Algemene ontwikkelingen IAM Onderwijs Jaap Kuipers Platform Identity Management Nederland Utrecht 2013-03-12
Algemene ontwikkelingen •
Authenticatie en autorisatie buiten applicaties
•
Onderscheid in micro- en macro niveau
•
Internationale samenwerking blijft belangrijk
•
Werken met betrouwbaarheidsniveaus
•
Attribuut gebaseerde toegang
•
•
Attributen zijn handelswaar, geven commerciele druk Personal data Platform stores, een belofte voor eigen Identity 2
Authenticatie en autorisatie buiten applicaties regelen
•
•
Authenticatie en autorisatie worden in aparte systemen afgehandeld Applicaties moeten kunnen koppelen met: –
Toegangsbeveiligingssysteem met •
–
Identity en authenticatie voorzieningen met •
•
toegangsregels, monitoring, rapportages, selfservice
user beheer, authenticatie proces
Standaardisatie koppelvlakken Platform Identity
3
Begrip: IAM micro en macro niveau •
Micro niveau –
binnen een bedrijf of organisatie
* is de studenten-, medewerkers-, derden administratie op orde? •
Macro niveau –
tussen organisaties, federatief
–
we verbinden steeds meer diensten
–
vanwege hergebruik authenticatiemiddelen
Platform Identity 4 * voldoet organisatie aan aansluitvoorwaarden?
Internationale samenwerking •
(ter info)
Standaarden (SAML, Oauth, OpenID connect) komen in internationale samenwerking tot stand: Silicon Valley nadrukkelijk aanwezig (Facebook, Google, MicroSoft)
•
Europese nadruk op privacy bescherming
•
EU STORK2.0 project –
Secure identity across borders linked
–
pilot voor student mobility (Studielink en Maastricht?) Platform Identity 5
STORK2.0
Platform Identity
6
Betrouwbaarheidsniveaus •
•
Houd rekening met betrouwbaarheidsniveaus Welk beveiligingsniveau is nodig voor een slot op de deur? Rekenen met risico’s
Platform Identity
7
Definitie betrouwbaarheidsniveaus •
•
Standaards –
NIST 800-63: 4 niveaus
–
STORK: 4 niveaus
–
eHerkenning: “4” niveaus 1, 2, 2+,3 ,4
–
DigiD: 3 niveaus
Hoe bepaal ik wat nodig is? Met handreikingen – –
voor de overheid van Forum Standaardisatie Platform Identity
voor gezondheidszorg van NICTIZ
8
Attribuut gebaseerde toegang •
•
Anoniem toegang verlenen op basis van attributen (b.v. rol, studierichting, instelling) –
iedere student rechten van de krijgt anoniem toegang tot een databank met juridische content
–
een medewerker van een bedrijf krijgt toegang op basis van een KvK nummer/pseudoniem nummer
Anonimiteit handhaven is niet eenvoudig –
device, browser is niet anoniem meer
–
student wordtPlatform om emailadres gevraagd Identity 9
Attributen zijn handelswaar •
•
(een taboe)
Dienstverleners willen gebruikers persoonlijk kennen voor –
reclamedoeleinden (aan studenten rechten die afstuderen in Amsterdam)
–
personaliseren dienstverlening
–
toegangscontrole, risico profilering
Net als alle consumenten krijgt het onderwijs te maken met druk op het verzamelen van attributen. Platform Identity 10
Personal Data Stores, een belofte •
gebruiker eist regie over eigen gegevens
•
doet zaken met wie de privacy respecteert
Mijn gegevens, opdrachten, portfolio (ook) in mijn eigen drop-xyzbox, “data mobiliteit, let my data go” Platform Identity
11
Dynamische authenticatie en context
•
Adaptive authenticatie, dynamisering –
•
•
•
•
op de achtergrond continue controle
wat je weet:userid/password, PIN wat je hebt: token, chipkaart, PAC van ING bank wat je bent: biometrie, stem-, gezichtsherkenning context, de 4e factor context is verzameling Platform Identity 12 attributen zoals
Verschuiving naar regelgeving •
•
(data asbest)
Verschuiving van techniek naar regelgeving –
chipkaart -> authenticatiesoftware -> authenticatiedienst -> id as a service -> dynamische authenticatie en profilering -> …..
–
“zorg maar voor handhaving van regels”
Regels en wetgeving stellen grenzen –
privacy wetgeving
–
boete voor data lekken, Data loss prevention
–
audit op systeem Platform Identity
13
Access governance •
Het brede begrip van toegangbeheer –
verder dan de techniek van RBAC, autorisatiematrix
–
voldoen aan regelgeving als belangrijke drijfveer
–
praktisch vraagt dit om ondersteuning met geautomatiseerd access governance systemen
Platform Identity
14
Nieuwe plaatjes over autorisaties Autorisatie op basis van (bedrijfs- en attributen)
Platform Identity
15
Trust frameworks: eID stelsel •
•
Samenwerking tussen organisaties waarbij externe identiteiten worden geaccepteerd vraagt om een afspraken stelsel, zoals het onderwijs al kent met SURFconext en Kennisnetfederatie Nu wens om eNIK, DigiD, eHerkenning onder één stelsel te brengen Platform Identity
eID
16
Inbreng onderwijs ?
onderwijs Kennisnet SURFnet ?
Platform Identity
17
Dank voor uw aandacht •
•
disclaimer: sommige ontwikkelingen duren lang Via www.pimn.nl wordt achtergrondinformatie ontsloten.
•
Na aanmelding vrije toegang
•
28 mei 2013 Heliview IAM congres Den Bosch –
http://iam.heliview.nl
Platform Identity
18
