Authenticatie(middelen)beheer: verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
(AP3.6)
(Samenbrengen van alle IAM-gerelateerde pagina's onder categorie:IAM)
 
(24 tussenliggende versies door 5 gebruikers niet weergegeven)
Regel 3: Regel 3:
|Contactpersoon=Erwin Reinhoud
|Contactpersoon=Erwin Reinhoud
|e-Mailadres=e.reinhoud@kennisnet.nl
|e-Mailadres=e.reinhoud@kennisnet.nl
|Redactionele wijzigingsdatum=5 augustus 2018
|Redactionele wijzigingsdatum=18 november 2020
|Review=overige-vragen
|Review=afgelopen
|Bijdragen door=* Gert Eijkelboom (DNB)
|Bijdragen door=* Gert Eijkelboom (DNB)
* Marijke Salters
* Ewoud van Bentem (DNB)
* Ewoud van Bentem (DNB)
* Wim Geurts (Logius)
* Wim Geurts (Logius)
Regel 20: Regel 21:
===Wat verstaan we onder “authenticatie”?===
===Wat verstaan we onder “authenticatie”?===


Bij (overheids)organisaties in Nederland worden verschillende beschrijvingen van het begrip authenticatie gehanteerd, maar de strekking is grosso modo dezelfde:
Bij (overheids)organisaties in Nederland worden verschillende beschrijvingen van het begrip authenticatie gehanteerd, maar de strekking is grosso modo dezelfde. Zie voor de definitie de pagina [[Begrippen IAM]] kopje Authenticatie.  
* NORA - Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemen we ook wel verificatie van de (digitale) identiteit.
* NIST - Het verifiëren van de identiteit van een gebruiker, proces of apparaat, vaak als een vereiste om toegang te verlenen tot een digitale dienst.
* Nictiz - "Bewijzen wie je bent”, behelst de controle of de gebruiker daadwerkelijk de persoon of entiteit is die deze beweert te zijn. Dit kan door middel van iets wat een gebruiker weet (bijvoorbeeld een wachtwoord), heeft (zoals een reisdocument) of is (zoals vingerafdrukken).


===Het authenticatieproces op hoofdlijnen===  
===Authenticatie van een burger die een overheidsdienst afneemt===
Dit is beschreven volgens het NORA vijflaagsmodel, zie [https://www.noraonline.nl/wiki/Digitale_authenticatie_van_natuurlijke_personen_bij_afname_van_overheidsdiensten Authenticatie van een burger die een overheidsdienst afneemt]


Onderstaande overzicht van het NIST geeft het authenticatieproces helder weer en omvat de relevante onderdelen van het kader van IAM:
<!--===Uitgifte van authenticatiemiddelen en machtigingen===
* Een aangeboden digitale dienst
Burgers en bedrijven vragen authenticatiemiddelen en machtigingen aan. Bij de uitgifte wordt de identiteit van deze burgers en bedrijven gecontroleerd tegen officiële bronnen. Bij de registratie van authenticatiemiddelen en machtigingen volstaat het in principe om alleen de identiteits-nummers te registreren en geen andere identiteitsgegevens.
* Een gebruiker die de dienst wil afnemen en beweert een bepaalde persoon te zijn
* Een authenticatiemiddel waarmee de identiteit van de gebruiker kan worden geverifieerd
* De identiteiten-registratie waartegen wordt geverifieerd


Uitgegeven middelen en machtigingen zijn door burgers en bedrijven in te zien op een centrale plek; een centrale plek wordt van steeds groter belang als het aantal aanbieders van authenticatiemiddelen en machtigingen toeneemt.


[[Bestand:Authenticatie_(NIST).png]]
[[Bestand:AP-Logius-1K.png]] -->


Bron NIST
<!--===Gebruik van authenticatiemiddelen en machtigingen===
Een burger of bedrijf wil een dienst wil afnemen bij een dienstaanbieder. Na of bij het authenticeren zal een burger of een bedrijf de gewenste machtiging selecteren (voor medewerkers van een bedrijf zijn de bedrijfsbevoegdheden in de praktijk gekoppeld aan het authenticatiemiddel en is er geen selectie nodig). Dienstaanbieders ontvangen bij dit ‘inloggen’ de identiteitsnummers van burgers en bedrijven; met deze nummers kunnen de dienstaanbieders de nodige identiteitsgegevens bij de identiteitsbronnen ophalen waarmee de inloggende burger en bedrijven (en eventueel vertegenwoordigde personen) bekend zijn geworden.


Toelichting op het proces:
De routeringsvoorziening maakt het voor dienstaanbieders eenvoudig om met één aansluiting op meerdere authenticatie- en machtigingsdiensten aan te sluiten.


Vastgesteld wordt dat een subject (Applicant) die toegang probeert te krijgen tot een digitale dienst, in bezit is van -en de controle heeft over- een authenticatiemiddel (Authenticator) die aan een digitale identiteit (Credentials) is gekoppeld. Een dienstafnemer (Subscriber) wordt een Claimant genoemd wanneer hij of zij zich moet authenticeren bij een Verifier. Hierbij onderkennen we de volgende stappen: </b>
[[Bestand:AP-Logius-2K.png]] -->
# De Claimant bewijst het bezit en de controle van het authenticatiemiddelen aan de Verifier door middel van een authenticatieprotocol.
# De Verifier werkt samen met de CSP om de Credentials van de Subscriber te verifiëren die zijn of haar identiteit aan het authenticatiemiddel bindt en om optioneel attributen van de Claimant te verkrijgen.
# De CSP of Verifier geeft een verklaring over de Subscriber aan de dienstaanbieder (Relying party), die de informatie in de verklaring kan gebruiken om een autorisatiebeslissing te nemen.
# Nadat de cliamant geautoriseerd is door de Relying Party wordt de dienstafnemer een Subscriber. Er is een geauthentiseerde sessie tot stand gebracht tussen de dienstafnemer (Subscriber) en de dienstaanbieder (Relying Party).


