Onderzoek naar het realiseren van Identity-as-a-Service

Transcriptie

1 Onderzek naar het realiseren van Identity-as-a-Service Prject : SURFwrks Prjectjaar : 2009 Prjectmanager : Remc Prtinga-van Wijnen, Rland van Rijswijk Auteur(s) : Bert Stals, Peter Jurg, Martin van Es en Menn Pieters Opleverdatum : 25 augustus 2009 Versie : 1.0 Samenvatting Het implementeren van identity management (IdM) in een rganisatie is vaak een kstbare zaak. Vanwege de ksten implementeren veel met name kleine p SURFnet aangeslten instellingen geen IdM in hun rganisatie. In dit rapprt wrdt gekeken naar de haalbaarheid van het intrduceren van Identity-as-a-Service dienstverlening die het eenvudiger met maken vr (kleine) instellingen m IdM te implementeren waardr ze bijvrbeeld makkelijker aangeslten kunnen wrden p de SURFfederatie. Vr deze publicatie geldt de Creative Cmmns Licentie Attributin-Nncmmercial-Share Alike 3.0 Netherlands. Meer infrmatie ver deze licentie is te vinden p

2 Clfn Prgrammalijn Onderdeel Activiteit Deliverable Tegangsrechten Externe partij : SURFwrks : SURFfederatie PCs : Identity-as-a-Service : Haalbaarheidsstudie Identity-as-a-Service : publiek : IGI Dit prject is tt stand gekmen met steun van SURF, de rganisatie die ICT vernieuwingen in het hger nderwijs en nderzek initieert, regisseert en stimuleert dr nder meer het financieren van prjecten. Meer infrmatie ver SURF is te vinden p de website ( 2

3 Cntext 6 dingen die je met weten ver Identity-as-a-Service Het implementeren van Identity Management (IdM) in een rganisatie is vaak een kstbare zaak. Dit geldt k vr p SURFnet aangeslten instellingen, wat erte leidt dat met name kleine instellingen geen IdM implementeren. Del van dit nderzek is m te kijken f het met een Identity-as-a-Service dienst makkelijker kan wrden gemaakt vr deze instellingen m IdM te intrduceren. Wat is het? Identity Management wrdt vaak als een maatwerktraject geïmplementeerd. Identity-as-a-Service is eigenlijk het mgekeerde; het biedt een ff-the-shelf plssing vr IdM die snel en met beperkte ksten in een rganisatie kan wrden ingeverd. Vr wie is het? Vr alle p SURFnet aangeslten instellingen die Identity Management willen gaan inveren en die hiermee een aansluiting p de SURFfederatie willen realiseren. He werkt het? Identity-as-a-Service maakt de invering van Identity Management in een rganisatie mgelijk via een vrgeschreven set prcessen vr het beheren van identiteiten (de rganisatie zal zich hier dus wellicht aan meten aanpassen). De Identity-as-a-Service dienst heeft standaard kppelingen met een aantal brnsystemen (bv. medewerkerdatabase, studenteninfrmatiesysteem, etc.) en kan accunts aanmaken in delsystemen (bv. LDAP, Active Directry, etc.). Wat kan je ermee? Snel en efficiënt Identity Management uitrllen in een rganisatie en een kppeling met de SURFfederatie (en daarnaast k met eduram) realiseren. Extra (Bijlagen, Thema, Gerelateerde thema s) Extra bijlagen: randvrwaarden vr een dienstbeschrijving vr Identity-as-a-Service en een beschrijving van de kppelvlakken en gegevensset van de mgelijke dienst 3

4 Inhudspgave 1 INLEIDING BESCHRIJVING VAN IDENTITY-AS-A-SERVICE IDENTITY MANAGEMENT PROBLEEMBESCHRIJVING FUNCTIONALITEITEN EN SERVICE LEVEL AGREEMENT VOORDELEN ARCHITECTUUR USE CASES IMPACTANALYSE KRACHTENVELD EN SPELERS WAT VOEGT DE DIENST TOE? OVERIGE FUNCTIES ISSUES DOEL VAN DE PROOF-OF-CONCEPT CONCLUSIE BIJLAGE 1 FUNCTIONALITEITEN EN SERVICE LEVEL AGREEMENT BIJLAGE 2 KOPPELVLAKKEN EN GEGEVENSSET

5 1 Inleiding In de technlgieverkenningen van SURFnet vr het jaar 2009 is een Prf f Cncept Identity-as-a-Service pgenmen. Met Identity-as-a-Service (IaaS) wrdt begd dat instellingen, en dan vrnamelijk de wat kleinere, binnen de delgrep gebruik kunnen maken van een klaarstaande nline Identity Management (IdM) service. De instelling vert dan alleen ng functineel beheer uit. De service presenteert zich naar de instelling als een eigen identity management systeem, gestandaardiseerd en met beperkte, nader te bepalen, cnfiguratie- en kppelingspties. Het del van SURFnet met deze dienst is m IdM tegankelijker te maken vr de aangeslten instellingen. Vrdeel van het inveren van IdM is dat dit het aansluiten p de SURFfederatie mgelijk maakt. Mede m deze reden zal een Identity-as-a-Service ver een ingebuwde federatieve kppeling beschikken. Enerzijds is er de vraag naar de technische haalbaarheid, anderzijds de vraag f instellingen uit de veten kunnen met een gestandaardiseerde plssing vr prcessen en prcedures. Om te kunnen bepalen wat de ksten van een Identity-as-a-Service dienst wrden en heveel maatwerk er vr ndig is zal een prf-f-cncept meten wrden uitgeverd. In de rest van dit dcument wrdt eerst een beschrijving gegeven van een IaaS-dienst en vervlgens de impact ervan besprken. 5

