Aanbevelingen voor IAM in de Enterprise Architectuur

Uit NORA Online
Ga naar: navigatie, zoeken
Schematische weergave van de processen die vallen binnen Identity & Access Management. Linksonder de afnemer die toegang wil tot dienst D, met een zwarte pijl naar de paarse cirkel Toegang verlenen. Rechts de dienst, met een zwarte pijl terug naar toegang verlenen, waarbij staat: Toegangseisen van dienst D zijn: 1 Zekerheid Z over de juistheid van ID, 2 ID moet bevoegd zijn, 3 eventuele andere eisen. Vervolgens lopen vier paarse pijlen uit de cirkel toegang verlenen, met tekst per pijl (v.l.n.r.): 1 Wie is dit? 2 Wat mag ID? 3 Hier checken we andere eisen. 4 Voldoet ID aan eisen, dan krijgt die toegang, anders niet. Pijl 1 (Wie is dit?) verwijst naar een lichtblauwe cirkel Identiteitenbeheer, via de tekst Authenticatiemiddel. In de blauwe cirkel staat: - Personen - Computers - Apps - Dingen (IOT). In de rand van de cirkel staat rechtsonder: Levert digitale identiteiten. Pijl 2, met de tekst "Wat mag ID?" leidt naar een oranje cirkel boven toegang verlenen met de tekst "Bevoegdhedenbeheer". Naar deze cirkel verwijst een blauwe pijl vanaf link met de tekst "Levert digitale identiteiten." Een zwarte pijl wijst vanaf Bevoegdhedenbeheer naar Toegang verlenen met de tekst 'ID is wel/niet bevoegd voor Dienst D." Binnen in de oranje cirkel Bevoegdhedenbeheer is een gele cirkel Machtigen. Een tweede paarse pijl leidt van Toegang verlenen naar de Dienst, met de tekst "Voldoet ID aan eisen, dan krijgt die toegang, anders niet." Pijl 3, (Hier checken we andere eisen) leidt naar een wolk. Pijl 4, (Voldoet ID aan eisen, dan krijgt die toegang, anders niet) leidt naar de dienst.
Deze pagina is onderdeel van het thema
Identity & Access Management (IAM)


Wat moet een overheidsorganisatieNORA doelt met het begrip 'overheidsorganisaties' zowel op overheden als op semi-overheid- en private organisaties met een publieke taak. allemaal doen om Identity & Access Management goed toe te passen in haar dienstverlening en bedrijfsvoering?

Hieronder geven we handvatten voor een Enterprise Architect
Welke IAM-functies zijn nodig in de architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. van jouw organisatie?
Wie bepaalt eigenlijk wanneer Identity & Access Management goed genoeg is geregeld?
En welke normen en waardenstelsels hanteer je daarbij?
Dat is deels nog een zoektocht !

Onze huidige inzichten zijn daartoe aangegeven.

IAM voor burgers en medewerkers

Traditioneel zijn er voor IAM twee soorten inrichtingen ontstaan. Eén voor de klantkant (burgers, bedrijven e.d.) en één voor de medewerkers van de organisaties die diensten verlenen aan de klanten. In de praktijk zien we dat de klanten steeds meer betrokken worden in de afhandeling of realisatie van een dienst. Dit zorgt ervoor dat klanten ook in de "backoffice systemen" toegang gaan krijgen.
Bij de overheid zie je deze tweedeling ook. Enerzijds het IAM voor de ambtenaren en anderzijds het IAM voor burgers en bedrijven. Doordat veel wet- en regelgeving in Nederland gericht is op de rollen van mensen, zoals ambtenaar of burger of ondernemer, kan IAM momenteel amper anders ingericht worden dan met zo'n tweedeling.

Denk maar aan het gebruik van een BSN als unieke identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. voor een burger bij contacten met de overheid: die BSN mag niet worden gebruikt voor identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de ambtenaren en ook mogen private bedrijven die BSN niet gebruiken voor haar medewerkers.

