Skip to end of metadata
Go to start of metadata

You are viewing an old version of this content. View the current version.

Compare with Current View Version History

« Previous Version 48 Next »

Titel

H2M identificatie en authenticatie

Status

IN ONTWIKKELING ROSA-ARCHITECTUURSCAN BESLUITVORMING IN BEHEER

Versie

0.0.5

Datum

4 Januari 2024

Auteur

Architectenraad Edu-V

Acties

Werkgroep Doorgifte identiteiten is nog bezig met ontwikkeling van:

  • [1] Afspraken maken over uniformeren werking federatieve authenticatiedienstverleners

  • [2] Afspraken maken over de wijze waarop attributen gedeeld worden

  • [3] Afspraken maken over aanvullen van profiel na inloggen

  • [4] Afspraken maken over betrouwbaarheidsniveaus van identiteitsverklaringen

Hierbij wordt intensief samengewerkt met de Werkgroep Toegang van Edustandaard.

Op deze pagina is het Human-to-Machine (H2M) kader uitgewerkt voor het idenficeren en authenticeren van Onderwijsdeelnemers en -medewerkers in het Ecosysteem. In de diverse praktijksituaties zijn deze Personen de eindgebruikers of vervullen ze cruciale activiteiten om een use case uit te voeren. Zodra een Persoon deze rol vervult in een use case, dan is aangegeven welke eisen er gesteld worden aan de identificatie en authenticatie van de Persoon.

Op deze pagina is uitgewerkt hoe de identificatie en authenticatie plaats kan vinden en op welke betrouwbaarheidsniveau een Persoon geidentificeerd en geauthenticeerd kan worden in het Ecosysteem. Deze pagina bestaat uit de volgende onderwerpen:

Toepassingspatroon federatieve toegang

In het Ecosysteem ondersteunen we de mogelijkheid voor Leveranciers om Personen buiten het eigen domein te identificeren en authenticeren. Hierdoor kunnen Personen via single-sign-on gebruik maken van applicaties van verschillende Leveranciers. Deze wijze van identificeren en authenticeren is gebaseerd op het toepassingspatroon Federatieve toegang.

Federatieve toegang is één van de toepassingspatronen binnen de Architectuurkaders toegang en digitale identiteit onderwijs, die onder beheer zijn in de Werkgroep Toegang van Edustandaard. Meer informatie over de werking van dit toepassingspatroon kan daar gevonden worden.

[1] Werkgroep: afspraken maken over uniformeren werking federatieve authenticatiedienstverleners

  • Analyseren van de huidige federatieve authenticatiedienstverleners Basispoort, Entree en SURFConext en bepalen van verschillen en overeenkomsten in functionele en technische implementatie.

  • De verschillenanalyse van de federatieve authenticatiedienstverleners leidt tot een advies voor het al dan niet normaliseren van de functionele en technische oplossing om het aansluiten bij deze voorzieningen voor Leveranciers laagdrempeliger te maken.

Identiteitsverklaring

Via de federatieve toegangsvoorziening kan een Leverancier een identiteitsverklaring verkrijgen van een Onderwijsdeelnemer of -medewerker. Een identiteitsverklaring is een geverifieerde digitale identiteit met een minimale set aan attributen, eventueel aangevuld met vooraf overeengekomen aanvullende attributen. In deze identititeitsverklaring wordt tenminste de volgende gegevens opgenomen:

  • Primaire identifier Persoon

    • Secundaire identifier Persoon (verplicht indien primaire identifier niet bekend is)

  • Onderwijsorganisatie identifier

  • Aanduiding of de Persoon een Onderwijsdeelnemer of Onderwijsmedewerker is.

Sectorspecifieke attributen zijn mogelijk

In aanvulling op de hierboven genoemde gegevens in de identiteitsverklaring zijn er sectorspecifieke attributen die vanuit de federatieve authentiatiedientsverlener gedeeld kunnen worden. Zo wordt in het primair onderwijs bijvoorbeeld aangegeven of de Persoon thuis of op school is ingelogd.

Aandachtspunt bij het delen van (sector)specifieke attributen is om de juiste consent op het juiste moment te hebben van de partijen die de gegevens moeten delen (de onderwijsinstellingen). 

ARP: verzoek delen van attributen Entree federatie

Stichting Kennisnet ondersteunt leveranciers om via de federatieve authenticatiedienstverlener Entree aanvullende attributen te ontvangen. De leverancier dient in dat geval de onderwijsorganisatie om een Attribute Release Policy (ARP) te vragen. De onderwijsorganisatie verleent deze attributen digitaal in Mijn Entree Federatie. Het verlenen van attributen is een verzoek van de onderwijsorganisatie aan Stichting Kennisnet ten behoeve van de authenticatiedienstverlener Entree Federatie om meer informatie van een gebruiker door te geven aan de leverancier.

[2] Werkgroep: afspraken maken over de wijze waarop attributen gedeeld worden

De federatieve authenticatiedienstverleners delen allen op een verschillende wijze attributen als onderdeel van de identiteitsverklaring. Tevens is er binnen Edu-K een afspraak gemaakt in het attributenbeleid. Binnen de Entree federatie worden er standaard attributen gedeeld en kunnen aanvullende attributen aangevraagd worden.

Het is zinvol om deze werkwijzen te evalueren en toe te werken naar een eenduidige werking waarbij dataminimalisatie en doelbinding centraal staan. Hierbij kan bijvoorbeeld gedacht worden aan het delen van een minimale set en het uitvoeren van callback op de attributen die van belang zijn voor de situatie.

Hierbij is een belangrijk aandachtspunt om de contexten goed te definiëren en ook een afweging te maken welke andere personen federatief geïdentificeerd en geauthenticeerd dienen te worden. Gedacht wordt onder meer aan ouders/verzorgens en afspraken over gast accounts.

Dit vraagstuk is breed van toepassing in alle onderwijssectoren. Vandaar dat de werkgroep Doorgifte identiteiten dit vraagstuk in samenwerking met de Werkgroep Toegang van Edustandaard zal gaan uitwerken.

[3] Werkgroep: afspraken maken over aanvullen van profiel na inloggen

In de huidige praktijk vragen steeds meer Leveranciers nadat een Persoon is ingelogd om zijn profiel compleet te maken met aanvullende informatie zoals:

  • Koppelen van de school

  • Invullen van het e-mailadres

  • Aanvullen van persoonsgegevens

Deze werkwijze leidt ertoe dat er redundante data (bijvoorbeeld persoon e-mailadres in plaats van e-mailadres van de onderwijsorganisatie) ontstaat. Dit kan ook opgelost worden door het kunnen verkrijgen van gegevens via een koppeling met het Administratiesysteem onderwijsdeelnemers (via de /wiki/spaces/AFSPRAKENS/pages/21659714) of de attributen uit de federatieve authenticatiedienstverlener.

Referentiecomponenten

In het Ecosysteem zijn de referentiecomponenten Identiteitsbeheervoorziening en Authenticatiemiddelenvoorziening verantwoordelijk voor respectievelijk het beheer van de identiteit en het uitgeven van de Identiteitsverklaring. De huidige praktijk kent een aantal verschillende ketens van Leveranciers die deze rollen vervullen. Deze zijn weergegeven in onderstaande tabel.

Variant

Sector

Administratieysteem onderwijsdeelnemers
(bron ECK iD)

Identiteitsbeheer-voorziening

Authenticatie-middelenvoorziening

Federatieve hub

I.

PO, (V)SO

LAS

Basispoort

Basispoort

Basispoort

II.

PO, (V)SO

LAS

Netwerkleverancier

Netwerkleverancier

Basispoort

III.

VO, VSO

LAS

LAS/ELO

LAS/ELO

Entree federatie

IV

VO, VSO

LAS

IAM dienstverlener

IAM dienstverlener

Entree federatie

V.

MBO

SIS

IAM dienstverlener

IAM dienstverlener

Entree federatie

VI.

MBO

SIS

IAM dienstverlener

IAM dienstverlener

SURFConext

Betrouwbaarheidsniveaus voor identificatie en authenticatie

De praktijksituaties van het Ecosysteem vragen om diverse betrouwbaarheidsniveaus om Personen te identificeren en te authenticeren. Dit betrouwbaarheidsniveau is afhankelijk van de context en de gegevens die gedeeld worden. Voor deze situaties zijn de volgende patronen ontwikkeld:

Persoon

Betrouwbaarheidsniveau identiteitsverklaring

Toepassingspatroon identificatie en authenticatie

Onderwijsdeelnemer

Laag

Federatieve toegang

Onderwijsmedewerker

Laag

Federatieve toegang

Gemiddeld/Hoog

Federatieve toegang

  • Tweefactorauthenticatie

Dit patroon is afhankelijk van de onderwijssector al meer of minder de praktijk. In het middelbaar beroepsonderwijs is tweefactorauthenticatie steeds meer de norm.

Applicatiebeheerder

Gemiddeld/Hoog

Federatieve toegang

  • Rol: Applicatiebeheerder

  • Multifactorauthenticatie

Dit patroon is van toepassing voor Regie op gegevens tussen Leveranciers ten behoeve van een Onderwijsaanbieder.

Onderwijsbestuurder

Gemiddeld/Hoog

eHerkenning, tekenbevoegd

Dit patroon is van toepassing voor het ondertekenen van een Verwerkersovereenkomst dat leidt tot een mandaat in het mandatenregister voor een onderwijsbestuur.

Werkgroep: Afspraken maken over betrouwbaarheidsniveaus substantieel voor Onderwijs

Op basis van eIDAS en eHerkenning uitwerken van een onderwijsprofiel voor de identificatie en authenticatie van personen met een betrouwbaarheidsniveau Substantieel.

Dit vraagstuk is breed van toepassing in alle onderwijssectoren. Vandaar dat de werkgroep Doorgifte identiteiten dit vraagstuk in samenwerking met de Werkgroep Uniforme Beveiligingsvoorschriften en Toegang van Edustandaard zal gaan uitwerken.

Identiteitsverklaring draagt bij aan autorisatie Personen

In het Ecosysteem zijn afspraken gemaakt over identificatie en authenticatie. Dit leidt tot een betrouwbare identiteitsverklaring. Door deze identiteitsverklaring zijn Leveranciers vervolgens in staat om Personen te autoriseren. De afspraken over identificatie en authenticatie dragen daardoor bij aan een correcte autorisatie, maar schrijven niet voor op welke wijze de autorisatie plaatsvindt. Leveranciers beschikken in hun eigen Leer- en onderwijsmiddelen over adequaat rollen en rechtenbeheer waar de autorisatie plaats kan vinden. De daadwerkelijke autorisatie valt hiermee buiten de scope van het afsprakenstelsel. De identiteitsverklaring bevat wel voldoende informatie om als Leverancier in een applicatie deze autorisatiebeslissing ten aanzien van (het betrouwbaarheidsniveau van) de digitale identiteit te maken.

Release notes

Deze uitwerking is gebaseerd op basis van de volgende stappen:

  • 0.0.1: Verzamelen van de relevante onderwerpen voor H2M identificatie

  • 0.0.2: Draft uitwerking van H2M kader voor scope van de POCs, bestaande uit:

    • Conceptueel model: toepassingspatroon federatieve toegang

    • Digitale identiteit Onderwijsdeelnemer en –medewerker

    • Digitale identiteit Onderwijsorganisaties

    • Betrouwbaarheidsniveaus voor identificatie en authenticatie

    • Buiten scope: Autorisatie

  • 0.0.3: Na feedback van Architectenraad Edu-V is de inhoud over identiteiten verplaatst naar een separate pagina. Tevens is feedback op de inhoud van de Architectenraad Edu-V verwerkt in deze iteratie.

    • POC Scope voor betrouwbaarheidsniveaus bijgesteld naar 2FA voor alleen de applicatiebeheerder.

    • Passage over attributenbeleid aangepast naar huidige praktijk bij de federatieve authenticatiedienstverleners.

    • Ketens van rollen Beheerder identiteiten en Authenticatiedienstverleners expliciet gemaakt.

    • De onderwerpen voor de werkgroep Doorgifte identiteiten geëxpliciteerd.

  • 0.0.4: POC Scope verwijderd. Definities van referentiecomponenten aangepast. Plaatje over Federatieve toegang geactualiseerd op basis van ROSA wijziging. Link naar de pagina van ROSA ook geactualiseerd.

  • 0.0.5: ARP formulier gewijzigd in digitaal toestemming geven voor delen van attributen via Mijn Entree Federatie.

  • No labels

Disclaimer en licentie