Hoe pas je Identity & Access Management toe?

Uit NORA Online
(Doorverwezen vanaf Identity & Access Management)
Ga naar: navigatie, zoeken
Schematische weergave van de processen die vallen binnen Identity & Access Management. Linksonder de afnemer die toegang wil tot dienst D, met een zwarte pijl naar de paarse cirkel Toegang verlenen. Rechts de dienst, met een zwarte pijl terug naar toegang verlenen, waarbij staat: Toegangseisen van dienst D zijn: 1 Zekerheid Z over de juistheid van ID, 2 ID moet bevoegd zijn, 3 eventuele andere eisen. Vervolgens lopen vier paarse pijlen uit de cirkel toegang verlenen, met tekst per pijl (v.l.n.r.): 1 Wie is dit? 2 Wat mag ID? 3 Hier checken we andere eisen. 4 Voldoet ID aan eisen, dan krijgt die toegang, anders niet. Pijl 1 (Wie is dit?) verwijst naar een lichtblauwe cirkel Identiteitenbeheer, via de tekst Authenticatiemiddel. In de blauwe cirkel staat: - Personen - Computers - Apps - Dingen (IOT). In de rand van de cirkel staat rechtsonder: Levert digitale identiteiten. Pijl 2, met de tekst "Wat mag ID?" leidt naar een oranje cirkel boven toegang verlenen met de tekst "Bevoegdhedenbeheer". Naar deze cirkel verwijst een blauwe pijl vanaf link met de tekst "Levert digitale identiteiten." Een zwarte pijl wijst vanaf Bevoegdhedenbeheer naar Toegang verlenen met de tekst 'ID is wel/niet bevoegd voor Dienst D." Binnen in de oranje cirkel Bevoegdhedenbeheer is een gele cirkel Machtigen. Een tweede paarse pijl leidt van Toegang verlenen naar de Dienst, met de tekst "Voldoet ID aan eisen, dan krijgt die toegang, anders niet." Pijl 3, (Hier checken we andere eisen) leidt naar een wolk. Pijl 4, (Voldoet ID aan eisen, dan krijgt die toegang, anders niet) leidt naar de dienst.
Deze pagina is onderdeel van het thema
Identity & Access Management (IAM)
Contactpersoon:

Toegang tot een bepaalde dienst voor de juiste personen

IAM doe je niet voor de lol, maar omdat je de juiste personen (of systemen) toegang wil geven tot een bepaalde dienst. Ga voor de inrichting dan ook uit van drie basiselementen waarover je helderheid moet geven: De dienst waar je toegang voor gaat inrichten, de afnemers (identiteiten) die toegang moeten hebben en het toegang verlenen zelf. Wat moet je allemaal geregeld hebben zodat een identiteit een dienst snel en gemakkelijk kan afnemen?
Idealiter maak je gebruik van de NORANederlandse Overheid Referentie Architectuur Principes en het NORANederlandse Overheid Referentie Architectuur Vijflaagsmodel om op gestructureerde wijze zicht te krijgen op wat er moet gebeuren en hoe dat met elkaar samenhangt.
Voor de inhoudelijke vormgeving van IAM kan je gebruik maken van ISO 24760 IM (Identity Management) en ISO 29146 AM (Access Management). Ook het InformatieBetekenisvolle gegevens. Beveiliging Management Framework (ISO 27001) is van belang: dat is de basis van het thema Beveiliging. De BIR en BIO zijn daar op gebaseerd.
Er zijn 2 punten die hierbij aandacht vragen:

  1. De ISO-normen zijn door auteursrechten niet publiekelijk te publiceren;
  2. Hoe al deze kaders op elkaar zijn afgestemd, is naar ons weten, nog niet nader onderzocht.
    Schematische weergave van toegang verlenen tot een dienst: links de afnemer die toegang wil tot dienst D, met een zwarte pijl naar de paarse cirkel Toegang verlenen. Rechts de dienst, met een zwarte pijl terug naar toegang verlenen, waarbij staat: Toegangseisen van dienst D zijn: 1 Zekerheid Z over de juistheid van ID, 2 ID moet bevoegd zijn, 3 eventuele andere eisen. Vier paarse pijlen uit de cirkel toegang verlenen, met tekst per pijl (v.l.n.r.): 1 Wie is dit? 2 Wat mag ID? 3 Hier checken we andere eisen. 4 Voldoet ID aan eisen, dan krijgt die toegang, anders niet.
Maak dus een ontwerp voor IAM waarin onderstaande aspecten zijn opgenomen:

De DienstEen afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de afnemers).

