Overleg:Begrippen IAM

Uit NORA Online
Naar navigatie springen Naar zoeken springen

Deze pagina is voor overleg en opmerkingen/review voor de pagina Begrippen IAM, het object- en gedragsmodel

Uit de eerste reviews zijn de volgende discussiepunten naar voren gekomen waarover nog een knoop moet worden doorgehakt.

Losse constateringen[bewerken]

  1. In de bollenplaat ontbreekt een lijntje. Zie de overlegpagina van het plaatje. --Harro Kremer (overleg) 28 jan 2021 10:09 (CET)
  2. In de modellen komt nog onvoldoende naar voren dat resources ook een digitale identiteit hebben en dat die ook gebruikt wordt in het vastleggen van bevoegdheden. --Harro Kremer (overleg) 2 feb 2021 11:00 (CET)
  3. Alleen nederlandse niet-natuurlijke personen staan in het NHR. De zin daarover is heel NL-specifiek. In toenemende mate worden buitenlandse identiteiten steeds relevanter voor de NL overheid; eIDAS2 is een aankomende Europese standaard. --Harro Kremer (overleg) 1 aug 2022 15:57 (CEST)
  4. Ik zit nu en een werkgroep binnen GDI over eIDAS2, Wallet en DBI. Dit (en de uitkomsten van het GO-traject) naar deze begrippenpagina ontbreekt.--Harro Kremer (overleg) 1 aug 2022 16:10 (CEST)

Mailwisseling met André Batenburg <-> Harro Kremer januari 2021)[bewerken]

Dan nog enkele opmerkingen bij de begripsdefinities:

AB: Device (Technische component): Een fysiek apparaat, software, of de draaiende geautomatiseerde processen. <<< Een device zie ik toch meer als apparat en minder als software. Betrek je er ook software bij dan km ik meer op het begrip Systeem uit.

HK: We hebben de beschrijving op Technopedia als uitgangspunt genomen en daarbij onderkent dat vanuit een technisch optiek je niet de toegang aan functies geeft, maar aan processen. Op een device houden we open dat er meerdere processen naast elkaar draaien die elk een eigen authenticatie doen. Om een Ring Doorbel als systeem te beschouwen voelt persoonlijk ook niet zo goed. Persoonlijk zou ik hem nu formuleren als “Een fysiek apparaat dat een of meer functies vervult en digitaal communiceert met haar omgeving".

AB: Zaak (case, dossier, …): (concept) Aanduiding voor digitale object binnen een dienst waarop bevoegdheden worden vastgelegd. <<< Zaakgericht werken heeft een breed geaccepteerde definitie hiervoor. Maar zaak is ook een juridisch begrip, en daar heeft het Bwb een gangbare definitie voor. Welke sta je voor? Gebruik dan de gangbare definitie.

HK: Ik heb even wat opgezocht. Als ik dit naast https://www.noraonline.nl/wiki/Zaak leg dan komt ik uit op 2 gerelateerde begrippen (wat er nu staat is onvoldoende helder). Het gebruiken van Zaak als aanduiding voor de fysieke en digitale wereld is niet zo handig. • Zaak (als iets in de fysieke wereld) • Zaaksinformatie (als informatieobject) • De relatie tussen Zaak en Zaaksinformatie wordt daarmee dezelfde als tussen Entiteit en Digitale Identiteit

AB: Bevoegdheid (Toegangsrecht, Autorisatie): Een toestemming van een Entiteit of danwel zelf, danwel als vertegenwoordiger van een belanghebbende, om toegang te krijgen tot een Resource waarbij voorwaarden kunnen worden gedefinieerd op de attributen van de Digitale Identiteit. <<< De zin is wat moeilijk leesbaar.

HK: De zin moet opgeknipt worden; de schrijfstijl is beroerd. Ik neig naar

Een toestemming van een Entiteit om toegang te krijgen tot een Resource. Een bevoegdheid kan de Entiteit zelf betreffen of een andere Entiteit betreffen. In het laatste geval spreken we van een vertegenwoordiger en een belanghebbende. Bij een bevoegdheid kunnen voorwaarden gedefinieerd worden op de attributen van de Digitale Identiteit.

