nora te gast bij gemeente den haag...stap-6 presentatie van de concept-resultaten op 29 mei worden...
TRANSCRIPT
themasessie Identificatie en Authenticatie 16 januari 2018 blz. 1 / 8
NORA te gast bij gemeente Den Haag Thema Digitale Identificatie en Authenticatie Aanwezigen: Erwin Reinhoud Kennisnet
Anne Schrijer KvK
Gert Eijkelboom DNB
Ewoud van Bentem DNB
Wim Geurts Logius
Leon Schipper Rotterdam
Maarten Schut (gastheer) Den Haag
Arnoud Quanjer VNG Realisatie
Haaino Beljaars VNG Realisatie
Lieven van der Tas DJI
Jelle Attema ECP.nl
Denis Hageman Naf
Philip Lafeber PL Consultancy
Menno Gmelig Meijling ICTU
Eric Brouwer ICTU
Door omstandigheden konden de volgende collega’s niet aanwezig zijn: Menno Stigter (Den Haag), Willem Simonis (RvIG), Edwin Strijland (SVB), Pieter van Gemeren (VZVZ), Roland Drijver (Naf), Ronald van de Berg (ZIN), Peter Leijnse (Logius) en Vincent van der Laar (ICTU).
Korte inleiding derde themasessie In het verlengde van de bijeenkomsten op 14 november en 12 december 2017, is bij de gemeente Den Haag
onze 3e themasessie gehouden. We hebben, door goed timemanagement 😊, alle agendapunten behandeld. Daarbij zijn we begonnen met het bespreken van de stappen die we nemen om tot de beoogde tussen- en eindresultaten te komen. Deze stappen zie je verderop terug in de punten van dit verslag. Daarna hebben we aan de hand van de resultaten van vorige keer, onze kennis en ideeën met elkaar gedeeld over de gezamenlijke basis waarop c.q. kader waarbinnen we niet alleen Identificatie en Authenticatie een plaats kunnen geven, maar later ook Autorisatie en Machtigen e.d. Het streefbeeld voor Identificatie en Authenticatie is kort doorgenomen en we hebben de voorstellen en stand van zaken van actiepunten doorgenomen. Natuurlijk zijn ook weer nieuwe acties afgesproken. En we zijn overgegaan tot het instellen van enkele werkgroepen om e.e.a. inhoudelijk verder te brengen. Na afloop hebben we op de bijeenkomst teruggekeken met het gevoel dat we “goed bezig zijn” en dat het nuttig en leerzaam was. Maar ook met de wetenschap dat nog meer duidelijkheid moet komen in wat het voor de deelnemers zelf oplevert en hoe we al deze kennis en informatie via de NORA beschikbaar gaan stellen. Doel: Het wat en waarom van Identificatie en Authenticatie in kaart brengen, opdat we breed gedeelde kennis en beelden krijgen en daarmee alle vraagstukken beter en geprioriteerd kunnen uitwerken om tot gedeelde architectuur oplossingen te komen. Doelgroep: Architecten en collega’s uit de publieke sector actief betrokken op dit thema.
Na
vige
ren
op
Re
leva
nte
Afsp
rak
en
in d
e d
igita
le O
verh
eid
themasessie Identificatie en Authenticatie 16 januari 2018 blz. 2 / 8
Stap-1 Oriëntatie op het (eind)resultaat Tot het overleg op 20 februari besteden we tijd aan het opzetten van een community van experts en belanghebbenden die dit thema verder gaan helpen. ACTIE-1: Nog enkele organisaties benaderen voor een bijdrage aan het thema: Omgevingswet, Politie en Defensie. We willen als experts meters gaan maken, maar we hebben nog geen gezamenlijke basis of kader. We zitten nog in een proces van afstemmen en elkaar begrijpen. De bedoeling is dat we elkaar goed leren kennen en dat we eventuele drempels beslechten, om onze samenwerking optimaal vorm te kunnen geven en op die manier samen tot gedeelde beelden en oplossingen komen. En wel zodanig, dat we dat eenvoudig en begrijpelijk aan anderen kunnen overbrengen. Als onderdeel hiervan