Begrippen IAM: verschil tussen versies
(→Gedragsmodel Authenticatie: fix) |
(→Gedragsmodel Authenticatie: Authenticatie eIDAS staat er nu goed in) |
||
Regel 163: | Regel 163: | ||
Relevante onderwerpen | Relevante onderwerpen | ||
* NORA Online: [[Authenticatie in de praktijk]], [[Authenticatie]], [[Authenticatie (beheersmaatregel)]] | * NORA Online: [[Authenticatie in de praktijk]], [[Authenticatie]], [[Authenticatie (beheersmaatregel)]] | ||
<tr><td> | |||
<div class="mw-collapsible mw-collapsed"> ''' | <div class="mw-collapsible mw-collapsed"> '''Specifieke definities binnen toepassingsgebieden''' | ||
<div class="mw-collapsible-content"> | <div class="mw-collapsible-content"> | ||
* authenticatie ([[EIDAS verordening]] Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (artikel 3)<br>een elektronisch proces dat de bevestiging van de elektronische identificatie van een natuurlijke persoon of rechtspersoon, of van de oorsprong en integriteit van gegevens in elektronische vorm mogelijk maakt; | * '''authenticatie''' ([[EIDAS verordening]] Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (artikel 3)<br>een elektronisch proces dat de bevestiging van de elektronische identificatie van een natuurlijke persoon of rechtspersoon, of van de oorsprong en integriteit van gegevens in elektronische vorm mogelijk maakt; | ||
</div> <!-- end of collapsible content --> | </div> </div> <!-- end of collapsible content --> | ||
=== Gedragsmodel Bevoegdheden en Autorisatie === | === Gedragsmodel Bevoegdheden en Autorisatie === |
Versie van 19 okt 2020 08:49
Deze pagina wordt beheerd door de Expertgroep IAM. In 2018 onderzoekt de expertgroep vier deelonderwerpen om (implementatie-)vraagstukken en mogelijke oplossingen in kaart te brengen, kennis te delen en elkaar te ondersteunen. Uiteindelijk leidt dit hopelijk tot architectuuroplossingen. De deelonderwerpen zijn Identity & Access Management (IAM), Identiteitenbeheer, Authenticatie(middelen)beheer, Impact eIDAS voor Nederland, Bevoegdhedenbeheer en Toegang verlenen.
Doel en proces opname[bewerken]
Deze lijst met begrippen werd opgesteld om binnen de overheid c.q. samenleving te komen tot meer eenduidige en gedeelde beelden inzake Identity & Access Management (IAM). Doel is om de relevante begrippen in de NORA op te nemen, samen met een visualisatie en beschrijving van hun samenhang.
Wikipedia is een bron waar we definities uit hergebruiken. Het volstaat echter niet om alleen wikipedia als bron te gebruiken. In veel wet- en regelgeving en "afsprakenstelsels" e.d. zijn ook definities opgenomen i.r.t. IAM en die definities wijken soms van elkaar af. De overeenkomsten en verschillen proberen we dan te duiden.
Elk begrip dat breed genoeg gedragen blijkt, wordt toegevoegd aan het Begrippenkader van NORA. Op dat moment is het mogelijk om een tooltip met de beschrijving van het begrip te tonen door de muis boven het woord stil te houden, op welke pagina het woord dan ook staat. Waar mogelijk wordt de samenhang van begrippen aangegeven en gevisualiseerd.
Daarmee sluiten we ook aan op initiatieven als Burgerwoordenboeken: artikel ibestuur:burgerwoordenboeken als participatiedocument
Er zijn diverse bronnen waar nog meer begrippen te vinden zijn en die we nog niet hebben verwerkt:
- Bij het thema Beveiliging: Themapatroon identity & access_management
- Een Begrippenlijst vanuit het stelsel van e-toegang voor burgers en bedrijven
- Het ‘Besluit verwerking persoonsgegevens generieke digitale infrastructuur’ voor burgers, met in Hoofdstuk 1 - Artikel 1 de definities
- De Europese richtlijn 910/2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties, met in Artikel 3 veel definities t/m die over handtekeningen aan toe
Ontstaansgeschiedenis[bewerken]
Deze onderstaande lijst is overgenomen van een werkgroep die zich heeft georiënteerd op de aspecten Identificatie, Authenticatie en Autorisatie (IAA) gerelateerd aan de Wet GDI (tegenwoordig de Wet Digitale Overheid) en bestaat uit een aantal relevante basisbegrippen uit de Uniforme Set van Eisen (USvE). Diverse begrippen die daarin ontbraken, zijn door die werkgroep overgenomen uit het Netwerk voor Elektronische Toegangsdiensten (NvETD), eHerkenning & Idensys, de eIDAS verordening of de werkgroep (WG) heeft hiervoor een eigen definitie geformuleerd. In de kolom Opmerking is -indien reeds beschikbaar- de verwijzing opgenomen naar het begrip zoals dat in de NORA staat. Eventuele verschillen in die beschrijvingen zijn nog niet uitgewerkt of toegelicht.
De diagrammen en de bijbehorende definities zijn toegevoegd vanuit de Werkgroepen IAM met als doel het aan elkaar relateren van specifiekere definities uit verschillende toepassingsgebieden, en het consistent maken van NORA pagina's over toegangspatronen.