Helder moet zijn wat de dienst inhoudt (AP5): waar is dat beschreven?
Hoe is de dienst ontsloten (AP9): via welke URL kan je die aanroepen?

Welke eisen stelt de dienstaanbieder aan het mogen afnemen van die dienst (AP28)?

Toegang verlenen

Ontwerp functies waarmee de dienstaanbieder kan worden "ontzorgd" bij het nagaan of wel of niet toegang moet worden verleend: als aan alle eisen wordt voldaan die de dienstaanbieder heeft gesteld, dan kan toegang worden verleend. En anders niet.
In de praktijk wordt het toegang verlenen vaak gebaseerd op "wie ben je?" en "wat mag je?". Maar er kunnen ook geheel andere eisen zijn gesteld voor de toegang tot een dienst, en wat moet je dan regelen?
Hoe je dat in de praktijk kan laten werken, lichten we toe bij Toegang verlenen

Voor elk van de vragen die je stelt om te bepalen of je toegang mag verlenen is het antwoord te krijgen met een van de overige aspecten van IAM.

Wie is dit?

Identiteitenbeheer

Op de vraag 'wie ben je?' komt het antwoord van Identiteitenbeheer:

Schematische weergave van toegang verlenen tot een dienst: links de afnemer die toegang wil tot dienst D, met een zwarte pijl naar de paarse cirkel Toegang verlenen. Rechts de dienst, met een zwarte pijl terug naar toegang verlenen, waarbij staat: Toegangseisen van dienst D zijn: 1 Zekerheid Z over de juistheid van ID, 2 ID moet bevoegd zijn, 3 eventuele andere eisen. Vier paarse pijlen uit de cirkel toegang verlenen, met tekst per pijl (v.l.n.r.): 1 Wie is dit? 2 Wat mag ID? 3 Hier checken we andere eisen. 4 Voldoet ID aan eisen, dan krijgt die toegang, anders niet. Pijl nummer 1 verwijst naar een lichtblauwe cirkel Identiteitenbeheer, via de tekst Authenticatiemiddel. In de blauwe cirkel staat: - Personen - Computers - Apps - Dingen (IOT) In de rand van de cirkel staat rechtsonder: Levert digitale identiteiten.

Dit betreft de “levenscyclus” van digitale identiteiten: van (pre)nataal tot (post)mortaal. Het begint met het bepalen (creëren) van een digitale identiteit door bepaalde kenmerken in een registratie op te nemen. Met zo'n digitale identiteit ben je in de digitale wereld te identificeren. Die identiteiten zullen doorgaans betrekking hebben op personen, maar het kan ook gaan om bedrijven, computers, apps of IoT e.d. Het zijn digitale afspiegelingen van zogenaamde "entiteiten". Het wijzigen en beëindigen van digitale identiteiten behoort natuurlijk ook tot de levenscyclus.
Het beëindigen van de digitale identiteit (doorgaans is dat op “non-actief” zetten, opdat het gebruik van de digitale identiteit om historische redenen nog traceerbaar blijft) is een trigger om aan de digitale identiteit toegewezen accounts, bevoegdheden, rechten en voorzieningen e.d. in te trekken.
Hoe we als overheid in Nederland omgaan met het identiteitenbeheer van onze burgers en van andere bewoners op aarde, is toegelicht bij Identiteitenbeheer.

