Authenticatie(middelen)beheer

Uit NORA Online
Versie door Erwin (overleg | bijdragen) op 12 mrt 2018 om 11:47 (Toevoeging deelenemers en uitbreiding bronnen)
Naar navigatie springen Naar zoeken springen


Deze pagina is in opbouw. Kom later terug om het resultaat te zien of neem contact op met nora@ictu.nl als je mee wilt werken aan de eerste concepten.

Deze pagina wordt beheerd door de Expertgroep IAM. In 2018 onderzoekt de expertgroep vier deelonderwerpen om (implementatie-)vraagstukken en mogelijke oplossingen in kaart te brengen, kennis te delen en elkaar te ondersteunen. Uiteindelijk leidt dit hopelijk tot architectuuroplossingen. De deelonderwerpen zijn Identity & Access Management (IAM), Identiteitenbeheer, Authenticatie(middelen)beheer, Impact eIDAS voor Nederland, Bevoegdhedenbeheer en Toegang verlenen.

Status, versie en auteurs

Dit document is een 1e overzicht van de informatie en vindplaatsen die wij - als leden van de werkgroep - hiervoor relevant achten.

Contactpersoon: Erwin Reinhoud
Mail: E.Reinhoud@kennisnet.nl
Versie: 20 februari 2018
Bijdragen door:

  • Gert Eijkelboom (DNB)
  • Ewoud van Bentem (DNB)
  • Wim Geurts (Logius)
  • Edwin Strijland (SVB)
  • Lieven van der Tas (DJI)
  • Ronald van de Berg (ZIN)
  • Erwin Reinhoud (Kennisnet)
  • Eric Brouwer (ICTU)

Om binnen de overheid c.q. samenleving te komen tot meer eenduidige en gedeelde beelden inzake digitale authenticatie, zal in de NORA een visie daarop worden gegeven, samen met uitleg van de relevante begrippen en een visualisatie en beschrijving van hun samenhang.

Vraagstelling[bewerken]

  1. Beschrijf / definieer het begrip authenticatie in relatie tot een ”digitale identiteit”.
  2. Beschrijf hoe het proces van authenticeren op hoofdlijnen verloopt en leg daarbij de relatie uit met:
    1. Een aangeboden digitale dienst;
    2. Een gebruiker die de dienst wil afnemen en beweert een bepaalde persoon te zijn;
    3. Een authenticatiemiddel waarmee de identiteit van de gebruiker kan worden geverifieerd;
    4. De identiteiten-registratie waartegen wordt geverifieerd;
  3. Eventuele andere hulpmiddelen en voorzieningen die bij het proces nodig zijn. NB. Daarmee krijgen we antwoord op de vragen “Als je zegt wie je bent, met welke zekerheid weet de dienstaanbieder dat dan?” en “Hoe en waar kan hij jouw elektronische identiteit verifiëren (authenticeren)?”
  4. Zoek bij al deze begrippen en beschrijvingen een best-passend functioneel plaatje (liefst technologie onafhankelijk).
  5. Welke regels en kwaliteitsnormen hanteert de overheid voor het uitgeven van authenticatiemiddelen?
  6. Welke overheidsorganisaties geven welke authenticatiemiddelen uit? (in het algemeen zijn dat natuurlijk KA-accounts voor de eigen medewerkers, maar hier bedoelen we authenticatiemiddelen voor burgers en voor medewerkers van bedrijven)
  7. Welke private partijen geven welke authenticatiemiddelen uit? (hier bedoelen we de meest spraakmakende authenticatiemiddelen voor burgers, zoals bankpasjes, VISA-kaart, MS-account, Google-account e.d.)
  8. Waar is te vinden welke betrouwbaarheidsniveau’s aan al die authenticatiemiddelen zijn toegekend?
  9. Met welke bestaande authenticatiemiddelen worden momenteel digitale identiteiten van de BRP geverifieerd? In elk geval DigiD. Maar welke nog meer?
  10. Welke impact heeft de eIDAS op het authenticatieproces en de daarbij benodigde hulpmiddelen en voorzieningen?
  11. Hoe gaan we om met vragen als:
    1. Authenticatie van wie (burger, ondernemer, etc): hoe wordt de relatie tussen rollen en personen straks vormgegeven?
    2. Komt er een eigen eHerkenning voor ambtenaren (is dat een rol?)?
    3. Hoe omgaan met de nieuwe middelen in een grensregio?
    4. En met multichannel authenticatie?

