Samenwerken in vertrouwen! Standaardisatie van uitwisseling van identiteitsgegevens
Bart Knubben Bureau Forum Standaardisatie
Seminar Elektronische identiteiten en diensten 4 juni 2013
2
Samenwerken in vertrouwen!
De wereld draait op open standaarden…
3
Samenwerken in vertrouwen!
Kabinet: Open ICT-standaarden zijn de norm! • Interoperabiliteit • Hergebruik • Geen lock-in
“Concurrentie op de standaard en niet om de standaard.” 4
Samenwerken in vertrouwen!
Interoperabiliteit
5
Standaardiseren doe je niet alleen!
College en Forum Standaardisatie besluit
College adviseert
Forum ondersteunt
Bureau
6
Samenwerken in vertrouwen!
Lijsten met open standaarden 1. ‘Pas toe of leg uit’-lijst Status: ‘verplicht’ Sinds medio 2008 Eerste versie: 5 standaarden, nu: 29 standaarden Pas toe: Bij aanschaf van ICT-systemen Leg uit: Alleen als zwaarwegende reden via jaarverslag. 2. Lijst met gangbare standaarden Status: ‘aanbevolen’ Reeds breed geadopteerd 7
Samenwerken in vertrouwen!
SAML: standaard voor authenticatie Maart 2005: SAML 2.0 door OASIS November 2009: “pas toe of leg uit”-lijst Status 2013: Brede adoptie, gebruikt door o.a. eHerkenning, DigiD, SURFconext, Kennisnet Entree, NICTIZ, Bibliotheken, ING etc.
8
Samenwerken in vertrouwen!
Maar de ene SAML, is de andere SAML niet… Kennissessies SAML in 2010 en 2011 Met o.a. MijnOverheid, DigiDX, e-Herkenning en SURFfededratie Verschillende implementatieprofielen
Toetsingsprocedure koppelvlak eHerkenning Niet opgenomen (eind 2012) Reden: • Goede opzet, in lijn met Kantara eGov SAML-profiel. • Afwijkend profiel t.o.v. DigiD. Voordelen standaardisatie onderbenut. 9
Samenwerken in vertrouwen!
Handreiking betrouwbaarheidsniveaus Voor welke dienst welke authenthicatiemiddelsterkte? Risicomodel: -
al dan niet rechtsgevolg wettelijke eisen wilsuiting persoonsgegevens: risicoklassen, BSN individueel economisch belang publiek belang (collectief economisch belang, schending rechtsorde)
Families van diensten: - o.a. informatie opvragen, aanvraag indienen, verantwoording afleggen - Verwarrende verlichtende aspecten 10
Samenwerken in vertrouwen!
Trends en bijbehorende standaarden I&AM • • • • • • • • • 11
Federatief (rol/sector/landoverstijgend) Single sign on en sign off (SAML) Sterkere authenticatie (bijv. 2-fact o.b.v. TOTP) Betrouwbaarheidsniveaus (STORK, handreiking) Attribute based access control (XACML, UMA) Ondertekening (o.a. PAdES, XAdES) Web2.0 standaarden (bijv. OpenID Connect) Mobile devices (bijv. NFC) … Samenwerken in vertrouwen!
Rode draad I&AM • • • •
Gezamenlijk (federatief) Betrouwbaar Flexibel Transparant
Æ Naar een I&AM-infrastructuur
Æ Open standaarden 12
Samenwerken in vertrouwen!
Adviesrol Forum bij eID-stelsel NL Scope: Koppelvlakken en interoperabiliteit Eerste advies: Ga uit van (internationale) open standaarden Betrek het veld bij ontwikkeling van standaarden/profielen Zorg voor laagdrempelige conformiteitstoetsing Vervolg: Tweede helft 2013: Consultatie van koppelvlakspecificatie 13
Samenwerken in vertrouwen!
Sessie I&AM-standaarden en interoperabiliteit (30 juni jl.) Aanwezig: SURFnet, Kennisnet, Stichting Bibliotheek.nl, Ministerie van Defensie, Logius (eHerkenning / DigiD) en CJIB Conclusies: • Let op internationale ontwikkelingen (o.a. www.idmanagement.gov) • Kantara eGov SAML interop profiel volgen is cruciaal • Botsende stelsels (grenzen aan semantiek en vertrouwen) • Gebruiker centraal • Veel ontwikkelingen 14
Samenwerken in vertrouwen!
Vervolg: CISIP Community Identitymanagement, Standaarden & Interoperabiliteit (semi-) Publieke sector Doelgroep: Experts werkzaam voor (semi-) publieke sector Pleio-groep op https://www.pleio.nl/groups/profile/20690012/ Geïnitieerd door Forum Standaardisatie en ECP i.s.m. aanwezigen bij sessie 15
Samenwerken in vertrouwen!
Meer weten? W: www.forumstandaardisatie.nl T: twitter.com@openstandaarden
16
Samenwerken in vertrouwen!