===Voorzieningen nu in de praktijk===
<!--DigiD en DigiD Machtigen zijn voor burgers de welbekende voorzieningen. Met DigiD Machtigen kunnen burgers overigens ook bedrijven machtigen. Met Mijn DigiD en Mijn Machtigingen wordt de nodige inzage geboden, hoewel dat nog niet één centrale plek is voor alle mogelijke authenticatiemiddelen en machtigingen, wat in de toekomst ook noodzakelijk wordt.


Toelichting van de gebruikte termen (EN/NL):
Naast de concrete voorziening als DigiD in beheer bij de overheid (Logius) wordt er gewerkt aan Idensys, een stelsel van afspraken door de overheid beheerd, waarmee private partijen authenticatiemiddelen kunnen uitgeven die ook bruikbaar zijn bij de overheid.


<b>Applicant (dienstafnemer):</b> Een subject waarvoor op basis van de (afgesproken  minimale) bewijslast een digitale identiteit wordt aangemaakt. Een applicant wordt voor een CSP een subscriber nadat deze de identiteit van de applicant heeft vastgesteld en geregistreerd.  
Voor bedrijven is het stelsel eHerkenning van groot belang. Meerdere private partijen bieden middelen aan.


<b>Authenticator (authenticatiemiddel):</b> Iets dat de claimant bezit en controle over heeft om de identiteit te kunnen laten authenticeren. Dit wordt ook wel een token genoemd.  
De identiteitsbronnen zijn voor burgers het GBA (BRP) van de RvIG en voor bedrijven het NHR van de KvK.


<b>Authentication assertion (authenticatieverklaring):</b> Een gestandaardiseerd elektronisch bericht (conform koppelvlakspecificaties) opgesteld en ondertekend door een
[[Bestand:AP-Logius-3K.png]] -->
authenticatiedienst, ten behoeve van en versleuteld voor een ontvangende partij. De authenticatiedienst verklaart daarmee dat hij een dienstafnemer succesvol heeft geauthenticeerd als de meegeleverde versleutelde identiteit/pseudoniem volgens eisen die het normenkader stelt aan betreffende betrouwbaarheidsniveau voor een bepaalde handeling of dienst.


<b>Betrouwbaarheidsniveau:</b>De mate van zekerheid die over de identiteit van een dienstafnemer gegeven kan worden bij gebruik van zijn authenticatiemiddel.


<b>Claimant (dienstafnemer):</b>Een subject waarvan de identiteit moet worden geverifieerd met behulp van één of meer authenticatieprotocollen.
{| class="wikitable"
 
|-
<b>Credential:</b> Een object of gegevensstructuur die op autoritatieve wijze een identiteit (identifier(s) en (eventueel) attributen) koppelt aan ten minste één authenticator waarover de subscriber beschikt en controle over heeft. 
! style="width:100px"| Voorziening !! style="width:100px"| Functie !! style="width:100px"| Soort !! style="width:100px"| Doelgroep !! style="width:100px"| Meer informatie
 
|-
<b>Credential Service Provider (CSP):</b>Een vertrouwde entiteit die aan de subscriber één of meer authenticators uitgeeft of registreert en elektronische credentials aan subscribers uitgeeft.
| DigiD || Authenticatiemiddel|| Centrale voorziening || Burgers || [https://www.logius.nl/diensten/digid/ DigiD op website Logius]
 
|-
<b>Dienstafnemer:</b>Een partij die Elektronische Toegangsdiensten gebruikt om een dienst af te nemen bij een dienstverlener. Zie ook claimant (partij die geauthenticeerd wordt), subscriber (partij die een authenticatiemiddel gebruikt) en applicant (partij waarvan de identiteit wordt geverifieerd en een authenticatiemiddel van een CSP ontvangt).
| Mijn DigiD || Inzage (DigiD)|| Centrale voorziening || Burgers || [https://www.logius.nl/diensten/digid/ DigiD op website Logius]
 
|-
<b>Digitale identiteit:</b> De unieke representatie van een subject (fysieke entiteit) die betrokken is bij een online transactie. Een digitale identiteit is altijd uniek in de context van een dienst, maar hoeft niet per se het subject in alle contexten eenduidig te identificeren.
| DigiD Machtigen || Machtigen || Centrale voorziening || Burgers || [https://www.logius.nl/diensten/digid-machtigen DigiD Machtigen]
 
|-
<b>Identity proofing (bewijslast):</b> Stelt vast dat een subject daadwerkelijk is wie zij beweren te zijn. Een CSP verzamelt, valideert en verifieert informatie over een persoon. De bewijslast bepaald mede het betrouwbaarheidsniveau van een geauthenticeerde digitale identiteit.
| Mijn DigiD Machtigen || Inzage (DigiD Machtigen) || Centrale voorziening || Burgers || [https://www.logius.nl/diensten/digid-machtigen DigiD Machtigen]
 
|-
<b>Relying party (dienstverlener):</b> Een Relying party (RP) is een rol die elektronische diensten aanbiedt aan dienstafnemers waarvoor authenticatie voorwaardelijk is.
| BRP || Identificatie || Centrale voorziening || Burgers || [https://www.rvig.nl/brp BRP]
 
|-
<b>Subscriber (dienstafnemer):</b> Een partij die een credential of authenticator van een CSP heeft ontvangen.
| NHR || Identificatie || Centrale voorziening || Bedrijven || [https://www.kvk.nl/over-de-kvk/over-het-handelsregister/ NHR]
 
|-
<b>Verifier:</b> Een entiteit die de identiteit van de claimant verifieert door het bezit en de controle van de claimant van één of twee authenticators te verifiëren met behulp van een authenticatieprotocol. Om dit te doen moet de verifier mogelijk ook de credentials valideren die de authenticator (s) met de identifier van de subscriber verbindt.
| OIN || Identificatie || Centrale voorziening || (semi)overheden || [https://www.logius.nl/diensten/oin OIN]
|-
| eHerkenning || Authenticatie, Inzage, Machtigen || Afspraken stelsel || Bedrijven en (semi)-overheden || [https://www.eherkenning.nl eHerkenning]
|}


