Begrippen IAM: verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
(vg)
(Het update traject benoemd.)
 
(37 tussenliggende versies door 3 gebruikers niet weergegeven)
Regel 1: Regel 1:
{{IAA}}
{{IAM
|Contactpersoon= Harro Kremer
|e-Mailadres= Harro.Kremer@dji.minjus.nl
}}
 
In de [[Expertgroep IAM januari 2024]] is besloten de begrippen te updaten en waar mogelijk de begrippen te integreren in het NORA-brede [[Begrippenkader]].
De voortgang hiervan wordt bijgehouden op [[Update IAM begrippen 2024]].
 
==Doel en proces opname==
==Doel en proces opname==
Deze lijst met begrippen werd opgesteld om binnen de overheid c.q. samenleving te komen tot meer eenduidige en gedeelde beelden inzake Identity & Access Management (IAM). Doel is om de relevante begrippen in de NORA op te nemen, samen met een visualisatie en beschrijving van hun samenhang.<br />
Deze lijst met begrippen werd opgesteld om binnen de overheid c.q. samenleving te komen tot meer eenduidige en gedeelde beelden inzake Identity & Access Management (IAM). Doel is om de relevante begrippen in de NORA op te nemen, samen met een visualisatie en beschrijving van hun samenhang.
Wikipedia is een bron waar we definities uit hergebruiken. Het volstaat echter niet om alleen wikipedia als bron te gebruiken. In veel wet- en regelgeving en "afsprakenstelsels" e.d. zijn ook definities opgenomen i.r.t. IAM en die definities wijken soms van elkaar af. De overeenkomsten en verschillen proberen we dan te duiden.<br />
<br />
Elk begrip dat breed genoeg gedragen blijkt, wordt toegevoegd aan het [[Begrippenkader]] van NORA. Op dat moment is het mogelijk om een tooltip met de beschrijving van het begrip te tonen door de muis boven het woord stil te houden, op welke pagina het woord dan ook staat. Waar mogelijk wordt de samenhang van begrippen aangegeven en gevisualiseerd.<br />
Daarmee sluiten we ook aan op initiatieven als Burgerwoordenboeken: [https://ibestuur.nl/podium/burgerwoordenboeken-als-participatie-instrument artikel ibestuur:burgerwoordenboeken als participatiedocument]<br />
<br />
Er zijn diverse bronnen waar nog meer begrippen te vinden zijn en die we nog niet hebben verwerkt:
* Bij het thema Beveiliging: [[Themapatroon identity & access_management]]
* Een [https://afsprakenstelsel.etoegang.nl/display/as/Begrippenlijst Begrippenlijst] vanuit het stelsel van e-toegang voor burgers en bedrijven
* Het [http://wetten.overheid.nl/BWBR0037987 ‘Besluit verwerking persoonsgegevens generieke digitale infrastructuur’] voor burgers, met in Hoofdstuk 1 - Artikel 1 de definities
* De [http://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32015R1502&from=EN Europese richtlijn 910/2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties], met in Artikel 3 veel definities t/m die over handtekeningen aan toe


==Ontstaansgeschiedenis==
Het is een generiek en toepassings-onafhankelijk begrippenkader voor IAM. De toepassingsgebieden waarin IAM wordt gebruikt, hanteren elk vaak eigen, op de toepassing toegesneden, definities, waardoor een grote variëteit aan net-niet-gelijke definities is ontstaan. {{PAGENAME}} biedt een basis set aan definities als Referentie Architectuur voor consistente uitwerkingen binnen de NORA van deelaspecten van IAM. De gangbare synoniemen en toepassings-specifieke definities zijn ter verduidelijking opgenomen in uitklapbare secties.
Deze onderstaande lijst is overgenomen van een werkgroep die zich heeft georiënteerd op de aspecten Identificatie, Authenticatie en Autorisatie (IAA) gerelateerd aan de Wet GDI (tegenwoordig de Wet Digitale Overheid) en bestaat uit een aantal relevante basisbegrippen uit de Uniforme Set van Eisen (USvE). Diverse begrippen die daarin ontbraken, zijn door die werkgroep overgenomen uit het Netwerk voor Elektronische Toegangsdiensten (NvETD), eHerkenning & Idensys, de [[eIDAS verordening]] of de werkgroep (WG) heeft hiervoor een eigen definitie geformuleerd.
In de kolom Opmerking is -indien reeds beschikbaar- de verwijzing opgenomen naar het begrip zoals dat in de NORA staat.
Eventuele verschillen in die beschrijvingen zijn nog niet uitgewerkt of toegelicht.


De diagrammen en de bijbehorende definities zijn toegevoegd vanuit de Werkgroepen IAM met als doel het aan elkaar relateren van specifiekere definities uit verschillende toepassingsgebieden, en het consistent maken van NORA pagina's over toegangspatronen.
Elk begrip dat breed genoeg gedragen blijkt, wordt toegevoegd aan het [[Begrippenkader]] van NORA. Voor die begrippen is het mogelijk om een tooltip met de beschrijving van het begrip te tonen door de muis boven het woord stil te houden, op welke pagina het woord dan ook staat. Waar mogelijk wordt de samenhang van begrippen aangegeven en gevisualiseerd.


==Context van de begrippen, Gedrags- en objectmodel==
== Objectmodel Definities ==
De onderstaande  begrippen lijst is opgesteld in relatie tot het volgende voor IAM geldende gedrags- en objectmodel, dat de Referentie architectuur vormt als uitwerking van het [[Kader Identity & Access Management]]
Deze sectie bevat een generiek  en toepassingsgebied-onafhankelijk begrippenkader dat aansluit op ISO/IEC 24760-1:2019(E). IAM wordt binnen veel toepassingsgebieden gebruikt en daarbij hanteert elk gebied vaak zijn eigen, op de toepassing toegesneden, definities. Begrippen binnen IAM kennen in de praktijk een grote variëteit in hoe ze benoemd worden. In het object model is er 1 gekozen en gemodelleerd; synoniemen zijn bij de definities vermeld. 


Het onderwerp IAM wordt ook wel het '''<u>aandachtsgebied Toegang</u>''' genoemd. Dit aandachtsgebied gaat over over de volle breedte van alle activiteiten die gedaan moeten worden om een persoon op een gecontroleerde manier toegang te geven tot informatie en voorzieningen. Het aandachtsgebied Toegang wordt ook wel IAM genoemd en valt uiteen in de volgende deelgebieden: [[Gedragsmodel Identiteiten | Identiteiten]], [[Gedragsmodel Authenticatie | Authenticatie ]], [[Bevoegdheden en Autorisatie | Bevoegdheden en Autorisatie ]]. Het onderscheid tussen toegangsbeheer/toegangsmanagement en toegangsgebruik is weergegeven binnen de naamgeving van de individuele functies.  
Het objectmodel voor IAM identificeert welke concepten uit de reële wereld relevant zijn voor het onderwerp IAM, en het beschrijft de relaties tussen de objecten. De figuur hieronder is grafische weergave van de concepten en hun relaties; de uitwerking in een architectuur model staat na de definitie uitgetekend.  
 
=== Objectmodel Definities ===


[[Afbeelding:Bestuurlijke_plaat_IAM.jpg|thumb|none|750px|Objectmodel Bestuurlijke plaat IAM|alt=”Bestuurlijke plaat Identity & Access Management”]]  
[[Afbeelding:Bestuurlijke_plaat_IAM.jpg|thumb|none|750px|Objectmodel Bestuurlijke plaat IAM|alt=”Bestuurlijke plaat Identity & Access Management”]]  
Regel 38: Regel 28:
'''<u>Natuurlijk persoon</u>'''<br>Een persoon van vlees en bloed die rechten en plichten kan hebben  
'''<u>Natuurlijk persoon</u>'''<br>Een persoon van vlees en bloed die rechten en plichten kan hebben  
* ''Er zijn meerdere soorten te onderkennen, een daarvan is het onderscheid tussen personen die ingezetene zijn van Nederland en zij dit dat niet zijn''  
* ''Er zijn meerdere soorten te onderkennen, een daarvan is het onderscheid tussen personen die ingezetene zijn van Nederland en zij dit dat niet zijn''  
'''<u>Niet-Natuurlijk Persoon</u>'''<br>Een Niet-Natuurlijk Persoon is een Rechtspersoon of een samenwerkingverband van Natuurlijk Personen. Een Rechtspersoon is een door de wet mogelijk gemaakte entiteit, die drager kan zijn van rechten en plichten.  
'''<u>Niet-Natuurlijk Persoon</u>'''<br>Een Niet-Natuurlijk Persoon is een Rechtspersoon of een samenwerkingsverband van Natuurlijk Personen. Een Rechtspersoon is een door de wet mogelijk gemaakte entiteit, die drager kan zijn van rechten en plichten.  
* ''Zie [http://www.wetrecht.nl/rechtspersoon/ hier] voor een uitleg van het begrip Rechtspersoon. Een BV, NV, Stichting en vereniging zijn voorbeelden van een Rechtspersoon; een Maatschap en VOF zijn samenwerkingsverbanden die geen Rechtspersoon zijn.''  
* ''Zie [http://www.wetrecht.nl/rechtspersoon/ hier] voor een uitleg van het begrip Rechtspersoon. Een BV, NV, Stichting en vereniging zijn voorbeelden van een Rechtspersoon; een Maatschap en VOF zijn samenwerkingsverbanden die geen Rechtspersoon zijn.''  
* ''Niet-natuurlijke personen zijn meestal geregistreerd zijn in [[NHR (Basisregistratie Handelsregister)]]; Er zijn een 4-tal "sui generis" organisaties die bij wet zijn gedefinieerd (Rechtspraak, Hoge Raad, Openbaar Ministerie en Nationale Politie) die niet in die [[Basisregistratie]] voorkomen.  
* ''Niet-natuurlijke personen zijn meestal geregistreerd zijn in [[NHR (Basisregistratie Handelsregister)]]; Er zijn een 4-tal "sui generis" organisaties die bij wet zijn gedefinieerd (Rechtspraak, Hoge Raad, Openbaar Ministerie en Nationale Politie) die niet in die [[Basisregistratie]] voorkomen.  
Regel 48: Regel 38:
   <tr><td>
   <tr><td>
'''<u>Digitale Identiteit</u>'''<br>Een Digitale Identiteit is een verzameling gegevens (Attributen) die een digitale representatie zijn van een Entiteit binnen een bepaald digitaal toepassingsgebied.
'''<u>Digitale Identiteit</u>'''<br>Een Digitale Identiteit is een verzameling gegevens (Attributen) die een digitale representatie zijn van een Entiteit binnen een bepaald digitaal toepassingsgebied.
* ''Een Entiteit kan meerdere Digitale Identiteiten hebben (binnen hetzelfde of andere contexten), meerdere Digitale Identiteiten binnen een toepassingsgebied kunnen dezelfde Digitale Identiteit hebben.''  
* ''Een Entiteit kan meerdere Digitale Identiteiten hebben (binnen hetzelfde of andere contexten)''  
* ''Digitale Identiteiten kunnen een onderlinge samenhang hebben waarbij enkele attributen in een Afhankelijke Digitale Identiteit een-op-een gelijk zijn aan de overeenkomstige attributen in een Leidende Digitale Identiteit. Het is dan een kwaliteitseis dat deze attributen in de afhankelijke Digitale Identiteit een zekere mate gelijk moeten zijn en gelijk gehouden worden aan die in de Leidende Digitale Identiteit; denk aan verschil tussen registratie in de BRP en de gegevens in een paspoort. ''
* ''Digitale Identiteiten kunnen een onderlinge samenhang hebben waarbij enkele attributen in een Afhankelijke Digitale Identiteit een-op-een gelijk zijn aan de overeenkomstige attributen in een Leidende Digitale Identiteit. Het is dan een kwaliteitseis dat deze attributen in de afhankelijke Digitale Identiteit een zekere mate gelijk moeten zijn en gelijk gehouden worden aan die in de Leidende Digitale Identiteit; denk aan verschil tussen registratie in de BRP en de gegevens in een paspoort. ''
* ''Bij een Digitale Identiteit kan metadata behoren, bijvoorbeeld de organisatie die de Digitale Identiteit heeft vastgesteld en de datum waarop dat is gedaan, en de mate van betrouwbaarheid van attributen.''   
* ''Bij een Digitale Identiteit kan metadata behoren, bijvoorbeeld de organisatie die de Digitale Identiteit heeft vastgesteld en de datum waarop dat is gedaan, en de mate van betrouwbaarheid van attributen.''   
Regel 54: Regel 44:
'''<u>Attribuut</u>'''<br>Een enkelvoudig of samengesteld informatie element dat onderdeel is van een Digitale Identiteit; is de digitale representatie van een eigenschap van een Entiteit.  
'''<u>Attribuut</u>'''<br>Een enkelvoudig of samengesteld informatie element dat onderdeel is van een Digitale Identiteit; is de digitale representatie van een eigenschap van een Entiteit.  
* ''Het hebben van een (bedrijfs)rol is een eigenschap van een entiteit en kan dus beschouwd worden als een attribuut.''  
* ''Het hebben van een (bedrijfs)rol is een eigenschap van een entiteit en kan dus beschouwd worden als een attribuut.''  
 
