Hieronder staat een clickabele plaatje. We kunnen daarmee zelf de plaatjes doorklikbaar maken.

Vereenvoudigen object model[bewerken]

• Voorstel van John Zwart: het object “Entiteit” leidt tot dubbel opslaan van gegevens en levert het samenvoegen, mij inziens, geen extra toegevoegde waarde op. Verder heb ik authenicatiemiddel gekoppeld aan de objecten “Persoon” en “Object” omdat authenicatie van een persoon, anders verloopt, dan authenicatie van een server of een OS (object).
• Reactie Harro Kremer: De aanwezigheid van Entiteit is overgenomen uit de ISO 24760. Een reductie van het huidige model is mogelijk, al zou ik zelf dan eerder “persoon” er tussenuit halen (zodat Entiteit dan 3 specialisaties krijgt) en Niet-natuurlijk persoons hernoemen naar Rechtspersoon.

Vraag aan alle reviewers: Als we het model zouden vereenvoudigen, wat is dan het model dat we het gemakkelijkst kunnen uitdragen naar al onze afnemers?

Reactie werkgroep: Persoon is verwijderd, vereenvoudigd/bestuurlijk model is toegevoegd.

Entiteit / Resource of Subject/Object[bewerken]

• Voorstel van John Zwart: Object,
  Is een fysiek apparaat, software of een daarop draaiend geautomatiseerd proces waarbij een Digitale Identiteit kan behoren en kan zowel een fysieke als digitale vorm hebben.
  Voorbeelden: een computer, telefoon, een app op een smartphone, OS, applicatie of een digitale deurbel met camera functie
  Objecten hebben een Digitale Identiteit nodig voor Informatiebeveiligingsfuncties

Vraag aan alle reviewers: Welk begrip is het meest intuitief en geeft de minste verwarring? Device, Object, Technische Component? Reactie werkgroep: uit de discussie bleek een voorkeur voor device, omdat objecten b.v. een gebouw wel een resource kunnen zijn, maar zelf niet zullen aankloppen voor autorisatie. Devices, zeker in de toekomst wel. Geen wijziging Omschrijving van device is op basis van voorstel iets aangepast.

Samenhang identiteiten[bewerken]

• Gedachte van Harro Kremer: Ik zie in de praktijk ketens ontstaan van identiteiten die van elkaar afhangen, bijv. voor een medewerker
  -Digitale Identiteit als nederlandsburger (vastgelegd in GBA)
  - Digitale Identiteit op authenticatiemiddel (zoals rijbewijs en paspoort), deze kan met NFC lezer worden ontsloten
  - Digitaal Authenticatiemiddel (zoals DigID)
  - HRM registratie bij een organisatie
  - AD account (één of meer, ontwikkelaars / beheerders hebben vaak meerdere AD accounts)
  - Gebruikersprofielen binnen een applicatie
  Omdat binnen de GO pressure cooker ook een onderscheid is gemaakt gaan worden tussen de eerste 3 denk ik dat we hier nog iets moeten toevoegen.

Reactie werkgroep: Harro maakt een voorstel, is gecirculeerd per mail binnen de werkgroep.

Verbeteren omschrijvingen van Machtigingen[bewerken]

Onderstaande teksten komen uit "Visiemachtigingsvraagstuk 20200714 (Louis) en kunnen onze definities verbeteren.

De overkoepelende term "machtigen" staat hier zowel voor vrijwillig machtigen als wettelijke vertegenwoordiging. Deze term wordt ook in beleidsstukken, wetteksten (Wdo) en programma¬documenten gebruikt. Elders wordt ook wel de term "vertegenwoordiging" gebruikt. De scope van deze visie is:

Reactie werkgroep: Deze wijziging wordt doorgevoerd nadat duidelijkheid is over de status van de opbrengsten van de pressure cooker. Marijke laat dit Harro weten per 16 september.

Opmerkingen uit afstemming met Edwin Strijland[bewerken]

• Centraal begrip "Toegang" is goed begrip, maar ontbeert nog een zelfstandige omschrijving

Vanuit focus op "het gebruik" gaat het om de attributen van de entiteit en is er minder behoefte aan een tussenniveau als persoon. Identiteiten samenhang komt nog weinig aan bod. Dat komt meer bij de uitwerkende pagina's aan bod (bijvoorbeeld identiteiten keten Reactie werkgroep: Harro komt met een voorstel.

