Aanbevelingen voor IAM in het ontwerp van een dienst: verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
k (Onderdeel met begrippen herschreven)
(Samenbrengen van alle IAM-gerelateerde pagina's onder categorie:IAM)
 
(73 tussenliggende versies door 7 gebruikers niet weergegeven)
Regel 1: Regel 1:
{{IAA}}
{{Werkversie geïmporteerd Bindende afspraken}}{{IAM
{{Kaderrechtssmal|
|Contactpersoon= Eric Brouwer
''<big>Status, versie en auteurs</big>''<br><br>
|e-Mailadres= Eric.brouwer@ictu.nl
Dit document is een 1e overzicht van de informatie en vindplaatsen die wij - als leden van de werkgroep - hiervoor relevant achten. <br><br>
}}
'''''Contactpersoon:'''''  Eric Brouwer<br>
'''''Mail:''''' {{Maillink
|to=eric.brouwer@ictu.nl
|cc=nora@ictu.nl
|linktext=eric.brouwer@ictu.nl
|subject=contact deelonderwerp Identity & Acces Management
}}<br>
'''''Versie:'''''  20 februari 2018<br>
'''''Bijdragen door:'''''<br>
* Erwin Reinhoud (Kennisnet)
* Lieven van der Tas (DJI)
* Leon Schipper (Gemeente Rotterdam)
* Arnoud Quanjer (VNG Realisatie)
* Hainoo Beljaars (VNG Realisatie)
* Eric Brouwer (ICTU)}}
__TOC__
__TOC__
==Toegang tot een bepaalde dienst voor de juiste personen (veralgemeniseerd: entiteiten)==
IAM doe je niet voor de lol, maar omdat je de juiste entiteit, zijnde personen/natuurlijke personen, die geboren zijn, of niet natuurlijke personen, die opgericht zijn, of systemen toegang wil geven tot een bepaalde dienst (synoniem: resource). Ga voor de inrichting dan ook uit van drie basiselementen waarover je helderheid moet geven: De dienst (resource) waar je toegang voor gaat inrichten, de afnemers (entiteiten) die toegang moeten hebben en het toegang verlenen zelf. Wat moet je allemaal geregeld hebben zodat een identiteit een dienst snel, vertrouwd en gemakkelijk kan afnemen?<br />
Deze NORA IAM pagina's starten vanuit het perspectief van gevraagde toegang tot een dienst voor een persoon, als een natuurlijk persoon. De pagina's gaan hierbij uit van een persoon die van buiten de (overheids)organisatie toegang wil tot diensten van een (overheids)organisatie.<br />
Idealiter maak je gebruik van de NORA [[Architectuurprincipes]] en het NORA [[Vijflaagsmodel]] om op gestructureerde wijze zicht te krijgen op wat er moet gebeuren en hoe dat met elkaar samenhangt.<br />


Identity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste personen (of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten.
In het objectmodel [[Begrippen_IAM#Objectmodel_Definities]] zijn de relaties voor IAM objecten en definities weergegeven op basis van het kader, zoals rechtsboven getoond.
 
[[Afbeelding:Bestuurlijke_plaat_IAM.jpg|thumb|none|750px|Objectmodel Bestuurlijke plaat IAM|alt=”Bestuurlijke plaat Identity & Access Management”]]
Aangezien het hier gaat om een wereldwijde onderkende discipline, sluiten we vanuit de NORA zo veel mogelijk aan op de internationaal gebruikte termen en omschrijvingen:
De vertaling in een archimate formaat voor architecten ziet er dan als volgt uit:
[[Afbeelding:model_zonder_persoon.jpg|thumb|none|750px|Objectmodel Definities Identity & Access Management|alt=”Objectmodel Definities Identity & Access Management”]]
{{Metakader|
===Definitie van IAM volgens Gartner===
Identity and access management (IAM) is the security discipline that enables the right individuals to access the right resources at the right times for the right reasons.
 
IAM addresses the mission-critical need to ensure appropriate access to resources across increasingly heterogeneous technology environments, and to meet increasingly rigorous compliance requirements. This security practice is a crucial undertaking for any enterprise. It is increasingly business-aligned, and it requires business skills, not just technical expertise.
}}
 
IAM is van groot belang voor de digitale dienstverlening. Niet alleen omdat daardoor persoonlijke dienstverlening kan worden geregeld (gerelateerd aan een identiteit), maar ook om te borgen dat de dienst niet door verkeerde personen wordt gebruikt. En daarbij maakt het in principe niet uit of die dienst wordt geleverd door de overheid of door burgers of bedrijven.
 
