Toelichting op IAM

Uit ASTRA
Naar navigatie springen Naar zoeken springen

Aanleiding[bewerken | brontekst bewerken]

In het kader van het programma digitalisering strafrechtketen worden veel voorstellen gedaan waarbij gebruikers van ketenpartners toegang moeten krijgen tot voorzieningen (of daarin opgenomen informatie) die worden beheerd door andere ketenpartners. Om dit mogelijk te maken wordt er (nog steeds) vaak voor gekozen om de gebruiker op te voeren in alle gebruikersadministraties van elke organisatie waar hij van voorzieningen gebruik moet maken. Meestal wordt er dan bij het opvoeren van de gebruiker in de gebruikersadministratie van de gast-organisatie nog wel het nodige gecontroleerd. Echter wijzigingen, denk bijvoorbeeld aan het beëindigen van de werkrelatie, worden zelden (tijdig) doorgegeven. Dit heeft tot gevolg dat de gebruiker, die bij de moederorganisatie (terecht) niets meer mag, bij andere organisaties nog steeds toegang heeft. Extra controles inbouwen om dit te voorkomen blijkt erg arbeidsintensief te zijn. Doordat deze controles over organisatiegrenzen heen gaan zijn deze vaak ook lastig uitvoerbaar. Wanneer door alle digitaliseringsprojecten het aantal digitale interacties tussen ketenpartners gaat toenemen is deze vorm van toegangsverlening niet langer houdbaar. In plaats daarvan moeten ketenpartners gebruik gaan maken van federatieve toegangsvoorzieningen. Deze voorzieningen zijn deels al beschikbaar maar de informatievoorziening van de partners in de strafrechtketen zal nadrukkelijk moeten worden aangepast om van federatieve toegangsvoorzieningen gebruik te kunnen maken. In vrijwel alle projectvoorstellen in het programma digitalisering strafrechtketen ontbreekt de beschrijving van de beoogde toegangsvoorzieningen. In deze architectuurbouwsteen wordt aangegeven hoe de partners in de strafrechtketen hun medewerkers onderling op een veilige en beheersbare manier toegang kunnen verlenen tot hun informatievoorziening door middel van een federatief identiteitenstelsel.

Achtergrond[bewerken | brontekst bewerken]

both
Om gebruikers toegang te kunnen geven tot voorzieningen moet een aantal bedrijfsfuncties worden ingericht. Bij federatief IAM zijn verschillende modellen mogelijk om de verantwoordelijkheid en de feitelijke levering deze bedrijfsfuncties over betrokken partijen te verdelen. Toegangsafsprakenmanagement is noodzakelijk om op operationeel niveau toegang tot informatie of voorzieningen mogelijk te maken en betreft alle afspraken tussen de betrokken organisaties over de voorwaarden, protocollen en koppelvlakken van voorzieningen (bijvoorbeeld over rolgebaseerde- en/of attribuutgebaseerde toegang). Bij federatieve toegang omvat dit ook de verdeling van taken en verantwoordelijkheden ten aanzien van toegangsbeheersing. Toegangsbeheersing omvat alle activiteiten om te controleren dat de toegang tot voorzieningen wordt verleend conform de gemaakte afspraken. Toegangsmanagement bestaat uit beheeractiviteiten die procesmatig worden uitgevoerd om het gebruik van een voorziening mogelijk te maken. Het kan (functioneel) worden opgedeeld in Identity Management, Authenticatie Management en Autorisatie Management: Identity Management (IdM) is het registreren, verifiëren en beheren van de identiteitsgegevens en de werkrelatie van een persoon, device of softwarematig entiteit. Hieronder wordt het geheel verstaan van – al of niet geautomatiseerde – processen binnen een organisatie die betrekking hebben op deze activiteit. Onder Authenticatie Management (AUM) wordt het geheel verstaan van – al of niet geautomatiseerde – processen binnen een organisatie die betrekking hebben op het beheren van de authenticatie middelen (wachtwoord, smartcard etc.) uitgegeven aan een persoon, device of softwarematig entiteit. Onder Autorisatie Management (AM) wordt het geheel verstaan van – al of niet geautomatiseerde – processen binnen een organisatie die betrekking hebben op het beheren van de rechten op voorzieningen van de in IdM geregistreerde personen, devices of softwarematige entiteiten.

