Identiteitenbeheer

Uit NORA Online
Ga naar: navigatie, zoeken

IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten. is in review.
De reviewperiode voor IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten. is verstreken, opmerkingen worden niet langer verwerkt. Resultaten worden z.s.m. gepubliceerd op Review IAM en verwerkt in deze pagina.

Identity & Access Management
Venndiagram waarbij de drie overlappende Ovalen (Identiteitenbeheer, Bevoegdhedenbeheer en Toegang verlenen) elk een cyclus van stappen vormen. In de overlap tussen de drie cycli is een vierde cycli getekend (Intelligentie). Cyclus identiteitenbeheer: Aanpassen, Verwijderen, Bewijslast, Aanmaken, Gebruiken. Cyclus Bevoegdhedenbeheer: Ontdekken, Ontwikkelen, Toekennen, Goedkeuren, Verklaren, Intrekken. Cyclus Toegang verlenen: Verifiëren, Authenticeren, Autoriseren. Cyclus Intelligentie: Ontdekken, Loggen, Monitoren, Signaleren, Rapporteren, Analyseren, Ontwikkelen. Bron:Gartner (juli 2011)IntelligentieBevoegdhedenbeheerIdentiteitenbeheerToegang verlenenIntelligentie
Over deze afbeelding
Deze afbeelding is in overleg overgenomen van omnitech.eu en is oorspronkelijk afkomstig van Gartner (waarschijnlijk IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten. summit 2011) (zie ook Rechthebbenden teksten en media noraonline)


Dit is een overzicht van de informatie en vindplaatsen die wij - als leden van de werkgroep Identiteitenbeheer- relevant achten

Contactpersoon: Bob te Riele
Bob.teRiele@rvig.nl
Status: In review
Versie (wijzigingsdatum): 30 juli 2018
Bijdragen door:
  • Andre de Kok (RvIG)
  • Bob te Riele (RvIG)
  • Anne Schrijer (KvK)
  • Arnoud Quanjer (VNG Realisatie)
  • Eric Brouwer (ICTU)

Pagina's IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten. binnen review:

Inhoud

Om binnen de overheid c.q. samenleving te komen tot meer eenduidige en gedeelde beelden inzake digitale identiteiten, is hier volgend een visie daarop gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat, met uitleg van de relevante begrippen en een visualisatie en beschrijving van hun samenhang.

Wat verstaan we onder “digitale identiteit”?

In het rapport "A Blueprint for Digital Identity" van het World Economic Forum (WEF), wordt gesproken over een shift van fysieke identiteit naar digitale identiteit. De digitale identiteit maakt het mogelijk om transacties in een digitale wereld te doen en geeft ook verbeterde functionaliteiten voor haar gebruikers (p 35 van de blauwdruk.).

Het National Institute of Standards and Technology (NIST) maakt het begrip concreter door in hun guidelines te stellen: "Digital identity is the unique representation of a subject engaged in an online transaction". Het gaat dan met name om de representatie van een fysieke identiteit.

De World Bank bouwt voort op het 3DID model in Technical Standards for Digital Identity Systems for Digital Identity en maakt er een 4DID model van. Daarin is hun definitie voor digitale identiteit dat het een set is van elektronisch afgeleide en opgeslagen attributen en verificatiegegevens, die een mens uniek identificeert. Randvoorwaardelijk daarvoor is zelf-soevereine identiteit (SSI). Een zelf-soevereine identiteit stelt mensen in staat om zelf verantwoordelijk te zijn voor alle aspecten die te maken hebben met de eigen identiteit, net zoals in de fysieke wereld.

Het begrip Identiteit vanuit het kader van Identity & Acces Management, focust op de digitale identiteit, maar kent - evenals de beschrijving van het WEF - ook de relatie met de reële wereld, de mensen van vlees en bloed. De begrippen voor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen zijn deels overlappend. De mate van overlap willen we nog beter inzichtelijk maken: daartoe moeten we gaan kiezen welke definities we nodig hebben, zoals Identiteit, Authenticatie en Autorisatie, maar ook Identiteiten-registratie (zoals de BRP), Federatie, etc. De overlap is gevisualiseerd in een gecombineerd overzicht van Gartner en NIST. Daaruit is een thesaurus opgesteld. Zie Identity_&_Access_Management

Hoe legt RvIG de relatie tussen een mens van vlees en bloed en de Nationale digitale identiteit?