=== Overheidsorganisaties die authenticatiemiddelen uitgeven===
=== Overheidsorganisaties die authenticatiemiddelen uitgeven===


In het algemeen geven alle (overheids)organisaties kantoor-automatiseringsaccounts uit voor de eigen medewerkers. In dit geval bedoelen we echter authenticatiemiddelen voor burgers en voor medewerkers van bedrijven.
In het algemeen geven alle (overheids)organisaties kantoor-automatiseringsaccounts uit voor de eigen medewerkers. In dit geval bedoelen we echter authenticatiemiddelen voor burgers. De onderstaande tabel geeft een voorbeeld en is niet volledig.
{| class="wikitable"
{| class="wikitable"
|-
|-
Regel 87: Regel 84:


===Private partijen die authenticatiemiddelen uitgeven===
===Private partijen die authenticatiemiddelen uitgeven===
 
Er zijn wereldwijd zeer veel organisaties die (eigen) authenticatiemiddelen uitgeven, zodat je bij hun "Mijn-domein" kunt inloggen en van hun dienstverlening gebruik kan maken. Denk aan partijen als Microsoft, Google, Amazon, Bol.com e.d., maar ook aan een theater, bioscoop of sportvereniging. Een voorbeeld in Nederland zijn de diverse inlogmiddelen van de banken. Deze inlogmiddelen 'verenigen' zich in iDIN; iDIN is de ontwikkeling van een privaat scheme ofwel privaat stelsel voor inlogmiddelen van banken.
Er zijn wereldwijd zeer veel organisaties die (eigen) authenticatiemiddelen uitgeven, zodat je bij hun "Mijn-domein" kunt inloggen en van hun dienstverlening gebruik kan maken. Denk aan partijen als Microsoft, Google, Amazon, Bol.com e.d., maar ook aan een theater, bioscoop of sportvereniging.
{| class="wikitable"
{| class="wikitable"
|-
|-
! style="width:150px"| Middel !! style="width:150px"| Beheerder !! style="width:150px"| Meer informatie
! style="width:150px"| Scheme!! style="width:150px"| Beheerder !! style="width:150px"| Meer informatie
|-
|-
|  iDIN || diverse banken || [https://www.idin.nl/kan-ik-idin-gebruiken/ infromatie aangesloten banken]
|  iDIN || diverse banken || [https://www.idin.nl/kan-ik-idin-gebruiken/ informatie aangesloten banken]
|}
|}


===Publiek / Private stelsels van afspraken over authenticatie(middelen)===
===Publiek / Private stelsels van afspraken over authenticatie(middelen)===
Logius beheert de voorziening DigiD en geeft daartoe authenticatiemiddelen aan burgers uit. Daarnaast beheert Logius stelsels voor authenticatie waarbij private partijen authenticatiemiddelen uitgeven aan bedrijven (eHerkenning). De partijen die deelnemen aan het stelsel moeten voldoen aan de  afspraken die in het stelsel zijn gemaakt, oa op gebied van organisatie, toezicht, techniek, veiligheid en privacy. Het doel is betrouwbare authenticatie en verstrekking van identiteitsinformatie aan overheidspartijen en organisaties. De afspraken zijn beschreven in het Afsprakenstelsel Elektronische Toegangsdiensten (https://afsprakenstelsel.etoegang.nl/display/as/Startpagina)
Met de komst de Europese eIDAS verordening vindt standaardisatie plaats van de eIDAS betrouwbaarheidsniveaus Substantieel en Hoog. Nederland is zich aan het voorbereiden om daaraan te voldoen. In concept-wetgeving die in consultatie is geweest, zijn regels in de (uniforme) set van eisen neergelegd. Een nieuwe versie van deze regels is in ontwikkeling en worden de 'Beleidsregels eID' genoemd. Naar verwachting zullen deze Beleidsregels eID verwijzen naar de eIDAS betrouwbaarheidsniveaus Substantieel en Hoog. Niet alleen private maar ook overheidspartijen die authenticatie(middelen) verzorgen, zoals DigiD, zullen voor deze eIDAS betrouwbaarheidsniveaus aan deze Beleidsregels eID moeten voldoen.
Tot slot wordt ook PKI-Overheid genoemd als stelsel voor de uitgifte van PKI certificaten door private partijen; deze PKI-O certificaten worden ook voor authenticatie gebruikt.