IAM regelt drie belangrijke voorwaarden voor digitale dienstverlening:
# Identificatie zorgt er voor dat we weten wie je bent: we leggen daartoe een relatie tussen de mens van vlees en bloed en een digitale weerslag daarvan;
# Authenticatie zorgt er voor dat we met een bepaalde zekerheid weten dat je ook echt degene bent die je zegt te zijn;
# Autorisatie zorgt er voor dat we weten wat je dan mag (al dan niet door een ander gemachtigd), of juist niet mag.
 
Als iemand een digitale dienst wil afnemen, dan zal de elektronische identificatie, authenticatie en autorisatie goed geregeld moeten worden om de belangen van zowel de dienstaanbieder als de afnemer te borgen.
 
Traditioneel zijn er voor IAM twee soorten inrichtingen ontstaan. Eén voor de klantkant en één voor de medewerkers van de organisatie(s) die een dienst verlenen aan de klanten. In de praktijk zien we dat de klanten steeds meer betrokken worden in de afhandeling of realisatie van een dienst. Dit zorgt ervoor dat klanten ook in de backoffice systemen toegang gaan krijgen. Onderstaande quote van Gartner markeert deze beweging.
{{Metakader|
===Transitie IAM volgens Gartner===
A modern IAM platform needs to enable the appropriate access by any user to any application from almost anywhere. For example, when an organization adds IAM support for consumer users, it often deploys a separate IAM system to handle the widely varying scale and security requirements. Keeping these systems separate was traditionally relatively easy because the systems being accessed by consumers tended to be very different from the systems accessed by the workforce. However, digital transformation is increasing the depth of the interactions an organization has with consumers. Today's consumer-facing systems support more than just sales and marketing functions. A consumer may be able to initiate and modify an insurance claim from a mobile app. Therefore, the consumer's mobile app may need to interact with many of the same back-end transaction systems that employees access.
}}
Om IAM makkelijker te doorgronden, beschouwen we het vanuit de volgende onderverdeling:
<imagemap>
Afbeelding:Onderverdeling_IAM.png|700px|center|alt=Venndiagram waarbij de drie overlappende Ovalen (Identiteitenbeheer, Bevoegdhedenbeheer en Toegang verlenen) elk een cyclus van stappen vormen. In de overlap tussen de drie cycli is een vierde cycli getekend (Intelligentie). Cyclus identiteitenbeheer: Aanpassen, Verwijderen, Bewijslast, Aanmaken, Gebruiken. Cyclus Bevoegdhedenbeheer: Ontdekken, Ontwikkelen, Toekennen, Goedkeuren, Verklaren, Intrekken. Cyclus Toegang verlenen: Verifiëren, Authenticeren, Autoriseren. Cyclus Intelligentie: Ontdekken, Loggen, Monitoren, Signaleren, Rapporteren, Analyseren, Ontwikkelen.|Bron: Gartner (Juli 2011)


circle 464 388 55 [[Cyclus Intelligentie|Intelligentie]]
Voor de inhoudelijke vormgeving van IAM kan je gebruik maken van ISO 24760 IM (Identity Management) en ISO 29146 AM (Access Management). Ook het Informatie Beveiliging Management Framework (ISO 27001) is van belang: dat is de basis van het thema [[Beveiliging]]. De BIR en BIO zijn daar op gebaseerd.<br />
poly 256 105 251 264 673 256 664 108 [[Cyclus Bevoegdhedenbeheer|Bevoegdhedenbeheer]]
Er zijn 2 punten die hierbij aandacht vragen:
poly 7 262 242 260 243 369 264 401 294 436 374 474 410 486 435 490 427 522 10 517 3 514 [[Cyclus Identiteitenbeheer|Identiteitenbeheer]]
# De ISO-normen zijn door auteursrechten niet publiekelijk te publiceren;
poly 684 265 927 256 942 517 499 530 526 486 664 414 700 337 709 309 [[Cyclus Toegang verlenen|Toegang verlenen]]
# Hoe al deze kaders op elkaar zijn afgestemd, is naar ons weten, nog niet nader onderzocht.<br />
circle 925 102 173 [[Cyclus Intelligentie|Intelligentie]]
default [[Bestand:Onderverdeling IAM.png]]
desc bottom-left
</imagemap>