beantwoorden we de 9 vragen die ten grondslag liggen aan ons thema en eerder zijn opgenomen in het verslag van 12 december 2017. De daarbij relevante begrippen en hun samenhang willen we in zowel woord als beeld beschikbaar krijgen, zodat we goed kunnen communiceren met anderen, buiten deze werkgroep (dus ook met niet-architecten). We gaan dus eerst kijken naar wat Identificatie, Authenticatie, Autorisatie en Machtigen voor ons betekent. Daarbij gaan we meer eenduidige definities van begrippen hanteren om het verschil c.q. de overeenkomst tussen autorisaties, machtigingen en “entitlements” te kunnen uitleggen. Als daarbij verschillende meningen of views bestaan, dan worden die dus beiden, naast elkaar beschreven. ACTIE-2: Lieven van der Tas, Leon Schippers, Erwin Reinhoud, Arnoud Quanjer en Haaino Beljaars, stellen definities op van de begrippen en zoeken daar bij het best-passende functionele, technologie onafhankelijke
plaatje. Een paar voorbeelden van plaatjes zijn opgenomen in de BIJLAGE – visualisaties voor Identificatie, Authenticatie, Autorisatie en Machtigen
VERZOEK aan allen Ga a.u.b. na welke visualisatie en/of beschrijving binnen jouw organisatie wordt gebruikt en stuur dat aan de werkgroep ! We dachten er aan om ons te richten op “Digitaal, tenzij …” en de niet-digitale aspecten op de back-log op te nemen. De niet-digitale authenticatie (aan het loket of per telefoon) is voor gemeenten echter van zodanig van belang dat ze dat graag uitgewerkt zien. ACTIE-3: Arnoud Quanjer en Haaino Beljaars zullen vanuit VNG Realisatie dit vraagstuk oppakken. Het zal mogelijk neerkomen op authenticatie op de bekende niveaus, maar dan via andere kanalen. ACTIE-4: RvIG benaderen om, in samenwerking met Anne Schrijer en Arnoud Quanjer, de vragen rond Identificatie / Identiteitenbeheer te beantwoorden:
1. Hoe weet de dienstaanbieder wie je bent? 2. Wat is jouw elektronische identiteit? 3. Ben je een mens of een machine? 4. Hoe wordt de governance op identiteit geregeld: wie bepaalt / stelt vast? Wie is er in de lead?
NB-1 Vanuit W3C is een specificatie bekend van Digitale Identiteiten: https://w3c-ccg.github.io/did-spec/ NB-2 Door Sovrin, een Blockchain front-runner, is net een whitepaper over digitale identiteiten uitgebracht: https://sovrin.org/wp-content/uploads/Sovrin-Protocol-and-Token-White-Paper.pdf ACTIE-5: Erwin Reinhoud, Gert Eijkelboom, Ewoud van Bentem en Wim Geurts (tegenlezen) beantwoorden de vragen rond Authenticatie / middelen en voorzieningen:
1. Als je zegt wie je bent, met welke zekerheid weet de dienstaanbieder dat dan? 2. Hoe en waar kan hij jouw elektronische identiteit verifiëren (authenticeren)? 3. Authenticatie van wie (burger, ondernemer, etc): hoe wordt de relatie tussen rollen en personen
straks vormgegeven? 4. In hoeverre is het wenselijk te differentiëren in niveaus van authenticatie? 5. Komt er een eigen eHerkenning voor ambtenaren (is dat een rol?)? 6. Hoe omgaan met de nieuwe middelen in een grensregio? 7. En met multichannel authenticatie?
themasessie Identificatie en Authenticatie 16 januari 2018 blz. 3 / 8
NB-1 Door VKA is, in opdracht van BZK, net een rapport over publieke authenticatie uitgebracht https://www.rijksoverheid.nl/documenten/rapporten/2017/11/23/expert-opinion-publieke-authenticatie NB-2 Authenticatie van software en machines vooralsnog niet uitwerken, maar op de back-log opnemen. NB-3 Zo mogelijk tussentijds afstemmen met de uitkomsten van de niet-digitale authenticatie.