Bij het feitelijke Toegangsgebruik geven organisaties op een gecontroleerde manier toegang tot hun voorzieningen. Een persoon moet zich daarbij eerst Identificeren (ik ben dit), daarna zal hij zich moeten Authentiseren (ik toon dit aan), waarna hij kan worden Geautoriseerd (hij heeft recht op) voor het gebruik van de voorziening. Deze stappen vormen de basis voor het rechtmatig verlenen van Toegang tot de voorziening.

Regelgeving[bewerken | brontekst bewerken]

De vereiste om de toegang tot informatie te organiseren door middel van identificatie- en autorisatiemanagement volgt rechtstreeks uit toepasselijke wet- en regelgeving: Algemene Verordening Gegevensbescherming, AVG art. 5, lid 1 sub f Algemene Verordening betreffende elektronische identificatie en vertrouwensdiensten, eIDAS Wet Justitiële en Strafvorderlijke gegevens, art. 7 sub a-f Besluit digitale stukken Strafvordering Wet- Politiegegevens, Wpg art. 6 De relevante bepalingen laten het aan de betrokken organisaties en verwerkingsverantwoordelijken over om te kiezen met welke afspraken en toepassingen de IAM-voorzieningen wordt ingericht.

Bedrijfsarchitectuurkaders[bewerken | brontekst bewerken]

Op basis van de genoemde beleidskaders worden de volgende uitgangspunten gehanteerd:

  • Toegang betreft over het algemeen zowel fysieke toegang tot gebouwen als logische toegang tot informatievoorzieningen. Voor deze architectuurbouwsteen IAM beschouwen we alleen de logische toegang tot informatievoorzieningen.
  • In het programma Toegang van JenV wordt federatie als primair model gehanteerd voor toegang buiten het eigen domein tot zowel eigen voorzieningen en informatie als voorzieningen en informatie van partners
  • Informatievoorziening in de strafrechtketen bestaat typisch uit voorzieningen van afzonderlijke ketenpartners waartoe omwille van de samenwerking toegang verleend wordt aan medewerkers van andere ketenpartners. Daarom is er een noodzaak tot federatieve toegangsvoorzieningen. Daar waar gebruik wordt gemaakt van shared services kunnen deze overigens ook het beste via federatieve toegangsdiensten ontsloten worden.
  • De strafrechtketen kan niet voorschrijven welke producten van welke leveranciers moeten worden gebruikt door de partijen met wie wij willen samenwerken. Om deze reden is federatieve authenticatie volledig gestoeld op open standaarden.
  • Concepten van federatieve toegang zijn gebaseerd op internationale standaarden. Een goede reden om daarbij aan te sluiten is omdat in de strafrechtpleging ook met internationale partners wordt samengewerkt zoals Europol en Interpol.
  • Federatieve toegangsdiensten ondersteunen niet alleen het digitaal werken tussen ketenpartners onderling, maar ook contact met burgers en bedrijven.
  • De eIDAS verordening stelt dat het vanaf september 2018 voor burgers en organisaties mogelijk moet zijn om met de nationale, door Europa erkende middelen in te loggen bij alle overheidsorganisaties binnen de Europese Unie. Burgers uit andere EU-landen moeten ook in Nederland digitaal aangifte kunnen doen. Dit doen zij met hun eigen nationale inlogmiddel, voor Nederland is dat eHerkenning en DigiD.
  • In de eIDAS verordening worden drie oplopende betrouwbaarheidsniveau onderkend met bijbehorende eisen ten aanzien van de kwaliteit van de identificatiemethoden. Het is raadzaam om met de inrichting van IAM-voorzieningen in de strafrechtsamenwerking zo veel mogelijk aan te sluiten bij de eIDAS betrouwbaarheids-niveau’s. Er is wel een vertaalslag nodig omdat voor de toegang van medewerkers tussen overheidsorganisaties onderling de context anders is dan bij publieksdiensten.