'''<u>Betrouwbaarheidsniveau</u>'''<br>De mate van zekerheid waarmee attributen, identiteiten, authenticatiemiddelen en/of bevoegdheden zijn vastgesteld.
* ''Hierbij is meestal een derde/onafhankelijke partij aanwezig die op basis van vastgelegde criteria het betrouwbaarheidsniveau bepaald en die door zowel de Entiteit als de Resource vertrouwd worden.
<tr><td>
<tr><td>
::'''Toepassingsgebied''' (Context, Inzetgebied en Domein) <!--ISO 24760 (3.2.3) ziet context, toepassingsgebied en domein als synoniemen van elkaar--> <br>Aanduiding van een omgeving waar binnen Digitale Identiteiten gebruikt worden en dus een betekenis hebben.
::'''Toepassingsgebied''' (Context, Inzetgebied en Domein) <!--ISO 24760 (3.2.3) ziet context, toepassingsgebied en domein als synoniemen van elkaar--> <br>Aanduiding van een omgeving waar binnen Digitale Identiteiten gebruikt worden en dus een betekenis hebben.
Regel 71: Regel 62:
Gerelateerde begrippen
Gerelateerde begrippen
* Binnen de NORA: [[Identificatie ]]  
* Binnen de NORA: [[Identificatie ]]  
* Wikipedia: [https://nl.wikipedia.org/wiki/Self-sovereign_identity | Self Sovereign Identity], [https://nl.wikipedia.org/wiki/Decentralized_identifiers | Decentralized_identifiers]
* Wikipedia: [https://nl.wikipedia.org/wiki/Self-sovereign_identity Self Sovereign Identity], [https://nl.wikipedia.org/wiki/Decentralized_identifiers Decentralized_identifiers]
  <tr><td>
<div class="mw-collapsible mw-collapsed"> '''Vouw uit voor specifieke definities uit toepassingsgebieden'''
<div class="mw-collapsible-content">
* '''Identiteit''' ([[Stelsel_Elektronische_Toegangsdiensten]])<br>Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Identiteit] ''De volledige maar dynamische set van alle attributen behorende bij een bepaalde entiteit die het mogelijk maakt betreffende entiteit van andere te onderscheiden. Elke entiteit heeft maar één identiteit. De identiteit behoort toe aan de entiteit.''
* '''Elektronisch identificatiemiddel''' (Gevalideerd Identiteitsbewijs) ([[EIDAS verordening]]) <br>Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (artikel 3): ''een materiële en/of immateriële eenheid die persoonsidentificatiegegevens bevat en die gebruikt wordt voor authenticatie bij een onlinedienst;''
* '''Betrouwbaarheidsniveau''' ([[EIDAS verordening]]) <br>Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (inleiding): ''moet de mate van vertrouwen weergeven die in een elektronisch identificatiemiddel kan worden gesteld voor het vaststellen van de identiteit van een persoon, en moet zodoende zekerheid geven dat de persoon die beweert een bepaalde identiteit te hebben ook daadwerkelijk degene is aan wie deze identiteit is toegekend.''
* '''Burgerservicenummer''' (identifier) ([[Burgerservicenummer (BSN)]]) <br>Bron: [https://wetten.overheid.nl/BWBR0022428/2014-01-06] ''uniek persoonsnummer teneinde de doelmatigheid van de administraties van de overheid en enige andere sectoren te vergroten en de dienstverlening aan de burger te verbeteren''<br>Bron: [https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/burgerservicenummer-bsn] ''Het burgerservicenummer (BSN) is een uniek persoonsnummer voor iedereen die ingeschreven staat in de Basisregistratie Personen (BRP).''
* '''Publieke domein''' (Toepassingsgebied) ([[Stelsel_Elektronische_Toegangsdiensten]])<br>Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Publieke+domein] ''Het domein waarbij interacties plaatsvinden tussen natuurlijke personen / niet-natuurlijke personen enerzijds en de Dienstverleners met een publieke taak anderzijds. Een Dienstverlener is 'publiek' wanneer het een bestuursorgaan in de zin van afdeling 1.1 van de Algemene wet bestuursrecht betreft, maar ook wanneer het andere overheidsorganen alsmede natuurlijke en rechtspersonen, niet zijnde overheidsorganen betreft, die vanwege het uitoefenen van een publieke taak gerechtigd zijn het burgerservicenummer (BSN) te gebruiken''
* '''Inzetgebied''' (Toepassingsgebied) ([[Stelsel_Elektronische_Toegangsdiensten]])<br>Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Inzetgebied]: ''Een ... erkende groep gebruikers ...  Voorbeelden zijn: bedrijven ..., beroepsbeoefenaren, consumenten ...  of burgers''
* '''Openbare instantie''' ([[EIDAS verordening]]) <br>Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (artikel 3): ''een staat, regionale of lokale overheden, publiekrechtelijke instellingen en samenwerkingsverbanden bestaand uit één of meer van deze overheidsinstanties of een of meer van deze publiekrechtelijke instellingen, of een private entiteit die door ten minste een van deze autoriteiten, publiekrechtelijke instellingen of verenigingen is gemachtigd tot het verlenen van openbare diensten, wanneer zij in die hoedanigheid optreden; ... publiekrechtelijke instelling: een instelling volgens de definitie in punt 4 van artikel 2, lid 1, van Richtlijn 2014/24/EU van het Europees Parlement en de Raad;''
</div> </div> <!-- end of collapsible content -->
</table>
 