6 2 Beschrijving van Identity-as-a-Service 2.1 Identity Management De term Identity Management (IdM) wrdt ver het algemeen gebruikt als aanduiding vr zwel beheer van authenticatiemiddelen en elektrnische identiteitsgegevens, evenals vr het gebruik daarvan vr het bepalen van tegangsrechten. Om het vlledige gebied te dekken, zals bedeld in dit dcument, zu men eigenlijk meten spreken van identity en access management, maar dit wrdt in de ICT algemeen afgekrt tt identity management. Bij prducten wrdt het nderscheid dr fabrikanten ver het algemeen wel gehanteerd: identity managementprducten zijn plssingen p het gebied van beheer en verspreiding van de identiteitsgegevens, terwijl accessmanagement prducten plssingen zijn vr het gebruik van die gegevens vr tegangscntrle. Identity management wrdt ingericht vr een rganisatie en heeft dan betrekking p de tegang die de rganisatie biedt tt haar elektrnische diensten. Daarbij wrden verschillende grepen gebruikers nderscheiden, zals eigen medewerkers studenten, klanten, ingehuurde medewerkers (zals uitzendkrachten), etc. Vr elk van deze grepen zijn eigen regels vr het aanmaken en verwijderen van accunts en vr de rechten die de gebruikers binnen een grep krijgen. Vr bepaalde grepen gebruikers, zals de medewerkers van de financiële administratie, zijn ng extra rechten (f juist de ntzegging daarvan) van tepassing die vaak binnen applicaties wrden geregeld. Hierbij is scheiding van verantwrdelijkheden (functiescheiding) vaak het del. Identity management wrdt tegenwrdig k gebruikt tussen rganisaties die samenwerken. Gebruikers die accunts hebben gekregen bij de ene rganisatie kunnen dan z ndig met restricties - k inlggen bij de andere rganisatie. Als die rganisaties elkaar vertruwen (cmmunity f trust) en daarver afspraken maken heet dit federatief identity management. SURFnet heeft hiervr de SURFfederatie in het leven gerepen die federatief identity management vr het hger nderwijs mgelijk maakt. 2.2 Prbleembeschrijving Identity management is p dit mment vaak maatwerk. De ervaring leert dat instellingen vaak een langdurig en kstbaar traject drlpen m IdM plssingen geïmplementeerd te krijgen. De hge ksten en lange drlptijden wrden mede verrzaakt drdat men een ttale aanpassing van IdM wil p de bestaande rganisatie met zijn werkprcessen en prcedures, krtm: maatwerk. De begde IaaS dienst zal genemd maatwerk zveel mgelijk prberen te vermijden en standaardplssingen aanbieden, als ware het een cmmercial ff the shelf prduct. Dat vergt natuurlijk enige flexibiliteit van de rganisatie, en enige aanpassing aan beide zijden is waarschijnlijk ndzakelijk m het ptimum te ntdekken. Een van de delen van een IaaSdienst is het realiseren van kppelingen met de SURFfederatie. Deelname aan deze dienst betekent dus autmatisch deelname aan de federatie. Een IaaS-dienst kan een gedkpe plssing bieden vr zwel IdM als federatieve aansluiting dr met vrgeschreven prcessen en standaard technische plssingen te werken. De dienst zu daardr vral geschikt kunnen zijn vr kleinere instellingen die de mgelijkheid hebben en bereid zijn hun werkwijze aan te passen aan de dienst. 6

7 2.3 Functinaliteiten en dienstbeschrijving Om een vlwaardige identity managementimplementatie te zijn met IaaS een aantal functies en vrzieningen kunnen bieden; hiernder vlgt een krte psmming 1 : Prvisining van gegevens vanuit verschillende brnsystemen p de deelnemende instelling (studenten, medewerkers en derden: HRM, SIS ) naar authenticatiedatabases (LDAP, AD); hierbij wrden de gebruikerskenmerken die gebruikt wrden in de federatie verplicht gesteld. Prvisining van gegevens van persnen aan bedrijfsapplicaties zals een Electrnische Leer Omgeving f systeem. Een interface vr gedelegeerd beheer m handmatig gegevens te kunnen inveren en wijzigen. Een interface vr self-service waarmee wachtwrden gewijzigd kunnen wrden. Een kppeling met de SURFfederatie waardr de IaaS dienst als Identity Prvider ptreedt vr de deelnemende instellingen. Een ptinele kppeling met een Radius server die p eduram kan wrden aangeslten. De IaaS-dienst levert geen maatwerkplssing, maar een standaard aanpak vr identity management. Hierbij hren zaken die bijvrbeeld in een dienstbeschrijving wrden vastgelegd. Deze dienstbeschrijving zal nder meer de vlgende nderwerpen meten afdekken 2 : De scpe van de dienst. Het Life Cycle Management van een accunt. Beschrijving van de rllen die de dienst ndersteunt. Beschrijving van prcessen en prcedures. Beschrijving van ndersteunde authenticatiemiddelen. De brnsystemen. De wettelijke bepalingen. De Cmmunicatie. De beveiliging. Rapprtages en audits. 1 In Bijlage 1 is deze psmming verder uitgewerkt 2 In Bijlage 1 is deze psmming verder uitgewerkt 7