{| class="wikitable"
{| class="wikitable"
Regel 102: Regel 103:
! style="width:150px"| Stelsel !! style="width:150px"| Beheerder stelsel !! style="width:150px"|  Uitgifte middelen
! style="width:150px"| Stelsel !! style="width:150px"| Beheerder stelsel !! style="width:150px"|  Uitgifte middelen
|-
|-
| [[Idensys]] || [https://www.logius.nl/diensten/idensys/ Logius idensys] || [https://www.idensys.nl/idensys-voor-gebruikers/waar-kan-je-inloggen/leveranciers-inlogmiddelen/ leveranciers inlogmiddelen]
 
|-
|-
| [[eHerkenning]] ||[https://www.logius.nl/diensten/eherkenning/ Logius eHerkenning] || [https://www.eherkenning.nl/inloggen-met-eherkenning/leveranciers/ leveranciers eHerkenning]
| [[eHerkenning]] ||[https://www.logius.nl/diensten/eherkenning/ Logius eHerkenning] || [https://www.eherkenning.nl/inloggen-met-eherkenning/leveranciers/ leveranciers eHerkenning]
Regel 116: Regel 117:
# <b>[[DigiD]]: Basis, Midden, Substantieel</b> [https://www.logius.nl/diensten/digid/detailinformatie/ Logius, detailinformatie]
# <b>[[DigiD]]: Basis, Midden, Substantieel</b> [https://www.logius.nl/diensten/digid/detailinformatie/ Logius, detailinformatie]
# <b>[[eIDAS verordening]]: Laag, Substantieel en Hoog</b> [http://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL eur-lex.europa.eu]
# <b>[[eIDAS verordening]]: Laag, Substantieel en Hoog</b> [http://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL eur-lex.europa.eu]
# <b>[[eHerkenning]]: EH1, EH2, EH2+, EH3 en EH4.</b> [https://www.eherkenning.nl/inloggen-met-eherkenning/betrouwbaarheidsniveaus/ eHerkenning betrouwbaarheidsniveaus]
# <b>[[eHerkenning]]: EH1, EH2, EH2+, EH3 (eIDAS substantieel) en EH4 (eIDAS Hoog).</b> [https://www.eherkenning.nl/inloggen-met-eherkenning/betrouwbaarheidsniveaus/ eHerkenning betrouwbaarheidsniveaus]
# <b>eHerkenning irt eIDAS</b> [https://afsprakenstelsel.etoegang.nl/display/as/Normenkader+betrouwbaarheidsniveaus afsprakenstelsel etoegang betrouwbaarheidsniveaus]
# <b>eHerkenning irt eIDAS</b> [https://afsprakenstelsel.etoegang.nl/display/as/Normenkader+betrouwbaarheidsniveaus afsprakenstelsel etoegang betrouwbaarheidsniveaus]


Regel 123: Regel 124:


===Met welke bestaande authenticatiemiddelen worden momenteel digitale identiteiten van de BRP geverifieerd?===
===Met welke bestaande authenticatiemiddelen worden momenteel digitale identiteiten van de BRP geverifieerd?===
Het Rijksinstituut voor Identiteitsgegevens kent digitale identiteiten toe aan mensen in hun rol als Nederlands staatsburger of buitenlander. Zo'n digitale identiteit wordt afgeleid uit de menselijke attributen (naam, geboortedatum e.d.) en gedragingen. In de Basisregistratie Personen (BRP) zijn al die gegevens opgenomen (zie ook [https://www.noraonline.nl/wiki/Identiteitenbeheer Identiteitenbeheer]).


Het antwoord op deze vraag is tweeledig, er is een verschil tussen een publiek en privaat authenticatiemiddel.  
Het antwoord op deze vraag is tweeledig, er is een verschil tussen een publiek en privaat authenticatiemiddel. Een publiek authenticatiemiddel wordt uitgegeven door de overheid en een privaat digitaal authenticatiemiddel is een authenticatiemiddel dat door het bedrijfsleven (private partijen) is uitgegeven. Authenticatiemiddelen die (ook) bedoeld zijn voor gebruik bij de overheid moeten voldoen aan eisen die de overheid stelt. Deze eisen worden tegenwoordig als wettelijke regelingen vastgelegd en gelden voor zowel publieke als private middelen; omdat dan meerdere uitgevende publieke en private partijen aan dezelfde eisen moeten voldoen wordt van een stelsel gesproken. Voor de niveaus Substantieel en Hoog zijn inmiddels Europees geldende eiDAS afspraken gemaakt waaraan voldaan moet worden. Deze eisen betreffen ook controles bij uitgifte tegen een authentieke bron met (rechts)persoongegevens zoals de BRP (RvIG) en het NHR (Kvk) en vindt verificatie van een WID document plaats. Overigens, ook voor de niet eIDAS niveaus Laag en Midden van DigiD  wordt controle tegen de BRP gedaan.
# Een privaat digitaal authenticatiemiddel is een authenticatiemiddel dat door het bedrijfsleven is uitgegeven. Deze worden indirect geverifieerd middels alle huidige WID (wettelijk identiteits-) documenten. De WID documenten worden namelijk bij uitgifte gecontroleerd tegen de BRP en met een WID kun je een privaat digitaal middel aanschaffen.
# Een publiek authenticatiemiddel wordt uitgegeven door de overheid. Deze wordt soms tegen de BRP geverifieerd afhankelijk van de hoogte van beveiligingsniveau. Zo wordt DigiD Laag/Midden niet tegen de BRP geverifieerd en ook niet middels een bestaand authenticatiemiddel, maar substantieel straks via een eRijbewijs of eNIK geverifieerd. Waarbij net zoals bij eerste punt het eRijbewijs of eNIK bij aanvraag tegen de BRP wordt geverifieerd.