 
<table class="wikitable" >
   <tr><td>
   <tr><td>
'''<u>Resource</u>'''<br>Een fysieke component of een eenheid van informatie waartoe een Entiteit toegang zou kunnen krijgen.
'''<u>Resource</u>'''<br>Een fysieke component of een eenheid van informatie waartoe een Entiteit toegang zou kunnen krijgen.
Regel 86: Regel 92:
* ''Bevoegdheden kunnen als informatie object zijn vastgelegd, maar dat hoeft niet altijd het geval te zijn; bijvoorbeeld als deze bij wet bepaald is.''  
* ''Bevoegdheden kunnen als informatie object zijn vastgelegd, maar dat hoeft niet altijd het geval te zijn; bijvoorbeeld als deze bij wet bepaald is.''  
  <tr><td>
  <tr><td>
::'''Machtiging''' (Vertegenwoordiging)<br>(concept)Een bevoegdheid van een Entiteit op namens een Andere Identiteit toegang te krijgen tot een resource (en daar handelingen op te verrichten).  
::'''Machtiging''' (Vertegenwoordiging)<br>(concept)Een bevoegdheid van een Entiteit om namens een Andere Identiteit toegang te krijgen tot een resource (en daar handelingen op te verrichten).  
::* ''Een Machtiging kan een vrijwillig karakter hebben ("vrijwillige machtiging"), bijvoorbeeld op basis van de Algemene Wet Bestuursrecht.  
::* ''Een Machtiging kan een vrijwillig karakter hebben ("vrijwillige machtiging"), bijvoorbeeld op basis van de Algemene Wet Bestuursrecht.  
::* ''Tot een onvrijwillige Machtiging kan door de wetgever of bevoegd gezag eenzijdig worden besloten ("Wettelijke Vertegenwoording") als de betrokkene niet handelingsbekwaam of -bevoegd is: bij vertegen¬woordiging van minderjarigen, curatele, beschermingsbewind, mentor¬schap, schuld¬sanering of faillissement. ''
::* ''Tot een onvrijwillige Machtiging kan door de wetgever of bevoegd gezag eenzijdig worden besloten ("Wettelijke Vertegenwoordiging") als de betrokkene niet handelingsbekwaam of -bevoegd is: bij vertegen-woordiging van minderjarigen, curatele, beschermingsbewind, mentor¬schap, schuld¬sanering of faillissement. ''
::* ''Machtigingen worden vaak in een Machtigingenregister vastgelegd, dit hoeft echter niet. In de fysieke wereld zie je dit bijvoorbeeld bij een stembiljet, of bij het vertegenwoordigen van minderjarigen door hun biologische ouders.''  
::* ''Machtigingen worden vaak in een Machtigingenregister vastgelegd, dit hoeft echter niet. In de fysieke wereld zie je dit bijvoorbeeld bij een stembiljet, of bij het vertegenwoordigen van minderjarigen door hun biologische ouders.''  
  <tr><td>
<div class="mw-collapsible mw-collapsed"> '''Vouw uit voor specifieke definities uit toepassingsgebieden'''
<div class="mw-collapsible-content">
* '''Persoonsidentificatiegevens''' (digitale identiteit) ([[EIDAS verordening]]) Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (artikel 3)''een reeks gegevens aan de hand waarvan de identiteit van een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, kan worden vastgesteld''
* '''Vertegenwoordiging''' (Machtiging)  ([[Stelsel_Elektronische_Toegangsdiensten]]) Bron: [https://afsprakenstelsel.etoegang.nl/pages/viewpage.action?pageId=59738023]: ''De rechtsfiguur die inhoudt dat de rechtsgevolgen van een door een bepaalde Partij (de Vertegenwoordiger of Gemachtigde) in naam van een andere partij (de Vertegenwoordigde dienstafnemer) met een derde verrichte handeling aan de vertegenwoordigde worden toegerekend. De Bevoegdheid tot het verrichten van vertegenwoordigingshandelingen vloeit voort uit hetzij de wet hetzij een volmacht (privaatrecht) hetzij uit een machtiging (bestuursrecht). Zo'n bevoegdheid kan eventueel ingeperkt zijn tot bepaalde rechtshandelingen, of een bepaalde relevante omvang ten aanzien van rechtshandelingen.''
* '''Vertegenwoordiger''' ([[Stelsel_Elektronische_Toegangsdiensten]]) Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Vertegenwoordiger]: ''De Partij die bevoegd is om een andere partij (de vertegenwoordigde) te vertegenwoordigen in het verrichten van handelingen met derden.''
* '''Vertegenwoordigde'''(Belanghebbende)  ([[Stelsel_Elektronische_Toegangsdiensten]]) Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Vertegenwoordigde] ''De partij die de vertegenwoordiger de bevoegdheid heeft verleend om in naam van eerstgenoemde te handelen.''
* '''Machtiging''' ([[Stelsel_Elektronische_Toegangsdiensten]]) Bron: [https://afsprakenstelsel.etoegang.nl/pages/viewpage.action?pageId=59738078]: ''Een herroepbare bevoegdheid die een vertegenwoordigde verleent aan een andere partij (de gemachtigde) om in naam van eerstgenoemde rechtshandelingen te verrichten. Een machtiging kan algemeen of bijzonder zijn. Een bijzondere machtiging is beperkt tot bepaalde rechtshandelingen of een bepaalde relevante omvang ten aanzien van rechtshandelingen. Machtiging kan worden gezien als synoniem aan volmacht zij het dat de term machtiging voornamelijk in bestuursrechtelijke context wordt gebruikt.''
* '''Gemachtigde''' (Vertegenwoordiger) ([[Stelsel_Elektronische_Toegangsdiensten]]) Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Gemachtigde]: ''De partij die (op grond van wet of machtiging c.q. volmacht) bevoegd is om in naam van de vertegenwoordigde bepaalde handelingen te verrichten''
</div> </div> <!-- end of collapsible content -->
</table>
</table>
Het objectmodel hieronder beschrijft de samenhang en relaties tussen de begrippen op basis van de definities. Er zijn hier twee relaties opgenomen: Specialisatie A --> B (A is een specifieke versie van B) en Aggregatie A --<> B (De definitie van B gebruikt begrip A). Het objectmodel is geen datamodel; in dat geval zou de relatie tussen Attribuut en Entiteit andersom getekend worden.  
Het objectmodel hieronder beschrijft de samenhang en relaties tussen de begrippen op basis van de definities. Er zijn hier twee relaties opgenomen: Specialisatie A --> B (A is een specifieke versie van B) en Aggregatie A --<> B (De definitie van B gebruikt begrip A). Het objectmodel is geen datamodel; in dat geval zou de relatie tussen Attribuut en Entiteit andersom getekend worden.  


[[Afbeelding:model_zonder_persoon.jpg|thumb|none|750px|Objectmodel Definities Identity & Access Management|alt=”Objectmodel Definities Identity & Access Management”]]  
[[Afbeelding:model_zonder_persoon.jpg|thumb|none|750px|Objectmodel Definities Identity & Access Management|alt=”Objectmodel Definities Identity & Access Management”]]


=== Gedragsmodel Identiteiten ===
== Gedragsmodel Identiteiten ==
Een gedragsmodel beschrijft op basis van welke informatie (veelal links getekend) door een proces (meestal in het midden) wordt omgezet naar nieuwe informatie (rechtsgetekend). De actoren die het proces uitvoeren zijn niet getekend omdat de namen die aan de actoren gegeven worden sterk verschillen per toepassingsgebied.  
Een gedragsmodel beschrijft op basis van welke informatie (veelal links getekend) door een proces (meestal in het midden) wordt omgezet naar nieuwe informatie (rechtsgetekend). De actoren die het proces uitvoeren zijn niet getekend omdat de namen die aan de actoren gegeven worden sterk verschillen per toepassingsgebied.  


Regel 120: Regel 137:
* NORA Online: [[Identiteitenbeheer]], [[Identificatie ]], [[Self Sovereign Identity - de digitale identiteit ]]
* NORA Online: [[Identiteitenbeheer]], [[Identificatie ]], [[Self Sovereign Identity - de digitale identiteit ]]
* Wikipedia: [https://nl.wikipedia.org/wiki/Self-sovereign_identity Self Sovereign Identity].
* Wikipedia: [https://nl.wikipedia.org/wiki/Self-sovereign_identity Self Sovereign Identity].
  <tr><td>
<div class="mw-collapsible mw-collapsed"> '''Vouw uit voor specifieke definities uit toepassingsgebieden'''
<div class="mw-collapsible-content">
* '''elektronische identificatie''' (identificatie) ([[EIDAS verordening]]) <br>Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (artikel 3): ''het proces van het gebruiken van persoonsidentificatiegegevens in elektronische vorm die op unieke wijze een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, aanduiden;''
</div> </div> <!-- end of collapsible content -->
</table>
</table>


=== Gedragsmodel Authenticatie ===
== Gedragsmodel Authenticatie ==
[[Afbeelding:Gedrag3.jpg|thumb|none|750px|Authenticatie|alt=”Authenticatie  middelen beheer”]]<br>
[[Afbeelding:Gedrag3.jpg|thumb|none|750px|Authenticatie|alt=”Authenticatie  middelen beheer”]]<br>


Regel 146: Regel 168:
<table class="wikitable">
<table class="wikitable">
   <tr><td>
   <tr><td>
'''<u>Authenticatie </u>'''<br>De functie Authenticatie levert aan de hand van Authenticatiemiddelen Identiteitsverklaringen voor Digitale identiteiten. Wanneer noodzakelijk voor latere autorisatie worden één of meer Attributen opgenomen in een Identiteitsverklaring.
'''<u>Authenticatie (als functie)</u>'''<br>De functie Authenticatie levert aan de hand van Authenticatiemiddelen Identiteitsverklaringen voor Digitale identiteiten.  
 
* ''Wanneer noodzakelijk voor latere autorisatie worden één of meer Attributen opgenomen in een Identiteitsverklaring. ''
</table>
 
<table class="wikitable">
  <tr><td>
 
'''Authenticatie (Authenticeren) '''<br>Het proces waarbij op basis van één of meer Authenticatiefactoren wordt geverifieerd of de Identiteit die door de Entiteit geclaimd, ook daadwerkelijk behoord bij betreffende Identiteit op het aangegeven betrouwbaarheidsniveau. Hieronder valt de controle op de geldigheid van de gebruikte authenticatiemiddelen.  
'''Authenticatie (Authenticeren) '''<br>Het proces waarbij op basis van één of meer Authenticatiefactoren wordt geverifieerd of de Identiteit die door de Entiteit geclaimd, ook daadwerkelijk behoord bij betreffende Identiteit op het aangegeven betrouwbaarheidsniveau. Hieronder valt de controle op de geldigheid van de gebruikte authenticatiemiddelen.  
* ''Bij authenticatie kunnen attributen gebruikt worden waarin de Entiteit zijn (lokale) tijd en plaats aangeeft. ''
* ''Bij authenticatie kunnen attributen gebruikt worden waarin de Entiteit zijn (lokale) tijd en plaats aangeeft. ''
Regel 163: Regel 180:
Relevante onderwerpen
Relevante onderwerpen
* NORA Online: [[Authenticatie in de praktijk]], [[Authenticatie]], [[Authenticatie (beheersmaatregel)]]
* NORA Online: [[Authenticatie in de praktijk]], [[Authenticatie]], [[Authenticatie (beheersmaatregel)]]
  <tr><td>
<div class="mw-collapsible mw-collapsed"> '''Vouw uit voor specifieke definities uit toepassingsgebieden'''
<div class="mw-collapsible-content">
* '''Authenticatie''' ([[EIDAS verordening]]) <br>Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (artikel 3)een elektronisch proces dat de bevestiging van de elektronische identificatie van een natuurlijke persoon of rechtspersoon, of van de oorsprong en integriteit van gegevens in elektronische vorm mogelijk maakt;
* '''Authenticatieverklaring''' ([[Stelsel_Elektronische_Toegangsdiensten]]) <br>Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Authenticatieverklaring] Een Verklaring waaruit het bestaan en de juistheid kan worden opgemaakt van een Authenticatie (authenticeren) die heeft plaatsgevonden in de context van een bepaalde handeling of dienst.
</div> </div> <!-- end of collapsible content -->
</table>
</table>


=== Gedragsmodel Bevoegdheden en Autorisatie ===
== Gedragsmodel Bevoegdheden en Autorisatie ==
De functie Bevoegdhedenbeheer zorgt voor een formele (en actuele) vastlegging van Bevoegdheden, die vanuit de Digitale identiteit van de Belanghebbende worden toegekend aan de Digitale identiteit van de Vertegenwoordiger. De bevoegdheid is veelal beperkt tot een Resource/een reeks Resources. De bevoegdheid kan voor beperkte duur gelden, of gelden totdat die wordt ingetrokken.
De functie Bevoegdhedenbeheer zorgt voor een formele (en actuele) vastlegging van Bevoegdheden, die vanuit de Digitale identiteit van de Belanghebbende worden toegekend aan de Digitale identiteit van de Vertegenwoordiger. De bevoegdheid is veelal beperkt tot een Resource/een reeks Resources. De bevoegdheid kan voor beperkte duur gelden, of gelden totdat die wordt ingetrokken.