De vraagstukken rond Autorisatie en Machtigen worden pas in een latere fase opgepakt. Tot die tijd wordt de vinger aan de pols gehouden bij de ontwikkelingen vanuit het Programma Machtigen (waar onder meer Logius in is vertegenwoordigd). ACTIE-6 Wim Geurts en Lieven van der Tas houden ons op de hoogte. Binnen de werkgroep is weinig actuele kennis over de eIDAS en de impact daarvan op Identificatie en Authenticatie, terwijl deze verordening per september 2018 in werking treedt. De eIDAS heeft wel een relatie met de processen van de Burgerlijke stand, maar er zijn geen kant-en-klare overzichten van waar je als dienstverlener aan moet voldoen. Niet duidelijk is hoe ver we staan met de invoering van eIDAS. Er zijn echter wel diverse projectgroepen met de eIDAS aan de slag, waaronder de Belastingdienst. ACTIE-7: Anne Schrijer gaat na of de KvK hun plan voor de implementatie van de eIDAS beschikbaar wil stellen voor de werkgroep. ACTIE-8: We gaan na waar of via wie meer informatie over de eIDAS is te verkrijgen. Stap-2 Bepalen van de op te leveren resultaten Door de oriëntatie tijdens stap-1 wordt scherper welke resultaten we kunnen en willen opleveren. Op 20 februari gaan we in ons overleg de (deel)resultaten bepalen. Stap-3 Inhoudelijke uitwerking Alle (deel)resultaten laten we uitwerken door de meest belanghebbenden. Naast de huidige werkwijzen (waar staan we nu? en welke issues spelen? ), willen we ook zicht hebben op de state-of-the-art invulling van Identificatie en Authenticatie. Via use-cases kunnen we kijken of de uitwerkingen aan de vraag voldoen. ACTIE-9: Jelle Attema kan een aantal use-cases inbrengen. Onze aanpak is gebaseerd op PPS: het zijn bij voorkeur niet alleen overheidsorganisaties die dit allemaal uitwerken, want veel dienstverlening wordt mede door private partijen uitgevoerd en daarnaast zullen ook authenticatiemiddelen worden toegepast die door private partijen worden geleverd en beheerd. Mede met dat op het oog, zal de toets op de inhoudelijke uitwerking verlopen via een publieke, openbare review (het standaard proces voor wijzigingen van de content van de NORA). Stap-4 Proces voor eventuele aanvullende resultaten Nieuwe vragen die opkomen tijdens de uitwerkingen, laten we oppakken door de vraagsteller en andere belanghebbenden en vrijwilligers. Daarmee borgen we het vraaggestuurd werken en zullen we niet snel te veel tegelijkertijd oppakken. Stap-5 Afronden van de concept-resultaten In april zet de werkgroep Identificatie en de werkgroep Authenticatie de laatste puntjes op de i, om daarmee hun “best effort” concept (deel)resultaat op te leveren. Dat concept resultaat wordt, ondersteund door NORA Beheer, opgenomen in de NORA, zodat het via de wiki voor iedereen goed toegankelijk is. Stap-6 Presentatie van de concept-resultaten Op 29 mei worden de resultaten in de Gebruikersraad NORA gepresenteerd. Daarbij zal de Gebruikersraad worden gevraagd om de openbare review ervan te mogen starten. Ook zal worden gevraagd of de 2e fase kan worden gestart, te weten het uitwerken van Autorisatie en Machtigen.
themasessie Identificatie en Authenticatie 16 januari 2018 blz. 4 / 8
Stap-7 Openbare review van de concept-resultaten Direct na 29 mei zullen de resultaten voor een openbare review (commentaar) worden uitgezet via de achterbannen van de leden van de Gebruikersraad. Stap-8 Verwerken reacties De commentaren worden, ondersteund door NORA Beheer, verwerkt in de NORA en aan betrokkenen wordt teruggekoppeld hoe hun commentaar daarbij is verwerkt. Stap-9 Publicatie eind-resultaten De meest actuele informatie over het thema wordt in de NORA gepubliceerd en z.s.m. daarna aan de Gebruikersraad NORA voorgelegd voor goedkeuring. Stap-10 Starten met Autorisatie en Machtigen Indien relevant wordt de 2e fase gestart. Vervolgbijeenkomsten In de komende maanden worden werksessies gehouden onder aansturing van Eric Brouwer (namens ICTU werkzaam voor NORA). De sessies vinden plaats bij de deelnemers van het overleg. Er hebben zich zo’n 15 actieve deelnemers gemeld.
Voor meer informatie of suggesties, meld je via [email protected]. De sessies zijn gepland op:
Data Tijd Bij wie? 14 november 13 – 16 uur ICTU
12 december 14 – 17 uur ICTU
16 januari 14 – 17 uur Gemeente Den Haag
20 februari 14 – 17 uur ECP.nl te Leidschendam
20 maart 14 – 17 uur
17 april 14 – 17 uur
In de NORA bijeenkomst van 29 mei 2018 worden de (tussen)resultaten gedeeld met belangstellenden.