Federatief IAM voor samenwerkende organisaties

Als een organisatie de genoemde aspecten van IAM heeft ingevoerd, dan is het mogelijk om de samenwerking met andere organisaties (waar ook ter wereld) vorm te geven via een federatie van IAM. Federatie heeft vaak voordelen t.o.v. fusies of andere verdergaande vormen van samenwerking, met name doordat de betrokken organisaties de eigen autonomie daarbij kunnen behouden.
Voor een Federatie is randvoorwaardelijk dat een vertrouwensrelatie wordt verkregen en behouden tussen de betrokken partijen. Generieke diensten (al dan niet geleverd door verschillende partijen), zoals van Identiteiten Service Providers (IsP's), Authenticatie Service Providers (AuthsP's), Autorisatie (AsP's) en Attribuut Service Providers (AttsP's), kunnen de werking van Federatief IAM sterk verbeteren.
Zie voor verdere uitleg: Patroon voor federatie van identity management

Ontwikkelingen waar IAM in de toekomst binnen moet passen

Bij het inrichten van IAM voor jouw organisatie is het goed om rekening te houden met Nationale en wereldwijde ontwikkelingen.
De Visie op IAM geeft daar inzicht in.

Normen en waarden voor IAM voor medewerkers

Identiteitenbeheer

  1. Is zicht op alle uitgegeven digitale identiteiten i.r.t. de bijbehorende medewerkers (mensen van vlees en bloed)?
  2. Is de Identiteitenregistratie actueel en volledig?
    1. bevat die alle doelgroepen (internen, externen, servicepersoneel, stagiairs)
    2. met een vastgestelde minimale persoonsgegevens-set
  3. Verlopen de processen van in-, door- en uitstroom volgens de opzet (Monitoring en Audit)?
    1. uiterlijk 1e werkdag geregistreerd
    2. mogelijkheid tot tussentijdse inactivering en re-activering
    3. uiterlijk laatste werkdag op non-actief gesteld

Normen:
- ISO 24760 IM (Identity Management)
- voor Rijksoverheid: Gemeenschappelijk_Normenkader_Rijksoverheidbreed_IdM (PDF, 361 kB)
- AVG

Authenticatie(middelen)beheer

  1. Is zicht op welke authenticatiemiddelen mogen worden toegepast (beleid)?
    1. gebruikersnaam + wachtwoord
    2. tokens + pincode
  2. Heeft iedere medewerker (identiteit) tenminste 1 van die authenticatiemiddelen?
  3. Is Single-Sign-On zo maximaal mogelijk doorgevoerd? (zonder dat het leidt tot een te groot veiligheidsrisico)
  4. Verlopen de processen van verstrekken en intrekken van authenticatiemiddelen volgens de opzet (Monitoring en Audit)?

Normen:
- ?

Bevoegdhedenbeheer

  1. Is zicht op welke medewerkers (identiteiten) welke bevoegdheden hebben?
    1. interne medewerkers
    2. externe medewerkers
  2. En welk niveau van screening / bevoegdheid die medewerkers (identiteiten) hebben?
  3. Is zicht op de (tijdelijke geldigheid van) bevoegdheden van die medewerkers (identiteiten)?
  4. Verlopen de processen van verstrekken en intrekken van bevoegdheden volgens de opzet (Monitoring en Audit)?
    1. volledig geautomatiseerd en met RBAC / ABAC
    2. of handmatig bij specifiek verzoek

Normen:
- ISO 29146 AM (Access Management)

Machtigen

  1. Kunnen medewerkers elkaar machtigen om bepaalde acties / taken / functies uit te voeren? (met in achtname van functiescheiding)
  2. Worden machtigingen ook weer tijdig ingetrokken?
  3. Verlopen de processen van verstrekken en intrekken van machtigingen volgens de opzet (Monitoring en Audit)?
    1. volledig geautomatiseerd
    2. of handmatig bij specifiek verzoek

Normen:
- ?

Toegang verlenen

  1. Heeft iedereen tijdig toegang gekregen tot de juiste bedrijfsmiddelen?
  2. Is zicht op de uitzonderingen die zijn geweest? (niet tijdige toegang of onterechte toegang, tijdelijke toegang)
  3. Krijgen externe medewerkers -van leveranciers (service personeel) of partner-organisaties- via federatief IAM toegang? (of worden ze als “externe” medewerker opgevoerd in de Identiteitenregistratie?)
  4. Krijgen eigen medewerkers bij andere organisaties toegang via Federatief IAM?
  5. Verloopt het proces van toegang verlenen volledig geautomatiseerd en volgens de opzet?
  6. Zijn er geen bijzonderheden bij Audit & Logging?

Normen:
- ?