Regel 207: Regel 230:
   <tr><td>
   <tr><td>
Gerelateerde onderwerpen
Gerelateerde onderwerpen
* NORA Online: [[Bevoegdhedenbeheer]], [[Bevoegdhedenbeheer (inclusief machtigen)]]
* NORA Online: [[Bevoegdhedenbeheer]], [[Bevoegdhedenbeheer]] (inclusief machtigen)
  <tr><td>
<div class="mw-collapsible mw-collapsed"> '''Vouw uit voor specifieke definities uit toepassingsgebieden'''
<div class="mw-collapsible-content">
* '''Autorisatie'''([[Stelsel_Elektronische_Toegangsdiensten]]) <br>Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Autorisatie] ''Het verlenen van toestemming (een bevoegdheid) aan een geauthenticeerde partij om toegang te krijgen tot een bepaalde dienst of toestemming om een bepaalde actie uit te voeren. Een autorisatie kan worden vastgelegd in toegangsrechten. Het verlenen van toegang kan (mede) gebaseerd zijn op die in toegangsrechten vastgelegde autorisatie.''
</div> </div> <!-- end of collapsible content -->
</table>
</table>


==Nog te definiëren begrippen ==
== Ontstaansgeschiedenis en verantwoording ==


* Partij
De definities op deze pagina zijn overgenomen van een werkgroep die zich heeft georiënteerd op de aspecten Identificatie, Authenticatie en Autorisatie (IAA) gerelateerd aan de Wet GDI (tegenwoordig de Wet Digitale Overheid) en bestaat uit een aantal relevante basisbegrippen uit de Uniforme Set van Eisen (USvE). Diverse begrippen die daarin ontbraken, zijn door die werkgroep overgenomen uit het Netwerk voor Elektronische Toegangsdiensten (NvETD), eHerkenning & Idensys, de [[eIDAS verordening]] of de werkgroep (WG) heeft hiervoor een eigen definitie geformuleerd.


* Rol
De NORA gebruikt Wikipedia en Open Standaarden als bronnen voor herbruikbare definities; het volstaat echter niet om alleen Wikipedia als bron te gebruiken. In veel wet- en regelgeving en "afsprakenstelsels" e.d. zijn ook definities opgenomen die voor de gebruikers van de NORA van belang zijn. De volgende bronnen zijn voornamelijk gebruikt bij het opstellen van de definities:
* Niet-vrijwillig Vertegenwoordigde (zoals bij een wettelijke vertegenwoordiging)
* Internationale Standaard ISO/IEC 24760-1:2019(E).  
 
* Bij het NORA thema Beveiliging: [[Themapatroon identity & access_management]]
Ketenverklaring: In beginsel is iemand of een organisatie verantwoordelijk voor zijn/haar totale aanbieding (dienst/service). Ongeacht verplichte winkelnering. Als iemand via een eloket susidie verstrekt en DigiD heeft een storing waardoor de aanvrager niet binnen de wettelijke indien termijn kan indienen – dan kan niet de schuld verschoven worden naar DigiD. Ze hadden regelingen moeten treffen om dat probleem te borgen. Bijvoorbeeld door op die momenten aan te geven dat een simpele tijdig verstuurde email vooralsnog voldoende is, waarna na de storing de aanvraag compleet gemaakt kan worden.
* Het [https://afsprakenstelsel.etoegang.nl/display/as/Begrippenlijst Begrippenlijst Afsprakenstelsel Elektronische Toegangsdiensten] voor e-toegang voor burgers en bedrijven
 
* Het [http://wetten.overheid.nl/BWBR0037987 ‘Besluit verwerking persoonsgegevens generieke digitale infrastructuur’] voor burgers, met in Hoofdstuk 1 - Artikel 1 de definities
== Al opgenomen als begrip in NORA-online ==
* De [http://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32015R1502&from=EN Europese Verordening 910/2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties], met in Artikel 3 veel definities t/m die over handtekeningen aan toe
{{#ask:[[Categorie:Begrippen]][[Categorie:IAM]]
|?Titel=begrip
|?Beschrijving
|format=sortable mediawiki
}}
 
== Nog op te nemen in noraonline ==
{| class="wikitable sortable"
! Begrip !! Omschrijving !! Bron !! Opmerking
|-
! Afsprakenstelsel
| Het geheel aan afspraken op gebied van organisatie, besturing, toezicht, beheer, architectuur, toepassingen, techniek. procedures en regels aangaande het Netwerk (voor Elektronische Toegangsdiensten) in een bepaalde vastgestelde versie. Het doel is betrouwbare authenticatie en verstrekking van identiteitsinformatie op basis van de eHerkenningsdiensten van een goed gereguleerd netwerk voor eHerkenning. Dit begrip kan ook voor andere IAA stelsels gebruikt worden, zoals het Entree Federatie of SURFconext stelsel (WG). || USvE || Voorstel HKr> Een afsprakenstelsel voor toegang is het geheel aan afspraken op gebied van organisatie, besturing, toezicht, beheer, architectuur, toepassingen, techniek. procedures en regels die van toepassing zijn binnen een specifiek toepassingsgebied. <br>''Het bevat vaak afspraken over alle deelgebieden binnen IAM.''<br>''Afsprakenstelsels worden vooral gebruik als één kader nodig is voor een veelvoud aan betrokken partijen, zoals bij toegang tot digitale diensten van de overheid.''
|-
! Authenticatie
| De controle (het staven) van een geclaimde identiteit van een Gebruiker || USvE || https://www.noraonline.nl/wiki/Authenticatie
|-
! ???
| een elektronisch proces dat de bevestiging van de elektronische identificatie van een natuurlijke persoon of rechtspersoon, of van de oorsprong en integriteit van gegevens in elektronische vorm mogelijk maakt || eIDAS verordening ||
|-
! Authenticatiedienst (AD)
| Een Authenticatiedienst (AD) voert authenticatieprocedures uit waarmee Gebruikers worden geauthentiseerd daarbij gebruikmakend van elektronische Authenticatiemiddelen verstrekt door een Middelenuitgever. De Authenticatiedienst levert op basis van de authenticatieprocedure een Authenticatieverklaring aan de Toegangsdienst. || USvE ||
|-
! Authenticatieketen
| De Authenticatieketen bestaat uit één Authenticatiedienst en één of meerdere Toegangsdiensten en Middelenuitgevers. || USvE ||
|-
!
| Gezamenlijk kunnen deze partijen een Gebruiker authenticeren ten behoeve van een Dienstverlener ||  ||
|-
! Authenticatiemiddel
| Een middel op grond waarvan authenticatie van een gebruiker kan plaatsvinden. In de eIDAS uitvoeringsverordening EU 2015 / 1502 wordt aan Authenticatiemiddelen gerefereerd als "elektronisch identificatiemiddel". || USvE ||
|-
! Authenticatieverklaring
| Een gestandaardiseerd elektronisch bericht (conform koppelvlakspecificaties) opgesteld en ondertekend door een Authenticatiedienst, ten behoeve van en versleuteld voor een Ontvangende Partij. De Authenticatiedienst verklaart daarmee dat hij een Gebruiker succesvol heeft geauthenticeerd als de meegeleverde Versleutelde Identiteit/Pseudoniem, volgens eisen die het normenkader stelt aan betreffende Betrouwbaarheidsniveau voor een bepaalde handeling of Dienst. || USvE ||
|-
! Autorisatie
| Het verlenen van toestemming (een bevoegdheid) aan een geauthenticeerde partij om toegang te krijgen tot een bepaalde dienst of toestemming om een bepaalde actie uit te voeren.Een autorisatie kan worden vastgelegd in toegangsrechten. Het verlenen van toegang kan (mede) gebaseerd zijn op die in toegangsrechten vastgelegde autorisatie. Autorisatie is GEEN synoniem voor machtiging. || NvETD || https://www.noraonline.nl/wiki/Autorisatie
|-
! Autorisatielijst BSN
| De Autorisatielijst BSN is een lijst met Dienstverleners die geautoriseerd zijn voor ontvangst van het BSN, beschikbaar gesteld en ondertekend door de Beheerorganisatie BSNk. Deze Dienstverlener moet daarvoor minimaal één Dienst hebben waarvoor hij een wettelijke taak uitvoert waarbij een BSN nodig is. Een Dienstverlener moet dan aan de eisen voldoen die de Wet Digitale Overheid (WDO) stelt aan een Dienstverlener (onder meer op de gebieden privacy en beveiliging). || USvE ||
|-
! Betrouwbaarheidsniveau
| In deze context: de mate van zekerheid die over de identiteit van een Gebruiker gegeven kan worden bij gebruik van zijn Authenticatiemiddel. De eIDAS-verordening onderscheidt de niveaus laag, substantieel en hoog. De uitvoeringsverordening EU 2015/1502 definieert de eisen aan deze betrouwbaarheidsniveaus. || USvE ||
|-
! BSN
| Het Burgerservicenummer (BSN) is het Persoonlijke identificatie nummer van de Nederlandse overheid voor natuurlijke personen. Een BSN is een identificatienummer. Dit is een nummer dat bij wet is voorgeschreven om een persoon te identificeren en mag alleen worden gebruikt voor de uitvoering van die wet. Of voor doeleinden die in de wet staan. Dat staat in artikel 24 van de Wet bescherming persoonsgegevens. Organisaties kunnen het verbod om het BSN te gebruiken niet doorbreken door toestemming aan mensen te vragen voor het gebruik van hun BSN. || USvE /AP[1] || https://www.noraonline.nl/wiki/Burgerservicenummer_(BSN)
TODO: verwerken van: Reactie: In het onderste plaatje op https://nl.wikipedia.org/wiki/EID-stelsel was sprake van pseudo ID’s. Afgeleid van het BSN, maar opgeknipt over het stelsel. Toelichten of en in hoe verre ‘onherkenbaar’/afgeleid toegestaan is.
In dit filmpje van RvIG op https://nl.wikipedia.org/wiki/Self-sovereign_identity wordt gesproken over een virtueel ID op het(zelfde) niveau als een paspoort. Zou dat ID ook gebruikt mogen worden om op een bedrijfsnetwerk aan te loggen. Dit een beetje in het verlengde van de RIN discussie destijds, dat een BSN niet voor bedrijfsvoering gebruikt mag worden. Ik zie dat met de komst van SSI en een virtueel paspoort steeds meer tot de (toekomstig goedgekeurde?) mogelijkheden behoren. Maar misschien is het beter om obv een papieren of virtueel paspoort een DID te maken die op geen enkele wijze aan een BSN is gekoppeld, zoals een RIN 😉
 
