Overleg:Begrippen IAM: verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
(gedachtenspinsel)
 
(37 tussenliggende versies door 4 gebruikers niet weergegeven)
Regel 2: Regel 2:


Uit de eerste reviews zijn de volgende discussiepunten naar voren gekomen waarover nog een knoop moet worden doorgehakt.
Uit de eerste reviews zijn de volgende discussiepunten naar voren gekomen waarover nog een knoop moet worden doorgehakt.
== Losse constateringen ==
# In de bollenplaat ontbreekt een lijntje. Zie de overlegpagina van het plaatje. --[[Gebruiker:Harro Kremer|Harro Kremer]] ([[Overleg gebruiker:Harro Kremer|overleg]]) 28 jan 2021 10:09 (CET)
# In de modellen komt nog onvoldoende naar voren dat resources ook een digitale identiteit hebben en dat die ook gebruikt wordt in het vastleggen van bevoegdheden. --[[Gebruiker:Harro Kremer|Harro Kremer]] ([[Overleg gebruiker:Harro Kremer|overleg]]) 2 feb 2021 11:00 (CET)
# Alleen nederlandse niet-natuurlijke personen staan in het NHR. De zin daarover is heel NL-specifiek. In toenemende mate worden buitenlandse identiteiten steeds relevanter voor de NL overheid; eIDAS2 is een aankomende Europese standaard. --[[Gebruiker:Harro Kremer|Harro Kremer]] ([[Overleg gebruiker:Harro Kremer|overleg]]) 1 aug 2022 15:57 (CEST)
# Ik zit nu en een werkgroep binnen GDI over eIDAS2, Wallet en DBI. Dit (en de uitkomsten van het GO-traject) naar deze begrippenpagina ontbreekt.--[[Gebruiker:Harro Kremer|Harro Kremer]] ([[Overleg gebruiker:Harro Kremer|overleg]]) 1 aug 2022 16:10 (CEST)


==Vereenvoudigen object model ==
== Mailwisseling met André Batenburg <-> Harro Kremer januari 2021) ==
* Voorstel van John Zwart: ''het object “Entiteit” leidt tot dubbel opslaan van gegevens en  levert het samenvoegen, mij inziens, geen extra toegevoegde waarde op. Verder heb ik authenicatiemiddel gekoppeld aan de  objecten “Persoon” en “Object” omdat authenicatie van een persoon, anders verloopt, dan authenicatie van een server of een OS (object).''       
* Reactie Harro Kremer: De aanwezigheid van Entiteit is overgenomen uit de ISO 24760.  Een reductie van het huidige model is mogelijk, al zou ik zelf dan eerder “persoon” er tussenuit halen (zodat Entiteit dan 3 specialisaties krijgt) en Niet-natuurlijk persoons hernoemen naar Rechtspersoon.


'''Vraag aan alle reviewers:''' Als we het model zouden vereenvoudigen, wat is dan het model dat we het gemakkelijkst kunnen uitdragen naar al onze afnemers?
Dan nog enkele opmerkingen bij de begripsdefinities:  


== Entiteit / Resource of Subject/Object ==
AB: Device (Technische component): Een fysiek apparaat, software, of de draaiende geautomatiseerde processen.
* Voorstel van John Zwart: Object, <br>''Is een fysiek apparaat, software of een daarop draaiend geautomatiseerd proces waarbij een Digitale Identiteit kan behoren en kan zowel een fysieke als digitale vorm hebben. <br>Voorbeelden: een computer, telefoon, een app op een smartphone, OS, applicatie of een digitale deurbel met camera functie <br>Objecten hebben een Digitale Identiteit nodig voor Informatiebeveiligingsfuncties''
<<< Een device zie ik toch meer als apparat en minder als software. Betrek je er ook software bij dan km ik meer op het begrip Systeem uit.


'''Vraag aan alle reviewers:''' Welk begrip is het meest intuitief en geeft de minste verwarring? Device, Object, Technische Component?
HK: We hebben de beschrijving op Technopedia als uitgangspunt genomen en daarbij onderkent dat vanuit een technisch optiek je niet de toegang aan functies geeft, maar aan processen. Op een device houden we open dat er meerdere processen naast elkaar draaien die elk een eigen authenticatie doen.  Om een Ring Doorbel als systeem te beschouwen voelt persoonlijk ook niet zo goed. Persoonlijk zou ik hem nu formuleren als “Een fysiek apparaat dat een of meer functies vervult en digitaal communiceert met haar omgeving".