• Vanuit pagina Anne/Harro zouden we de technische kant verder kunnen uitwerken in termen van bijv. patroon voor federatie van identiteiten

Over het model dat afkomstig is vanuit Ben Binnendijk. Model is een heel krachtig model dat top-level best simpel is. Doel is startpunt voor in archimate uitgewerkte modellen. Dit model vormt handvat voor verduidelijken / systematiseren van de bollenplaten. Reactie werkgroep: De relatie wordt gelegd tussen de bollenplaat en de gedragsmodellen.

• Wil je vanuit deze centrale modellen nu een spade dieper gaan met uitmodelleren? I.e., is het model Binnendijk niet iets te globaal?

Resultaat bespreking werkgroep: Op dit moment wordt dit niet verder uitgewerkt
Gaat over over ambitie binnen de NORA IAM werkgroep om bijv. "authenticatiemanagement' op te delen in "standaard" functies in plaats van dat alle organisaties hun eigen opdelen maken. Waar houdt de scope van "referentie architectuur" op. Resultaat bespreking werkgroep: Dit is een referentie architectuur gaat niet verder. Reactie werkgroep: Na enige discussie is besloten dat vanwege het karakter van een referentie architectuur deze pagina niet verder wordt uitgediept.

• Toegangsgebruik blijft een lastig lastig begrip. Authenticatiemanagement = Authenticatiemiddelen management.
  Waar plaats je de verrijkingsfunctie (advocatenpas casus Justid)? Dit is meer een identiteiten functie dan authenticatiefunctie. NB: Bij Intune zie je dat resource-identiteiten niet meer in AD opneemt maar in een Intune identiteit.

Resultaat bespreking werkgroep: Harro maakt voorstel. Deze is reeds opgenomen op de pagina.

• geolocatie en time zijn typisch aspecten voor toegangsgebruik (en niet identiteiten). ABAC is toegangsgebruik.
• De meeste begrippen van het model hebben we al. middenkolom: authenticatiemiddelenbeheer hebben we al, op gebruiksniveau heb je het middel zelf (!!) en het authenticeren (als proces). Hoe zit het dan met de "runtime" factoren op de rechter kolom in gebruikslaag?
• Model moet als eerste op de pagina komen met daaronder de kerndefinities, het objectdefinitiemodel werkt de samenhang uit.
• Toegangsafspraken management kent invulling in de vorm van toegangsafsprakenstelsels.

Reactie werkgroep op de afbeelding na discussie: deze is een mooie toevoeging, en zal gepubliceerd worden, maar wordt niet de nieuwe kapstok.

Voorstel vereenvoudigd model

toelichting[bewerken]

Voor de begrippen kan het gebruiken van een dergelijk model impact hebben:

• Het woord ‘toegang’ staat centraal en behoeft meer verduidelijking in begrippen.
• De individuele services / nuances verdienen een eigen verduidelijking.
• Het creëert onderscheid op niveau van beheersing/besturing, beheer en uitvoering/gebruik.

Hiernaast zorgt een dergelijk model voor categorisering en een hiërarchie van begrippen als je dit model gaat gebruiken als paraplu naar een model met subservices, informatieobjecten en actoren waarvoor je (vanzelfsprekend) andere archimate objecten en relaties gaat gebruiken.

Voor het modelleren van voorbeeld patronen (bijvoorbeeld: burger, medewerker, identiteiten federatie, identiteiten en/of toegegansprovisionin, machtigingen etc) lijkt het me wel noodzakelijk om één uitwerkingsniveau dieper te gaan en subservices toe te voegen voor herkenbare subservices. Ik denk hier aan subservices voor (niet uitputtend en let nog niet op taalgebruik): provisioning, federaties, identity stores, access control varianten/services (RBAC, ABAC, DBAC, etc), attestatie, multi-factor, etc etc. Ik heb hier zelf al een poging gedaan en hier (op dit moment) wel geconstateerd dat het, door de grote diversiteit in subservices, een uitdaging is om dezelfde mate van eenduidigheid/consistentie aan te brengen in taal, maar ben er zelf van overtuigd dat dit ons gaat helpen om de informatieobjecten in de eerder in de mail verstpreide modellen te gaan gebruiken (en vertalen naar andere lagen) in patroonuitwerkingen.
Reactie werkgroep: Nadere uitwerking van Toegang als belangrijkste punt volgt door middel van voorstel Harro. HKr: Deze heb ik op genomen in de sectie context.

opmerkingen René[bewerken]

Er worden veel termen gebruikt die overlappend zijn. Bij voorkeur een keuze maken en synoniemen benoemen.

• Toegangsbeheer
• Bevoegdhedenbeheer
• Autorisatiemanagement
• Accessmanagement

Waar mogelijk een duidelijk onderscheid maken tussen:

• het beheren van de identiteiten, rechten etc.
• het daadwerkelijk controleren en verlenen van identiteiten, rechten etc.