===De impact van eIDAS op het authenticatieproces===
===De impact van eIDAS op het authenticatieproces===
Regel 142: Regel 142:
Een entiteit (persoon, organisatie, systeem) wordt geauthentiseerd en hiermee is er een bepaalde mate van zekerheid rond de digitale identiteit, dit is in de basis nu vaak een identifier (specifiek pseudoniem, BSN,..). Hoe deze basis verder wordt verreikt kan op vele manieren en is context afhankelijk. De digitale identiteit kan enkel een (betrouwbare) identifier zijn, maar afhankelijk van de context tevens verrijkt zijn met (betrouwbare) kenmerken uit één of meer bronnen. Een bron kan bijvoorbeeld een machtigingenregister zijn.
Een entiteit (persoon, organisatie, systeem) wordt geauthentiseerd en hiermee is er een bepaalde mate van zekerheid rond de digitale identiteit, dit is in de basis nu vaak een identifier (specifiek pseudoniem, BSN,..). Hoe deze basis verder wordt verreikt kan op vele manieren en is context afhankelijk. De digitale identiteit kan enkel een (betrouwbare) identifier zijn, maar afhankelijk van de context tevens verrijkt zijn met (betrouwbare) kenmerken uit één of meer bronnen. Een bron kan bijvoorbeeld een machtigingenregister zijn.


===Ambtenaren kunnen eHerkenning gebruiken===
===eHerkenning: Het onderscheiden organisatie(onderdelen) middels OIN en subOIN===
Maar er zijn beperkingen. Het gebruik van eHerkenning binnen een overheidsorgaan levert soms knelpunten op. Het overheidsorgaan past e-herkenning toe per domein/ proces echter wordt in het handelsregister het overheidsorgaan als een entiteit gezien. Het handelsregister is vaak niet actueel waardoor er in de praktijk soms workarounds nodig zijn.  
Elke overheidsorganisatie die digitaal zaken doet kan een uniek Organisatie-identificatienummer (OIN, zie https://www.logius.nl/ondersteuning/organisatie-identificatienummer-oin/) krijgen. Het OIN is een uniek identificerend nummer dat gebruikt wordt door overheidspartijen of organisaties met een publieke taak in de digitale communicatie met andere publieke of private partijen. Dit nummer kunt u aanvragen bij Logius.  
Het is een bekend probleem waarvan de oorzaak te vinden is in de, voor overheidsorganisaties, onhandige definities in de handelsregisterwet. Onze organisatievormen met politiek gestuurde diensten/organisatie onderdelen of, zoals bij de gemeente Amsterdamse, RVE’s (resultaat verantwoordelijke eenheden), passen niet in het raamwerk van het handelsregister. Vestigingen zijn volgens het handelsregister: een gebouw of complex van gebouwen waar duurzame uitoefening van de activiteiten van een onderneming of rechtspersoon plaatsvindt. Volgens die definitie is een eenvoudige veegpost al een vestiging. Onze organisatie opdelingen passen bijna nooit op dat model.  
 
Binnen het eHerkennings-stelsel, kan je diensten beperken tot een vestiging.
Voor entiteiten zonder rechtspersoonlijkheid is een subOIN aan te vragen, zoals voor:
Deze beperking moet door de dienstaanbieder gehonoreerd worden. Maar daar schieten we als organisatie, met vaak meerdere organisatie-eenheden per locatie, weinig mee op. In het geval van een gemeente heeft de directeur Stadsontwikkeling immers het mandaat, en niet de vestiging “Spui 70”.
# organisatieonderdelen
# specifieke voorzieningen
# samenwerkingsverbanden
Deze entiteiten zijn met het subOIN zelfstandig identificeerbaar en authenticeerbaar in het digitale berichtenverkeer.
 
Voor meer informatie over subOIN’s en OIN’s zie voorwaarden Digikoppeling https://www.logius.nl/fileadmin/logius/ns/diensten/digikoppeling/voorwaarden/170701_Voorwaarden_Digikoppeling.pdf  Overigens is het gebruik van subOIN’s en OIN’s niet beperkt tot Digikoppeling en worden deze ook gebruikt bij PKI-Overheid en eHerkenning. Binnen de huidige versie van eHerkenning ofwel het eTD stelsel is het OIN of subOIN alleen in gebruik voor het identificeren van dienstaanbieders die aansluiten op het stelsel, en niet voor afnemers ofwel de gebruikers, zie ook https://afsprakenstelsel.etoegang.nl/display/as/Identificerende+kenmerken


De gemeente Den Haag gaat als volgt om met deze beperking: Alle middelen worden verstrekt met volledige vertegenwoordiging (hoofdvestiging-niveau) en niemand is volledig / onbeperkt bevoegd. Deze taken worden uitgevoerd door een machtigingen-beheerder. In de praktijk betekent dit dat een medewerker rechtspositie een machtiging heeft om voor elke potentiële collega VOG- aanvragen te initiëren, maar ook niets anders dan dat. Medewerkers van de GGD mogen alleen de kinderopvangregisters van DUO raadplegen. De formele mandaathouder legt schriftelijk vast welke medewerkers in zijn of haar naam de elektronische vertegenwoordiging mogen gebruiken. Dit besluit wordt door de machtigingen-beheerder gebruikt om de machtiging toe te kennen. In de praktijk hebben we slechts een zeer klein aantal dienstafnemers die zich binnen meerdere organisatie-eenheden bevinden, het merendeel van de aangeboden diensten laat zich redelijk vertalen naar zeer specifieke onderdelen.
 
===eHerkenning: Gebruik door ambtenaren===
Ook het ambtelijk apperaat kan gebruik maken van eherkenning. Er zijn echter een aantal verschillen ten opzichte van het bedrijfsleven:
 
De KvK kent voor elke overheidsorganisatie een inschrijving. De vertegenwoordiging is vaak niet aan de KvK te ontlenen. Daar waar bij een reguliere KvK inschrijving de bevoegdheden per directielid staan beschreven, is het bij een overheidsorgaan vaak "de minister"of "de burgermeester". Daarnaast kennen overheidsorganen vaak geen vestigingen, maar vaker verzamelgebouwen waar verschillende diensten  gehuisvest zijn. Binnen het normenkader van eherkenning zijn hier oplossingen voor gerealiseerd. Door de machtiging te valideren aan het openbare mandaatregister van het overheidsorgaan, is door het 'stelsel' controleerbaar wie welke vertegenwoordiging gebruikt. Hiermee is dezelfde fijnmazigheid gerealiseerd als in het bedrijfsleven.
 
De gemeente Den Haag gaat als volgt om met eHerkenningsmachtigen: Alle middelen worden verstrekt met volledige vertegenwoordiging (hoofdvestiging-niveau) en niemand is volledig / onbeperkt bevoegd. Deze taken worden uitgevoerd door een machtigingen-beheerder. In de praktijk betekent dit dat een medewerker rechtspositie een machtiging heeft om voor elke potentiële collega VOG- aanvragen te initiëren, maar ook niets anders dan dat. Alléén medewerkers van de GGD mogen de kinderopvangregisters van DUO raadplegen. De formele mandaathouder legt schriftelijk vast welke medewerkers in zijn of haar naam de elektronische vertegenwoordiging mogen gebruiken. Dit besluit wordt door de machtigingen-beheerder gebruikt om de machtiging toe te kennen. In de praktijk hebben we slechts een zeer klein aantal dienstafnemers die zich binnen meerdere organisatie-eenheden bevinden, het merendeel van de aangeboden diensten laat zich redelijk vertalen naar zeer specifieke onderdelen.  


=== Nuttige linkjes voor authenticatie ===
=== Nuttige linkjes voor authenticatie ===
Regel 161: Regel 172:
* [https://afsprakenstelsel.medmij.nl/ Zorg MedMij]
* [https://afsprakenstelsel.medmij.nl/ Zorg MedMij]
* [https://www.nictiz.nl/overig/handreiking-beis-deel-1-authenticatie-en-autorisatie/ Nictiz]
* [https://www.nictiz.nl/overig/handreiking-beis-deel-1-authenticatie-en-autorisatie/ Nictiz]
[[Categorie:IAM]]

Huidige versie van 8 mrt 2023 om 18:41

Identity & Access Management (IAM)
Onderdeel van
Thema's
Contact
Harro Kremer
harro.kremer@jio.nl
Status
Actueel



Om binnen de overheid c.q. samenleving te komen tot meer eenduidige en gedeelde beelden inzake digitale authenticatie, is hier volgend een visie daarop gegeven, samen met uitleg van de relevante begrippen en een visualisatie en beschrijving van hun samenhang.

Wat verstaan we onder “authenticatie”?[bewerken]

Bij (overheids)organisaties in Nederland worden verschillende beschrijvingen van het begrip authenticatie gehanteerd, maar de strekking is grosso modo dezelfde. Zie voor de definitie de pagina Begrippen IAM kopje Authenticatie.

Authenticatie van een burger die een overheidsdienst afneemt[bewerken]

Dit is beschreven volgens het NORA vijflaagsmodel, zie Authenticatie van een burger die een overheidsdienst afneemt


Voorzieningen nu in de praktijk[bewerken]

Voorziening Functie Soort Doelgroep Meer informatie
DigiD Authenticatiemiddel Centrale voorziening Burgers DigiD op website Logius
Mijn DigiD Inzage (DigiD) Centrale voorziening Burgers DigiD op website Logius
DigiD Machtigen Machtigen Centrale voorziening Burgers DigiD Machtigen
Mijn DigiD Machtigen Inzage (DigiD Machtigen) Centrale voorziening Burgers DigiD Machtigen
BRP Identificatie Centrale voorziening Burgers BRP
NHR Identificatie Centrale voorziening Bedrijven NHR
OIN Identificatie Centrale voorziening (semi)overheden OIN
eHerkenning Authenticatie, Inzage, Machtigen Afspraken stelsel Bedrijven en (semi)-overheden eHerkenning

Overheidsorganisaties die authenticatiemiddelen uitgeven[bewerken]

In het algemeen geven alle (overheids)organisaties kantoor-automatiseringsaccounts uit voor de eigen medewerkers. In dit geval bedoelen we echter authenticatiemiddelen voor burgers. De onderstaande tabel geeft een voorbeeld en is niet volledig.

Middel Beheerder Meer informatie
DigiD Logius DigiD op website Logius

Private partijen die authenticatiemiddelen uitgeven[bewerken]

Er zijn wereldwijd zeer veel organisaties die (eigen) authenticatiemiddelen uitgeven, zodat je bij hun "Mijn-domein" kunt inloggen en van hun dienstverlening gebruik kan maken. Denk aan partijen als Microsoft, Google, Amazon, Bol.com e.d., maar ook aan een theater, bioscoop of sportvereniging. Een voorbeeld in Nederland zijn de diverse inlogmiddelen van de banken. Deze inlogmiddelen 'verenigen' zich in iDIN; iDIN is de ontwikkeling van een privaat scheme ofwel privaat stelsel voor inlogmiddelen van banken.

Scheme Beheerder Meer informatie
iDIN diverse banken informatie aangesloten banken

Publiek / Private stelsels van afspraken over authenticatie(middelen)[bewerken]

Logius beheert de voorziening DigiD en geeft daartoe authenticatiemiddelen aan burgers uit. Daarnaast beheert Logius stelsels voor authenticatie waarbij private partijen authenticatiemiddelen uitgeven aan bedrijven (eHerkenning). De partijen die deelnemen aan het stelsel moeten voldoen aan de afspraken die in het stelsel zijn gemaakt, oa op gebied van organisatie, toezicht, techniek, veiligheid en privacy. Het doel is betrouwbare authenticatie en verstrekking van identiteitsinformatie aan overheidspartijen en organisaties. De afspraken zijn beschreven in het Afsprakenstelsel Elektronische Toegangsdiensten (https://afsprakenstelsel.etoegang.nl/display/as/Startpagina)

Met de komst de Europese eIDAS verordening vindt standaardisatie plaats van de eIDAS betrouwbaarheidsniveaus Substantieel en Hoog. Nederland is zich aan het voorbereiden om daaraan te voldoen. In concept-wetgeving die in consultatie is geweest, zijn regels in de (uniforme) set van eisen neergelegd. Een nieuwe versie van deze regels is in ontwikkeling en worden de 'Beleidsregels eID' genoemd. Naar verwachting zullen deze Beleidsregels eID verwijzen naar de eIDAS betrouwbaarheidsniveaus Substantieel en Hoog. Niet alleen private maar ook overheidspartijen die authenticatie(middelen) verzorgen, zoals DigiD, zullen voor deze eIDAS betrouwbaarheidsniveaus aan deze Beleidsregels eID moeten voldoen.

Tot slot wordt ook PKI-Overheid genoemd als stelsel voor de uitgifte van PKI certificaten door private partijen; deze PKI-O certificaten worden ook voor authenticatie gebruikt.

Stelsel Beheerder stelsel Uitgifte middelen
eHerkenning Logius eHerkenning leveranciers eHerkenning
PKIoverheid Logius PKIOverheid cert.pkioverheid.nl

Betrouwbaarheidsniveau’s van authenticatiemiddelen[bewerken]

Welk betrouwbaarheidsniveau in welke situatie gebruikt moet worden staat beschreven in de handreiking (pdf) van Forum Standaardisatie

In de praktijk zien we dat in elk geval de volgende, van elkaar verschillende, betrouwbaarheidsniveaus worden gebruikt:

  1. DigiD: Basis, Midden, Substantieel Logius, detailinformatie
  2. eIDAS verordening: Laag, Substantieel en Hoog eur-lex.europa.eu
  3. eHerkenning: EH1, EH2, EH2+, EH3 (eIDAS substantieel) en EH4 (eIDAS Hoog). eHerkenning betrouwbaarheidsniveaus
  4. eHerkenning irt eIDAS afsprakenstelsel etoegang betrouwbaarheidsniveaus

In de eIDAS Verordening is een Europese afspraak opgenomen om de betrouwbaarheidsniveaus te standaardiseren. Nederland is zich aan het voorbereiden om daaraan te voldoen. Voor de concept-wetgeving die in consultatie is geweest, zijn regels in de uniforme set van eisen neergelegd. Een nieuwe versie van deze regels is binnenkort te verwachten en worden de “Beleidsregels eID” genoemd. Naar verwachting zullen de Beleidsregels eID verwijzen naar de regels en kwaliteitsnormen van eIDAS.

Met welke bestaande authenticatiemiddelen worden momenteel digitale identiteiten van de BRP geverifieerd?[bewerken]

Het Rijksinstituut voor Identiteitsgegevens kent digitale identiteiten toe aan mensen in hun rol als Nederlands staatsburger of buitenlander. Zo'n digitale identiteit wordt afgeleid uit de menselijke attributen (naam, geboortedatum e.d.) en gedragingen. In de Basisregistratie Personen (BRP) zijn al die gegevens opgenomen (zie ook Identiteitenbeheer).

Het antwoord op deze vraag is tweeledig, er is een verschil tussen een publiek en privaat authenticatiemiddel. Een publiek authenticatiemiddel wordt uitgegeven door de overheid en een privaat digitaal authenticatiemiddel is een authenticatiemiddel dat door het bedrijfsleven (private partijen) is uitgegeven. Authenticatiemiddelen die (ook) bedoeld zijn voor gebruik bij de overheid moeten voldoen aan eisen die de overheid stelt. Deze eisen worden tegenwoordig als wettelijke regelingen vastgelegd en gelden voor zowel publieke als private middelen; omdat dan meerdere uitgevende publieke en private partijen aan dezelfde eisen moeten voldoen wordt van een stelsel gesproken. Voor de niveaus Substantieel en Hoog zijn inmiddels Europees geldende eiDAS afspraken gemaakt waaraan voldaan moet worden. Deze eisen betreffen ook controles bij uitgifte tegen een authentieke bron met (rechts)persoongegevens zoals de BRP (RvIG) en het NHR (Kvk) en vindt verificatie van een WID document plaats. Overigens, ook voor de niet eIDAS niveaus Laag en Midden van DigiD wordt controle tegen de BRP gedaan.

De impact van eIDAS op het authenticatieproces[bewerken]

Vanuit het gebruikersperspectief zal vrijwel geen wijziging optreden: mogelijk dat gebruikers enkel te maken krijgen met een extra WYF* keuze (en als het goed is daardoor geen extra authenticatiemiddelen vanuit andere landen hoeven aan te schaffen). Europese burgers en bedrijven kunnen bij alle Nederlandse organisaties in de publieke sector die een digitale dienst aanbieden inloggen met een door Europa erkend Nationaal inlogmiddel. De dienst moet voor dit inkomend verkeer verplicht aangeboden kunnen worden indien de dienst aan bepaalde criteria voldoet. Nederlandse burgers kunnen bij digitale diensten van overheidsdiensten binnen de EU (uitgaand verkeer) inloggen met het eigen aangemelde Nationale authenticatiemiddel. Het is niet verplicht dat het Nationale middel hiervoor gebuikt kan worden.

  • Vaak verloopt toegang via een routeringsvoorziening / toegangsdienst. Deze zijn gekoppeld met meerdere authenticatiediensten. Een dienstafnemer geeft aan welke authenticatiemiddel / authenticatiedienst hij wenst te gebruiken middels de WYF (Where You From) keuze.