== Samenhang identiteiten ==
AB: Zaak (case, dossier, ): (concept) Aanduiding voor digitale object binnen een dienst waarop bevoegdheden worden vastgelegd.
* Gedachte van Harro Kremer: ''Ik zie in de praktijk ketens ontstaan van identiteiten die van elkaar afhangen, bijv. voor een medewerker<br>-Digitale Identiteit als nederlandsburger (vastgelegd in GBA)<br>- Digitale Identiteit op authenticatiemiddel (zoals rijbewijs en paspoort), deze kan met NFC lezer worden ontsloten<br>- Digitaal Authenticatiemiddel (zoals DigID)<br>- HRM registratie bij een organisatie<br>- AD account (één of meer, ontwikkelaars / beheerders hebben vaak meerdere AD accounts)<br>- Gebruikersprofielen binnen een applicatie<br>Omdat binnen de GO pressure cooker ook een onderscheid is gemaakt gaan worden tussen de eerste 3 denk ik dat we hier nog iets moeten toevoegen.''
<<< Zaakgericht werken heeft een breed geaccepteerde definitie hiervoor. Maar zaak is ook een juridisch begrip, en daar heeft het Bwb een gangbare definitie voor. Welke sta je voor? Gebruik dan de gangbare definitie.


== Verbeteren omschrijvingen van Machtigingen ==
HK: Ik heb even wat opgezocht. Als ik dit naast https://www.noraonline.nl/wiki/Zaak leg dan komt ik uit op 2 gerelateerde begrippen (wat er nu staat is onvoldoende helder). Het gebruiken van Zaak als aanduiding voor de fysieke en digitale wereld is niet zo handig.
Onderstaande teksten komen uit "Visiemachtigingsvraagstuk 20200714 (Louis) en kunnen onze definities verbeteren.
• Zaak (als iets in de fysieke wereld)
• Zaaksinformatie (als informatieobject)
• De relatie tussen Zaak en Zaaksinformatie wordt daarmee dezelfde als tussen Entiteit en Digitale Identiteit


<i>De overkoepelende term "machtigen" staat hier zowel voor vrijwillig machtigen als wettelijke vertegenwoordiging. Deze term wordt ook in beleidsstukken, wetteksten (Wdo) en programma¬documenten gebruikt. Elders wordt ook wel de term "vertegenwoordiging" gebruikt.
AB: Bevoegdheid (Toegangsrecht, Autorisatie): Een toestemming van een Entiteit of danwel zelf, danwel als vertegenwoordiger van een belanghebbende, om toegang te krijgen tot een Resource waarbij voorwaarden kunnen worden gedefinieerd op de attributen van de Digitale Identiteit.
De scope van deze visie is:
<<< De zin is wat moeilijk leesbaar.
#Het gaat om machtigen voor publieke diensten, dat wil zeggen diensten "ter uitoefening van een publieke taak of in het algemeen belang" die worden uitgevoerd door een bestuurs¬orgaan zoals bedoeld in de Awb of andere, in de Wdo aangewezen organisaties (zoals op dit moment o.a. zorg¬instellingen).
 
# De doelgroep voor machtigen zijn zowel natuurlijke personen als niet-natuurlijke personen: beide kunnen binnen de machtigingsrelatie (in principe) zowel als belanghebbende of gemachtigde optreden .
HK: De zin moet opgeknipt worden; de schrijfstijl is beroerd. Ik neig naar
# Machtigen is gericht op wie niet voor zijn eigen dienstverlening met de overheid wil, kan en/of mag zorgen.  
: Een toestemming van een Entiteit om toegang te krijgen tot een Resource. Een bevoegdheid kan de Entiteit zelf betreffen of een andere Entiteit betreffen. In het laatste geval spreken we van een vertegenwoordiger en een belanghebbende. Bij een bevoegdheid kunnen voorwaarden gedefinieerd worden op de attributen van de Digitale Identiteit.
# Er worden twee hoofdvormen van machtigen onderscheiden:
 