Het Rijksinstituut voor Identiteitsgegevens ([RvIG]) kent digitale identiteiten toe aan mensen in hun rol als Nederlands staatsburger of buitenlander. Zo'n digitale identiteit wordt afgeleid uit de menselijke attributen (naam, geboortedatum e.d.) en gedragingen. In de [BRP_(Basisregistratie Personen) BRP, incl. Registratie Niet-Ingezetenen (RNI)], zijn al die gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd opgenomen. Het Burgerservicenummer (BSN) is de unieke representant van zo'n digitale identiteit. Via een BSN kan je een afgeleide identiteitsverklaring krijgen, zoals een reisdocument of een uittreksel uit het bevolkingsregister.

RvIG beheert de levenscyclus van die digitale identiteiten vanuit haar rol als “Nationale Identity Provider”. Deze cyclus wordt geïnitieerd door een inschrijving in de BRP (bijvoorbeeld bij geboorte, of in de RNI als je als buitenlander een belang hebt voor Nederland). De informatie in de BRP wordt actueel gehouden door kwaliteitsmetingen (terugmelding) en door eigen initiatief van burgers (bijvoorbeeld via een verhuisbericht). Burgers worden hierin gefaciliteerd door de gemeenten, het Ministerie van BZK en RvIG. Toetsing op de correctheid en juistheid gebeurt door de dienstaanbieders, afnemers en controlerende instanties waaronder de Politie.

Kwaliteitsnormen zijn gesteld op zowel inhoudelijke attributen (getoetst via ENSIA en kwaliteitsmonitor) als op het proces (LEAN en ISO25001-Quint2) en terugmeldvoorziening.

In het autorisatiebesluit BRP staat op hoofdlijnen welke partijen informatie uit de BRP verstrekt kunnen krijgen en onder welke voorwaarden.

Welke personen krijgen een digitale identiteit van de RvIG?

Alle Nederlanders (ingezetenen) krijgen een digitale identiteit toegekend, in de vorm van een BSN, met daaraan gerelateerde attributen.

Daarnaast kunnen ook niet-ingezetenen (zoals buitenlanders) zich inschrijven in de RNI en daarmee een digitale identiteit krijgen (BSN e.d.).

Ook bewoners van Caribisch Nederland kunnen in de PIVA worden ingeschreven en daarmee een digitale identiteit krijgen.

Alle andere niet-ingezetenen hebben nu nog geen door de RvIG uitgegeven digitale identiteit. Dat betekent echter niet dat deze personen geen digitale diensten kunnen afnemen. Het is aan de dienstverleners om voor deze categorie mensen toch diensten te verlenen of dat er eerst inschrijving dient plaats te vinden.

Het onderscheid van Nationaliteit (wel of niet Nederlandse) en ook ingezetene of niet-ingezetene, is dus van belang voor de uitgifte van digitale identiteiten aan personen door de Nederlandse Overheid.

In hoeverre maken de overheidsorganisaties gebruik van de digitale identiteiten in de BRP?

Het is voor overheidsorganisaties wettelijk verplicht de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd van de BRP te hergebruiken. Maar gebeurt dat ook altijd? Ondanks dat er steeds meer aansluitingen (inclusief terugmeldingen) zijn op de BRP en RNI, worden nog steeds veel kopieën gemaakt van die gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd: voor eigen taken en processen van (overheids)organisaties. Daarmee zijn er alleen al binnen de overheid meer dan 150 verschillende identiteiten-registraties van burgers.

Het hergebruik van de door RvIG uitgegeven digitale identiteiten van burgers wordt gestimuleerd door de eerder genoemde kwaliteitscontroles en steeds vaker ook door analyses op combinaties van bronnen, zoals bij Landelijke Aanpak Adreskwaliteit (LAA). Anders gesteld: vanuit een business behoefte bij de afnemerDe persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn./dienstverlenerDe persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers). Er is steeds vaker een concrete business case om met correcte identiteitsgegevens te werken.

Om de rol als Nationale Identity Provider goed waar te kunnen maken, zal de BRP nog sterker neergezet moeten worden als leidende Identiteiten-registratie en attribuutleverancier (analoog aan een LDAP provider/OpenIDConnect provider). En tevens zullen andere overheidsorganisaties hun eigen identiteiten-registraties moeten laten verwijzen naar de BRP. Alle hulp om dit (naast de Attestations (overheidsverklaringen)) voor elkaar te krijgen is zeer gewenst. Vanuit de Werkgroep API van het Digitaal Stelsel Omgevingswet (DSO) wordt gewerkt aan een Nederlands profiel voor oAUTH. Daar moet nog een brug richting OpenIDConnect worden geslagen.