De dienstaanbieders zullen beperkte impact ervaren: de Nationale routeringsvoorziening (het eIDAS-koppelpunt) zal er voor zorgen dat dienstaanbieders één standaard koppelvlak hebben voor alle Europese burgers. Of de routeringsvoorziening ook het bedrijven-domein gaat ondersteunen is nog niet duidelijk. Meer informatie over eIDAS is te vinden op [1].

Authenticatie van wie (burger, ondernemer, etc)?[bewerken]

In Nederland is er nu een duidelijke verschil tussen een burger en vertegenwoordiger van een organisatie. Een burger gebruikt een publiek middel (DigiD) en de dienstaanbieder krijgt een BSN. Een vertegenwoordiger van een organisatie gebruikt een privaat middel (eHerkenningsmiddel) en de dienstaanbieder krijgt een pseudoniem en mogelijk een aantal attributen.

Een entiteit (persoon, organisatie, systeem) wordt geauthentiseerd en hiermee is er een bepaalde mate van zekerheid rond de digitale identiteit, dit is in de basis nu vaak een identifier (specifiek pseudoniem, BSN,..). Hoe deze basis verder wordt verreikt kan op vele manieren en is context afhankelijk. De digitale identiteit kan enkel een (betrouwbare) identifier zijn, maar afhankelijk van de context tevens verrijkt zijn met (betrouwbare) kenmerken uit één of meer bronnen. Een bron kan bijvoorbeeld een machtigingenregister zijn.

eHerkenning: Het onderscheiden organisatie(onderdelen) middels OIN en subOIN[bewerken]

Elke overheidsorganisatie die digitaal zaken doet kan een uniek Organisatie-identificatienummer (OIN, zie https://www.logius.nl/ondersteuning/organisatie-identificatienummer-oin/) krijgen. Het OIN is een uniek identificerend nummer dat gebruikt wordt door overheidspartijen of organisaties met een publieke taak in de digitale communicatie met andere publieke of private partijen. Dit nummer kunt u aanvragen bij Logius.

Voor entiteiten zonder rechtspersoonlijkheid is een subOIN aan te vragen, zoals voor:

  1. organisatieonderdelen
  2. specifieke voorzieningen
  3. samenwerkingsverbanden

Deze entiteiten zijn met het subOIN zelfstandig identificeerbaar en authenticeerbaar in het digitale berichtenverkeer.

Voor meer informatie over subOIN’s en OIN’s zie voorwaarden Digikoppeling https://www.logius.nl/fileadmin/logius/ns/diensten/digikoppeling/voorwaarden/170701_Voorwaarden_Digikoppeling.pdf Overigens is het gebruik van subOIN’s en OIN’s niet beperkt tot Digikoppeling en worden deze ook gebruikt bij PKI-Overheid en eHerkenning. Binnen de huidige versie van eHerkenning ofwel het eTD stelsel is het OIN of subOIN alleen in gebruik voor het identificeren van dienstaanbieders die aansluiten op het stelsel, en niet voor afnemers ofwel de gebruikers, zie ook https://afsprakenstelsel.etoegang.nl/display/as/Identificerende+kenmerken


eHerkenning: Gebruik door ambtenaren[bewerken]

Ook het ambtelijk apperaat kan gebruik maken van eherkenning. Er zijn echter een aantal verschillen ten opzichte van het bedrijfsleven:

De KvK kent voor elke overheidsorganisatie een inschrijving. De vertegenwoordiging is vaak niet aan de KvK te ontlenen. Daar waar bij een reguliere KvK inschrijving de bevoegdheden per directielid staan beschreven, is het bij een overheidsorgaan vaak "de minister"of "de burgermeester". Daarnaast kennen overheidsorganen vaak geen vestigingen, maar vaker verzamelgebouwen waar verschillende diensten gehuisvest zijn. Binnen het normenkader van eherkenning zijn hier oplossingen voor gerealiseerd. Door de machtiging te valideren aan het openbare mandaatregister van het overheidsorgaan, is door het 'stelsel' controleerbaar wie welke vertegenwoordiging gebruikt. Hiermee is dezelfde fijnmazigheid gerealiseerd als in het bedrijfsleven.

De gemeente Den Haag gaat als volgt om met eHerkenningsmachtigen: Alle middelen worden verstrekt met volledige vertegenwoordiging (hoofdvestiging-niveau) en niemand is volledig / onbeperkt bevoegd. Deze taken worden uitgevoerd door een machtigingen-beheerder. In de praktijk betekent dit dat een medewerker rechtspositie een machtiging heeft om voor elke potentiële collega VOG- aanvragen te initiëren, maar ook niets anders dan dat. Alléén medewerkers van de GGD mogen de kinderopvangregisters van DUO raadplegen. De formele mandaathouder legt schriftelijk vast welke medewerkers in zijn of haar naam de elektronische vertegenwoordiging mogen gebruiken. Dit besluit wordt door de machtigingen-beheerder gebruikt om de machtiging toe te kennen. In de praktijk hebben we slechts een zeer klein aantal dienstafnemers die zich binnen meerdere organisatie-eenheden bevinden, het merendeel van de aangeboden diensten laat zich redelijk vertalen naar zeer specifieke onderdelen.

Nuttige linkjes voor authenticatie[bewerken]

Nederlandse Overheid Referentie Architectuur.

Alle belanghebbenden van overheidsdienstverlening in de ruimste zin van het woord.

NORA doelt met het begrip 'overheidsorganisaties' zowel op overheden als op semi-overheid- en private organisaties met een publieke taak.

Overgenomen van "https://www.noraonline.nl/index.php?title=Authenticatie(middelen)beheer&oldid=68169"