8 De kwaliteit van de gegevens. Respnse- en verwerkingstijden van de dienst en van de dienstverlener. Een radmap. Aansluitvrwaarden vr afnemende systemen. 2.4 Vrdelen De IaaS-dienst met dezelfde vrdelen bieden als een identity managementsysteem dat een instelling zelf inricht. Er zijn natuurlijk enkele verschillen. Die verschillen kmen in het hfdstuk impactanalyse aan bd in de paragraaf ver Wat vegt de dienst te (3.2). De algemene vrdelen van identity management zijn in de vlgende paragrafen beschreven Ksteneffectiviteit Identity management kst geld, daar kan geen misverstand ver bestaan. Heveel hangt af van de ambities die een rganisatie wil realiseren en he sterk de rganisatie f instelling in beweging is. Daartegenver staan besparingen. Wat men bespaart als identity management als infrastructurele vrziening ged functineert is sms meilijk te meten, maar een aantal vrdelen zijn evident: Het relatieve gemak waarmee nieuwe diensten geïntrduceerd kunnen wrden, mdat er een identity en acces management infrastructuur bestaat. De inspanningen die wrden bespaard bij supprt en helpdesk, mdat gebruikers een eenvudige self-service prtal vr wijzigen van identiteitsgegevens en wachtwrden kan wrden gebden, waarbij de wijzigingen meteen gelden vr alle elektrnische diensten. Het vrkmen van veel cmmunicatie ver uitznderingssituaties dr het bieden van een gedelegeerd beheerdienst, waarmee decentraal in de rganisatie kan wrden beslten m af te wijken van een aantal standaard prcedures. De ksten die wrden bespaard p het meervudig inveren van gebruikersgegevens in verschillende applicaties. Het feit dat identity management een rganisatie dwingt m de prcessen vr het mgaan met accunts zveel mgelijk te harmniseren. Hier zitten vaak veel verbrgen ksten in. Bij harmnisatie van werkplekken, netwerktegang, etc. is het evident dat een frse kstenbesparing kan wrden bereikt. Dat er k behrlijk kan wrden bespaard dr het strmlijnen van de prcessen van het uitdelen, wijzigen en pheffen van accunts en het tekennen van rechten aan accunts in verschillende applicaties en vr verschillende grepen/rllen is meestal minder evident. Vaak is niet eens zichtbaar dat er grte, histrisch gegreide, verschillen in bestaan, die veel handwerk f cmplexe scripting en prgrammatuur vereisen. 8

9 2.4.2 Beveiliging Beveiliging is vr veel rganisaties de laatste jaren al een ht issue. Identity management biedt de mgelijkheid de beveiliging van alle diensten en tt alle infrmatie te regelen. Dat gebeurt p een eenduidige, cntrleerbare en, afhankelijk van de ambitie van de rganisatie, fijnmazige manier. Als er bijvrbeeld vr gekzen wrdt m niet uitsluitend met de identiteit, maar k met rllen te werken, kan de tegang tt en binnen instellingsbrede applicaties hiermee geregeld wrden. Het cmplete autrisatie en accessmanagement kmt daarmee p één plek te liggen. Het regelen van autrisaties binnen applicaties is daarmee verleden tijd. Een ander aspect van beveiliging is het pruimen van accunts van vertrkken medewerkers. Dat gebeurt bij IdM autmatisch als medewerkers uit het persneelssysteem zijn verwijderd f p nn-actief zijn gesteld. Het pruimen is met name belangrijk als verantwrding na een incident f bij een audit afgelegd met wrden. Verder biedt identity management de mgelijkheid m p veel diensten (sms k buiten de eigen rganisatie denk aan federatief identity management) in te lggen met dezelfde gebruikersnaam en hetzelfde wachtwrd. Het is mgelijk dat gebruikers hierdr meer waarde aan hun gebruikersnaam en wachtwrd tekennen en er daardr zrgvuldiger mee m zullen gaan (vergelijk met de PIN cde van hun bankpas) Privacybescherming De privacy van gebruikers wrdt beter gewaarbrgd indien inlggegevens centraal uitgegeven en beheerd wrden. Deze betere waarbrg wrdt verkregen dr: Minder kans p lekkage drdat de gegevens p minder plaatsen vastliggen. Minder kans p futen. Minder risic van abusievelijk uitgegeven privé gegevens mdat de tegang tt de gegevens strikter geregeld is. Privacybescherming wrdt naast beveiliging en cmpliance (zie hiernder) als apart del benemd. Gebruikers hechten hier vaak nvldende waarde aan. Met name p het gebied van awareness is hier ng een bel te winnen. De verheid vert een intensieve campagne uit m een verhgde awareness te bewerkstelligen en SURFnet vert een nderzek uit naar User-Centric Privacy Cntrl Cmpliance en gvernance Cmpliance gaat ver het aantnbaar vlden aan van tepassing zijnde regelgeving en wettelijke vrschriften. Gvernance gaat ver ged bestuur. Identity management helpt m aan wet- en regelgeving te vlden en m in cntrl te zijn met betrekking tt elektrnische geregelde tegang. Specifieke wet- en regelgeving: De vr smmige rganisaties verplichte crprate gvernance. Een vrbeeld is de gezndheidszrg, waar de NEN-nrm 7510 sinds 2006 verplicht is. Identity management helpt hierbij dr: 9