Wellicht is te hanteren:

• Identity management
• Authenticatie (controle van de identiteit)
• Accessmanagement (synoniemen: toegangsbeheer, bevoegdhedenbeheer, autorisatiemanagement)
• Autorisatie (controleren en verlenen toegang)

Verder[bewerken]

Binnen het Rijk wordt er ook nog onderscheid gemaakt tussen personeelsbeheer en Identitymanagement Personeelsbeheer

• Organisatiestructuur
• Functies
• Persoon
• Etc.

Identity management[bewerken]

• Identiteit
• Etc.

Autorisatiemanagement[bewerken]

• Voorzieningen (ICT-voorzieningen en overige voorzieningen)
• Rollen
• Etc.

Reactie werkgroep: De begrippen worden in samenhang verbeterd, voorstel Harro. In lijn met het voorstel van de SVB.

opmerking Marijke[bewerken]

Vraag: Hierboven wordt het onderscheid van beheer en gebruik gemaakt, is daarbij het onderscheid tussen onboarding en gebruik ook nog relevant, of hoort onboarding bij beheer?
Reactie werkgroep: Geen actie is voldoende verwerkt

opmerkingen Eric[bewerken]

1. Vanuit GO / pressure coocker is een Excel-overzicht van Rob Post (RvIG) verkregen met IAM-begrippen met daarbij ook de bronnen van de definities. Harro heeft dat overzicht helemaal doorlopen en verwerkt. Maar kan in ons overzicht dan aub ook per begrip de bron worden vermeld? En als er meer bronnen waren met verschillende omschrijvingen, kan dan aub worden aangeven hoe wij zijn omgegaan met die verschillen? Als we dat doen zal dit overzicht enorm aan kracht winnen: het wordt voor lezers dan duidelijk dat we uitgaan van de bestaande wettelijke bronnen, eventuele strijdigheden toelichten en soms aanvullingen doen ter verduidelijking.

NB. Ook bij de stukken die BZK nu aan het opmaken is voor Digitale Bron Identiteiten speelt dit vraagstuk van definities weer een rol. Ik heb er daarom voor gezorgd dat er vanuit DBI een linkje is opgenomen naar deze NORA pagina met Begrippen IAM :-)

2. De relatie tussen het gedragsmodel en de uitwerking van het kader IAM is te verbeteren door het kader over het gedragsmodel te plotten en doorklikbaar te maken.

Werkgroepreactie: Als we dat willen, dan kan ik NORA Beheer vragen om dat op te pakken.

Nakomer Harro[bewerken]

Esther Mackaay heeft begin dit jaar een presentatie gegeven. Daar kan misschien ook nog informatie uit worden gehaald.

Korte reactie Wim[bewerken]

Ik zie dat het begrip autoriseren nog tweeledig wordt gebruikt: zowel voor het vastleggen van een bevoegdheid (zie begrippen) als voor het vaststellen van een bevoegdheid in toegangsverlening (zie objectmodel).

Reactie werkgroep: Deze opmerking wordt verwerkt in de uitwerking van autoriseren/autorisatie.
HKR: teksten zijn nagelopen, komt alleen binnen een synoniem voor.

Nakomer Eric UWV[bewerken]

De excel met begrippen IAM, zoals gebruikt bij de GO zullen ook verwerkt moeten zijn in de begrippen bij IAM. Reactie werkgroep: Deze begrippen staan onderaan de pagina en moeten opgeschoond worden en gerelateerd worden aan de platen. Actie Frans en Marijke

Nakomer Eric NORA[bewerken]

Dit gaat uit van een verplichte opdeling in rollen en ID’s. Maar wat als die persoon dat NIET wil, en 1 ID voor al die domeinen wil gebruiken? Mag en kan dat dan ook?

Reactie werkgroep (Harro): Dat is afhankelijk van de situatie. Aspecten die meespelen - Soms moeten mensen tegen zichzelf beschermd worden en moet uitgelegd kunnen worden waarom dat NIET verstandig is - Of het mag wordt vooral door wet- en regelgeving bepaald. Denk bijv. aan het BSN.

Nakomer Frans[bewerken]

Met een XACML plaat illustreert Frans het veld. Daarbij geeft hij aan dat duidelijk moet zijn dat de verantwoordelijkheid voor toegang altijd bij de aanbieder ligt Reactie werkgroep: In de voorstel voor het uitwerken van het begrip Autorisatie/Autoriseren zal Harro deze kennis meenemen en de verantwoordelijkheid duidelijk accentueren.