over het niveau van betrouwbaarheid waarmee digitale identiteiten zijn vastgesteld zodat er een authenticatie met verhoogde betrouwbaarheid kan plaatsvinden.
Identity provider en autorisatie: nemen de beslissing om de gebruiker al dan niet toegang te verlenen tot de dienst. Hiervoor wordt gebruik gemaakt van de aangeleverde informatie (Identiteitsverklaring, geprovisionde gegevens) en van eigen informatie van de dienstverlener, zoals de licentiestatus.
Gebruikersdienst: het deel dat diensten voor eindgebruikers levert.
SSO-partnerbeheer: onderhouden van relaties met aangesloten Authenticerende Identity providers, federaties en diensten, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau.
Authenticerende dienst
De Authenticerende dienst heeft een eigen register van gebruikers en authenticatiemiddelen, waarmee de dienst zelfstandig de identificatie en authenticatie kan verzorgen en een autorisatiebeslissing kan nemen. Gebruikers van deze dienst worden geauthenticeerd met behulp van eigen authenticatiemiddelen (gebruikersnaam, wachtwoord en dergelijke) van de dienst.
Deze dienst maakt geen deel uit van een toegangsketen. De dienst heeft een autorisatiecomponent, die een autorisatiebeslissing neemt en hierbij de informatie uit het eigen register identiteiten kan gebruiken. Deze dienst kan normaal gesproken geen gebruik maken van geprovisionde gegevens, omdat er geen sprake is van gezamenlijk beheerde identiteiten waar de geprovisionde gegevens mee matchen.
Deze dienst kan worden aangeboden in combinatie als combinatie met een Dienst met SSO. De Authenticerende dienst wordt dan gebruikt als backup in situaties dat Federaties of andere ketenvoorzieningen niet bruikbaar of beschikbaar zijn.
De Authenticerende dienst beschikt over de volgende functionaliteiten:
Register identiteiten: ondersteunt het inlezen en verwijderen van digitale identiteiten en persoonsgegevens voor personen.
Authenticatiebeheer: ondersteunt het aanmaken, onderhouden en verwijderen van persoonsgebonden authenticatiemiddelen. Authenticatiebeheer kan het gebruik van extra authenticatiemiddelen voor multi-factor authenticatie ondersteunen.
Identity provider en autorisatie: authenticeren de gebruiker en nemen de beslissing om de gebruiker al dan niet toegang te verlenen tot de dienst. Hiervoor wordt gebruik gemaakt van eigen informatie van de dienstverlener, zoals de licentiestatus.
Gebruikersdienst: het deel dat diensten voor eindgebruikers levert.
Release notes
Deze uitwerking is gebaseerd op basis van de volgende stappen:
0.0.1: Conceptbeschrijving van de referentiecomponenten zoals opgenomen in het conceptueel model Doorgifte identiteiten.