Als je meer wilt weten over deze afzonderlijke onderdelen van IAM, kijk dan eens naar:
==Toepassen van IAM, start met toegang ==
# [[Cyclus Identiteitenbeheer]];
[[Afbeelding:IAM afbeelding Toegang verlenen met pijlen.png|700px|none|alt=Schematische weergave van toegang verlenen tot een dienst: links de afnemer die toegang wil tot dienst D, met een zwarte pijl naar de paarse cirkel Toegang verlenen. Rechts de dienst, met een zwarte pijl terug naar toegang verlenen, waarbij staat: Toegangseisen van dienst D zijn: 1 Zekerheid Z over de juistheid van ID, 2 ID moet bevoegd zijn, 3 eventuele andere eisen. Vier paarse pijlen uit de cirkel toegang verlenen, met tekst per pijl (v.l.n.r.): 1 Wie is dit? 2 Wat mag ID? 3 Hier checken we andere eisen. 4 Voldoet ID aan eisen, dan krijgt die toegang, anders niet.]]
# [[Cyclus Bevoegdhedenbeheer]] (ook wel Autorisatie beheer of Access management genoemd);
# [[Cyclus Toegang verlenen]]  (ook wel Access control genoemd);
# [[Cyclus Intelligentie]] (monitoring, audit e.d.)
==Wat is ons streefbeeld voor IAM?==
Stel je daarbij het volgende voor:


* dat geregeld zou zijn dat iedere Nederlander (lees: iedereen met de Nederlandse Nationaliteit) tenminste één zodanig betrouwbare elektronische identiteit heeft, dat die daarmee over de gehele wereld, en dus ook in Nederland, digitale diensten van overheden -en zo mogelijk ook van private partijen- kan afnemen.
Maak dus een ontwerp voor IAM waarin onderstaande aspecten zijn opgenomen:<br />
* dat geregeld zou zijn dat bij die elektronische identiteit ook 1 of meer authenticatie-middelen beschikbaar zijn waarmee door alle betrokken partijen kan worden geverifieerd of degene die zegt een bepaald iemand te zijn dat ook daadwerkelijk is.
* en dat geregeld zou zijn dat van elk van die middelen is vastgesteld welke mate van zekerheid dan bestaat dat die bewering juist is.


Als dat allemaal zou zijn geregeld, dan kan elke dienstaanbieder die voor zijn elektronische dienst heeft bepaald met welke zekerheid de identiteit van de dienstafnemer bekend moet zijn, hergebruik (laten) maken van de beschreven identificatie en authenticatie.
===De Dienst===
De Dienst (of resource) waarvoor toegang moet worden verkregen is altijd het uitgangspunt.
Helder moet zijn wat de dienst inhoudt ([[AP5]]): waar is dat beschreven?<br />
Hoe is de dienst ontsloten ([[AP9]]): via welke URL kan je die aanroepen?<br />
Welke eisen stelt de dienstaanbieder aan het mogen afnemen van die dienst ([[AP28]]): waar zijn de afspraken daarover vastgelegd?<br />


En indien dat aan de gestelde eisen voldoet, kan de dienst worden geleverd c.q. afgenomen.  
===Toegang verlenen===
Wat zijn de functies waarmee de dienstaanbieder kan worden "ontzorgd" bij het nagaan of wel of niet toegang moet worden verleend?
Als een dienstafnemer aan alle eisen voldoet die de dienstaanbieder heeft gesteld, dan kan toegang worden verleend. En anders niet.<br />
In de praktijk wordt het toegang verlenen vaak gebaseerd op "wie ben je?" en "wat mag je?". <br />
Maar er kunnen ook geheel andere eisen zijn gesteld voor de toegang tot een dienst, en wat moet je dan regelen? <br />
Hoe je dat in de praktijk kan laten werken, lichten we toe bij [[Toegang verlenen door de dienstverlener]]


Zo nodig kunnen nog meer eisen worden gesteld voordat de dienst kan worden afgenomen. Bijvoorbeeld op basis van rollen, (business)regels, persoonlijke aanvraag of machtigingen.
==Wie is dit?==
===Identiteitenbeheer===
Op de vraag 'wie ben je?' komt het antwoord van Identiteitenbeheer:
Zie voor de definities en het bijbehorende gedragsmodel tevens [[Begrippen_IAM#Gedragsmodel_Identiteiten]]
[[Afbeelding:IAM afbeelding met Identiteitenbeheer.png|700px|none|alt=Schematische weergave van toegang verlenen tot een dienst: links de afnemer die toegang wil tot dienst D, met een zwarte pijl naar de paarse cirkel Toegang verlenen. Rechts de dienst, met een zwarte pijl terug naar toegang verlenen, waarbij staat: Toegangseisen van dienst D zijn: 1 Zekerheid Z over de juistheid van ID, 2 ID moet bevoegd zijn, 3 eventuele andere eisen. Vier paarse pijlen uit de cirkel toegang verlenen, met tekst per pijl (v.l.n.r.): 1 Wie is dit? 2 Wat mag ID? 3 Hier checken we andere eisen. 4 Voldoet ID aan eisen, dan krijgt die toegang, anders niet. Pijl nummer 1 verwijst naar een lichtblauwe cirkel Identiteitenbeheer, via de tekst Authenticatiemiddel. In de blauwe cirkel staat: - Personen - Computers - Apps - Dingen (IOT) In de rand van de cirkel staat rechtsonder: Levert digitale identiteiten.]]