Context van de begrippen, Gedrags- en objectmodel[bewerken]
De onderstaande begrippen lijst is opgesteld in relatie tot het volgende voor IAM geldende gedrags- en objectmodel, dat de Referentie architectuur vormt als uitwerking van het Kader Identity & Access Management Deze sectie bevat een generiek en toepassingsgebied-onafhankelijk begrippenkader dat aansluit op ISO/IEC 24760-1:2019(E). IAM wordt binnen veel toepassingsgebieden gebruikt en daarbij hanteert elk gebied vaak zijn eigen, op de toepassing toegesneden, definities. Begrippen binnen IAM kennen in de praktijk een grote variëteit in hoe ze benoemd worden. In het object model is er 1 gekozen en gemodelleerd; synoniemen zijn bij de definities vermeld.
Het onderwerp IAM wordt ook wel het aandachtsgebied Toegang genoemd. Dit aandachtsgebied gaat over over de volle breedte van alle activiteiten die gedaan moeten worden om een persoon op een gecontroleerde manier toegang te geven tot informatie en voorzieningen. Het aandachtsgebied Toegang wordt ook wel IAM genoemd en valt uiteen in de volgende deelgebieden: Identiteiten, Authenticatie , Bevoegdheden en Autorisatie . Het onderscheid tussen toegangsbeheer/toegangsmanagement en toegangsgebruik is weergegeven binnen de naamgeving van de individuele functies.
Objectmodel Definities[bewerken]
Entiteit
Natuurlijk persoon
Niet-Natuurlijk Persoon
Device (Technische component)
|
Digitale Identiteit
Attribuut
|
|
Gevalideerd Identiteitsbewijs (Authenticatiemiddel, Identificatiemiddel)
|
Gerelateerde begrippen
|
Resource
(digitale) Dienst Zaak (case, dossier, …)
|
Bevoegdheid (Toegangsrecht, Autorisatie)
|
|
Het objectmodel hieronder beschrijft de samenhang en relaties tussen de begrippen op basis van de definities. Er zijn hier twee relaties opgenomen: Specialisatie A --> B (A is een specifieke versie van B) en Aggregatie A --<> B (De definitie van B gebruikt begrip A). Het objectmodel is geen datamodel; in dat geval zou de relatie tussen Attribuut en Entiteit andersom getekend worden.
Gedragsmodel Identiteiten[bewerken]
Een gedragsmodel beschrijft op basis van welke informatie (veelal links getekend) door een proces (meestal in het midden) wordt omgezet naar nieuwe informatie (rechtsgetekend). De actoren die het proces uitvoeren zijn niet getekend omdat de namen die aan de actoren gegeven worden sterk verschillen per toepassingsgebied.
De functie Identiteitenbeheer brengt Digitale identiteiten tot stand voor Entiteiten (zoals Personen). Het beheer betreft ook de attributen die aan de Digitale entiteit zijn gerelateerd. Wanneer nodig zorgt de functie eveneens voor het actualiseren daarvan.
Identiteitenbeheer
|
Identiteiteninformatie
|
Relevante onderwerpen
|
Gedragsmodel Authenticatie[bewerken]
Authenticatie(middelen)beheer
|
|
Relevante onderwerpen:
|
Authenticatie |
Authenticatie (Authenticeren)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Identiteitsverklaring (Gevalideerd Identiteitsbewijs)
Relevante onderwerpen | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Specifieke definities binnen toepassingsgebieden
Gedragsmodel Bevoegdheden en Autorisatie[bewerken]De functie Bevoegdhedenbeheer zorgt voor een formele (en actuele) vastlegging van Bevoegdheden, die vanuit de Digitale identiteit van de Belanghebbende worden toegekend aan de Digitale identiteit van de Vertegenwoordiger. De bevoegdheid is veelal beperkt tot een Resource/een reeks Resources. De bevoegdheid kan voor beperkte duur gelden, of gelden totdat die wordt ingetrokken. De functie Autorisatie voor een Entiteit die namens zichzelf handelt wordt uitgevoerd aan de hand van Autorisatieregels die zich (onder andere) baseren op Attributen in de Identiteitsverklaring. De functie leidt tot een Autorisatiebeslissing die (inclusief de Identiteitsverklaring) kan worden bewaard om zich later te kunnen verantwoorden voor het toegang geven tot een Resource. Wanneer een Entiteit een andere Entiteit vertegenwoordigt wordt eerst de functie Bevoegdheidsbepaling uitgevoerd, die leidt tot Bevoegdheidsverklaringen waarin (wanneer nodig) Attributen van de Digitale identiteit van de Belanghebbende zijn opgenomen. De functie Autorisatie neemt op basis van Autorisatieregels ook de vastgestelde bevoegdheden in beschouwing bij het nemen van Autorisatiebeslissingen. Ook bewaarde Bevoegdheidsverklaringen helpen bij latere verantwoording over Autorisatiebeslissingen.
Nog te definiëren begrippen[bewerken]
Ketenverklaring: In beginsel is iemand of een organisatie verantwoordelijk voor zijn/haar totale aanbieding (dienst/service). Ongeacht verplichte winkelnering. Als iemand via een eloket susidie verstrekt en DigiD heeft een storing waardoor de aanvrager niet binnen de wettelijke indien termijn kan indienen – dan kan niet de schuld verschoven worden naar DigiD. Ze hadden regelingen moeten treffen om dat probleem te borgen. Bijvoorbeeld door op die momenten aan te geven dat een simpele tijdig verstuurde email vooralsnog voldoende is, waarna na de storing de aanvraag compleet gemaakt kan worden. Al opgenomen als begrip in NORA-online[bewerken]
Nog op te nemen in noraonline[bewerken]
|