AB: Machtiging (Vertegenwoordiging) (concept)Een bevoegdheid van een Entiteit om namens een Andere Identiteit toegang te krijgen tot een resource (en daar handelingen op te verrichten). <<< Gaat het nu om een vertegenwoordiging van de ene Entiteit door een andere Entiteit? Of om de vertegenwoordiging van de ene Identiteit door een andere Identiteit?

HK: Machtigingen is een onderwerp waar nog veel beweging in zit, dus hebben we daar vrij weinig aandacht aan besteed en hebben we de definities als “concept” gemarkeerd.

Het kan hier alleen om een relatie gaan tussen Entiteiten. Immers, als wettelijk vertegenwoordiger van mijn kinderen maakt het niet uit welke authenticatiemiddel is gebruik (paspoort, ID kaart); beide bevatten een verschillende identiteit (want de attributenset is niet 100% gelijk).

Een betere formulering zou zijn: Een bevoegdheid in het bezit van een Entiteit (de vertegenwoordiger) om namens een andere Entiteit (de belanghebbende) toegang te krijgen tot een Resource.


Vergelijking met IDPro[bewerken]

Via Andre Koot de lijst met definities van IDPro [1] gekregen Inhoudelijke vergelijking met onze begrippen levert de volgende kleine verbetermogelijkheden op:

  1. Een dienst is ook een vorm van identiteit
  2. fys.ruimte ontbreekt in het object diagram.
  3. Kandidaten om later toe te voegen:
    1. IAM Governance gerelateerde begrippen toevoegen
    2. Single Sign On
    3. Self Sovereign Identity
    4. Step up authentication

Uit de bespreking op 30 september[bewerken]

Tijdens de bespreking op 30 september zijn een aantal vragen gesteld en mondeling toegelicht. Hieronder een beknopte vastlegging ervan. Nader te bepalen of deze tot kleine correcties op de pagina leiden.

  1. Bij diagram "entiteiten relatie"(onder gedragsmodel Identiteiten)
    Q: Was is verschil tussen identiteit midden en rechts
    A: de relatie tussen beide 111.+

0vvvvvvvvvvvvvvvvvvvvvcwordt niet in het model weergegeven. De identiteit rechts ontstaat uit de functie Identiteiten Informatie die de linkeridentiteit als input heeft. Dit impliceert dat de rechter identiteit alleen een subset is van de linker identiteit.

  1. Algemeen
    Q: Het gebruik van Functie versus dienst
    A: Dit is een eerste aanzet op te denken in functies in plaats van diensten. Functie is hier veel generieker, lijkt eerder op het TOGAF begrip Capability dan functie zoals we dat binnen ontwerpen gebruiken.
  2. Bij Gedragmodel identiteiten:
    Q: ontstaat hier een kopie?
    A: er ontstaan een nieuw logisch informatieobject. Hoe deze technisch ontsloten wordt (als kopie of als toegangsrecht) is een implementatie aspect.
  3. Bij gedragsmodel authenticatie:
    A: gevalideerd identiteitsbewijs is iets wat voor de interactie tussen overheid en maatschappij (=NORA scope) een gegeven is. In andere domeinen zou ook een trustless identiteit (bijvoorbeeld een SSI) gebruikt kunnen worden.
  4. diagram bevoegdhedenbeheer: A: misschien een korte paragraaf toevoegen over verschil tussen bevoegdheid (en de 3 varianten) en autorisatie nog een keer helder uitleggen. Metafoor: bezoeker in kasteel. Heeft brief met toestemming namens kasteelheer tot binnenhof ( bevoegdheid); schildwacht beslist tot open poort (autorisatie)

De opmerkingen ten tijde van de initiele totstandkoming van de pagina zijn na te lezen in] de geschiedenis van deze overlegpagina

Een samenhangende hoeveelheid werk met een welgedefinieerde aanleiding en een welgedefinieerd eindresultaat, waarvan kwaliteit, voortgang en doorlooptijd inzichtelijk zijn en bewaakt worden.

Een wereldwijd concept, in de vorm van een mogelijk afsprakenstelsel met standaarden en voorzieningen, voor regie op gegevens door (wereld)burgers.

Betekenisvolle gegevens.

Betekenisvolle gegevens.

Nederlandse Overheid Referentie Architectuur.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

Overgenomen van "https://www.noraonline.nl/index.php?title=Overleg:Begrippen_IAM&oldid=62544"