#* vrijwillig machtigen: een burger of organisatie wijst zelf, uit eigen vrije wil, een andere persoon of organisatie aan als gemachtigde (b.v. omdat hij zelf niet digivaardig is of van een belasting¬consulent gebruik wil maken);
AB: Machtiging (Vertegenwoordiging) (concept)Een bevoegdheid van een Entiteit om namens een Andere Identiteit toegang te krijgen tot een resource (en daar handelingen op te verrichten).
#* wettelijke vertegenwoordiging: de wetgever, een rechter of de nabestaanden wijzen een persoon of organisatie aan als gemachtigde voor een burger of organisatie die handelings¬onbekwaam of -onbevoegd is, of die is overleden (b.v. samenhangend met ouderlijk gezag, bewindvoering, curatele of nabestaandenmachtiging: zie bijlage x voor een overzicht).
<<< Gaat het nu om een vertegenwoordiging van de ene Entiteit door een andere Entiteit? Of om de vertegenwoordiging van de ene Identiteit door een andere Identiteit?
# Machtiging en authenticatie zijn onderscheiden functies, waarbij o.m. geldt dat een dienst¬aanbieder een machtiging weliswaar moet accepteren, maar uiteindelijk zelf verantwoordelijk blijft om de gemachtigde al dan niet toegang te verlenen.
 
</i>
HK: Machtigingen is een onderwerp waar nog veel beweging in zit, dus hebben we daar vrij weinig aandacht aan besteed en hebben we de definities als “concept” gemarkeerd.  
: Het kan hier alleen om een relatie gaan tussen Entiteiten. Immers, als wettelijk vertegenwoordiger van mijn kinderen maakt het niet uit welke authenticatiemiddel is gebruik (paspoort, ID kaart); beide bevatten een verschillende identiteit (want de attributenset is niet 100% gelijk).  
Een betere formulering zou zijn: Een bevoegdheid in het bezit van een Entiteit (de vertegenwoordiger) om namens een andere Entiteit (de belanghebbende) toegang te krijgen tot een Resource.  
 
 
== Vergelijking met IDPro ==
Via Andre Koot de lijst met definities van IDPro [https://bok.idpro.org/article/id/41/] gekregen Inhoudelijke vergelijking met onze begrippen levert de volgende kleine verbetermogelijkheden op:
# Een dienst is ook een vorm van identiteit
# fys.ruimte ontbreekt in het object diagram.
# Kandidaten om later toe te voegen:  
## IAM Governance gerelateerde begrippen toevoegen
## Single Sign On
## Self Sovereign Identity
## Step up authentication
 
== Uit de bespreking op 30 september ==
Tijdens de bespreking op 30 september zijn een aantal vragen gesteld en mondeling toegelicht. Hieronder een beknopte vastlegging ervan. Nader te bepalen of deze tot kleine correcties op de pagina leiden.
# Bij diagram "entiteiten relatie"(onder gedragsmodel Identiteiten)<br>Q: Was is verschil tussen identiteit midden en rechts<br>A: de relatie tussen beide 111.+
0vvvvvvvvvvvvvvvvvvvvvcwordt niet in het model weergegeven. De identiteit rechts ontstaat uit de functie Identiteiten Informatie die de linkeridentiteit als input heeft. Dit impliceert dat de rechter identiteit alleen een subset is van de linker identiteit.
# Algemeen<br>Q: Het gebruik van Functie versus dienst<br>A: Dit is een eerste aanzet op te denken in functies in plaats van diensten. Functie is hier veel generieker, lijkt eerder op het TOGAF begrip Capability dan functie zoals we dat binnen ontwerpen gebruiken.
# Bij Gedragmodel identiteiten:<br>Q: ontstaat hier een kopie? <br>A: er ontstaan een nieuw logisch informatieobject. Hoe deze technisch ontsloten wordt (als kopie of als toegangsrecht) is een implementatie aspect.
# Bij gedragsmodel authenticatie:<br>A: gevalideerd identiteitsbewijs is iets wat voor de interactie tussen overheid en maatschappij (=NORA scope) een gegeven is. In andere domeinen zou ook een trustless identiteit (bijvoorbeeld een SSI) gebruikt kunnen worden.  
# diagram bevoegdhedenbeheer: A: misschien een korte paragraaf toevoegen over verschil tussen bevoegdheid (en de 3 varianten) en autorisatie nog een keer helder uitleggen. Metafoor: bezoeker in kasteel. Heeft brief met toestemming namens kasteelheer tot binnenhof ( bevoegdheid); schildwacht beslist tot open poort (autorisatie)
 
De opmerkingen ten tijde van de initiele totstandkoming van de pagina zijn na te lezen in]
[https://www.noraonline.nl/index.php?title=Overleg:Begrippen_IAM&oldid=45449 de geschiedenis van deze overlegpagina]

Huidige versie van 1 aug 2022 om 16:10

Deze pagina is voor overleg en opmerkingen/review voor de pagina Begrippen IAM, het object- en gedragsmodel

Uit de eerste reviews zijn de volgende discussiepunten naar voren gekomen waarover nog een knoop moet worden doorgehakt.