Typologie[bewerken | brontekst bewerken]

Maak hierbij onderscheid tussen verschillende toegangsdiensten en –voorzieningen afhankelijk van de typen van betrokken partijen:

  • Toegang verlenen aan medewerkers van rijksonderdelen tot gemeenschappelijke rijksvoorzieningen
  • Toegang verlenen aan medewerkers van rijksonderdelen tot voorzieningen van rijksonderdelen
  • Toegang verlenen aan medewerkers van strafrechtketenpartners (die geen rijksonderdelen zijn) tot voorzieningen van rijksonderdelen
  • Toegang verlenen aan medewerkers van samenwerkingspartners tot voorzieningen van strafrechtketenpartners
  • Toegang verlenen aan burgers tot voorzieningen van strafrechtketenpartners
  • Toegang verlenen aan medewerkers van strafrechtketenpartners tot voorzieningen van andere strafrechtketenpartners

In deze architectuurbouwsteen wordt vooralsnog alleen deze laatste vorm van toegang behandeld omdat deze ook het meeste voorkomt in de projectvoorstellen digitalisering strafrechtketen. Voorbeelden van partijen met toegang tot informatievoorziening strafrechtketen

RijksonderdelenSui generisOverheidBedrijvenPubliek
DJIPolitieGemeentenBankenBurgers
CJIBOpenbaar MinisterieDefensieVervoersbedrijvenSlachtoffers
NFIRechtspraakBrandweerZorginstellingenVerdachten
INDAdvocaten
DT&VDeurwaarders
  • Politie – Heeft een eigen voorziening voor identiteitenbeheer. De politie zal vooralsnog geen gebruik maken van de gemeenschappelijke IAM voorziening van JenV. De politie heeft een aansluiting op de Federatieve Service (oa. voor toegang van politiemedewerkers tot het Drife-systeem van DJI).
  • OM – Maakt voor zijn identiteitenmanagement gebruik van SIMS en zal ook gebruik gaan maken van de gemeenschappelijke IAM voorziening JenV maar heeft nog geen keuze gemaakt voor een aansluitvorm.
  • Rechtspraak – heeft zijn identiteitenmanagement nu nog niet op orde en wil als eerste overstappen naar de gemeenschappelijke IAM voorziening JenV
  • DJI – Maakt voor zijn identiteitenmanagement gebruik van SIMS en zal ook gebruik gaan maken van de gemeenschappelijke IAM voorziening JenV.
  • NFI – Wil zo snel mogelijk aansluiten op SIMS en daarna ook op de Federatieve Service en de gemeenschappelijke IAM voorziening JenV.
  • Overige partners in de strafrechtketen nog inventariseren …

Informatiearchitectuurkaders[bewerken | brontekst bewerken]

Algemeen advies[bewerken | brontekst bewerken]

Ga geen medewerkers van externe organisaties in je personeelsadministratie of je gebruikersadministratie opnemen om ze toegang te kunnen verlenen tot je informatievoorziening. Toegang wordt nooit verleend aan organisaties, alleen aan identificeerbare personen. (Hoe dit werkt voor IoT moet nog nader worden uitgewerkt.) Om het stelsel van federatieve toegang beheersbaar te houden als het aantal digitale toegangsrelaties en het aantal digitale interacties gaat toenemen is het raadzaam om voor de keten als geheel toegangsafsprakenmanagement te organiseren (ref. Functiemodel Toegang). Daarbij kunnen afspraken worden gemaakt over het gebruik van rolgebaseerde-, attribuutgebaseerde- en claimgebaseerde toegangsmodellen en het beheer van rollen en autorisatieregels. Verder kunnen gemeenschappelijke voorwaarden worden gesteld aan het beheer van identiteiten en het toezicht op de uitvoering. Onderdelen die gebruik maken van het huidige SIMS en straks de gemeenschappelijke IAM-voorziening in combinatie met WID-scan hebben identiteiten die voldoen aan dezelfde kwaliteitscriteria, waardoor, los van specifieke taken en bevoegdheden, de identiteit binnen elk onderdeel vertrouwd wordt.