10 betere cntrle p en verificatie van gebruikersrechten te realiseren en deze in vereenstemming met het beleid te brengen; betere cntrle p en verificatie van life cycle management te realiseren en deze in vereenstemming met het beleid te brengen; De wet bescherming persnsgegevens (WBP) die vrschrijft he met privacygevelige gegevens mgegaan met wrden; veel gegevens mgen alleen pgeslagen wrden als daarmee een del wrdt gediend en als dat del k aan de persnen van wie gegevens wrden pgeslagen wrdt meegedeeld. De centrale registratie van gegevens met identity management maakt het meilijker de gegevens te misbruiken, nder andere mdat ze als geheel ged afgeschermd zijn en uitsluitend dr vastgestelde persnen, vr vastgestelde en gedgekeurde delen te gebruiken zijn. Daar kmt bij dat ged geregeld dient te zijn wie tegang tt de gegevens heeft. Ok als vr een rganisatie ng geen regelgeving p het gebied van gvernance van tepassing is, kan het verstandig zijn m het gvernancedeel van identity management in te richten. Alleen dan is vrtdurend duidelijk gecntrleerd en auditeerbaar he bevegdheden ingericht zijn Gebruiksvriendelijkheid Realisatie van Single Lg On en een self-service vrmen vaak de belangrijkste winst in gebruiksvriendelijkheid bij IdM. Het heft nauwelijks betg dat als men er met identity management in slaagt gebruikers één unifrme gebruikersnaam te geven, een stap in de gede richting is gezet. De vlgende stap is veral hetzelfde wachtwrd te kunnen gebruiken (Single Lg On). Een laatste stap, die niet altijd gezet wrdt, is dat gebruikers maar één keer heven in te lggen (Single Sign On) m tegang tt alle applicaties te krijgen, z mgelijk via een unifrme lginpagina; verigens kunnen er gede redenen zijn daar niet alle applicaties bij te betrekken 3. Identity management legt vr het realiseren van deze zgenaamde single lg n de ndzakelijke basis. Hierdr kan vaak k eenvudiger single sign n wrden gerealiseerd. Daarnaast helpt self-service bij het wijzigen en (eventueel) resetten van wachtwrden k mee aan een betere gebruikerservaring. Tensltte is een aansluiting p de SURFfederatie vr gebruikers een grte pre. Met IdM wrdt tt slt k gedelegeerd beheer van gebruikers gerealiseerd; instellingen vr gebruikers kunnen gemaakt en gewijzigd wrden dr decentrale beheerders. Vr de rganisatie is dit gedelegeerd beheer vaak een gebruiksvriendelijke uitkmst m snel (dichtbij de gebruikers, bijvrbeeld p een lkaal secretariaat) allerlei ndersteunende zaken te regelen. 2.5 Architectuur In deze paragraaf wrdt een architectuur vr IaaS uiteengezet. 3 Er kan bijvrbeeld een wens bestaan m met sterkere authenticatie te werken vr bijvrbeeld financiële applicaties 10

11 De IaaS dienst is pgebuwd uit een aantal samenhangende blkken, die met de buitenwereld verbnden zijn dr middel gestandaardiseerde kppelingen; deze kppelingen meten, zals dat bijvrbeeld vr de SURFfederatie k gebeurd is, nauwkeurig beschreven wrden zdat duidelijk is he p de dienst aangeslten kan wrden. Vaak zullen meerdere standaardkppelingen bestaan, mdat er meerdere HR systemen en SISsen in gebruik zijn. Figuur 1 - Architectuur van Identity-as-a-Service In bvenstaande figuur, die in een architectuurdcument nader uitgewerkt zal wrden, is de werking van de IaaS plssing als vlgt weergegeven: Met de instelling wrden afspraken gemaakt m vanuit het persneelssysteem (HR) en vanuit het studentensysteem (SIS) de ndzakelijke gegevens aan te leveren; in deze gegevens zijn in elk geval de vr de federatie ndzakelijke attributen pgenmen. Er zal vastgesteld meten wrden he de gegevens hier exact wrden aangeleverd. Het Identity Management systeem (IdM) vrmt de centrale besturing van IaaS (de spin in het web). Dit systeem heeft tegang tt alle betrkken systemen en hudt alle gegevens p elk mment in de tijd cnsistent dr middel van: De pslag van de gegevens in een Identity Vault. De drgifte van gegevens naar systemen p de instelling (Prvisining). 11

12 De verwerking van infrmatie die via een self-service interface binnenkmt; denk daarbij aan wachtwrd resets f wijziging van gegevens die dr de gebruiker zelf gewijzigd mgen wrden De verwerking van gegevens die via een gedelegeerd beheerinterface aangebden wrden. Het nemen van beslissingen p basis van bedrijfsregels ver cnflicterende f nreglementaire gegevens. In de identity vault wrden alle gegevens van de gebruiker pgeslagen; de identity vault wrdt p drie manieren gebruikt: Dr systemen p de instelling die authenticatie vereisen; een gebruiker meldt zich bijvrbeeld aan bij de applicatie en de credentials wrden vergeleken met pgeslagen credentials in de identity vault. Dr de federatieve interface, die ervr zrgt dat een gebruiker k via de federatie geauthenticeerd kan wrden. Dr een radius server die het mgelijk maakt dat een gebruiker van de eduram dienst gebruik maakt. Bij het aansluiten van een instelling spelen: De standaardkppelvlakken die gebden wrden en de prtcllen die daar wrden gesprken. De minimale gegevensset die gevraagd wrdt aan de instelling. De minimale gegevensset die ndersteund wrdt dr de dienst. Deze laatste twee sets zijn p te delen in twee categrieën: Een gekzen standaardset. Een ndzakelijk verzameling vr de federatie. De kppelvlakken en de gegevensset wrden hiernder in het krt beschreven; vr een uitgebreidere beschrijving wrdt verwezen naar Bijlage 2. Verder wrdt ingegaan p de beveiliging van de dienst De kppelvlakken IaaS ndersteunt standaard kppelvlakken naar een aantal systemen. Deze systemen kunnen, mits p de gebruikelijke wijze ingericht, znder meerwerk gekppeld wrden aan IaaS. Lgisch gezien zullen smmige systemen als brnsysteem fungeren, andere alleen als delsysteem. Enkele kunnen vr beide deleinden wrden ingezet. Vrbeelden van brnen/f delsystemen zijn Micrsft Active Directry, Nvell edirectry, SAP, LDAP (Sun, OpenLDAP, Fedra Directry Server), diverse studentinfrmatiesystemen (SIS) en Persneelssystemen (HR). 12

13 2.5.2 De gegevensset Om IaaS te vullen met accunts zijn gegevens ndig, die vanuit de brnsystemen wrden aangeleverd. Om een accunt te kunnen aanmaken f m te cntrleren f een accunt al bestaat zijn bepaalde gegevens ndzakelijk. Dit betreft bijvrbeeld de vlgende gegevens: NAW, , activatiedatum, deactivatiedatum, de vr de federatie ndzakelijke gegevens, etc Beveiliging Vr de IaaS-dienst wrden de vlgende beveiligingsmaatregelen genmen: Beschikbaarheid: Om een z hg mgelijke beschikbaarheid te garanderen wrden, waar mgelijk, systemen redundant uitgeverd. Integriteit: Naast de autmatische drgifte van wijzigingen en cntrle p vlledigheid en juistheid vindt peridiek (bijvrbeeld wekelijks), eveneens autmatisch, een vergelijking plaats van de gegevens in de verschillende brn- en delsystemen. Er zal nader meten wrden bepaald welk systeem vr welk gegeven leidend is. Vertruwelijkheid: al het verkeer tussen de IaaS-dienst en aangeslten systemen zal versleuteld wrden, k de publiek tegankelijke interfaces. Alle niet publieke nderdelen van de dienst zullen in een afgeschermd netwerk wrden geplaatst. De systemen waarp de IaaS dienst draait zullen fysiek beschermd wrden dr gebruik te maken van beveiligde datacenter lcaties. 2.6 Use cases De dienst is vrnamelijk bedeld vr instellingen die een eigen maatwerktraject vr identity management te kstbaar vinden. Dr zich te cnfrmeren aan de functinaliteiten en dienstbeschrijving die hierbven zijn beschreven, krijgen ze een betaalbare identity managementplssing met alle bijbehrende vrdelen. De vraag rijst natuurlijk wanneer een instelling in staat is m de pgelegde werkwijzen te accepteren. De betrkennen bij de dienst zijn: ICT-afdelingen, die het technisch en/f functineel beheer den van brn- en delsystemen. De afdeling studentenzaken, die de diensten vr studenten functineel nder haar hede heeft. De HR-afdeling, die ver de functinaliteit van het brnsysteem vr medewerkers gaat. Secretariaten van vakgrepen en lkale ICT-ndersteuners, die gedelegeerd beheer ndig hebben m externen in te kunnen veren. Ok meten zij wijzigingen in identiteiten dr kunnen veren die bijvrbeeld betrekking hebben p het life-cycle managment. De vastgelegde werkwijzen zijn vral lastig af te dwingen wanneer alle betrkkenen relatief autnm pereren en al allerlei ingebedde prcedures hebben vr het aanmaken van 13

14 accunts in verschillende systemen en helemaal als lkaal bij faculteiten en vakgrepen eigen ICT-vrzieningen zijn, zals bij een universiteit vaak het geval is. Waar dat niet het geval is zullen we in dit dcument spreken van een kleine rganisatie. Merk p dat minder autnmie en centrale ICT-vrzieningen een instelling al behrlijk rijp maken vr een IaaS-dienst. 14

15 3 Impactanalyse 3.1 Krachtenveld en spelers Bestaande dienstverleners Over het algemeen zijn er nauwelijks dienstverleners te vinden die identity management als SaaS-dienst leveren. Op het vlak van federatieve kppelingen en single sign-n levert Tricipher ( diensten. Als het gaat m het prvisining-stuk is er alleen (via Sun) een leaflet te vinden van Tiet ( waarin een IaaS-dienst wrdt beschreven, maar deze leverancier reageerde niet p vragen ver deze dienst via e- mail en de dienst is p de website k niet terug te vinden. Op dit mment zijn identity management en federatief identity management zaken die alleen dr grte rganisaties wrden geïmplementeerd. Hierbij lpt het hger nderwijs dan k vrp in de ntwikkelingen. De behefte aan identity management bij kleinere rganisaties begint mmenteel p te kmen, mdat zij zich realiseren dat er een aantal vrdelen mee behaald kunnen wrden, zals beschreven in vrige paragrafen. Daarvan zijn vr kleine rganisaties vrnamelijk beveiliging, gvernance & cmpliance en gebruiksvriendelijkheid van belang; het behalen van ksteneffectiviteit binnen een instelling tengevlge van schaalvrdelen is mgelijk, maar minder waarschijnlijk mdat binnen kleinere rganisaties het aantal delsystemen waarschijnlijk minder grt is. Drdat de vraag vanuit kleinere rganisaties pas recent aan het pkmen is, is het niet vreemd dat er nauwelijks bestaande IaaS-dienstverlening p de markt beschikbaar is. Daarbij kmt ng dat de meeste leveranciers met vldende kennis p het gebied van identity management gewend zijn aan lange en lucratieve cnsultancytrajecten en dat pad niet snel zullen willen verlaten, tenzij de markt hen daarte dwingt. Het principe van IaaS, zals in dit dcument geschetst, kan echter zeer vruchtbaar zijn, mdat kleine rganisaties uitgebreide interne identity managementtrajecten waarschijnlijk veel te duur zullen vinden (denk aan initieel k en jaarlijks ngeveer k met enkele flinke uitschieters daar bven ). Een IaaS-dienst biedt dan waarschijnlijk een unieke mgelijkheid vr kleine rganisaties m tegen een acceptabele prijs van de vrdelen van identity management te prfiteren De klanten De begde klanten van de dienst zijn in eerste instantie kleine hger nderwijsinstellingen, maar een uitbreiding naar ROC s behrt tt de mgelijkheden. Vaak vlden zij aan de vrwaarden gesteld in paragraaf De IaaS aanbieder (leverancier) De begde IaaS aanbieder kan een marktpartij zijn. Gezien de discussie in de paragraaf ver de bestaande dienstverlening (3.1.1) zullen er ng niet heel veel partijen zijn die een dergelijke dienst zullen willen gaan aanbieden. De markt van het hger nderwijs (en wellicht ROC s) is daarbij k een markt die vraagt m gede branchekennis, zeker bij een dienst zals IaaS, die ingrijpt p verschillende plekken in de rganisatie. Daarm wrdt aanbevlen dat SURFnet initieel de dienst biedt p tijdelijke basis met behulp van een subcntractr (mcht een prf-f-cncept succesvl verlpen) en zich terug trekt als blijkt dat de markt deze ntwikkeling ppikt. 15