Authenticatie(middelen)beheer

Het ID op zich is niet genoeg, er moet ook nog een bewijs van je ID geleverd kunnen worden, door een authenticatiemiddel. Ook authenticatiemiddelen moeten goed beheerd worden:

Schematische weergave van toegang verlenen tot een dienst: links de afnemer die toegang wil tot dienst D, met een zwarte pijl naar de paarse cirkel Toegang verlenen. Rechts de dienst, met een zwarte pijl terug naar toegang verlenen, waarbij staat: Toegangseisen van dienst D zijn: 1 Zekerheid Z over de juistheid van ID, 2 ID moet bevoegd zijn, 3 eventuele andere eisen. Vier paarse pijlen uit de cirkel toegang verlenen, met tekst per pijl (v.l.n.r.): 1 Wie is dit? 2 Wat mag ID? 3 Hier checken we andere eisen. 4 Voldoet ID aan eisen, dan krijgt die toegang, anders niet. Pijl nummer 1 verwijst naar een groene ovaal authenticatie(middelen)beheer. Naar deze cirkel is een pijl vanuit lichtblauwe cirkel Identiteitenbeheer, hier linksboven. In de blauwe cirkel staat: - Personen - Computers - Apps - Dingen (IOT) In de rand van de cirkel staat rechtsonder: Levert digitale identiteiten.

Dit betreft de “levenscyclus” van authenticatiemiddelen in relatie tot digitale identiteiten.
Hiertoe regel je enerzijds het ontwikkelen, aanpassen en verwijderen van authenticatiemiddelen in de vorm van "verificatiediensten", die met een bepaalde zekerheid aangeven in welke mate een digitale identiteit overeenkomt met de entiteit waaraan die is toegekend. En anderzijds regel je het toekennen van authenticatiemiddelen aan digitale identiteiten of het intrekken daarvan.
Het betrouwbaarheidsniveau van een uitgevoerde authenticatie wordt dus bepaald door enerzijds de kwaliteit van de identiteiten(registratie) en anderzijds het daarbij gebruikte authenticatiemiddel.
Onderdelen van het Authenticatie(middelen)beheer zijn uitgewerkt in: Authenticatie in de praktijk en Impact eIDAS voor Nederland

Wat mag ID?

Om toegang te verlenen ben je er nog niet als je weet welk ID toegang vraagt: je moet weten of het ID die toegang ook hoort te hebben. Daarvoor zijn nog twee aspecten van IAM van belang:

alt=Schematische weergave van toegang verlenen tot een dienst: links de afnemer die toegang wil tot dienst D, met een zwarte pijl naar de paarse cirkel Toegang verlenen. Rechts de dienst, met een zwarte pijl terug naar toegang verlenen, waarbij staat: Toegangseisen van dienst D zijn: 1 Zekerheid Z over de juistheid van ID, 2 ID moet bevoegd zijn, 3 eventuele andere eisen. Een paarse pijl uit de cirkel toegang verlenen, met de tekst "Wat mag ID?" leidt naar een oranje cirkel boven toegang verlenen met de tekst "Bevoegdhedenbeheer". Naar deze cirkel verwijst een blauwe pijl vanaf link met de tekst "Levert digitale identiteiten." Een zwarte pijl wijst vanaf Bevoegdhedenbeheer naar Toegang verlenen met de tekst 'ID is wel/niet bevoegd voor Dienst D." Binnen in de oranje cirkel Bevoegdhedenbeheer is een gele cirkel Machtigen. Een tweede paarse pijl leidt van Toegang verlenenn naar de Dienst, met de tekst "Voldoet ID aan eisen, dan krijgt die toegang, anders niet."

Bevoegdhedenbeheer (ook wel Autorisatiebeheer of Access Management genoemd)

We bedoelen hier in elk geval de “levenscyclus” van bevoegdheden, waar vooraf wordt bepaald wat een identiteit mag (of niet mag). Dat kan ook zijn, dat de identiteit door een andere identiteit is gemachtigd om iets te doen.
Hiertoe regel je enerzijds het ontwikkelen, wijzigen en verwijderen van bevoegdheden in de vorm van rollen (roles), regels (rules) en aanvragen (requests), waaraan bepaald gebruik van een dienst of voorzieningen is gekoppeld. En anderzijds regel je het toekennen van bevoegdheden aan digitale identiteiten of het intrekken van die bevoegdheden.
Hoe je kunt omgaan met bevoegdhedenbeheer is toegelicht bij Bevoegdhedenbeheer (inclusief machtigen)

Machtigen

Machtigen wordt gezien als een onderdeel van Bevoegdhedenbeheer.
Geregeld moet worden dat bevoegdheden van een identiteit kunnen worden toegekend of overgedragen aan andere identiteiten en dat dat ook weer kan worden ingetrokken.
Hoe je dat in de praktijk kan regelen, lichten we toe bij Machtigen

IAM voor burgers en medewerkers

Traditioneel zijn er voor IAM twee soorten inrichtingen ontstaan. Eén voor de klantkant (burgers, bedrijven e.d.) en één voor de medewerkers van de organisaties die diensten verlenen aan de klanten. In de praktijk zien we dat de klanten steeds meer betrokken worden in de afhandeling of realisatie van een dienst. Dit zorgt ervoor dat klanten ook in de "backoffice systemen" toegang gaan krijgen.
Bij de overheid zie je deze tweedeling ook. Enerzijds het IAM voor de ambtenaren en anderzijds het IAM voor burgers en bedrijven. Doordat veel wet- en regelgeving in Nederland gericht is op de rollen van mensen, zoals ambtenaar of burger of ondernemer, kan IAM momenteel amper anders ingericht worden dan met zo'n tweedeling.

Denk maar aan het gebruik van een BSN als unieke identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. voor een burger bij contacten met de overheid: die BSN mag niet worden gebruikt voor identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de ambtenaren en ook mogen private bedrijven die BSN niet gebruiken voor haar medewerkers.

Federatief IAM voor samenwerkende organisaties

Als een organisatie de genoemde aspecten van IAM heeft ingevoerd, dan is het mogelijk om de samenwerking met andere organisaties (waar ook ter wereld) vorm te geven via een federatie van IAM. Federatie heeft vaak voordelen t.o.v. fusies of andere verdergaande vormen van samenwerking, met name doordat de betrokken organisaties de eigen autonomie daarbij kunnen behouden.
Voor een Federatie is randvoorwaardelijk dat een vertrouwensrelatie wordt verkregen en behouden tussen de betrokken partijen. Generieke diensten (al dan niet geleverd door verschillende partijen), zoals van Identiteiten Service Providers (IsP's), Authenticatie Service Providers (AuthsP's), Autorisatie (AsP's) en Attribuut Service Providers (AttsP's), kunnen de werking van Federatief IAM sterk verbeteren.
Zie voor verdere uitleg: Patroon voor federatie van identity management

Ontwikkelingen waar IAM in de toekomst binnen moet passen

Bij het inrichten van IAM voor jouw organisatie is het goed om rekening te houden met ontwikkelingen die zich wereldwijd afspelen. Het internet houdt immers niet op bij de Nederlandse grens.

Er is een wereldwijd stelsel van afspraken waarbij Nationale paspoorten en andere formele reisdocumenten de wereldburgers in staat stellen zich vrij te bewegen over onze planeet. Willen we vertrouwen kunnen hebben in de digitale identiteiten, dan zullen we ook zo’n soort afsprakenstelsel moeten hebben voor de digitale reizen die we elke dag maken. Anders zullen ondernemers en landen niet op voorhand vertrouwen op die digitale identiteiten (je weet dan immers niet zeker met wie je te maken hebt) en gaan dan extra eigen digitale identiteiten uitgeven die ze zelf wel vertrouwen. Dat is echter omslachtig en zorgt voor het risico dat de burgers te veel digitale identiteiten krijgen, met alle risico’s en gevolgen van dien.