Losse constateringen[bewerken]

  1. In de bollenplaat ontbreekt een lijntje. Zie de overlegpagina van het plaatje. --Harro Kremer (overleg) 28 jan 2021 10:09 (CET)
  2. In de modellen komt nog onvoldoende naar voren dat resources ook een digitale identiteit hebben en dat die ook gebruikt wordt in het vastleggen van bevoegdheden. --Harro Kremer (overleg) 2 feb 2021 11:00 (CET)
  3. Alleen nederlandse niet-natuurlijke personen staan in het NHR. De zin daarover is heel NL-specifiek. In toenemende mate worden buitenlandse identiteiten steeds relevanter voor de NL overheid; eIDAS2 is een aankomende Europese standaard. --Harro Kremer (overleg) 1 aug 2022 15:57 (CEST)
  4. Ik zit nu en een werkgroep binnen GDI over eIDAS2, Wallet en DBI. Dit (en de uitkomsten van het GO-traject) naar deze begrippenpagina ontbreekt.--Harro Kremer (overleg) 1 aug 2022 16:10 (CEST)

Mailwisseling met André Batenburg <-> Harro Kremer januari 2021)[bewerken]

Dan nog enkele opmerkingen bij de begripsdefinities:

AB: Device (Technische component): Een fysiek apparaat, software, of de draaiende geautomatiseerde processen. <<< Een device zie ik toch meer als apparat en minder als software. Betrek je er ook software bij dan km ik meer op het begrip Systeem uit.

HK: We hebben de beschrijving op Technopedia als uitgangspunt genomen en daarbij onderkent dat vanuit een technisch optiek je niet de toegang aan functies geeft, maar aan processen. Op een device houden we open dat er meerdere processen naast elkaar draaien die elk een eigen authenticatie doen. Om een Ring Doorbel als systeem te beschouwen voelt persoonlijk ook niet zo goed. Persoonlijk zou ik hem nu formuleren als “Een fysiek apparaat dat een of meer functies vervult en digitaal communiceert met haar omgeving".

AB: Zaak (case, dossier, …): (concept) Aanduiding voor digitale object binnen een dienst waarop bevoegdheden worden vastgelegd. <<< Zaakgericht werken heeft een breed geaccepteerde definitie hiervoor. Maar zaak is ook een juridisch begrip, en daar heeft het Bwb een gangbare definitie voor. Welke sta je voor? Gebruik dan de gangbare definitie.

HK: Ik heb even wat opgezocht. Als ik dit naast https://www.noraonline.nl/wiki/Zaak leg dan komt ik uit op 2 gerelateerde begrippen (wat er nu staat is onvoldoende helder). Het gebruiken van Zaak als aanduiding voor de fysieke en digitale wereld is niet zo handig. • Zaak (als iets in de fysieke wereld) • Zaaksinformatie (als informatieobject) • De relatie tussen Zaak en Zaaksinformatie wordt daarmee dezelfde als tussen Entiteit en Digitale Identiteit

AB: Bevoegdheid (Toegangsrecht, Autorisatie): Een toestemming van een Entiteit of danwel zelf, danwel als vertegenwoordiger van een belanghebbende, om toegang te krijgen tot een Resource waarbij voorwaarden kunnen worden gedefinieerd op de attributen van de Digitale Identiteit. <<< De zin is wat moeilijk leesbaar.

HK: De zin moet opgeknipt worden; de schrijfstijl is beroerd. Ik neig naar

Een toestemming van een Entiteit om toegang te krijgen tot een Resource. Een bevoegdheid kan de Entiteit zelf betreffen of een andere Entiteit betreffen. In het laatste geval spreken we van een vertegenwoordiger en een belanghebbende. Bij een bevoegdheid kunnen voorwaarden gedefinieerd worden op de attributen van de Digitale Identiteit.

