IAA

Volgende stap in identity- en accessmanagement

Ik ben vandaag te gast bij ROC Twente in de Gieterij voor de 38ste saMBO-ICT Conferentie. In ronde 3 praten Rick Ruumpol (Red Spider Vereniging) en Hendri Boer (Aventus) ons bij over Red Spider.

Technisch is RedSpider een identiteiten-oplossing gebaseerd op NetIQ. De koppelvlakken naar kernsystemen zijn van de vereniging, waar 19 scholen in zitten. Mijn eigen instelling gebruikt het ook. Het zit tussen onze systemen voor HR, leerling-administratie en studenten-administratie aan de ene kant (voedend) en alle andere systemen aan de andere kant (afnemend). Al onze accounts ontstaan doordat deze machine unieke gebruikers aanmaakt op basis van de gegevens uit de voedende systemen.

De vereniging heeft onderzoek gedaan naar ‘context-gebaseerde-toegang’. Tot nu toe regelen we daadwerkelijke toegang in alle afnemende systemen zelf. De context zegt dan niet alleen WIE je bent, maar ook WAT je bent en WAAR je bent. Vaak hangt dat samen met een soort registratie van je device (self-service).

In hun visie willen ze van één account voor toegang tot alle diensten naar gepseudonimiseerde toegang tot diensten. Ben ik helemaal voor, meer anonimiteit.

Ze pleiten voor samen optrekken met Surf, Kennisnet en saMBO-ICT om tot een sectorvoorziening te komen voor access-management.

IAA: Strijd om de identiteit

Vandaag was ik bij de Netwerkbijeenkomst MBO Informatiemanagers. Het thema is “Identiteiten en IAA”. Om even op gang te komen de definities:

  • Identificatie – Wie je bent – “Ik ben Henk de Boer”.
  • Authenticatie – Aantonen dat je bent wie je zegt – Kan ik aantonen met m’n rijbewijs.
  • Autorisatie – Toegang tot datgene waar je recht op hebt – Dus kan ik een auto huren.

IAA

Roel Rexwinkel opent met de vraag “De Digitale Sleutelbos” en hoe houden we deze zo klein mogelijk? Technisch kan dit door de zogenaamde “Federatie” waarmee anderen aansluiten op één systeem met je accountgegevens. De complexiteit wordt hoger als je rekening moet houden met privacy en extra authenticatie naast wachtwoord, zoals SMS etc. Voorbeelden:

  • DigiD: Tussen overheid/DUO en studielink voor HO/WO. Dit wordt gebruikt in het proces van inschrijven, bekostigen en diplomeren.
  • SurfConext: inloggen op ELO, digitaal lesmateriaal en andere diensten (nu zo’n 140 identiteiten-providers en 450 service-providers).
  • Entree: de Kennisnet-federatie, meer in gebruik bij VO/MBO.

Ondertussen is het IAA veld sterk in beweging:

  • DigiD (werkt vanuit een natuurlijk persoon) versus het ID van de instelling/KVK (eHerkenning) of van de banken (iDIN).
  • Wetgeving zoals GDI, AVG en eIDAS.

H.P. Köhler vervolgt met het onderdeel “Leermiddelen”, in dit verband logisch omdat het goed koppelen van identiteiten van studenten randvoorwaardelijk is voor makkelijke toegang tot lesmateriaal. Privacy en beveiliging zijn hier hot natuurlijk, helemaal als je wilt differentiëren tussen leerlingen. Daarnaast moet alles ‘het gewoon doen’ op ontelbare netwerken, devices en instellingen. Er zijn 2 belangrijke ketens:

  • Leermiddelen maken, verkopen, distribueren en uitleveren. Grotendeels commerciële wereld dus.
  • Leermiddelen samenstellen, plannen, gebruiken en verwerken. Grotendeels de wereld van het onderwijs zelf dus.

Om nou niet ongebreideld alles uit de onderwijs-wereld warm over te dragen aan de commerciële wereld (mijn woorden) is er een zogenaamde nummervoorziening bedacht. Zodat niet alles van de leerling overgedragen wordt maar een minimale set gegevens. Overigens best complex als meerdere leveranciers (uitgeverijen) samen één uitlevering verzorgen aan een leerling.

Aanvullend op wetgeving:

  • eIDAS: een europese verordering met als doel meer vertrouwen in elektronische transacties, een gemeenschappelijk kader en toezicht erop. Praktische toepassing is bijvoorbeeld die van het ‘zetten’ van digitale handtekeningen.
  • GDI: de Nederlandse invulling van eIDAS, waarvoor een internetconsultatie loopt. Het wordt in beginsel verplicht voor alle bestuursorganen, waarbij eerst het BSN domein aangehaakt wordt en die waarbij de burger te maken heeft met publieke diensten.

Overigens zijn de initiatieven, afspraken, wetten, regels en systemen voor publieke diensten, private diensten, werken vanuit bedrijven en vanuit de burger weer verschillend. Vandaar dat we met z’n allen veel expertise uitwisselen 😉