Toegang van medewerkers van strafrechtketenpartners tot de informatievoorziening van andere strafrechtketenpartners[bewerken | brontekst bewerken]

De organisatie van de gastgebruiker verzorgt zijn eigen identiteitenbeheer. Over de vorm van identiteitenbeheer zijn afspraken gemaakt tussen de vragende en de leverende organisatie zodat er een vertrouwensrelatie bestaat. Voor de authenticatie wordt gebruik gemaakt van de Federatieve Service van de Justitiële Informatiedienst. Voor het autorisatiebeheer zijn (vier) verschillende modellen mogelijk (zie: Architectuurperspectief Toegang IAM JenV). Voor de beheersbaarheid en de uitvoerbaarheid van de samenwerking in de strafrechtketen is het raadzaam om gemeenschappelijk te kiezen voor een van deze vier modellen. Het federatieve IAM-model dat het beste past bij de eigenstandige rechtstatelijke rol van de partners in de strafrechtketen is het model waarbij de organisatie die de informatiedienst levert ook het autorisatiebeheer verzorgt. Daarmee blijft de partij die verantwoordelijk is voor de zorgvuldige en rechtmatige verwerking van de hem toevertrouwde gegevens ook verantwoordelijk voor de rollen en autorisatieregels waarmee aan medewerkers van partnerorganisaties toegang wordt verleend. Deze vorm van federatieve toegang vereist (zoals hiervoor gesteld) een gemeenschappelijk toegangsafsprakenmanagement zodat de rollen en attributen die door de leverancier van een informatiedienst gevraagd worden om te kunnen autoriseren ook door de afnemende organisatie geleverd kunnen worden. Daarvoor moet binnen de strafrechtketen een beknopt model van rollen en attributen worden afgesproken waarmee we elkaars medewerkers toegang geven tot informatiediensten.

Toegang van burgers en bedrijven[bewerken | brontekst bewerken]

Het autorisatiebeheer wordt verzorgd door de strafrechtketenpartij die de informatiedienst levert. Voor identificatie en authenticatie wordt gebruik gemaakt van DigiD, eHerkenning en eIDAS die gekoppeld worden via de Federatieve Service.

Toegang van rijksmedewerkers tot de informatievoorziening van strafrechtketenpartners[bewerken | brontekst bewerken]

Identiteiten worden geleverd door SIMS.

Implicaties[bewerken | brontekst bewerken]

Door het Opdrachtgeversberaad van het programma Digitalisering Strafrechtketen (OGB) is gevraagd om bij het opstellen van architectuurkaders voor zover mogelijk aan te geven wat de bedrijfsmatige impact daarvan is. Het is duidelijk dat het geld en inspanning kost om IAM-voorzieningen in te richten en te beheren. Voor de meeste organisaties valt er echter veel efficiencywinst te behalen met deze architectuurbouwsteen door IAM-processen goed in te richten, gebruik te maken van gemeenschappelijke IAM-voorzieningen en door federatief te koppelen met samenwerkingspartners. Deze efficiency-winsten zijn vele malen groter dan de kosten voor het realiseren van de IAM-architectuur. Deze voordelen worden echter pas behaald als de eigen (legacy-) systemen op de nieuwe IAM-voorzieningen worden aangesloten.

Adviezen[bewerken | brontekst bewerken]

Veel van de projecten voor de digitalisering van de strafrechtketen betreffen voorzieningen om ketenpartners en andere partijen toegang te geven tot de informatie van organisaties in de strafrechtketen. Om deze toegang op een veilige en efficiënte manier mogelijk te maken zijn voorzieningen voor federatief identificatie- en autorisatiemanagement (IAM) vereist. Daarvoor moeten de ketenpartners ten eerste hun eigen identiteitsmanagement goed op orde brengen. Vervolgens moeten er ketenbrede afspraken gemaakt worden over federatief toegangsmanagement. Tenslotte moeten er gemeenschappelijke- en eigen voorzieningen worden ingericht voor de uitwisseling van identiteits- en autorisatiegegevens bij de feitelijke toegangsverlening.