16 3.2 Wat vegt de dienst te? Identity management vrdelen De dienst maakt identity management mgelijk vr instellingen die een eigen implementatie te kstbaar vinden. Zij prfiteren bij deelname van alle genemde vrdelen. Er is ndersteuning bij het realiseren van de kwaliteit van de gegevens waardr een hgkwalitatieve aansluiting p de SURFfederatie gerealiseerd wrden Extra IaaS vrdelen Een kenmerk van eigen identity management implementaties is dat rganisaties daarvr fwel veel expertise in huis meten halen (pleidingen en ervaring pden) fwel cntinu expertise meten inhuren. Bij hger nderwijsinstellingen die zelf expertise hebben gebeurt het k ng vaak dat externe expertise wrdt ingehuurd. Die expertise is behrlijk specifiek en vaak k ng slecht beschikbaar. Vanuit deze ervaring lijkt een IaaS-plssing veel kans te maken, mdat een instelling zich dan niet meer met de zeer specifieke expertise heft bezig te huden. De ksten van een IdM realisatie wrden daarmee beperkt. Op het vlak van beveiliging van het identity managementsysteem wrdt de instelling veel uit handen genmen. Dit is een extra vrdeel, want veel instellingen wrstelen bijvrbeeld met de veiligheid van self-servicepagina s; dat betreft dan zwel zaken als beveiligde verbindingen alsmede standaard prcedures m bijvrbeeld een wachtwrd te laten resetten f infrmatie via een ander kanaal (bijvrbeeld SMS) te versturen. De gespecialiseerde kennis die hiervr ndig is, is aanwezig bij de IaaS-leverancier. 3.3 Overige functies Bij identity management zullen klanten k direct denken aan single sign-n vr de eigen applicaties. De inrichting daarvan is niet in de dienst meegenmen, maar zu in een vlgende versie van de dienst als ptie kunnen wrden aangebden. Verder zuden instellingen k applicaties als Service Prvider via de SURFfederatie kunnen aanbieden. Aan een maatwerkplssing valt hier waarschijnlijk niet te ntkmen vanwege de aard van de wijzigingen die dit in vaak zelfgemaakte systemen met zich meebrengt. 3.4 Issues Ten aanzien van de ksteneffectiviteit geldt: de harmnisatie van de prcessen zal ng strakker meten gebeuren bij IaaS dan bij een eigen implementatie, mdat IaaS pgelegde werkwijzen met zich meebrengt vr de prcessen met betrekking tt het aanmaken, wijzigen en verwijderen van accunts. De instellingsprcessen hieraan aanpassen is wellicht een nadeel, maar dit maakt wel dat de structurele ksten lager zijn bij IaaS. Bij het intrduceren van nieuwe diensten zal afstemming met de leverancier ndig zijn. Een vrdeel hierbij is dat de leverancier veel expertise heeft p dit terrein. De ksten van de IaaS-dienst hangen k af van de flexibiliteit van de dienst. He minder flexibel, he gedkper. De meeste prvisiningsftware biedt slechte vrzieningen m een dienst via een interface te laten cnfigureren. Parameters die bepalen na welke peride een accunt vervalt in welk systeem, f welke rechten wrden tebedeeld aan rllen, zijn sms lastig cnfigureerbaar te maken, mdat ze gecdeerd zijn. Een klant zal ver het algemeen wel de flexibiliteit vragen m zulke parameters snel en eenvudig aan te passen. Er met 16

17 bekeken wrden he hiermee kan wrden mgegaan bij cmmercieel verkrijgbare prducten. De kwaliteit van een identity managementplssing wrdt mede bepaald dr de kwaliteit van de data in de brnsystemen. Vr reguliere studenten is deze kwaliteit mede dankzij Studielink in de meeste gevallen gebrgd, maar vr medewerkers, cntractstudenten en buitenlandse studenten kan het zijn dat een verbetering ndig is m een gede kwaliteit te bereiken. Vr externen wrdt een nieuwe prcedure in de IaaS-dienst gebruikt, maar in veel gevallen zullen bestaande accunts gemigreerd meten wrden, zdat ze vanuit het IaaS-systeem beheerd kunnen wrden. Krtm: de kwaliteit van de huidige identiteitsgegevens kan te wensen verlaten en het verdient daarm aanbeveling m parallel aan de IaaS-dienst een cnsultancydienst te definiëren die instellingen kan helpen m de kwaliteit, indien ndig, te verbeteren. In ieder identity managementtraject spelen migratie-issues bij het in gebruik nemen van de nieuwe situatie. Het verdient aanbeveling m die issues in de PC te benemen, zdat k de daarmee gepaard gaande ksten en inspanningen aan de kant van een klant in kaart wrden gebracht. De IaaS-dienst zals hier beschreven levert zeer basale rlgebaseerde tegang; denk daarbij aan hfdrllen, zals medewerker, student en gast. Deze indeling lijkt echter p dezelfde indeling die het grs van de hger nderwijsinstellingen p dit mment hebben geïmplementeerd. Vr een aantal klanten van de dienst kan het wenselijk zijn dat de dienst, mgelijk in een vlgende versie, wrdt uitgebreid met meer geavanceerde mgelijkheden vr rlgebaseerde tegang m z een betere gvernance te bewerkstelligen. Vr de eerste versie van de dienst zal deze mgelijkheid zeker buiten de scpe vallen, maar het is denkbaar dat uitbreiding ten beheve van rlgebaseerd werken in de tekmst gerealiseerd wrdt. 3.5 Del van de prf-f-cncept De PC met de functinaliteit implementeren zals beschreven in Beschrijving van IaaS (hfdstuk 2). Daarbij meten de vlgende vragen wrden beantwrd: Of een standaard dienst, zals hier beschreven, is te implementeren, terwijl de werkwijze aansluit bij een kleine instelling? Welke berdeling één f meerdere klanten aan de PC tekennen? Op welke plaatsen de standaarddienst cnfigureerbaar met zijn en f dat technisch haalbaar is? Welke nderdelen van de dienst het meest aantrekkelijk zijn (indien wrdt verwgen m nderdelen apart aan te bieden)? Welke van de vlgende ksten met de dienst gemeid zijn: Eenmalige aansluitksten vr brn- en delsystemen? Eventuele migratieksten? Jaarlijkse ksten vr beheer? 17