Stel je dan eens voor:

  • dat geregeld zou zijn dat iedere Nederlander tenminste één digitale identiteit heeft (het kunnen er dus ook meer zijn) die zodanig betrouwbaar is, dat die daarmee over de gehele wereld, en dus ook in Nederland, digitale diensten van overheden -en zo mogelijk ook van private partijen- kan afnemen;
  • dat geregeld zou zijn dat bij die elektronische identiteit ook 1 of meer authenticatie-middelen beschikbaar zijn waarmee door alle betrokken partijen kan worden geverifieerd of degene die zegt een bepaald iemand te zijn dat ook daadwerkelijk is;
  • dat geregeld zou zijn dat van elk van die middelen is vastgesteld welke mate van zekerheid dan bestaat dat die bewering juist is;
  • dat geregeld zou zijn dat er (inter)nationale autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen- en machtigingenvoorzieningen beschikbaar zijn die mogen worden gebruikt door zowel publieke als private organisaties;

Als dat allemaal zou zijn geregeld, dan kan elke dienstaanbieder die voor zijn elektronische dienst heeft bepaald met welke zekerheid de identiteit van de dienstafnemer bekend moet zijn, hergebruik (laten) maken van de beschreven IAM-voorzieningen.
En indien de afnemerDe persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn. van de dienst aan de gestelde eisen voldoet, kan de dienst worden geleverd c.q. afgenomen. In de praktijk zijn we echter nog niet zo ver.

En toch denken we al aan een stap verder ...
Wereldwijd zien we een ontwikkeling waarbij gegevens niet meer worden gekopieerd van de ene plek (lees: registratie of database) naar de andere plek, maar waar op basis van het stellen van vragen ("Is deze persoon ouder dan 18 jaar?") een antwoord wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat (ja, nee) waarmee een dienstveerlener kan besluiten om een dienst wel of juist niet te leveren. We zien daarbij een stelsel ontstaan van zogenaamde Attribute Service Providers, waar alle gegevens- en informatie-uitwisseling voor de dienstverlening mee kan worden geregeld.

Het lijkt mogelijk dat de attributen die relevant zijn voor IAM straks onderdeel worden van dat stelsel.

Attribute Service Providers.jpg

Een paar voorbeelden van initiatieven die gebaseerd zijn op deze visie zijn:


Noot: Het streefbeeld dat we hierboven hebben neergezet lijkt voor sommigen een koele analytische vaststelling, waarbij mogelijk te lichtzinnig over maatschappelijke en morele zaken wordt heengestapt. Zo zijn geen voorbeelden opgenomen van wat mis kan gaan e.d. Denk bijvoorbeeld aan identiteitsfraude, tweedeling in de samenleving door het wel of niet hebben van een formele registratie van een Nederlandse identiteit, of (politieke) misbruik van het systeem van de overheid.
Het is niet de intentie om een koele analytische vaststelling weer te geven, maar juist een pragmatisch beeld wat we als Nederlandse burgers zouden kunnen wensen. Ethiek en risico's zijn daarbij aspecten die altijd belichting nodig hebben.

Momenteel hebben we nog beperkt zicht op welke streefbeelden bestaan bij de overheidsorganisaties. Daarnaast is er vrijwel geen zicht op het groeipad dat die overheidsorganisatieNORA doelt met het begrip 'overheidsorganisaties' zowel op overheden als op semi-overheid- en private organisaties met een publieke taak. willen volgen om hun streefbeeld te realiseren en ook niet welke kaders en voorzieningen zij daarbij hanteren.
Het verkrijgen van zicht op de benodigde eisen, normen, richtlijnen of producten is daarom onderdeel van deze ontwikkeling in de NORANederlandse Overheid Referentie Architectuur.

Overzicht van relevante begrippen

Er zijn veel begrippen die te maken hebben met Identity & Access Management: vaak in het Engels, soms in het Nederlands. We hebben een overzicht gemaakt van begrippen die we zijn tegengekomen in onze discussies en in allerlei bronnen: Begrippen IAM

Daarnaast zijn er diverse bronnen waar nog meer begrippen te vinden zijn:

Uiteindelijk streven we er naar dat we niet meer zo'n apart overzicht nodig hebben, maar dat alle begrippen zijn opgenomen in ons Begrippenkader en dat ze daar begrijpelijk zijn omschreven en zo mogelijk ook gevisualiseerd via een plaatje met context. Daarmee sluiten we ook aan op initiatieven als Burgerwoordenboeken: artikel ibestuur:burgerwoordenboeken als participatiedocument

Overgenomen van "https://www.noraonline.nl/index.php?title=Hoe_pas_je_Identity_%26_Access_Management_toe%3F&oldid=38208"