In de praktijk zijn we echter nog niet zo ver.
Dit betreft de “levenscyclus” van digitale identiteiten: van (pre)nataal tot (post)mortaal. Het begint met het bepalen (creëren) van een digitale identiteit door bepaalde kenmerken in een registratie op te nemen. Met zo'n digitale identiteit ben je in de digitale wereld te identificeren. Die identiteiten zullen doorgaans betrekking hebben op personen, maar het kan ook gaan om bedrijven, computers, apps of IoT e.d. Het zijn digitale afspiegelingen van zogenaamde "entiteiten". Het wijzigen en beëindigen van digitale identiteiten behoort natuurlijk ook tot de levenscyclus.<br />
Het beëindigen van de digitale identiteit (doorgaans is dat op “non-actief” zetten, opdat het gebruik van de digitale identiteit om historische redenen nog traceerbaar blijft) is een trigger om aan de digitale identiteit toegewezen accounts, bevoegdheden, rechten en voorzieningen e.d. in te trekken.<br />
Hoe we als overheid in Nederland omgaan met het identiteitenbeheer van onze burgers en van andere bewoners op aarde, is toegelicht bij [[Identiteitenbeheer van personen]].


We hebben een wereldwijd stelsel van afspraken waarbij Nationale paspoorten en andere formele reisdocumenten de wereldburgers in staat stellen zich vrij te bewegen over onze planeet. Zo’n soort afsprakenstelsel is er echter niet voor de digitale reizen die we elke dag maken. Via het internet surfen we overal heen, doen meer en meer digitaal inkopen en digitaal zaken met de overheid, maar onze digitale identiteiten zijn op geen stukken na zo betrouwbaar als onze reisdocumenten. Hierdoor kunnen veel ondernemers en landen niet op voorhand vertrouwen op die digitale identiteiten (je weet dan immers niet zeker met wie je te maken hebt) en geven daarom maar extra digitale identiteiten uit die ze zelf wel vertrouwen. Dat is echter omslachtig en zorgt voor het risico dat de burgers te veel digitale identiteiten krijgen, met alle risico’s en gevolgen van dien.
===Authenticatie(middelen)beheer===
Zie voor de definities en het bijbehorende gedragsmodel tevens: [[Begrippen_IAM#Gedragsmodel_Authenticatie]]


Als overheden voor hun burgers geverifieerde digitale identiteiten afgeven, authenticatiemiddelen certificeren en autorisatie- en machtigenvoorzieningen regelen, dan kan dat alle dienstaanbieders daarvan ontlasten.
Het ID op zich is niet genoeg, er moet ook nog een bewijs van je ID geleverd kunnen worden, door een authenticatiemiddel. Ook authenticatiemiddelen moeten goed beheerd worden:
Dienstaanbieders hoeven dan alleen nog de diensten te regelen met bijbehorende authenticatie-eisen.
[[Afbeelding:IAM afbeelding met authenticatiemiddelenbeheer.png|700px|none|alt=Schematische weergave van toegang verlenen tot een dienst: links de afnemer die toegang wil tot dienst D, met een zwarte pijl naar de paarse cirkel Toegang verlenen. Rechts de dienst, met een zwarte pijl terug naar toegang verlenen, waarbij staat: Toegangseisen van dienst D zijn: 1 Zekerheid Z over de juistheid van ID, 2 ID moet bevoegd zijn, 3 eventuele andere eisen. Vier paarse pijlen uit de cirkel toegang verlenen, met tekst per pijl (v.l.n.r.): 1 Wie is dit? 2 Wat mag ID? 3 Hier checken we andere eisen. 4 Voldoet ID aan eisen, dan krijgt die toegang, anders niet. Pijl nummer 1 verwijst naar een groene ovaal authenticatie(middelen)beheer. Naar deze cirkel is een pijl vanuit lichtblauwe cirkel Identiteitenbeheer, hier linksboven. In de blauwe cirkel staat: - Personen - Computers - Apps - Dingen (IOT) In de rand van de cirkel staat rechtsonder: Levert digitale identiteiten.]]
Bijvoorbeeld welk niveau van authenticatie voor die dienst is vereist.
Dit betreft de “levenscyclus” van authenticatiemiddelen in relatie tot digitale identiteiten.<br />
Hiertoe regel je enerzijds het ontwikkelen, aanpassen en verwijderen van authenticatiemiddelen in de vorm van "verificatiediensten", die met een bepaalde zekerheid aangeven in welke mate een digitale identiteit overeenkomt met de entiteit waaraan die is toegekend.
En anderzijds regel je het toekennen van authenticatiemiddelen aan digitale identiteiten of het intrekken daarvan.<br />
Het betrouwbaarheidsniveau van een uitgevoerde authenticatie wordt dus bepaald door enerzijds de kwaliteit van de identiteiten(registratie) en anderzijds het daarbij gebruikte authenticatiemiddel.<br />
Hoe de overheid dat heeft geregeld is uitgewerkt in [[Authenticatie(middelen)beheer]] en [[Impact eIDAS voor Nederland]]


==Overzicht van relevante begrippen==
==Wat mag ID?==
Er zijn veel begrippen die te maken hebben met Identity & Access Management: vaak in het Engels, soms in het Nederlands. We hebben een overzicht gemaakt van begrippen die we zijn tegengekomen in onze discussies en in allerlei bronnen: {{Bestand met info|IAA Begrippen concept.pdf|1e resultaat}}.
Om toegang te verlenen ben je er nog niet als je weet welk ID toegang vraagt: je moet weten of het ID die toegang ook hoort te hebben. Daarvoor zijn nog twee aspecten van IAM van belang:
[[Afbeelding:IAM afbeelding bevoegdhedenbeheer inclusief machtigen.png|700px|none|alt=Schematische weergave van toegang verlenen tot een dienst: links de afnemer die toegang wil tot dienst D, met een zwarte pijl naar de paarse cirkel Toegang verlenen. Rechts de dienst, met een zwarte pijl terug naar toegang verlenen, waarbij staat: Toegangseisen van dienst D zijn: 1 Zekerheid Z over de juistheid van ID, 2 ID moet bevoegd zijn, 3 eventuele andere eisen. Een paarse pijl uit de cirkel toegang verlenen, met de tekst "Wat mag ID?" leidt naar een oranje cirkel boven toegang verlenen met de tekst "Bevoegdhedenbeheer". Naar deze cirkel verwijst een blauwe pijl vanaf link met de tekst "Levert digitale identiteiten." Een zwarte pijl wijst vanaf Bevoegdhedenbeheer naar Toegang verlenen met de tekst 'ID is wel/niet bevoegd voor Dienst D." Binnen in de oranje cirkel Bevoegdhedenbeheer is een gele cirkel Machtigen.
Een tweede paarse pijl leidt van Toegang verlenenn naar de Dienst, met de tekst "Voldoet ID aan eisen, dan krijgt die toegang, anders niet."]]
===Bevoegdhedenbeheer (ook wel Autorisatiebeheer of Access Management genoemd)===
Zie voor definities en het bijbehorend gedragsmodel tevens: [[Begrippen_IAM#Gedragsmodel_Bevoegdheden_en_Autorisatie]]
We bedoelen hier in elk geval de “levenscyclus” van bevoegdheden, waar vooraf wordt bepaald wat een identiteit mag (of niet mag). Dat kan ook zijn, dat de identiteit door een andere identiteit is gemachtigd om iets te doen.<br />
Hiertoe regel je enerzijds het ontwikkelen, wijzigen en verwijderen van bevoegdheden in de vorm van rollen (roles), regels (rules) en aanvragen (requests), waaraan bepaald gebruik van een dienst of voorzieningen is gekoppeld.
En anderzijds regel je het toekennen van bevoegdheden aan digitale identiteiten of het intrekken van die bevoegdheden.<br />
Hoe je kunt omgaan met bevoegdhedenbeheer is toegelicht bij [[Bevoegdhedenbeheer|Bevoegdhedenbeheer (inclusief machtigen)]]


Daarnaast zijn er diverse bronnen waar nog meer begrippen te vinden zijn:
===Machtigen===
* Bij het thema Beveiliging: [[Themapatroon identity & access_management]]
Machtigen wordt gezien als een onderdeel van Bevoegdhedenbeheer.<br />
* Begrippen vanuit het stelsel van e-toegang voor burgers en bedrijven [https://afsprakenstelsel.etoegang.nl/display/as/Begrippenlijst Begrippenlijst]
Geregeld moet worden dat bevoegdheden van een identiteit kunnen worden toegekend of overgedragen aan andere identiteiten en dat dat ook weer kan worden ingetrokken.  
* Het [http://wetten.overheid.nl/BWBR0037987 ‘Besluit verwerking persoonsgegevens generieke digitale infrastructuur’] voor burgers, met in Hoofdstuk 1 - Artikel 1 de definities
<br />
* De [http://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32015R1502&from=EN Europese richtlijn 910/2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties], met in Artikel 3 veel definities t/m handtekeningen aan toe  
Hoe je dat in de praktijk kan regelen, lichten we toe bij [[Machtigen]]
NB. NORA verwijst onder het deelonderwerp [[Impact eIDAS voor Nederland]] ook naar deze richtlijn, alleen in een veel omvattender document waar deze richtlijn niet meteen in op valt.
* Mogelijk moeten we ook rekening houden met zaken als: [https://ibestuur.nl/podium/burgerwoordenboeken-als-participatie-instrument artikel ibestuur:burgerwoordenboeken als participatiedocument]
* ...


Uiteindelijk streven we er naar dat we niet meer zo'n apart overzicht nodig hebben, maar dat alle begrippen zijn opgenomen in ons [[Begrippenkader]] en dat ze daar begrijpelijk zijn omschreven en zo mogelijk ook gevisualiseerd via een plaatje met context.
[[Categorie:IAM]]

Huidige versie van 8 mrt 2023 om 19:12

Identity & Access Management (IAM)
Onderdeel van
Thema's
Contact
Harro Kremer
harro.kremer@jio.nl
Status
Actueel


Toegang tot een bepaalde dienst voor de juiste personen (veralgemeniseerd: entiteiten)[bewerken]

IAM doe je niet voor de lol, maar omdat je de juiste entiteit, zijnde personen/natuurlijke personen, die geboren zijn, of niet natuurlijke personen, die opgericht zijn, of systemen toegang wil geven tot een bepaalde dienst (synoniem: resource). Ga voor de inrichting dan ook uit van drie basiselementen waarover je helderheid moet geven: De dienst (resource) waar je toegang voor gaat inrichten, de afnemers (entiteiten) die toegang moeten hebben en het toegang verlenen zelf. Wat moet je allemaal geregeld hebben zodat een identiteit een dienst snel, vertrouwd en gemakkelijk kan afnemen?
Deze NORA IAM pagina's starten vanuit het perspectief van gevraagde toegang tot een dienst voor een persoon, als een natuurlijk persoon. De pagina's gaan hierbij uit van een persoon die van buiten de (overheids)organisatie toegang wil tot diensten van een (overheids)organisatie.
Idealiter maak je gebruik van de NORA Architectuurprincipes en het NORA Vijflaagsmodel om op gestructureerde wijze zicht te krijgen op wat er moet gebeuren en hoe dat met elkaar samenhangt.

In het objectmodel Begrippen IAM zijn de relaties voor IAM objecten en definities weergegeven op basis van het kader, zoals rechtsboven getoond.

”Bestuurlijke plaat Identity & Access Management”
Objectmodel Bestuurlijke plaat IAM

De vertaling in een archimate formaat voor architecten ziet er dan als volgt uit:

”Objectmodel Definities Identity & Access Management”
Objectmodel Definities Identity & Access Management

Voor de inhoudelijke vormgeving van IAM kan je gebruik maken van ISO 24760 IM (Identity Management) en ISO 29146 AM (Access Management). Ook het Informatie Beveiliging Management Framework (ISO 27001) is van belang: dat is de basis van het thema Beveiliging. De BIR en BIO zijn daar op gebaseerd.
Er zijn 2 punten die hierbij aandacht vragen:

  1. De ISO-normen zijn door auteursrechten niet publiekelijk te publiceren;
  2. Hoe al deze kaders op elkaar zijn afgestemd, is naar ons weten, nog niet nader onderzocht.

Toepassen van IAM, start met toegang[bewerken]

Schematische weergave van toegang verlenen tot een dienst: links de afnemer die toegang wil tot dienst D, met een zwarte pijl naar de paarse cirkel Toegang verlenen. Rechts de dienst, met een zwarte pijl terug naar toegang verlenen, waarbij staat: Toegangseisen van dienst D zijn: 1 Zekerheid Z over de juistheid van ID, 2 ID moet bevoegd zijn, 3 eventuele andere eisen. Vier paarse pijlen uit de cirkel toegang verlenen, met tekst per pijl (v.l.n.r.): 1 Wie is dit? 2 Wat mag ID? 3 Hier checken we andere eisen. 4 Voldoet ID aan eisen, dan krijgt die toegang, anders niet.

