Autorisatie
Beschrijving: Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen
Bron: Best Practice Informatiebeveiliging, Normen IT-voorzieningen
Vastgesteld in: Bestand:Nora 3.0 principes voor samenwerking en dienstverlening.pdf
Toelichting: De NORA expertgroep IAM verstaat onder autorisatie:
Het proces om te beslissen of een Entiteit op grond van een Authenticatiemiddel, Identiteitsverklaring, of een Machtiging, toegang krijgt tot een Resource.
De beslissing wordt mede gebaseerd op de bij de resource behorende Autorisatieregels en omgevingsfactoren. Voorbeelden van omgevingsfactoren zijn het moment op de dag en de locatie.
Vaak is er een splitsing in een functie om de autorisatie-beslissing te nemen (ook wel genoemd: PDP = Policy Decision Point) wat resulteert in een autorisatie-beslissing (soms ook toegangstoken genoemd) en een functie om deze beslissing af te dwingen op basis van de autorisatie-beslissing (ook wel genoemd: PEP = Policy Enforcement Point). De beslissingsfunctie (PDP) functie kan zowel binnen een dienst als daarbuiten worden uitgevoerd; het afdwingen van de beslissing (PEP) wordt noodzakelijkerwijs altijd binnen de dienst uitgevoerd.
The World Bank (TWB) verstaat onder autorisatie:
Bepalen of een persoon de bevoegdheden bezit die nodig zijn om toegang te krijgen tot de gevraagde dienst.
Zie ‘basic roles of ID systems’ uit de Practicioner’s Guide van TWB
Beschouwing:
Bij de beschrijving van The World Bank wordt gesproken over persoon i.p.v. entiteit. Bij IAM wordt het meer omvattende entiteit gebruikt. Bij NORA wordt dat in het midden gelaten, maar is entiteit wel impliciet.
Verder wordt gesproken over toegang tot geautomatiseerde functies en/of gegevens in ICT systemen (NORA), tot Resources (IAM) en tot diensten (TWB).
Wordt op andere pagina's toegelicht met een 'tooltip': Ja