Aansluiting op bestaande kader voor digitale authenticatie[bewerken]

Momenteel in de NORA reeds beschikbaar:

  1. Voor authenticatie / SSO Patroon voor single sign-on
  2. Beheersmaatregelen voor authenticatie
  3. DigiD
  4. EHerkenning
  5. Idensys

Overige bronnen:

  1. Toekomstbeeld en kaders zoals opgesteld vanuit de werkgroep Kaders IAA.
  2. Door VKA is, in opdracht van BZK, net een rapport over publieke authenticatie uitgebracht.
  3. Vanuit de Omgevingswet / Geonovum is een werkgroep gestart voor Authenticatie en Autorisatie om een Nederlands profiel voor OAuth op te stellen, zodat deze op de PTOLU lijst kan worden opgenomen. Input/Kaders vanuit NORA zijn daarbij welkom. Frank Terpstra trekt dit. Zie ook hun site
  4. Door het CIP is een handleiding (pdf) opgesteld voor email-authenticatie
  5. NIST digital identity model [1]
  6. FIDO W3C web authentication [2]
  7. Zorg MedMij [3]
  8. Nictiz https://www.nictiz.nl/SiteCollectionDocuments/Overig/Handreiking%20BEIS%20deel%20I%20%20Authenticatie%20en%20Autorisatie%20definitief%20201701.pdf
  9. ...

Uitwerking vraagstelling[bewerken]

NB. Authenticatie van software en machines wordt vooralsnog nog niet uitgewerkt, maar op de back-log opgenomen.

Beschrijf / definieer het begrip authenticatie in relatie tot een ”digitale identiteit”.[bewerken]

Beschrijf hoe het proces van authenticeren op hoofdlijnen verloopt[bewerken]

en leg daarbij de relatie uit met:

Een aangeboden digitale dienst[bewerken]

Een gebruiker die de dienst wil afnemen en beweert een bepaalde persoon te zijn[bewerken]

Een authenticatiemiddel waarmee de identiteit van de gebruiker kan worden geverifieerd[bewerken]

De identiteiten-registratie waartegen wordt geverifieerd[bewerken]

Eventuele andere hulpmiddelen en voorzieningen die bij het proces nodig zijn.[bewerken]

NB. Daarmee krijgen we antwoord op de vragen “Als je zegt wie je bent, met welke zekerheid weet de dienstaanbieder dat dan?” en “Hoe en waar kan hij jouw elektronische identiteit verifiëren (authenticeren)?”

Zoek bij al deze begrippen en beschrijvingen een best-passend functioneel plaatje[bewerken]

(liefst technologie onafhankelijk).

Welke regels en kwaliteitsnormen hanteert de overheid voor het uitgeven van authenticatiemiddelen?[bewerken]

Welke overheidsorganisaties geven welke authenticatiemiddelen uit?[bewerken]

(in het algemeen zijn dat natuurlijk KA-accounts voor de eigen medewerkers, maar hier bedoelen we authenticatiemiddelen voor burgers en voor medewerkers van bedrijven)

Welke private partijen geven welke authenticatiemiddelen uit?[bewerken]

(hier bedoelen we de meest spraakmakende authenticatiemiddelen voor burgers, zoals bankpasjes, VISA-kaart, MS-account, Google-account e.d.)

Waar is te vinden welke betrouwbaarheidsniveau’s aan al die authenticatiemiddelen zijn toegekend?[bewerken]

Met welke bestaande authenticatiemiddelen worden momenteel digitale identiteiten van de BRP geverifieerd?[bewerken]

In elk geval DigiD. Maar welke nog meer?

Welke impact heeft de eIDAS op het authenticatieproces en de daarbij benodigde hulpmiddelen en voorzieningen?[bewerken]

Hoe gaan we om met vragen als:[bewerken]

Authenticatie van wie (burger, ondernemer, etc)?[bewerken]

hoe wordt de relatie tussen rollen en personen straks vormgegeven?

Komt er een eigen eHerkenning voor ambtenaren?[bewerken]

(is dat een rol?)

Hoe omgaan met de nieuwe middelen in een grensregio?[bewerken]

En met multichannel authenticatie?[bewerken]

Nederlandse Overheid Referentie Architectuur.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

Overgenomen van "https://www.noraonline.nl/index.php?title=Authenticatie(middelen)beheer&oldid=26832"