  1. De partners in de strafrechtketen moeten hun eigen identiteitenmanagement op orde brengen. Organisaties die dat willen kunnen daarvoor aansluiten bij de generieke IAM voorziening van JenV die momenteel in ontwikkeling is. Het is nuttig om deze ontwikkeling vanuit de digitalisering van de strafrechtketen te ondersteunen.
  2. De afspraken tussen te ketenpartners over federatief toegangsmanagement moeten worden vastgelegd in een ketenconvenant. Daarin moet onder meer staan aan welke eisen het identiteitenmanagement moet voldoen, welke partij het autorisatiemanagement uitvoert. Om de federatieve toegang voor de strafrechtketen veilig en efficiënt te maken moeten ook afspraken worden gemaakt over rollen en attributen die gebruikt worden voor autorisatiemanagement.
  3. De bestaande Federatieve Service voor de feitelijke uitwisseling van identeits- en autorisatiegegevens moet worden doorontwikkeld en uitgebreid om de grotere volumes en nieuwe informatiediensten aan te kunnen. Allereerst moet de service voorzien worden van een IAM-koppeling zodat deze niet alleen berichten kan doorgeven maar ook een gateway vormt die autorisatievoorzieningen raadpleegt. De huidige service kan Active Directory gegevens leveren maar voor bredere toepassing moeten deze gegevens ook verrijkt kunnen worden. Daarbij moet onder andere gekoppeld kunnen worden met externe attribuut-stores zoals het Advocatenregister, het BIG-register, etc. De Federatieve Service 2.0 moet naast de huidige SAML-berichten ook de nieuwe cloud- en web-protocollen ondersteunen, met name OpenID-Connect en OAuth 2.0.
  4. Om systemen op federatieve wijze als ketenvoorziening te ontsluiten moeten ze veel gevallen eerst worden aangepast. In plaats van de gebruikelijke autorisatie op basis van Active Directory moeten de systemen toegang kunnen verlenen op basis van SAML berichten of andere federatieve protocollen. Voor de belangrijkste systemen die als ketenvoorziening ontsloten moeten worden zouden deze systeemaanpassingen als project binnen het programma Digitalisering Strafrechtketen moeten worden opgenomen.

Wijzigingenbeheer[bewerken | brontekst bewerken]

Wijzigingen en verwerking reviewcommentaar

WijzigingNaam en organisatieDatumVersie
Eerste conceptLuuk Matthijssen19-7-2018v1
Model Architectuurperspectief Toegang overgenomen; Conclusies en aanbevelingen toegevoegdLuuk Matthijssen11-9-2018v2
Aanvullingen op beschrijving generieke voorzieningenJaap Scheepstra, Jeroen Prins18-9-2018v3
Use cases toegevoegd op basis van projectvoorstellen Digitalisering StrafrechtketenLuuk Matthijssen20-9-2018v4
Scherpte in richtlijnen en definitiesJustID EDDA12-10-2018v4.1
Verwerken reviewcommentaarLuuk Matthijssen18-3-2019MB 1903
Reviewcommentaar Cor Franke verwerktLuuk Matthijssen24-4-2020MB April 2020

Afstemming[bewerken | brontekst bewerken]

Verspreiding en afstemming

NaamRol/functieDatumVersie
Architectuurraad StrafrechtketenInhoudelijke behandeling21-8-2018v1
Politie Team Technische ArchitectuurReviewcommentaar13-9-2018v2
Architectuurforum JenVAkkoord met reviewcommentaar3-10-2018v4
PolitieAkkoord met reviewcommentaar9-10-2018v4
Expertise & Dienstencentrum Digitale Archivering (EDDA)Reviewcommentaar2-10-2018v4
Architectuurraad USBReviewcommentaar11-10-2018v4
OM CIO-office en Design Authority
Rechtspraak Strategische Architecture Board (SAB)
Ketencoördinatiegroep Informatievoorziening StrafrechtketenReview door alle ketenpartners4-2-2019MB 1812
Opdrachtgeversberaad Digitalisering StrafrechtketenTer goedkeuring30-4-2020MB April 2020