Inlogmiddel Uniek kenmerk DigiD eHerkenning BSN KVK-nummer Account overheidsinstantie UPN (optioneel) Autorisatie op basis van: BSN, authenticatie betrouwbaarheidsniveau n.v.t. (vindt plaats in dienstencatalogus en machtigingenregister) Rol, authenticatie betrouwbaarheidsniveau Herleidbaarheid (uniek kenmerk per gebruiker) BSN PseudoID UPN (optioneel) Op basis van het AVGprincipe Minimale Gegevensverwerking worden, vanuit IAMoogpunt, minimaal de volgende gegevens geregistreerd bij een accountobject. Het doorgronden van de technische implementatie vereist diepgaande inhoudelijke kennis aanmaken van accountobjecten in de applicatie, inclusief de bijbehorende identiteitsinformatie, voorafgaand aan de eerste keer aanmelden. Ook is het mogelijk de identiteitsinformatie te updaten en het accountobject te verwijderen in de applicatie. Het door Forum Standaardisatie aanbevolen protocol om deze functionaliteit te realiseren is SCIM. Op het moment dat deze functionaliteit wordt aangeboden maar niet op basis van het SCIM-protocol dan moet nagegaan worden of wel alle functionaliteiten (import, update, verwijderen) worden ondersteund. Het nadeel is dat deze functionaliteit uitsluitend bruikbaar is voor accounts die door de desbetreffende overheidsinstantie beheerd worden. Met als gevolg dat de niet beheerde accountobjecten handmatig verwijderd moeten worden op basis van door de overheidsinstantie vastgestelde voorwaarden. Een Identity Governance and Administration (IGA) applicatie bevat de benodigde identiteitsinformatie en biedt ‘user account provisioning’ functionaliteit op basis van het SCIM-protocol. Ook biedt een IGA-applicatie de functionaliteit om autorisatierollen te sturen naar een applicatie. Een eis vanuit IAM-oogpunt is dat de SaaS-applicatie de beschreven functionaliteiten biedt op basis van een standaard API waar de IGA-applicatie op kan aansluiten. Onduidelijkheid over eisen Tot slot: verwijzingen naar onderwerpen die door Forum Standaardisatie beschreven zijn, zijn niet altijd direct bruikbaar voor de SaaS-leverancier. Bijvoorbeeld de toegang tot een REST API op basis van het NL GOV Assurance Profile for OAuth 2.0. Het desbetreffende profile bevat verscheidene implementatiekeuzes. In de praktijk hebben weinig overheidsinstanties een OAuth configuratie uitgewerkt op basis van het NL GOV Assurance Profile met als gevolg dat de SaaSleverancier niet weet wat exact geëist wordt door de overheid. Het advies is om een OAuth-configuratie (inclusief implementatiekeuzes) te beschrijven en niet een algemene verwijzing op te nemen naar Forum Standaardisatie. Jeroen Mol is domeinarchitect identity and access management bij Rijkswaterstaat 34
35 Online Touch Home