Faciliteren van eenmalig inloggen

Uit NORA Online
Ga naar: navigatie, zoeken


Elementtype
Generieke functie
ID
Status
Uitgefaseerd
Bron

Doel

Het faciliteren van eenmalig inloggen beoogt het beperkt houden van het aantal digitale drempels om gemakkelijk zaken te kunnen doen met de overheid.

Scope

De overheid zorgt er voor dat burgers en rechtspersonen in contact met de overheid zichzelf zo min mogelijk telkens opnieuw kenbaar hoeven te maken door extra in te loggen c.q. een authenticatie uit te laten voeren.
Het eenmalig inloggen, ook wel Single-Sign-On (SSO) genoemd, zorgt er voor dat een persoon zich minder vaak hoeft te identificeren c.q. dat opnieuw hoeft te worden ingelogd e.d. Daarmee is SSO dus van invloed op de wijze waarop de authenticatie moet worden ingericht om het “gebruiker centraal” te maken (in plaats van te veel techniek gedreven). Dat wringt soms met de noodzaak voor de overheid om zorg te dragen voor veiligheid en privacy. Hierom moet een balans worden gevonden.

In de praktijk blijkt dat extra inloggen een grote ergernis is bij gebruikers.
Voordelen van single sign-on zijn:

  • Eenvoud en gemak voor de gebruiker;
  • Gebruikers zijn productiever;
  • Het biedt de mogelijkheid om de enige overgebleven aanmeldprocedure te verscherpen en het netwerk veiliger te maken.

Afspraak
Overheidsorganisaties moeten (toekomst WDO) burgers laten inloggen met een identificatiemiddel dat past bij het benodigde betrouwbaarheidsniveau van de betreffende dienst(en). In principe niet met een hoger betrouwbaarheidsniveau dan nodig.
NB. Door dit uitgangspunt zal in bepaalde gevallen geen sprake kunnen zijn van een volledige SSO. Het zorgt echter wel voor een redelijke balans tussen informatieveiligheid / privacy en gebruiksgemak.

Voorziening
Als een burger al is ingelogd met een identificatiemiddel, dan kan de burger zonder opnieuw in te hoeven loggen alle diensten afnemen met een gelijkwaardig of lager betrouwbaarheidsniveau dan het betrouwbaarheidsniveau waarmee was ingelogd. Bij een hoger benodigd betrouwbaarheidsniveau moet wel opnieuw worden ingelogd met een meer betrouwbaar identificatiemiddel.

Afspraak
Vanuit het oogpunt van informatieveiligheid kunnen termijnen worden gesteld aan de duur van een online sessie, waarna wederom een authenticatie mag plaatsvinden.

Voorbeelden

Als je bij MijnOverheid bent ingelogd (via DigiD), dan hoef je niet nogmaals in te loggen als je naar jouw eigen pensioenoverzicht wilt gaan. Terwijl je ook afzonderlijk naar jouw pensioenoverzicht kunt gaan, maar dan moet je daar eerst inloggen.
Dit is een mooi voorbeeld van publiek-private samenwerking, waarbij publieke voorzieningen door private partijen worden her-gebruikt en burgers daardoor gemakkelijker de gewenste informatie verkrijgen.

Status

Medio 2020 is via een pressure-cooker versnelling aangebracht in de oplevering van GO. Een vijftal werkgroepen heeft in 2 maanden tijd uitwerking gegeven aan:

  • ‘Why’ van de GDI inclusief bijbehorende visual,
  • uitgangspunten voor het vastleggen van generieke functies (capability’s),
  • visies voor de domeinen Interactie, Gegevensuitwisseling, Identificatie en Authenticatie (Toegang), Machtigen en Infrastructuur.

Resultaten van de pressure cooker zijn overgedragen om mee te nemen in de Gemeenschappelijke Overheidsarchitectuur (GO). GO brengt samenhang aan, verwijdert dubbelingen en verdiept visies zodanig dat besluitvorming in de PL en (naar beoordeling door PL) in het OBDO mogelijk is. Voor het domein Interactie geldt dat bovendien nog afstemming met de beleidsomgeving moet plaatsvinden. Gegevensuitwisseling heeft nu nog een bredere scope dan GDI en zal daarom binnen de GDI-context in samenhang met andere domeinen uitgewerkt worden.

Documentatie

De visie uit de pressure cooker GO t.a.v. Identificatie en Authenticatie is opgenomen in het document van de werkgroep IenA1 - Identificatie en Authenticatie:GO_Pressure_Cooker_Identficatie_en_Authenticatie_(IenA1).pdf (PDF, 417 kB)

Naamgeving

Het visie document uit de pressure cooker gebruikt voor deze capability de naam Single-Sign-On by default


Gerelateerde generieke functies



    Gerealiseerd door

    Standaarden

    Principes

    Visualisatie relaties

    Faciliteren van eenmalig inloggenrelaties

    debugging

    Graphviz DOT-code voor de visualisatie

    digraph GRAPHNAAM{
    graph [size="17,55",overlap=prism, overlap_scaling=0.21, ratio=compress, rankdir="LR", ranksep=0.01,nodesep=0.21]
    node [shape=note];
    /* Inkomende relaties. Relatie=Is gerelateerd aan, Label=, Bronpagina=Faciliteren van eenmalig inloggen */
    8710 [URL="[[Faciliteren van eenmalig inloggen]]", label="Faciliteren van eenmalig inloggen"]
    
    { } -> 8710 [label="", arrowhead=lvee, arrowtail=none, dir=both]
    
    
    8710 [URL="[[Faciliteren van eenmalig inloggen]]", label="Faciliteren van eenmalig inloggen"]
    8710 -> { } [label="is gerelateerd aan", arrowhead=lvee, ]
    /* Inkomende relaties. Relatie=omvat, Label=onderdeel van, Bronpagina=Faciliteren van eenmalig inloggen */
    8710 [URL="[[Faciliteren van eenmalig inloggen]]", label="Faciliteren van eenmalig inloggen"]
    
    { } -> 8710 [label="onderdeel van", arrowhead=none, arrowtail=odiamond, dir=both]
    
    
    
    
    
    /* Inkomende relaties. Relatie=Realiseert, Label=realiseert, Bronpagina=Faciliteren van eenmalig inloggen */
    8710 [URL="[[Faciliteren van eenmalig inloggen]]", label="Faciliteren van eenmalig inloggen"]
    
    { } -> 8710 [label="realiseert", arrowhead=onormal, style="dotted", arrowtail=none, dir=both]
    }
    

    Oude visualisatie

    Dit is een grafiek met grenzen en knooppunten die kan hyperlinks bevatten.

    Gerelateerde onderwerpen

    Past toe
    Wordt toegepast in