Welke andere (publieke of private) partijen kennen digitale identiteiten toe aan Nederlandse burgers?

De meest in het oog springende andere uitgegeven digitale identiteiten zijn:

  • het [Rijks Identificerend Nummer (RIN)] waarmee medewerkers van het Rijk (in- en externen) worden geïdentificeerd
  • Personeelsnummers (per organisatie)
  • Studentennummers
  • Zelfstandigennummers
  • Klantnummers (per bedrijf)

e.d.

Om het overzicht en de positie van de mens te versterken zou er binnen de Nederlandse overheid bij voorkeur slechts één identiteiten-autoriteit c.q. Identity Provider zijn en zou het aantal private Identity Providers bij voorkeur beperkt blijven (eerder 10-tallen dan 1000'en).

Daarnaast zou het randvoorwaardelijke [SSI] meer mogen worden uitgedragen, zodat het uitgangspunt “zet de mens centraal” zowel in functie, rechtspositie als ook in beleid, uitvoering en toetsing, echt vorm kan worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Wat is de relatie tussen een digitale identiteit en dienstverlening?

We lichten dat toe aan de hand van het onderstaande plaatje.

schema van een piramide met daarnaast op elke laag links een doel (goal) en rechts een vraagstuk (problem)
Onderschrift

Dit functionele plaatje sluit aan op het plaatje van het kader van Identity & Access Management. Ze vullen elkaar aan. Zo omvat het plaatje van het kader bijvoorbeeld de Identiteitsvaststelling (binnen de cyclus Identiteitenbeheer) en dat wordt in dit plaatje aangevuld met het doel: de dienstverlening. Onze verwachting is, dat we hier een volledig samenhangende plaat van kunnen maken, waarbij het kader de noodzakelijke randvoorwaarde aangeeft.

Daarvoor moeten de onderstaande 4 rollen gecombineerd worden met het plaatje hierboven. In de huidige praktijk zal de Identity Provider (DigiD/eHerkenning) obv een attribuut collectie een authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. uitvoeren na attribuut Exchange met de BRP (verificatie). De attribuut collectie vindt in bijvoorbeeld een burgerzaakmodule plaats of via attributen die op de chip in het rijbewijs, het paspoort of de eNIK staan. Qua proces moet hier nog een overzichtplaat van worden gemaakt. Qua techniek wordt door de werkgroep API/oAUTH een overzichtsplaat opgesteld. Die geeft echter een nabije toekomst aan. Hoe de huidige inrichting met identity providers en de andere 3 rollen zijn, moet nog in beeld worden gebracht met een idEA visualisatie oid.

De 4 onderstaande rollen moeten steeds worden ingevuld, waarbij een keuze moet worden gemaakt tussen een van de vijf archetypes c.q. implementaties.

Schema van het World Economic Forum dat vier rollen beschrijft (users, identity providers, relying parties, government bodies) en een functie (Attribute exchange platform)
Onderschrift
Overzicht van het World Economic Forum (WEF) waarin vijf manieren van identificatie en authenticatie zijn beschreven in een afbeelding, structuur en de informatiestroom: internal Identity management, External authentication, Centralized Identity, Federated authentication en Distributed identification.
Onderschrift

NB. Hoe een dienstverlenerDe persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers) (een overheidsorganisatieNORA doelt met het begrip 'overheidsorganisaties' zowel op overheden als op semi-overheid- en private organisaties met een publieke taak., dan wel een private organisatie) een digitale dienst kan leveren aan personen die géén digitale identiteit van RvIG hebben gekregen, is niet nader uitgewerkt. In de praktijk voegen (overheids)organisaties enkele minimaal benodigde attributen toe aan hun eigen Identiteiten-registratie. Het zou helpen als we dit soort type “inschrijvingen” beschrijven in een overzicht bij de verschillende (overheids)organisaties, zodat we generieke procesafspraken over zo’n intake kunnen maken om daarna een “echte” inschrijving in het BSN/BRP domein meer geleidelijk te laten verlopen.

Hoe verloopt de authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van een digitale identiteit van de BRP: qua proces en qua techniek?