|-
! BSN-domein
| Het onderdeel binnen het Publieke domein waarin het BSN bij de interactie gebruikt wordt. || USvE ||
|-
! BSNk
| Het BSNk is een voorziening in het kader van de Generieke Digitale Infrastructuur (GDI) die het mogelijk maakt om publieke en private authenticatiemiddelen te gebruiken in het publiek domein. || USvE ||
|-
! Dienst
| Een Dienst is een samenstel van elektronisch aanbod waarvoor authenticatie voorwaardelijk is. || USvE || https://www.noraonline.nl/wiki/Dienst
|-
! Dienstverlener
| Dienstverlener is een rol die elektronische Diensten aanbiedt aan Gebruikers waarvoor Authenticatie voorwaardelijk is. Ook wel Dienstaanbieder (NvETD). || USvE || https://www.noraonline.nl/wiki/Dienstverlener
|-
! Elektronische identificatie
| het proces van het gebruiken van persoonsidentificatiegegevens in elektronische vorm die op unieke wijze een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, aanduiden || eIDAS verordening ||
|-
! Elektronisch identificatiemiddel
| een materiële en/of immateriële eenheid die persoonsidentificatiegegevens bevat en die gebruikt wordt voor authenticatie bij een onlinedienst || eIDAS verordening ||
|-
! EntityConcernedID
| A SAML Attribute element with the identifying attribute of the service consumer that is represented by the user (who might be the same). || NvETD/SAML ||
|-
! Gebruiker
| Een Natuurlijk persoon die een Authenticatiedienst gebruikt voor Authenticatie ten behoeve van het afnemen van een Dienst bij een Dienstverlener. Ook wel genoemd Dienstafnemer (NvETD). || USvE || https://www.noraonline.nl/wiki/Gebruiker
|-
! Gekwalificeerde verlener van vertrouwensdiensten
| een verlener van vertrouwensdiensten die één of meerdere gekwalificeerde vertrouwensdiensten verleent en van het toezichthoudende orgaan de status van gekwalificeerde heeft gekregen || eIDAS verordening ||
|-
! Gemachtigde
| De partij die (op grond van wet of machtiging c.q. volmacht) bevoegd is om in naam van de vertegenwoordigde bepaalde handelingen te verrichten waarvan de rechtsgevolgen worden toegerekend aan de vertegenwoordigde. Voor zover de gemachtigde een natuurlijk persoon is, geldt geen beperking ten aanzien van het voorkomen van niet ingezetenen als gemachtigde. Zo kan ook een buitenlandse natuurlijke persoon gemachtigde zijn. || NvETD ||
Synoniem = Vertegenwoordiger
|-
! Identificeren
| Het noemen van attributen van een entiteit om deze in een bepaalde context uniek aan te duiden. In de context van Elektronische Toegangsdiensten gaat het over identificatie van partijen. Zie toegevoegde definitie ‘elektronische identificatie’ || NvETD || https://www.noraonline.nl/wiki/Identificatie
|-
! Identifier
| Een label (meestal een string of tekst) waarmee je een entiteit (een gebruiker, object o.i.d.) aanduidt. Dit maakt het mogelijk om naar een entiteit te verwijzen. Zo’n entiteit heeft meestal meerdere identifiers die in verschillende contexten nuttig kunnen zijn (denk aan: uid enz.). De identifier van een bepaalde dienstafnemer wordt door het IAA stelsel geleverd. Voorbeelden hiervan zijn het BSN of een specifiek pseudoniem || SURF ||
|-
! Identiteit
| De volledige maar dynamische set van alle attributen behorende bij een bepaalde entiteit die het mogelijk maakt betreffende entiteit van andere te onderscheiden. Elke entiteit heeft maar één identiteit. De identiteit behoort toe aan de entiteit. || NvETD ||
|-
! Identiteit
| Een identiteit is een set gegevens (attributen) welke tezamen specifiek kenmerkend zijn voor die ene specifieke entiteit binnen de gegeven context.
Iedere entiteit (dus ook een natuurlijke persoon) heeft een oneindig aantal identiteiten omdat een identiteit een "afbeelding", een set kenmerkende gegevens over die entiteit is, die slechts zinvol is binnen de gegeven context. || NORA IAM || Opmerking vanuit de review IAM: Identiteit lijkt een digitale representatie te zijn van een Persoon of een Systeem. In de definitie wordt het concept entiteit gebruikt, maar niet uitgelegd. Synoniem = Persoonsidentificatiegegevens
|-
! Inzetgebied
| Een inzetgebied wordt in technische zin gekenmerkt door één of meer Identificerende kenmerken. Voorbeelden zijn: bedrijven (EntityConcernedID:KvKnr en EntityConcernedID:RSIN), beroepsbeoefenaren, consumenten (EntityConcernedID:Pseudo) of burgers (EntityConcernedID:BSN).  || NvETD ||
|-
! Inzetgebied
| De gebruikte definitie geldt voor elk concept, is niet precies genoeg. || review IAM ||
|-
! Machtiging
| Een herroepbare bevoegdheid die een vertegenwoordigde verleent aan een andere partij (de gemachtigde) om in naam van eerstgenoemde rechtshandelingen te verrichten. || NvETD ||
|-
! Machtigingenregister
| Een vereiste Rol binnen het Netwerk (voor Elektronische Toegangsdiensten) die door een Deelnemer aan het Afsprakenstelsel (AS) wordt ingevuld en die de verantwoordelijkheid heeft voor het registreren, beheren, controleren van machtigingen en andere bevoegdheden en het afleggen van verklaringen over bevoegdheden (c.q. het op verzoek van de Gebruiker verstrekken van machtigingsverklaringen). || NvETD ||
|-
! Machtigingverklaring
| Een elektronisch vastgelegde verklaring waaruit het bestaan en de juistheid kan worden opgemaakt van een in een geregistreerde machtiging zoals deze gecontroleerd is in een Machtigingen­register ten behoeve van een bepaalde handeling of dienst. || NvETD || Machtigingsverklaring heet meer algemeen Bevoegdheidsverklaring die ook voor een wettelijke vertegenwoordiging kan worden afgegeven.
|-
! Middelenuitgever
| De Middelenuitgever (MU) is een rol van een Participant die een elektronisch Authenticatiemiddel verstrekt aan de Gebruiker en het middel bij het BSNk activeert voor gebruik in het Publieke domein. De Middelenuitgever biedt de Gebruiker de mogelijkheid om zijn Authenticatiemiddel(en) te beheren en zorgt ervoor dat het BSNk Inzageregister een actuele status van de Authenticatiemiddelen (of de relatie) heeft. || USvE ||
|-
! Natuurlijk persoon
| Een individueel menselijk wezen en subject van rechten en drager van plichten. || USvE ||
|-
! Niet Natuurlijk Persoon
| Hetzij een rechtspersoon, hetzij een samenwerkingsverband van natuurlijke personen en/of rechtspersonen. || USvE ||
|-
! Ondertekendienst
| Een rol binnen het Netwerk (voor Elektronische Toegangsdiensten) die door een Deelnemer aan het Afsprakenstelsel (AS) wordt ingevuld. In opdracht van een Dienstverlener (DV) ondersteunt deze de Gebruiker bij het ondertekenen van een PDF-document. || NvETD ||
|-
! Participant
| Een partij in de Authenticatieketen waarvan is vastgesteld door de Minister van Binnenlandse Zaken en Koninkrijksrelaties dat deze voldoet aan de eisen zoals gesteld in de Uniforme Set van Eisen. Ook wel Deelnemer (NvETD). || USvE ||
Synoniem = Deelnemer
|-
! Persoonsidentificatiegegevens
| een reeks gegevens aan de hand waarvan de identiteit van een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, kan worden vastgesteld || eIDAS verordening ||
|-
! Polymorfe identiteit/pseudoniem
| Polymorfe Identiteit (PI) en de Polymorfe Pseudoniem (PP) zijn specifieke cryptografische elementen die op aanvraag van een Middelenuitgever door het BSNk afgeleid worden van een identiteit van de Gebruiker (BSN in geval van het Publiek Domein). De PI en PP zijn specifiek voor de aanvragende Middelenuitgever en daarom worden ze genoteerd als PI@Middelenuitgever (MU), bijvoorbeeld voor de RDW): PI@RDW en PP@RDW. Deze PI@MU en PP@MU1 kunnen gebruikt worden door een Authenticatiedienst om een Gebruiker te authenticeren (zie USvE voor meer informatie). || USvE ||
|-
! Private dienst
| Dienst buiten het publiek domein || WG ||
|-
! Protocoltranslatie
| Functie om volgens een bepaalde voorschriften een voorspelbare en betrouwbare translatie van een protocol uit te kunnen voeren, bijvoorbeeld van SAML naar OpenID Connect. Deze functie wordt beschreven in het Toekomstperspectief toegang. || WG ||
|-
! Publieke dienst
| Dienst in het publiek domein || WG ||
|-
! Publieke domein
| Het domein waarbij interacties plaatsvinden tussen natuurlijke personen / niet-natuurlijke personen enerzijds en de Dienstverleners met een publieke taak anderzijds. Een Dienstverlener is 'publiek' wanneer het een bestuursorgaan in de zin van afdeling 1.1 van de Algemene wet bestuursrecht betreft, maar ook wanneer het andere overheidsorganen alsmede natuurlijke en rechtspersonen, niet zijnde overheidsorganen betreft, die vanwege het uitoefenen van een publieke taak gerechtigd zijn het burgerservicenummer (BSN) te gebruiken. || USvE ||
|-
! Routeringsvoorziening, Routeringsdienst
| Met Routeringsvoorziening wordt het geheel van technische en organisatorische componenten bedoeld ter ontzorging van publieke dienstverleners, zoals bedoeld in de wet Digitale Overheid (artikel 5, lid 1, sub c). Met Routeringsdienst wordt bedoeld: de dienst die onder regie en auspiciën van de Regieorganisatie wordt geleverd aan de dienstverleners door één der beide Routeringsdiensten. ||  ||
|-
! Routeringsvoorziening, Routeringsdienst
| Dit zijn 2 verschillende concepten, de definitie van routeringsdienst bevat recursiviteit. || review IAM ||
|-
! Single Sign On
| Een functie die wordt gefaciliteerd zoals omschreven in het Afsprakenstelsel (AS), waardoor een authenticatie van een gebruiker wordt hergebruikt, waardoor deze gebruiker niet opnieuw hoeft in te loggen. || NvETD || https://www.noraonline.nl/wiki/Patroon_voor_single_sign-on
|-
! Specifiek pseudoniem
| Pseudoniem dat gedurende een langere periode toegepast wordt in een specifiek werkingsdomein. Een dienstverlenerspecifiek pseudoniem is steeds hetzelfde voor dezelfde Dienstverlener (DV) in wiens context het gebruikt wordt, een dienstafnemerspecifiek pseudoniem is steeds hetzelfde voor de context van één dienstafnemer etc. || NvETD ||
|-
! Stelsel voor elektronische identificatie
| een stelsel voor elektronische identificatie waarbinnen elektronische identificatiemiddelen worden uitgegeven aan natuurlijke personen, rechtspersonen of natuurlijke personen die rechtspersonen vertegenwoordigen || eIDAS verordening ||
|-
! Toegangsdienst
| Een Toegangsdienst (TD) verstrekt verklaringen over de identiteit van een Gebruiker aan de Dienstverlener. Op basis van deze verklaring besluit de Dienstverlener over toegang van de Gebruiker tot de Dienst. De Toegangsdienst verstrekt de verklaringen op basis van verklaringen van een Authenticatiedienst. De Toegangsdienst biedt de Gebruiker de mogelijkheid een Authenticatiedienst te kiezen. || USvE ||
|-
! Verklaring
| Een elektronisch vastgelegd bericht dat gevraagde identiteitsinformatie en attributen bevat conform de koppelvlakspecificaties en waarvoor een bepaalde Deelnemer aantoonbaar instaat. Afhankelijk van de betreffende identiteitsinformatie wordt gesproken van een authenticatieverklaring, een machtigingsverklaring of een Ketenverklaring. Een verklaring kan andere verklaringen omvatten en voor de aantoonbaarheid vereisen, dan wordt gesproken over een verklaring over x en y waarbij de wijze waarop de verklaringen in elkaar grijpen in detail in de Interface specifications is beschreven. || NvETD ||
|-
! Vertegenwoordigde
| De partij die de vertegenwoordiger de bevoegdheid heeft verleend om in naam van eerstgenoemde te handelen. || NvETD ||
|-
! Vertegenwoordiger
| De Partij die bevoegd is om een andere partij (de vertegenwoordigde) te vertegenwoordigen in het verrichten van handelingen met derden. || NvETD ||
|-
! Vertegenwoordiging (vertegenwoordigen)
| De rechtsfiguur die inhoudt dat de rechtsgevolgen van een door een bepaalde Partij (de Vertegenwoordiger of Gemachtigde) in naam van een andere partij (de Vertegenwoordigde dienstafnemer) met een derde verrichte handeling aan de vertegenwoordigde worden toegerekend. De Bevoegdheid tot het verrichten van vertegenwoordigingshandelingen vloeit voort uit hetzij de wet hetzij een volmacht (privaatrecht) hetzij uit een machtiging (bestuursrecht). Zo'n bevoegdheid kan eventueel ingeperkt zijn tot bepaalde rechtshandelingen, of een bepaalde relevante omvang ten aanzien van rechtshandelingen. In privaatrechtelijke context wordt naast het begrip vertegenwoordiger, agent of gevolmachtigde gehanteerd in plaats van gemachtigde. || NvETD ||
|-
! Vertrouwende partij
| een natuurlijke persoon of een rechtspersoon die vertrouwt op een elektronische identificatie of een vertrouwensdienst || eIDAS verordening ||
|-
! Vertrouwensdienst
| een elektronische dienst die gewoonlijk tegen betaling wordt verricht en het onderstaande inhoudt:
# het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, diensten voor elektronisch aangetekende bezorging en op deze diensten betrekking hebbende certificaten of
#  het aanmaken, verifiëren en valideren van certificaten voor authenticatie van websites, of
# het bewaren van elektronische handtekeningen, zegels of certificaten die op deze diensten betrekking hebben;


|| eIDAS verordening ||
[[Categorie:Over Begrippen]][[Categorie:Overzichten]][[Categorie:IAM]]
|-
! Verlener van vertrouwensdiensten
| een natuurlijke persoon of rechtspersoon die een of meer vertrouwensdiensten verleent als een gekwalificeerde of als een niet-gekwalificeerde verlener van vertrouwensdiensten || eIDAS verordening ||
|-
! Wet Digitale Overheid
| De Wet digitale overheid is momenteel een wetsvoorstel. De inwerkingtreding van het wetsvoorstel is gepland op 1 januari 2019. De wet Digitale Overheid bestaat uit standaarden, producten en voorzieningen die gezamenlijk gebruikt worden door (alle) meerdere overheden, vele publieke organisaties en in een aantal gevallen ook door private partijen. ||  ||
|-
! Wet Generieke Digitale Infrastructuur (GDI)
| Voormalige naam voor Wet Digitale Overheid. De naam van de Wet generieke digitale infrastructuur (wet GDI) is op 15 november veranderd in Wet digitale overheid || WG ||
|-
! Wettelijke vertegenwoordiging
| Een Vertegenwoordiging (vertegenwoordigen) die voortvloeit uit de wet zonder dat er sprake is van het toekennen van een volmacht of machtiging door de Vertegenwoordigde. Voorbeelden zijn: de bestuurder(s) van een Rechtspersoon, de curator, de ouders van een minderjarige. || NvETD ||
|-
|}

Huidige versie van 24 jan 2024 om 21:35

Identity & Access Management (IAM)
Onderdeel van
Thema's
Contact
Harro Kremer
harro.kremer@jio.nl
Status
Actueel



In de Expertgroep IAM januari 2024 is besloten de begrippen te updaten en waar mogelijk de begrippen te integreren in het NORA-brede Begrippenkader. De voortgang hiervan wordt bijgehouden op Update IAM begrippen 2024.

Doel en proces opname[bewerken]

Deze lijst met begrippen werd opgesteld om binnen de overheid c.q. samenleving te komen tot meer eenduidige en gedeelde beelden inzake Identity & Access Management (IAM). Doel is om de relevante begrippen in de NORA op te nemen, samen met een visualisatie en beschrijving van hun samenhang.

Het is een generiek en toepassings-onafhankelijk begrippenkader voor IAM. De toepassingsgebieden waarin IAM wordt gebruikt, hanteren elk vaak eigen, op de toepassing toegesneden, definities, waardoor een grote variëteit aan net-niet-gelijke definities is ontstaan. Begrippen IAM biedt een basis set aan definities als Referentie Architectuur voor consistente uitwerkingen binnen de NORA van deelaspecten van IAM. De gangbare synoniemen en toepassings-specifieke definities zijn ter verduidelijking opgenomen in uitklapbare secties.

Elk begrip dat breed genoeg gedragen blijkt, wordt toegevoegd aan het Begrippenkader van NORA. Voor die begrippen is het mogelijk om een tooltip met de beschrijving van het begrip te tonen door de muis boven het woord stil te houden, op welke pagina het woord dan ook staat. Waar mogelijk wordt de samenhang van begrippen aangegeven en gevisualiseerd.

Objectmodel Definities[bewerken]

Het objectmodel voor IAM identificeert welke concepten uit de reële wereld relevant zijn voor het onderwerp IAM, en het beschrijft de relaties tussen de objecten. De figuur hieronder is grafische weergave van de concepten en hun relaties; de uitwerking in een architectuur model staat na de definitie uitgetekend.

”Bestuurlijke plaat Identity & Access Management”
Objectmodel Bestuurlijke plaat IAM

Entiteit
Een herkenbaar en onderscheidbaar iets dat relevant is voor IAM en waarbij een Digitale Identiteit kan behoren.

  • Een Entiteit kan zowel een fysieke als logische form hebben. Voorbeelden van Entiteiten zijn, een persoon, een organisatie, een fysiek apparaat, een SIM kaart, een software toepassing en een proces dat draait op een fysiek apparaat.
  • Er is een onderscheid tussen 3 soorten Entiteiten: Natuurlijke Personen, Niet-Natuurlijke personen en Devices.

Natuurlijk persoon
Een persoon van vlees en bloed die rechten en plichten kan hebben

  • Er zijn meerdere soorten te onderkennen, een daarvan is het onderscheid tussen personen die ingezetene zijn van Nederland en zij dit dat niet zijn

Niet-Natuurlijk Persoon
Een Niet-Natuurlijk Persoon is een Rechtspersoon of een samenwerkingsverband van Natuurlijk Personen. Een Rechtspersoon is een door de wet mogelijk gemaakte entiteit, die drager kan zijn van rechten en plichten.

  • Zie hier voor een uitleg van het begrip Rechtspersoon. Een BV, NV, Stichting en vereniging zijn voorbeelden van een Rechtspersoon; een Maatschap en VOF zijn samenwerkingsverbanden die geen Rechtspersoon zijn.
  • Niet-natuurlijke personen zijn meestal geregistreerd zijn in HR (Basisregistratie Handelsregister); Er zijn een 4-tal "sui generis" organisaties die bij wet zijn gedefinieerd (Rechtspraak, Hoge Raad, Openbaar Ministerie en Nationale Politie) die niet in die Basisregistratie voorkomen.

Device (Technische component)
Een fysiek apparaat, software, of de draaiende geautomatiseerde processen.

  • Voorbeeld van Devices zijn een computer, telefoon, een app op een smartphone of een digitale deurbel met camera functie
  • Devices hebben een Digitale Identiteit nodig voor Informatiebeveiligingsfuncties.

Digitale Identiteit
Een Digitale Identiteit is een verzameling gegevens (Attributen) die een digitale representatie zijn van een Entiteit binnen een bepaald digitaal toepassingsgebied.

  • Een Entiteit kan meerdere Digitale Identiteiten hebben (binnen hetzelfde of andere contexten)
  • Digitale Identiteiten kunnen een onderlinge samenhang hebben waarbij enkele attributen in een Afhankelijke Digitale Identiteit een-op-een gelijk zijn aan de overeenkomstige attributen in een Leidende Digitale Identiteit. Het is dan een kwaliteitseis dat deze attributen in de afhankelijke Digitale Identiteit een zekere mate gelijk moeten zijn en gelijk gehouden worden aan die in de Leidende Digitale Identiteit; denk aan verschil tussen registratie in de BRP en de gegevens in een paspoort.
  • Bij een Digitale Identiteit kan metadata behoren, bijvoorbeeld de organisatie die de Digitale Identiteit heeft vastgesteld en de datum waarop dat is gedaan, en de mate van betrouwbaarheid van attributen.

Attribuut
Een enkelvoudig of samengesteld informatie element dat onderdeel is van een Digitale Identiteit; is de digitale representatie van een eigenschap van een Entiteit.

  • Het hebben van een (bedrijfs)rol is een eigenschap van een entiteit en kan dus beschouwd worden als een attribuut.

Betrouwbaarheidsniveau
De mate van zekerheid waarmee attributen, identiteiten, authenticatiemiddelen en/of bevoegdheden zijn vastgesteld.

  • Hierbij is meestal een derde/onafhankelijke partij aanwezig die op basis van vastgelegde criteria het betrouwbaarheidsniveau bepaald en die door zowel de Entiteit als de Resource vertrouwd worden.
Toepassingsgebied (Context, Inzetgebied en Domein)
Aanduiding van een omgeving waar binnen Digitale Identiteiten gebruikt worden en dus een betekenis hebben.
  • Bijvoorbeeld: "Interactie tussen Nederlands staatsburger en de Overheid"; of "werkzaam zijn voor een specifieke organisatie"
Identifier
Een or meer attributen die gezamenlijk binnen de context bij exact één Entiteit behoren.
  • Een natuurlijk persoon heeft binnen de context van burgers in Nederland meerdere Identifiers: Zowel het BSN (een enkel attribuut) als de combinatie van voor- en achternamen, geboortedatum, geboorteplaats horen bij dezelfde persoon.

Gevalideerd Identiteitsbewijs (Authenticatiemiddel, Identificatiemiddel)
Een fysiek of digitaal middel op grond waarvan authenticatie van een gebruiker kan plaatsvinden; i.e. een drager van een Digitale Identiteit met een vastgesteld betrouwbaarheidsniveau. Een Identiteitsbewijswordt met een uitgifte proces door een middelenuitgever verstrekt aan de Entiteit.

  • Het betrouwbaarheidsniveau wordt bepaald door de processen die bij de uitgifte van het middel zijn gevolgd.
  • Een Identiteitsbewijs bevat een Identifier van de gebruiker, de uitgever van het middel, en optioneel extra attributen.
  • Traditioneel wordt het begrip Authenticatiemiddel gebruikt, binnen eIDAS is gekozen voor Identificatiemiddel.
  • Certificaten en soft-tokens (bijv. OAuth, SAML of Kerberos) zijn voorbeelden van digitale Identificatiemiddelen.

Gerelateerde begrippen

Vouw uit voor specifieke definities uit toepassingsgebieden
  • Identiteit (Stelsel_Elektronische_Toegangsdiensten)
    Bron: [1] De volledige maar dynamische set van alle attributen behorende bij een bepaalde entiteit die het mogelijk maakt betreffende entiteit van andere te onderscheiden. Elke entiteit heeft maar één identiteit. De identiteit behoort toe aan de entiteit.
  • Elektronisch identificatiemiddel (Gevalideerd Identiteitsbewijs) (eIDAS-verordening)
    Bron: [2] (artikel 3): een materiële en/of immateriële eenheid die persoonsidentificatiegegevens bevat en die gebruikt wordt voor authenticatie bij een onlinedienst;
  • Betrouwbaarheidsniveau (eIDAS-verordening)
    Bron: [3] (inleiding): moet de mate van vertrouwen weergeven die in een elektronisch identificatiemiddel kan worden gesteld voor het vaststellen van de identiteit van een persoon, en moet zodoende zekerheid geven dat de persoon die beweert een bepaalde identiteit te hebben ook daadwerkelijk degene is aan wie deze identiteit is toegekend.
  • Burgerservicenummer (identifier) (Burgerservicenummer (BSN))
    Bron: [4] uniek persoonsnummer teneinde de doelmatigheid van de administraties van de overheid en enige andere sectoren te vergroten en de dienstverlening aan de burger te verbeteren
    Bron: [5] Het burgerservicenummer (BSN) is een uniek persoonsnummer voor iedereen die ingeschreven staat in de Basisregistratie Personen (BRP).
  • Publieke domein (Toepassingsgebied) (Stelsel_Elektronische_Toegangsdiensten)
    Bron: [6] Het domein waarbij interacties plaatsvinden tussen natuurlijke personen / niet-natuurlijke personen enerzijds en de Dienstverleners met een publieke taak anderzijds. Een Dienstverlener is 'publiek' wanneer het een bestuursorgaan in de zin van afdeling 1.1 van de Algemene wet bestuursrecht betreft, maar ook wanneer het andere overheidsorganen alsmede natuurlijke en rechtspersonen, niet zijnde overheidsorganen betreft, die vanwege het uitoefenen van een publieke taak gerechtigd zijn het burgerservicenummer (BSN) te gebruiken
  • Inzetgebied (Toepassingsgebied) (Stelsel_Elektronische_Toegangsdiensten)
    Bron: [7]: Een ... erkende groep gebruikers ... Voorbeelden zijn: bedrijven ..., beroepsbeoefenaren, consumenten ... of burgers
  • Openbare instantie (eIDAS-verordening)
    Bron: [8] (artikel 3): een staat, regionale of lokale overheden, publiekrechtelijke instellingen en samenwerkingsverbanden bestaand uit één of meer van deze overheidsinstanties of een of meer van deze publiekrechtelijke instellingen, of een private entiteit die door ten minste een van deze autoriteiten, publiekrechtelijke instellingen of verenigingen is gemachtigd tot het verlenen van openbare diensten, wanneer zij in die hoedanigheid optreden; ... publiekrechtelijke instelling: een instelling volgens de definitie in punt 4 van artikel 2, lid 1, van Richtlijn 2014/24/EU van het Europees Parlement en de Raad;


Resource
Een fysieke component of een eenheid van informatie waartoe een Entiteit toegang zou kunnen krijgen.

  • Een Resource kan worden gezien als een Entiteit; Resources kunnen dus een Digitale Identiteit hebben.

(digitale) Dienst
(concept) Een faciliteit waarmee digitale dienstverlening wordt aangeboden.

Zaak (case, dossier, …)
(concept) Aanduiding voor digitale object binnen een dienst waarop bevoegdheden worden vastgelegd

  • Een zaak komt vaak overeen met een onderscheidbaar object in de fysieke wereld, zoals bijv. een Rechtszaak, Vergunningsaanvraag, Dossier, etc..

Bevoegdheid (Toegangsrecht, Autorisatie)
Een toestemming van een Entiteit of danwel zelf, danwel als vertegenwoordiger van een belanghebbende, om toegang te krijgen tot een Resource waarbij voorwaarden kunnen worden gedefinieerd op de attributen van de Digitale Identiteit.

  • Een Bevoegdheid is randvoorwaardelijk voor het krijgen van toegang, maar niet voldoende.
  • Bevoegdheden kunnen als informatie object zijn vastgelegd, maar dat hoeft niet altijd het geval te zijn; bijvoorbeeld als deze bij wet bepaald is.
Machtiging (Vertegenwoordiging)
(concept)Een bevoegdheid van een Entiteit om namens een Andere Identiteit toegang te krijgen tot een resource (en daar handelingen op te verrichten).
  • Een Machtiging kan een vrijwillig karakter hebben ("vrijwillige machtiging"), bijvoorbeeld op basis van de Algemene Wet Bestuursrecht.
  • Tot een onvrijwillige Machtiging kan door de wetgever of bevoegd gezag eenzijdig worden besloten ("Wettelijke Vertegenwoordiging") als de betrokkene niet handelingsbekwaam of -bevoegd is: bij vertegen-woordiging van minderjarigen, curatele, beschermingsbewind, mentor¬schap, schuld¬sanering of faillissement.
  • Machtigingen worden vaak in een Machtigingenregister vastgelegd, dit hoeft echter niet. In de fysieke wereld zie je dit bijvoorbeeld bij een stembiljet, of bij het vertegenwoordigen van minderjarigen door hun biologische ouders.
Vouw uit voor specifieke definities uit toepassingsgebieden
  • Persoonsidentificatiegevens (digitale identiteit) (eIDAS-verordening) Bron: [9] (artikel 3)een reeks gegevens aan de hand waarvan de identiteit van een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, kan worden vastgesteld
  • Vertegenwoordiging (Machtiging) (Stelsel_Elektronische_Toegangsdiensten) Bron: [10]: De rechtsfiguur die inhoudt dat de rechtsgevolgen van een door een bepaalde Partij (de Vertegenwoordiger of Gemachtigde) in naam van een andere partij (de Vertegenwoordigde dienstafnemer) met een derde verrichte handeling aan de vertegenwoordigde worden toegerekend. De Bevoegdheid tot het verrichten van vertegenwoordigingshandelingen vloeit voort uit hetzij de wet hetzij een volmacht (privaatrecht) hetzij uit een machtiging (bestuursrecht). Zo'n bevoegdheid kan eventueel ingeperkt zijn tot bepaalde rechtshandelingen, of een bepaalde relevante omvang ten aanzien van rechtshandelingen.
  • Vertegenwoordiger (Stelsel_Elektronische_Toegangsdiensten) Bron: [11]: De Partij die bevoegd is om een andere partij (de vertegenwoordigde) te vertegenwoordigen in het verrichten van handelingen met derden.
  • Vertegenwoordigde(Belanghebbende) (Stelsel_Elektronische_Toegangsdiensten) Bron: [12] De partij die de vertegenwoordiger de bevoegdheid heeft verleend om in naam van eerstgenoemde te handelen.
  • Machtiging (Stelsel_Elektronische_Toegangsdiensten) Bron: [13]: Een herroepbare bevoegdheid die een vertegenwoordigde verleent aan een andere partij (de gemachtigde) om in naam van eerstgenoemde rechtshandelingen te verrichten. Een machtiging kan algemeen of bijzonder zijn. Een bijzondere machtiging is beperkt tot bepaalde rechtshandelingen of een bepaalde relevante omvang ten aanzien van rechtshandelingen. Machtiging kan worden gezien als synoniem aan volmacht zij het dat de term machtiging voornamelijk in bestuursrechtelijke context wordt gebruikt.
  • Gemachtigde (Vertegenwoordiger) (Stelsel_Elektronische_Toegangsdiensten) Bron: [14]: De partij die (op grond van wet of machtiging c.q. volmacht) bevoegd is om in naam van de vertegenwoordigde bepaalde handelingen te verrichten

Het objectmodel hieronder beschrijft de samenhang en relaties tussen de begrippen op basis van de definities. Er zijn hier twee relaties opgenomen: Specialisatie A --> B (A is een specifieke versie van B) en Aggregatie A --<> B (De definitie van B gebruikt begrip A). Het objectmodel is geen datamodel; in dat geval zou de relatie tussen Attribuut en Entiteit andersom getekend worden.

”Objectmodel Definities Identity & Access Management”
Objectmodel Definities Identity & Access Management

Gedragsmodel Identiteiten[bewerken]

Een gedragsmodel beschrijft op basis van welke informatie (veelal links getekend) door een proces (meestal in het midden) wordt omgezet naar nieuwe informatie (rechtsgetekend). De actoren die het proces uitvoeren zijn niet getekend omdat de namen die aan de actoren gegeven worden sterk verschillen per toepassingsgebied.

De functie Identiteitenbeheer brengt Digitale identiteiten tot stand voor Entiteiten (zoals Personen). Het beheer betreft ook de attributen die aan de Digitale entiteit zijn gerelateerd. Wanneer nodig zorgt de functie eveneens voor het actualiseren daarvan.

”Gedrag Identiteiten beheer”
Entiteiten relatie


Identiteitenbeheer
Proces dat Digitale identiteiten tot stand brengt (en onderhoudt/actualiseert) voor Entiteiten (zoals Personen of nog specifieker Natuurlijke personen).

  • De belanghebbende bij de juistheid van de digitale identiteit is de gerelateerde entiteit (natuurlijk of niet-natuurlijk persoon)
  • Het beheer betreft ook de attributen die aan de Digitale entiteit zijn gerelateerd.
  • Het beheer van een identiteit wordt vaak door een andere Entiteit worden gedaan; een Entiteit kan ook zijn eigen Identiteit beheren
  • Identiteitenbeheer binnen een organisatie kent vaak geen hoge beschikbaarheid (bijv. kantoortijden)
Identificatie ( Identificeren)
Het proces om een Entiteit binnen een context te onderscheiden van andere Entiteiten op basis van gepresenteerde of geobserveerde attributen

Identiteiteninformatie
Proces om attributen van een Identiteit, uit 1 of meerdere bronnen, te kunnen verstrekken aan geautoriseerde afnemers.

  • Deze informatie kan worden verstrekt aan personen (adressengids) als aan technische voorzieningen (die ook wel een Policy Information Point (=PIP) worden genoemd.
  • Hiermee wordt het mogelijk het bij elkaar verzamelen van attributen (zoals NAW gegevens bij een BSN) op één gemeenschappelijk punt te realiseren zonder dat elke dienst dit zelfstandig moet doen.
  • De belanghebbende bij Identiteiten informatie is de dienst die (attributen van) de identiteit gebruikt
  • De beschikbaarheid van Identiteiteninformatie is vaak gelijk of hoger aan het de beschikbaarheid van de afnemende diensten. Dit is vaak 24/7.

Relevante onderwerpen

Vouw uit voor specifieke definities uit toepassingsgebieden
  • elektronische identificatie (identificatie) (eIDAS-verordening)
    Bron: [15] (artikel 3): het proces van het gebruiken van persoonsidentificatiegegevens in elektronische vorm die op unieke wijze een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, aanduiden;

Gedragsmodel Authenticatie[bewerken]

”Authenticatie middelen beheer”
Authenticatie


Authenticatie(middelen)beheer
Het proces dat Entiteiten voorziet van Authenticatiemiddelen of deze middelen intrekt.

  • De functie Authenticatie(middelen)beheer voorziet in Authenticatiemiddelen voor Digitale identiteiten, die veelal zijn gebaseerd op Wettelijke identiteitsbewijzen.
Authenticeren
Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.
Authenticatiefactor
Authenticatiefactor: een attribuut waarvan is bevestigd dat deze gebonden is aan een Entiteit en die onder een van de drie volgende categorieën valt.
  1. Op bezit gebaseerde authenticatiefactor: een authenticatiefactor waarvan de Entiteit moet aantonen dat deze in zijn bezit is.
  2. Op kennis gebaseerde authenticatiefactor: een authenticatiefactor waarvan de Entiteit moet aantonen dat hij ervan kennis draagt.
  3. Inherente authenticatiefactor: een authenticatiefactor die op een fysiek kenmerk van een Entiteit is gebaseerd en waarbij de Entiteit moet aantonen dat hij dat fysieke kenmerk bezit.
Voorbeelden van authenticatiefactoren zijn een fysieke pas of token (bezit), een wachtwoord (kennis) of biometrische kenmerken zoals vingerafdruk, patronen op een iris, en layout van een hand.

Relevante onderwerpen:

”Gedrag Authenticatie”
Authenticatie


Authenticatie (als functie)
De functie Authenticatie levert aan de hand van Authenticatiemiddelen Identiteitsverklaringen voor Digitale identiteiten.

  • Wanneer noodzakelijk voor latere autorisatie worden één of meer Attributen opgenomen in een Identiteitsverklaring.

Authenticatie (Authenticeren)
Het proces waarbij op basis van één of meer Authenticatiefactoren wordt geverifieerd of de Identiteit die door de Entiteit geclaimd, ook daadwerkelijk behoord bij betreffende Identiteit op het aangegeven betrouwbaarheidsniveau. Hieronder valt de controle op de geldigheid van de gebruikte authenticatiemiddelen.

  • Bij authenticatie kunnen attributen gebruikt worden waarin de Entiteit zijn (lokale) tijd en plaats aangeeft.
  • Authenticatie kan op veel verschillende manieren worden ingevuld (federatief, centraal), deze keuzes en principes daarbij zijn grotendeels toepassingsgebied afhankelijk en zijn daarom niet in dit gedragsmodel opgenomen.

Identiteitsverklaring (Gevalideerd Identiteitsbewijs)
Uitkomst van een authenticatie die is uitgevoerd door een onafhankelijke partij.

  • De identiteitsverklaring bevat de attributen waarover de verklaring gaat.
  • Een Wettelijk Identiteitsbewijs is een door de overheid afgegeven Identiteitsverklaring.
  • Het betrouwbaarheidsniveau maakt deel uit van de Identiteitsverklaring; soms is deze meta-gegeven in de verklaring opgenomen.

Relevante onderwerpen

Vouw uit voor specifieke definities uit toepassingsgebieden
  • Authenticatie (eIDAS-verordening)
    Bron: [16] (artikel 3)een elektronisch proces dat de bevestiging van de elektronische identificatie van een natuurlijke persoon of rechtspersoon, of van de oorsprong en integriteit van gegevens in elektronische vorm mogelijk maakt;
  • Authenticatieverklaring (Stelsel_Elektronische_Toegangsdiensten)
    Bron: [17] Een Verklaring waaruit het bestaan en de juistheid kan worden opgemaakt van een Authenticatie (authenticeren) die heeft plaatsgevonden in de context van een bepaalde handeling of dienst.

Gedragsmodel Bevoegdheden en Autorisatie[bewerken]

De functie Bevoegdhedenbeheer zorgt voor een formele (en actuele) vastlegging van Bevoegdheden, die vanuit de Digitale identiteit van de Belanghebbende worden toegekend aan de Digitale identiteit van de Vertegenwoordiger. De bevoegdheid is veelal beperkt tot een Resource/een reeks Resources. De bevoegdheid kan voor beperkte duur gelden, of gelden totdat die wordt ingetrokken.

”Gedrag bevoegdheden beheer”
Bevoegdhedenbeheer


De functie Autorisatie voor een Entiteit die namens zichzelf handelt wordt uitgevoerd aan de hand van Autorisatieregels die zich (onder andere) baseren op Attributen in de Identiteitsverklaring. De functie leidt tot een Autorisatiebeslissing die (inclusief de Identiteitsverklaring) kan worden bewaard om zich later te kunnen verantwoorden voor het toegang geven tot een Resource.

Wanneer een Entiteit een andere Entiteit vertegenwoordigt wordt eerst de functie Bevoegdheidsbepaling uitgevoerd, die leidt tot Bevoegdheidsverklaringen waarin (wanneer nodig) Attributen van de Digitale identiteit van de Belanghebbende zijn opgenomen. De functie Autorisatie neemt op basis van Autorisatieregels ook de vastgestelde bevoegdheden in beschouwing bij het nemen van Autorisatiebeslissingen. Ook bewaarde Bevoegdheidsverklaringen helpen bij latere verantwoording over Autorisatiebeslissingen.

”Gedrag Autorisatieregel beheer”
Identiteiten beheer

Autorisatieregelbeheer
De functie autorisatieregel beheer formuleert de Autorisatieregels die worden toegepast bij het nemen van Autorisatiebeslissingen voor een Resource.

Autorisatieregel
(concept) Als informatie vastgelegde bevoegdheid

  • Autorisatieregels wordt vaak geformuleerd in termen van voorwaarden die gesteld worden aan zowel de entiteit als de resource
    Alle burgers met een DigID met niveau Laag mogen bij het CJIB hun verkeersovertredingen inzien.

Autorisatie (Autoriseren)
Het proces om te beslissen of een Entiteit op grond van een Authenticatiemiddel, Identiteitsverklaring, of een Machtiging toegang krijgt tot een Resource. De beslissing wordt mede gebaseerd op het bij de resource behorende Autorisatieregels en omgevingsfactoren.

  • Voorbeelden van omgevingsfactoren zijn het moment op de dag en de locatie
  • Vaak is er een splitsing in een functie om de autorisatiebeslissing te nemen (ook wel genoemd: PDP = Policy Decision Point) wat resulteert in een Autorisatiebeslissing (soms ook toegangstoken genoemd) en een functie om deze beslissing af te dwingen op basis van het Autorisatiebeslissing (ook wel genoemd: PEP = Policy Enforcement Point). De beslissingsfunctie (PDP) functie kan zowel binnen een dienst als daarbuiten worden uitgevoerd; de het afdwingen van de beslissing (PEP) wordt noodzakelijkerwijs altijd binnen de dienst uitgevoerd.

Relevante onderwerpen

Autorisatieregels
De regels die zijn gesteld voor toegang tot een Resource en waaraan moet worden voldaan voordat een Entiteit daadwerkelijke toegang krijgt tot een Resource. Autorisatieregels worden afgedwongen door de Entiteit die de Resource aanbiedt.

  • Autorisatieregels kunnen bijvoorbeeld bepalen dat omgevingsfactoren (zoals tijd en plaats) randvoorwaardelijk zijn voor toegang.
  • Autorisatieregels kunnen door de aanbiedende Entiteit vastgesteld worden of aan hem worden omgelegd, bijvoorbeeld door wettelijke bepalingen.

Autorisatiebeslissing
Uitkomst van een Autorisatie.

Bevoegdheden Beheer
Proces dat voor een formele (en actuele) vastlegging van Bevoegdheden, die vanuit de Digitale identiteit van de Belanghebbende worden toegekend aan de een Entiteit. De bevoegdheid is veelal beperkt tot een Dienst/een reeks Diensten of een Zaak/reeks Zaken.

  • De bevoegdheid kan voor beperkte duur gelden, of gelden totdat die wordt ingetrokken.

Bevoegdheidsverklaring (concept)Uitkomst van een Autorisatie die is uitgevoerd door een onafhankelijke partij.

  • Het betrouwbaarheidsniveau maakt deel uit van de Bevoegdheidsverklaring.

Gerelateerde onderwerpen

Vouw uit voor specifieke definities uit toepassingsgebieden
  • Autorisatie(Stelsel_Elektronische_Toegangsdiensten)
    Bron: [18] Het verlenen van toestemming (een bevoegdheid) aan een geauthenticeerde partij om toegang te krijgen tot een bepaalde dienst of toestemming om een bepaalde actie uit te voeren. Een autorisatie kan worden vastgelegd in toegangsrechten. Het verlenen van toegang kan (mede) gebaseerd zijn op die in toegangsrechten vastgelegde autorisatie.

Ontstaansgeschiedenis en verantwoording[bewerken]

De definities op deze pagina zijn overgenomen van een werkgroep die zich heeft georiënteerd op de aspecten Identificatie, Authenticatie en Autorisatie (IAA) gerelateerd aan de Wet GDI (tegenwoordig de Wet Digitale Overheid) en bestaat uit een aantal relevante basisbegrippen uit de Uniforme Set van Eisen (USvE). Diverse begrippen die daarin ontbraken, zijn door die werkgroep overgenomen uit het Netwerk voor Elektronische Toegangsdiensten (NvETD), eHerkenning & Idensys, de eIDAS verordening of de werkgroep (WG) heeft hiervoor een eigen definitie geformuleerd.

De NORA gebruikt Wikipedia en Open Standaarden als bronnen voor herbruikbare definities; het volstaat echter niet om alleen Wikipedia als bron te gebruiken. In veel wet- en regelgeving en "afsprakenstelsels" e.d. zijn ook definities opgenomen die voor de gebruikers van de NORA van belang zijn. De volgende bronnen zijn voornamelijk gebruikt bij het opstellen van de definities:

Nederlandse Overheid Referentie Architectuur.

Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

De omschrijving van het functionele gebruik van de voorziening

De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

Een samenhangende hoeveelheid werk met een welgedefinieerde aanleiding en een welgedefinieerd eindresultaat, waarvan kwaliteit, voortgang en doorlooptijd inzichtelijk zijn en bewaakt worden.

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

Alle belanghebbenden van overheidsdienstverlening in de ruimste zin van het woord.

Overgenomen van "https://www.noraonline.nl/index.php?title=Begrippen_IAM&oldid=71718"