AB: Machtiging (Vertegenwoordiging) (concept)Een bevoegdheid van een Entiteit om namens een Andere Identiteit toegang te krijgen tot een resource (en daar handelingen op te verrichten). <<< Gaat het nu om een vertegenwoordiging van de ene Entiteit door een andere Entiteit? Of om de vertegenwoordiging van de ene Identiteit door een andere Identiteit?

HK: Machtigingen is een onderwerp waar nog veel beweging in zit, dus hebben we daar vrij weinig aandacht aan besteed en hebben we de definities als “concept” gemarkeerd.

Het kan hier alleen om een relatie gaan tussen Entiteiten. Immers, als wettelijk vertegenwoordiger van mijn kinderen maakt het niet uit welke authenticatiemiddel is gebruik (paspoort, ID kaart); beide bevatten een verschillende identiteit (want de attributenset is niet 100% gelijk).

Een betere formulering zou zijn: Een bevoegdheid in het bezit van een Entiteit (de vertegenwoordiger) om namens een andere Entiteit (de belanghebbende) toegang te krijgen tot een Resource.


Vergelijking met IDPro[bewerken]

Via Andre Koot de lijst met definities van IDPro [1] gekregen Inhoudelijke vergelijking met onze begrippen levert de volgende kleine verbetermogelijkheden op:

  1. Een dienst is ook een vorm van identiteit
  2. fys.ruimte ontbreekt in het object diagram.
  3. Kandidaten om later toe te voegen:
    1. IAM Governance gerelateerde begrippen toevoegen
    2. Single Sign On
    3. Self Sovereign Identity
    4. Step up authentication

Uit de bespreking op 30 september[bewerken]

Tijdens de bespreking op 30 september zijn een aantal vragen gesteld en mondeling toegelicht. Hieronder een beknopte vastlegging ervan. Nader te bepalen of deze tot kleine correcties op de pagina leiden.

  1. Bij diagram "entiteiten relatie"(onder gedragsmodel Identiteiten)
    Q: Was is verschil tussen identiteit midden en rechts
    A: de relatie tussen beide 111.+

0vvvvvvvvvvvvvvvvvvvvvcwordt niet in het model weergegeven. De identiteit rechts ontstaat uit de functie Identiteiten Informatie die de linkeridentiteit als input heeft. Dit impliceert dat de rechter identiteit alleen een subset is van de linker identiteit.

  1. Algemeen
    Q: Het gebruik van Functie versus dienst
    A: Dit is een eerste aanzet op te denken in functies in plaats van diensten. Functie is hier veel generieker, lijkt eerder op het TOGAF begrip Capability dan functie zoals we dat binnen ontwerpen gebruiken.
  2. Bij Gedragmodel identiteiten:
    Q: ontstaat hier een kopie?
    A: er ontstaan een nieuw logisch informatieobject. Hoe deze technisch ontsloten wordt (als kopie of als toegangsrecht) is een implementatie aspect.
  3. Bij gedragsmodel authenticatie:
    A: gevalideerd identiteitsbewijs is iets wat voor de interactie tussen overheid en maatschappij (=NORA scope) een gegeven is. In andere domeinen zou ook een trustless identiteit (bijvoorbeeld een SSI) gebruikt kunnen worden.
  4. diagram bevoegdhedenbeheer: A: misschien een korte paragraaf toevoegen over verschil tussen bevoegdheid (en de 3 varianten) en autorisatie nog een keer helder uitleggen. Metafoor: bezoeker in kasteel. Heeft brief met toestemming namens kasteelheer tot binnenhof ( bevoegdheid); schildwacht beslist tot open poort (autorisatie)

De opmerkingen ten tijde van de initiele totstandkoming van de pagina zijn na te lezen in] de geschiedenis van deze overlegpagina

Een samenhangende hoeveelheid werk met een welgedefinieerde aanleiding en een welgedefinieerd eindresultaat, waarvan kwaliteit, voortgang en doorlooptijd inzichtelijk zijn en bewaakt worden.

Een wereldwijd concept, in de vorm van een mogelijk afsprakenstelsel met standaarden en voorzieningen, voor regie op gegevens door (wereld)burgers.

Betekenisvolle gegevens.

Betekenisvolle gegevens.

Nederlandse Overheid Referentie Architectuur.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

Overgenomen van "https://www.noraonline.nl/index.php?title=Overleg:Begrippen_IAM&oldid=62544"