Er is geen eenduidig proces voor de authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. (verificatie) van een door RvIG uitgegeven digitale identiteit. De authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. vindt in de praktijk decentraal plaats en is ook afhankelijk van het middel dat daarbij wordt gebuikt. Authenticatie wordt doorgaans mogelijk gemaakt via herbruikbare bouwstenen of via diensten. Zo zijn er bijvoorbeeld diensten als DigiD, eHerkenning, Toegangsverleningsservice (TVS), die een autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen hebben op de BRP ihkv verificatie (authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.). Middels de identity providers worden dienstverleners wel voor een deel ontzorgd. Specifiek toegang tot de authenticatiemiddelen (chip op paspoort, eNIK e.d.) hebben maar een paar partijen. Verificatie van de attributen op de chip(s) gebeurt via autorisaties. Vaak zijn die authenticatiemiddelen technisch gestandaardiseerd (bij DigiD bijvoorbeeld gebaseerd SAML). Door standaardisatie op InformatieBetekenisvolle gegevens.-/Applicatielaag wordt gestimuleerd de authenticaties te uniformeren. Vanuit deeloplossingen (rijbewijs, PKIO, Zorgpas, overheidspas, etc) treed ook enige standaardisatie op. Er is echter nog geen eenduidige architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. voor de overheid waarin deze authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. is uitgewerkt.

Voorbeelden van bestaande authenticatiemiddelen waarmee de digitale identiteiten van de BRP worden geverifieerd

PKIO certificaten, WID documenten of DigiD, (sub)OIN, RIN, etc...

Welke impact heeft de eIDAS op de uitgifte van digitale identiteiten door RvIG?

We zien hier 2 situaties optreden:

1. Een Europese burger wenst met de digitale identiteit van zijn eigen land gebruik te maken van diensten in Nederland

Hierbij bestaat het risico dat we in onze identiteiten-registratie (de BRP, incl. RNI), naast de Nederlandse staatsburgers telkens meer buitenlandse burgers met een zakelijk belang bij Nederland moeten opnemen. In feite kopieert Nederland dan de persoonsgegevens uit buitenlandse identiteiten-registraties. Dat lijkt in te gaan tegen het concept van Federatief Identiteitenbeheer en behoeft dus aandacht van de architecten. Zie ook Impact eIDAS voor Nederland.

2. Een Europese burger vraagt een Nederlands authenticatiemiddel aan en gaat dat gebruiken

Hierbij moet inzicht bestaan op welke identiteiten-registraties dat authenticatiemiddel moet kunnen werken. Als een digitale (pseudonieme) identiteit op het authenticatiemiddel moet worden gezet, dan speelt tevens het risico zoals benoemd bij situatie 1.

Nuttige linkjes voor digitale identiteiten

  • Het Nationale kader waarbinnen we het Identiteitenbeheer beschouwen: Identity & Access Management
  • Uitleg over Federatief Identiteitenbeheer: Patroon voor federatie van identity management
  • Een Europese voorziening voor het ontsluiten van Nationale identiteiten EID
  • Een position paper van de VNG over Digitale Identiteit
  • Een nieuw concept t.a.v. digitale identiteiten en gegevensuitwisseling: digital-me.nl
  • Het risico bestaat dat Identiteitsdiefstal optreedt. Het is daarom van belang dat bij het ontwerp van diensten met dat risico rekening wordt gehouden. Vanuit de thema's Privacy en Beveiliging worden daartoe maatregelen voorgesteld. Zie met name Passende maatregelen: technisch en organisatorisch
  • Voor de medewerkers van een overheidsorganisatieNORA doelt met het begrip 'overheidsorganisaties' zowel op overheden als op semi-overheid- en private organisaties met een publieke taak. (en ook de externen die daarbij worden ingehuurd, service-personeel e.d.) is vanuit de Rijksoverheid een normenkader (PDF, 361 kB) opgesteld, dat tevens de basis is geweest voor de uitrol van de Rijkspas.

NB-1 Het kader is niet meer 1-2-3 te vinden op internet: opvragen is mogelijk bij de secretaris van de ICCIO / ICBR.
NB-2 Het gebruik van het BSN zoals genoemd in het document, is achterhaald en het RIN (Rijksoverheidsmedewerker Identificerend Nummer) vervangt het BSN.

Overgenomen van "https://www.noraonline.nl/index.php?title=Identiteitenbeheer&oldid=32821"
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen