Expertgroep IAM maart 2022

Uit NORA Online
Naar navigatie springen Naar zoeken springen


Bijeenkomst van Expertgroep IAM op woensdag 30 maart 2022, 15.00-16.30 uur, locatie: MS TEAMS.
Doel: Het delen van kennis over de aanpak en de inhoud voor het opstellen van definities van begrippen die gebruikt worden voor Digitale Identificatie en Authenticatie, zodat eventueel andere thema's een vergelijkbare aanpak kunnen voeren en kennis over het onderwerp kunnen opdoen.
Doelgroep: Architecten en collega’s uit de publieke sector die zijn geïnteresseerd in het thema Identity & Access Management .



Voorlopige Agenda

Terugblik Review GDI architectuur Identificatie en Authenticatie (Harro, Eric)[bewerken]

  • Complimenten voor snelle actie. Resultaat is gedeeld.
  • Machtigen en Vertegenwoordiging: wel afgestemd, maar selectiereview (klankbordgroepen)
  • Eric stemt met Tom Peelen af over afstemming over principes; NORA beheer gaat voorstel doen om definitielijsten op elkaar te ontdubbelen (GDI, NORA algemeen, IAM specifiek). Het GDI richt zich nu vooral op Authenticatie, IAM richt zich daarna ook op het managen van de Identiteiten (beheren en provisionen). Omgekeerd is de EAR vooral gericht op de organisatie zelf en weinig op de burger/bedrijf.

Samenhang thema's IAM, Beveiliging en Toegang (Eric)[bewerken]

  • De thema's zijn zelfstandig ontstaan en worden nu vooral zelfstandig beheerd. Sinds 2 jaar is aandacht op samenhang op gang gekomen.
  • I.a.v. Eric heeft Fatema heeft met Annemieke en Frans (beiden CJIB) en Harro contact gezocht. Zij is de samenhang op een Miro-bord als stagiaire aan het uitwerken; expertgroepleden worden
  • Gedachte: Experiment met op NORA site registreren van expertises (zodat anderen ons als expert kunnen benaderen).
    Welke onderwerpen (expertises) zien wij als experts in ons vakgebied. Kees Jan biedt zich als eerste aan. Eerst maakt Fatema de opzet op de wiki (privacy conform) en fatema zal benaderen als we ons kunnen aanmelden.

Review van Beveiliging in de cloud (Harro)[bewerken]

  • Gaat binnenkort lukken, Jule is nieuwsgierig

Richtlijnen voor vervanging van PKIo PublicRoot certificaten (Frans)[bewerken]

  • EU Public Root: QWAC standaard voor TLS. In NL heeft Quovadis als leverancier. Discussies over automatische vermelding; geen impact omdat Quovadis zich zelfstandig heeft aangemeld bij de grote browser leveranciers.
  • Binnen JenV is er een centraal loket voor haar onderdelen (met Justid als leverancier) die nu QWAC certificaten van Quavadis leverd.
  • NL Public Root: PKI-Overheid. In sep 2021 besloten per dec 2022 te stoppen met TLS certificaten. ==> Migratie is nodig omdat alle certificaten per december 2022 vervallen omdat de Public Root wordt ingetrokken.
  • Diverse adviezen gepubliceerd; gecombineerd advies voor DigID en eHerkenning. Bevat o.a. criteria voor
    • Gebruik van Organization Validated certificaten (afh. van toplevel domain en uitgever (LetsEncrypt vs QWAC)). De varieteit aan corona-websites maakt de noodzaak duidelijk voor identificeren van de achterliggende organisatie. Casus: Werk.nl zou in principe evengoed van UWV als van Randstad kunnen zijn.
    • Voor DigID en eHerkenning: domain validated is voldoende; organization validated is beter. Voor Werk.nl meldt de DigID app ook de organization erachter UWV is (oplossing binnen de app; niet in het certificaat).
    • Aansluiting op DigID (en waarschijnlijk ook eHerkenning) legt aanvullende eisen op: onder andere DNSEC, CAA record, en bescherming tegen typosquatting.
  • Op bio-overheid.nl wordt nu de eis gesteld voor OV certificaten; volgens Frans is dit soms een te hoge lat omdat voor DigID en eHerkenning omdat het daar ook in de dienst zelf is geïmplementeerd.

Link naar de presentatie volgt.

Rondje langs de velden[bewerken]

  • Bob: zit morgen o.a. om tafel over SSI binnen GDI
  • Erwin: gb
  • Jule: Nog niets te delen over IAM traject
  • Kees Jan: bezig herindelen IGA processen. Wie heeft er voorbeelden? Harro ==> opsturen Sel.Hulp SaaS verwerving
  • Marijke: Houdt ook de Europese ontwikkelingen in de gaten.
    Wat is de status van de WDO wetgeving? Frans: is nog slecht te voorspellen
    Werk nu ook voor de KMAR.
  • Marcel: Meerdere IAM projecten (IGA; aanbesteding voor werkplek, mogelijk M365; PAM; modernisering IAM)
  • Rene: gb
  • Hans: Diverse kleine traject, waaronder PIM (bij Azure)
  • Harro: Vooral PAM incl MFA. In volgende fase PIM. Kennisschaarste. Jule: bij gemeenten veel externen ==> ook sessie recording.
    Het zou via een federatieve toegang kunnen maar beschikbaarheids van de MFA moet op orde zijn.

Voorraad onderwerpen[bewerken]

  • eu-di = eu wallets. Frans is betrokken bij werkgroepen
  • Marcel: aanbod presentatie over samenhang IAM en Zero Trust binnen Security Architectuur. 45 minuten. next of die daarna