Review IAM

Uit NORA Online
Ga naar: navigatie, zoeken

Schematische weergave van de processen die vallen binnen Identity & Access Management. Linksonder de afnemer die toegang wil tot dienst D, met een zwarte pijl naar de paarse cirkel Toegang verlenen. Rechts de dienst, met een zwarte pijl terug naar toegang verlenen, waarbij staat: Toegangseisen van dienst D zijn: 1 Zekerheid Z over de juistheid van ID, 2 ID moet bevoegd zijn, 3 eventuele andere eisen. Vervolgens lopen vier paarse pijlen uit de cirkel toegang verlenen, met tekst per pijl (v.l.n.r.): 1 Wie is dit? 2 Wat mag ID? 3 Hier checken we andere eisen. 4 Voldoet ID aan eisen, dan krijgt die toegang, anders niet. Pijl 1 (Wie is dit?) verwijst naar een lichtblauwe cirkel Identiteitenbeheer, via de tekst Authenticatiemiddel. In de blauwe cirkel staat: - Personen - Computers - Apps - Dingen (IOT). In de rand van de cirkel staat rechtsonder: Levert digitale identiteiten. Pijl 2, met de tekst "Wat mag ID?" leidt naar een oranje cirkel boven toegang verlenen met de tekst "Bevoegdhedenbeheer". Naar deze cirkel verwijst een blauwe pijl vanaf link met de tekst "Levert digitale identiteiten." Een zwarte pijl wijst vanaf Bevoegdhedenbeheer naar Toegang verlenen met de tekst 'ID is wel/niet bevoegd voor Dienst D." Binnen in de oranje cirkel Bevoegdhedenbeheer is een gele cirkel Machtigen. Een tweede paarse pijl leidt van Toegang verlenen naar de Dienst, met de tekst "Voldoet ID aan eisen, dan krijgt die toegang, anders niet." Pijl 3, (Hier checken we andere eisen) leidt naar een wolk. Pijl 4, (Voldoet ID aan eisen, dan krijgt die toegang, anders niet) leidt naar de dienst.
Deze pagina is onderdeel van het thema
Identity & Access Management (IAM)

Overzicht reviewopmerkingen

Alle ruim 300 reviewopmerkingen zijn in een overzicht verzameld. De expertgroepen van de deelonderwerpen hebben op elke reviewopmerking een antwoord geformuleerd. Diverse reviewers hebben reeds via de mail een reactie ontvangen hoe hun opmerkingen zijn, dan wel worden, verwerkt. Op 29 november 2018 is de stand van zaken gepresenteerd (PDF, 460 kB) op een parallelsessie in de Presentaties, impressie en vervolgstappen van NORA Gebruikersdag 29 november 2018 gepubliceerd. De verwachting is dat medio december 2018 alle reviewopmerkingen zijn verwerkt in nieuwe teksten voor het thema Identity & Accessmanagement (IAM). Alle reviewopmerkingen zijn in een overzicht geplaatst, met daarbij een toelichting hoe ze zijn verwerkt. Dit overzicht is te downloaden (Bestand:Reviewopmerkingen IAM.ods), alle reviewers hebben dit bestand ook toegemaild gekregen. Wanneer inhoudelijke wijzigingsvoorstellen niet worden overgenomen, nemen we bovendien persoonlijk contact op met de indiener om uitleg te geven over de gemaakte keuzes.

Korte toelichting op de review

Identity & Access Management (IAM) is nodig bij alle organisaties in de publieke sector. Steeds vaker overschrijdt het de organisatiegrenzen en zijn het nationale of internationale ketens waarvoor je de toegang inricht. Het is dan van belang dat je elkaar begrijpt en samen kunt werken.

Afgelopen maanden heeft de Expertgroep Digitale identificatie en authenticatie hard gewerkt aan het bijeenbrengen van verschillende beelden die bij overheidsorganisaties leven t.a.v. Identity & Access Management. Ze zijn op zoek gegaan naar een gedeelde taal om in te praten over IAM, zodat de belangrijke begrippen helder zijn en we van elkaar kunnen leren. Die taal moest ministerie-overstijgend zijn, geschikt voor publiek-private samenwerking en ook voor internationale samenwerking.

We hebben in 1e instantie een internationaal kader van Gartner toegepast om voor Identiteitenbeheer en Authenticatie te beschrijven hoe we nu in Nederland daarmee bezig zijn. En we hebben gekeken hoe de Europese eIDAS Verordening en de impact daarvan op Nederlandse diensten passen in dit beeld. Niet om te sturen in de trant van “zo moet het”, maar als gemeenschappelijke referentiebron: een kader voor de specifieke context waarin een architect of (beleids-)medewerker actief is. De gemeenschap van architecten heeft zich daar over uitgesproken, middels de openbare review. Op basis daarvan zijn we het kader nu aan het aanpassen. Het is door de diverse opmerkingen een stuk verduidelijkt.

NB. Bevoegdhedenbeheer (vaak aangeduid met autorisatiemanagement, inclusief wat we onder machtigingen verstaan) en Toegang verlenen (het feitelijk verlenen van toegang, hetgeen nauw samenhangt met bevoegdhedenbeheer en authenticatie), betreffen ook cycli van het kader, maar zijn nog géén onderdeel van de review. Komende halfjaar zullen ze wel al in de NORANederlandse Overheid Referentie Architectuur worden beschreven, waarbij gebruik gemaakt zal worden van de resultaten van reeds lopende initiatieven. Daarna zal ook daarvoor een openbare review worden doorlopen