Onze kennis en documentatie staat on-line: https://www.noraonline.nl/wiki/Expertgroep_Digitale_identificatie_en_authenticatie
Kan je iets toch niet vinden? Mail dan even naar [email protected]
themasessie Identificatie en Authenticatie 16 januari 2018 blz. 5 / 8
BIJLAGE – visualisaties voor Identificatie, Authenticatie, Autorisatie en Machtigen
NORA – oriëntatie op een kader voor Identificatie en Authenticatie (2017)
Gemeente Rotterdam – oriëntatie op een kader voor de gemeente (2018)
Administreren en onderhouden identiteiten
Hergebruik gegevens SP
Identiteit en entitlementvalideren
Valideren en autoriseren van entitlements
(het recht geven op)
Identificatie en uitleveren middelen
Valideren en autoriseren van data (het recht
geven op)
themasessie Identificatie en Authenticatie 16 januari 2018 blz. 6 / 8
DJI – concept kader Toegang voor J&V (2018)
SVB – toegepast kader (2018)
themasessie Identificatie en Authenticatie 16 januari 2018 blz. 7 / 8
Belastingdienst – Basis voor Normenkader Rijksbreed IdM (2008)
Proces-
inrichtingVerzoek
3.1 Beheren
autorisatie-
regels
3.2 Beheren
autorisatie
catalogus
1.1 Gebruikers-
beheer voor
medewerkers
1.2 Gebruikers-
beheer voor
niet-
medewerkers
4.1 Beheren
authenticatie-
regels
4.2 Beheren
authenticatie
catalogus
2.1 Beheren
bedrijfsrollen,
procesrollen en
autorisatieprofielen
2.2 Beheren
rolinhoud
4.3
Voorraadbeheer
tokens
5.1.1
Toekennen rol
aan
medewerker
5.3 Workflow
9.1 Gautomatiseerde
provisioning van user-id’s
9.4 Handmatige provisioning van
user-id’s
9.2 Gautomatiseerde
provisioning van authenticaties
9.5 Handmatige provisioning van
authenticaties
9.3 Geautomatiseerde
provisioning van autorisaties
9.6 Handmatige provisioning van
autorisaties
Initiele uitgifte
wachtwoord
Wijzigen
wachtwoord
Wachtwoord
reset (helpdesk)
Wachtwoord
self-reset
Uitgeven
token etc.
Wijzigen
pincode
Activeren
token etc.
6.1 Toekennen soort
authenticatiemiddel aan
medewerker per doelsysteem
6.2 Toekennen soort
authenticatiemiddel aan niet-
medewerker per doelsysteem
Bepalen de benodigde autorisaties per gebruiker
5.2.1
Toekennen rol
aan niet-
medewerker
5.2.2 Toekennen
bijzondere taken aan
niet-medewerker
5.1.2 Toekennen
bijzondere taken
aan medewerker
(bijplussen)
12.3 Wachtwoord
self-reset
Authenticatie-
check in de
runtime-
omgeving
Inlogproces
Inloggen met user-
id, wachtwoord en
harde authenticatie
12.2 Creeren
runtime
autorisatie-sessie
Beleid
Beheren
Voorwaardelijke
Administraties
Gebruikersbeheer
Vaststellen benodigde soort authenticatiemiddel
per gebruiker per doelsysteem
Authenticatiemiddelenbeheer
Provisioning
Doelsystemen
RollenbeheerBeheren
Voorwaardelijke
Administraties
Proces-
inrichtingBeleidOrganisatie-
gegevens
8.1 8.2
10
Autorisatiebeheer Medewerker
Initiele uitgifte
pincode
Organisatie-
gegevens
Autorisatiebeheer Niet-medewerker
Beheer,
Rapportage,
Monitoring
&
Audit
2 311 1 4
87
5 6
12
9
Authenticatie
Autorisatie
Authenticatie
Autorisatie
Authenticatie
AutorisatieAutorisatie
Authenticatie
Authenticatie
Autorisatie
Gebruiker
Autorisatie
Gebruiker
Authenticatie
Type 1 Type 2 Type 3 Type 4 Type 5 Type 6
11.4 Beheer
IAM
11.3 Logging &
Auditing
11.2 Monitoring
11.1 Bestuurlijke
Informatie
Beheren wachtwoorden Beheren tokens etc. met
bijbehorende credentials
Doorberekenen SOLL
Laag
1:
Voo
rwaa
rdel
ijke
adm
inis
tratie
s
Laag
2:
Geb
ruik
ersb
ehee
r
Laag
3:
SO
LL a
dmin
istra
tie
Laag
4:
Pro
visi
onin
g
Laag
5:
Doe
lsys
tem
en
13
4.3 Workflow2.3 Workflow 1.3 Workflow 4.4 Workflow
6.3 Workflow
8.3 Workflow
5.1 5.2
(De)blokkeren
token etc.
Resetten,
(de)blokkeren
pincode
Innemen
token etc.
Verwijderen
pincode
Applicatie Applicatie Applicatie Applicatie Applicatie Applicatie
Toewijzen bedrijfsrollen/bijz. taken
3.3 Beheren
organisatie-
gegevens
Autorisatie-
Structuur in ICT
Personeel-
gegevens
Applicatie-
Structuur in ICT
11.5 Role
Mining
12.1 Single
Sign On
12.4 Wachtwoord
synchronisatie
themasessie Identificatie en Authenticatie 16 januari 2018 blz. 8 / 8
Internet - https://arch.idmanagement.gov/
Internet – NIST https://pages.nist.gov/800-63-3/sp800-63-3.html#def-and-acr