Maak dus een ontwerp voor IAM waarin onderstaande aspecten zijn opgenomen:

De Dienst[bewerken]

De Dienst (of resource) waarvoor toegang moet worden verkregen is altijd het uitgangspunt. Helder moet zijn wat de dienst inhoudt (Nauwkeurige dienstbeschrijving): waar is dat beschreven?
Hoe is de dienst ontsloten (Voorkeurskanaal internet): via welke URL kan je die aanroepen?
Welke eisen stelt de dienstaanbieder aan het mogen afnemen van die dienst (Afspraken vastgelegd): waar zijn de afspraken daarover vastgelegd?

Toegang verlenen[bewerken]

Wat zijn de functies waarmee de dienstaanbieder kan worden "ontzorgd" bij het nagaan of wel of niet toegang moet worden verleend? Als een dienstafnemer aan alle eisen voldoet die de dienstaanbieder heeft gesteld, dan kan toegang worden verleend. En anders niet.
In de praktijk wordt het toegang verlenen vaak gebaseerd op "wie ben je?" en "wat mag je?".
Maar er kunnen ook geheel andere eisen zijn gesteld voor de toegang tot een dienst, en wat moet je dan regelen?
Hoe je dat in de praktijk kan laten werken, lichten we toe bij Toegang verlenen door de dienstverlener

Wie is dit?[bewerken]

Identiteitenbeheer[bewerken]

Op de vraag 'wie ben je?' komt het antwoord van Identiteitenbeheer: Zie voor de definities en het bijbehorende gedragsmodel tevens Begrippen IAM

Schematische weergave van toegang verlenen tot een dienst: links de afnemer die toegang wil tot dienst D, met een zwarte pijl naar de paarse cirkel Toegang verlenen. Rechts de dienst, met een zwarte pijl terug naar toegang verlenen, waarbij staat: Toegangseisen van dienst D zijn: 1 Zekerheid Z over de juistheid van ID, 2 ID moet bevoegd zijn, 3 eventuele andere eisen. Vier paarse pijlen uit de cirkel toegang verlenen, met tekst per pijl (v.l.n.r.): 1 Wie is dit? 2 Wat mag ID? 3 Hier checken we andere eisen. 4 Voldoet ID aan eisen, dan krijgt die toegang, anders niet. Pijl nummer 1 verwijst naar een lichtblauwe cirkel Identiteitenbeheer, via de tekst Authenticatiemiddel. In de blauwe cirkel staat: - Personen - Computers - Apps - Dingen (IOT) In de rand van de cirkel staat rechtsonder: Levert digitale identiteiten.

Dit betreft de “levenscyclus” van digitale identiteiten: van (pre)nataal tot (post)mortaal. Het begint met het bepalen (creëren) van een digitale identiteit door bepaalde kenmerken in een registratie op te nemen. Met zo'n digitale identiteit ben je in de digitale wereld te identificeren. Die identiteiten zullen doorgaans betrekking hebben op personen, maar het kan ook gaan om bedrijven, computers, apps of IoT e.d. Het zijn digitale afspiegelingen van zogenaamde "entiteiten". Het wijzigen en beëindigen van digitale identiteiten behoort natuurlijk ook tot de levenscyclus.
Het beëindigen van de digitale identiteit (doorgaans is dat op “non-actief” zetten, opdat het gebruik van de digitale identiteit om historische redenen nog traceerbaar blijft) is een trigger om aan de digitale identiteit toegewezen accounts, bevoegdheden, rechten en voorzieningen e.d. in te trekken.
Hoe we als overheid in Nederland omgaan met het identiteitenbeheer van onze burgers en van andere bewoners op aarde, is toegelicht bij Identiteitenbeheer van personen.

Authenticatie(middelen)beheer[bewerken]

Zie voor de definities en het bijbehorende gedragsmodel tevens: Begrippen IAM

Het ID op zich is niet genoeg, er moet ook nog een bewijs van je ID geleverd kunnen worden, door een authenticatiemiddel. Ook authenticatiemiddelen moeten goed beheerd worden:

Schematische weergave van toegang verlenen tot een dienst: links de afnemer die toegang wil tot dienst D, met een zwarte pijl naar de paarse cirkel Toegang verlenen. Rechts de dienst, met een zwarte pijl terug naar toegang verlenen, waarbij staat: Toegangseisen van dienst D zijn: 1 Zekerheid Z over de juistheid van ID, 2 ID moet bevoegd zijn, 3 eventuele andere eisen. Vier paarse pijlen uit de cirkel toegang verlenen, met tekst per pijl (v.l.n.r.): 1 Wie is dit? 2 Wat mag ID? 3 Hier checken we andere eisen. 4 Voldoet ID aan eisen, dan krijgt die toegang, anders niet. Pijl nummer 1 verwijst naar een groene ovaal authenticatie(middelen)beheer. Naar deze cirkel is een pijl vanuit lichtblauwe cirkel Identiteitenbeheer, hier linksboven. In de blauwe cirkel staat: - Personen - Computers - Apps - Dingen (IOT) In de rand van de cirkel staat rechtsonder: Levert digitale identiteiten.

Dit betreft de “levenscyclus” van authenticatiemiddelen in relatie tot digitale identiteiten.
Hiertoe regel je enerzijds het ontwikkelen, aanpassen en verwijderen van authenticatiemiddelen in de vorm van "verificatiediensten", die met een bepaalde zekerheid aangeven in welke mate een digitale identiteit overeenkomt met de entiteit waaraan die is toegekend. En anderzijds regel je het toekennen van authenticatiemiddelen aan digitale identiteiten of het intrekken daarvan.
Het betrouwbaarheidsniveau van een uitgevoerde authenticatie wordt dus bepaald door enerzijds de kwaliteit van de identiteiten(registratie) en anderzijds het daarbij gebruikte authenticatiemiddel.
Hoe de overheid dat heeft geregeld is uitgewerkt in Authenticatie(middelen)beheer en Impact eIDAS voor Nederland

Wat mag ID?[bewerken]

Om toegang te verlenen ben je er nog niet als je weet welk ID toegang vraagt: je moet weten of het ID die toegang ook hoort te hebben. Daarvoor zijn nog twee aspecten van IAM van belang:

alt=Schematische weergave van toegang verlenen tot een dienst: links de afnemer die toegang wil tot dienst D, met een zwarte pijl naar de paarse cirkel Toegang verlenen. Rechts de dienst, met een zwarte pijl terug naar toegang verlenen, waarbij staat: Toegangseisen van dienst D zijn: 1 Zekerheid Z over de juistheid van ID, 2 ID moet bevoegd zijn, 3 eventuele andere eisen. Een paarse pijl uit de cirkel toegang verlenen, met de tekst "Wat mag ID?" leidt naar een oranje cirkel boven toegang verlenen met de tekst "Bevoegdhedenbeheer". Naar deze cirkel verwijst een blauwe pijl vanaf link met de tekst "Levert digitale identiteiten." Een zwarte pijl wijst vanaf Bevoegdhedenbeheer naar Toegang verlenen met de tekst 'ID is wel/niet bevoegd voor Dienst D." Binnen in de oranje cirkel Bevoegdhedenbeheer is een gele cirkel Machtigen. Een tweede paarse pijl leidt van Toegang verlenenn naar de Dienst, met de tekst "Voldoet ID aan eisen, dan krijgt die toegang, anders niet."

Bevoegdhedenbeheer (ook wel Autorisatiebeheer of Access Management genoemd)[bewerken]

Zie voor definities en het bijbehorend gedragsmodel tevens: Begrippen IAM We bedoelen hier in elk geval de “levenscyclus” van bevoegdheden, waar vooraf wordt bepaald wat een identiteit mag (of niet mag). Dat kan ook zijn, dat de identiteit door een andere identiteit is gemachtigd om iets te doen.
Hiertoe regel je enerzijds het ontwikkelen, wijzigen en verwijderen van bevoegdheden in de vorm van rollen (roles), regels (rules) en aanvragen (requests), waaraan bepaald gebruik van een dienst of voorzieningen is gekoppeld. En anderzijds regel je het toekennen van bevoegdheden aan digitale identiteiten of het intrekken van die bevoegdheden.
Hoe je kunt omgaan met bevoegdhedenbeheer is toegelicht bij Bevoegdhedenbeheer (inclusief machtigen)

Machtigen[bewerken]

Machtigen wordt gezien als een onderdeel van Bevoegdhedenbeheer.
Geregeld moet worden dat bevoegdheden van een identiteit kunnen worden toegekend of overgedragen aan andere identiteiten en dat dat ook weer kan worden ingetrokken.
Hoe je dat in de praktijk kan regelen, lichten we toe bij Machtigen

Nederlandse Overheid Referentie Architectuur.

Betekenisvolle gegevens.

Betekenisvolle gegevens.

Overgenomen van "https://www.noraonline.nl/index.php?title=Aanbevelingen_voor_IAM_in_het_ontwerp_van_een_dienst&oldid=68187"