18 Wat met er ng gebeuren m een succesvlle dienst p te zetten? De PC zal technisch uit de vlgende nderdelen bestaan: Dummy brnsysteem (bijvrbeeld tekst f LDAP). Dummy delsysteem (bjvrbeeld tekst f LDAP). Sun Identity manager inclusief de lkale Identity vault. SAML-kppeling met de federatie. Een Radius server ten beheve van eduram. Een eenvudig self-service interface. Een eenvudige gedelegeerd beheerinterface. De ndzakelijke kppelingen tussen deze genemde nderdelen. De functinaliteit die in de PC getest zal wrden betreft het aanmaken, verwijderen en wijzigen van gebruikers, de uitrl van die gebruikers naar de relevante nderdelen, de werking van de gebruikersinterfaces etc. Een gedetailleerd testplan zal als nderdeel van de PC ntwrpen wrden. Over de PC zal gerapprteerd wrden, waarbij de nadruk zal kmen te liggen p de Use Cases. Tevens zal gerapprteerd wrden ver de technische prblemen die zijn pgetreden. De resultaten van de PC zullen de ndzakelijke input vrmen vr de p te stellen aanbevelingen betreffende vrtzetten f stppen van IaaS. Bijlage 1 gaat uitgebreid in p de aspecten die in de PC en in de rapprtage aan de rde kmen. 3.6 Cnclusie Het pzetten van een PC vr IaaS is kansrijk (met dummy brnsystemen en delsystemen). Kennis ver de ndzakelijke cmpnenten en de bendigde kppelingen is aanwezig, maar is in deze vrm ng niet eerder uitgewerkt. De architectuur van de dienst zal verder meten wrden uitgewerkt, maar de verwachting is dat deze geen nverkmelijke prblemen vr implementatie zal pleveren. De hamvraag is natuurlijk f de dienst waarvr de PC wrdt pgezet vldende aftrek zal vinden. Identity management in de wereld staat aan het begin van een uitrl naar kleinere rganisaties. Er wrdt aangenmen dat deze rganisaties vaker gestandaardiseerde plssingen willen dan de grtere rganisaties tt nu te hebben geïmplementeerd. Dat is vral mdat daarmee ksten en drlptijden in de hand te huden zijn. Identity management in eigen huis uitveren vraagt m specifieke kennis die pgebuwd en/f ingehuurd met wrden en gaat daarm gepaard met grte uitgaven. IaaS neemt de klanten dit prbleem uit handen. Ok het ndzakelijke beleid, veelal vertaald in een dienstbeschrijving en de beschrijving van de standaardprcessen en prcedures wrden bij IaaS beschreven en nemen de klant veel (maat-)werk uit handen. In dit licht lijkt er zeker empli te zijn vr een IaaS-dienst. De reden dat deze er ng niet f nauwelijks is, is enerzijds dat de ptentiële klanten er ng niet rijp vr waren en anderzijds dat leveranciers 18

19 liever repeat business den (alleen cnsultancy p lcatie), hetgeen p de krte termijn meer plevert. Zij hebben dus geen belang bij een IaaS-dienst. Het verdient daarm aanbeveling m een PC uit te veren en de antwrden die deze met pleveren te verkrijgen. Tegelijkertijd zu een marktverkenning welkm zijn, hewel daarvr wellicht eerst ng een geslaagde pilt (waarin de aansluiting van een testklant gerealiseerd wrdt) ndig kan zijn. Het gaat immers m cmplexe materie, waarbij een ptentiële klant niet ver één nacht ijs zal gaan. Een geslaagde implementatie bij een eerste klant kan dan enrm helpen. Dat is ng een reden vr SURFnet m in eerste instantie zelf de dienst aan te bieden, met een beheerpartner. De essentie van IaaS is dat een dienst die nu alleen als maatwerk beschikbaar is zdanig klaargezet wrdt, dat de aansluiting gereduceerd wrdt tt een technische aansluiting weliswaar met een impact p de prcessen in de deelnemende rganisatie, maar die impact is te verzien. 19

20 Bijlage 1 Functinaliteiten en dienstbeschrijving Om een vlwaardige identity management implementatie te zijn met IaaS een aantal functies en vrzieningen kunnen bieden zals: Prvisining van gegevens van persnen (identiteiten) vanuit verschillende brnsystemen, Persneels-systeem (HR) en Studenten Infrmatiesysteem, naar authenticatiedatabases (LDAP, Active Directry) en naar instellingssystemen zals een ELO. Aan de input-kant wrden aan de brnsystemen vrwaarden gesteld die ndig zijn vr ged identity management. Bijvrbeeld: Er meten verschillende velden met datums beschikbaar zijn m het life-cycle management ged in te regelen. Er met vldende rlinfrmatie wrden meegegeven. Bij elke identiteit met een adres aanwezig zijn. Een interface vr gedelegeerd beheer waarmee geautriseerde medewerkers: Externe medewerkers kunnen inveren met daaraan gekppeld een einddatum (zdat ze znder verdere handeling autmatisch weer verwijderd wrden). Enkele gegevens bij identiteiten kunnen wijzigen, waarnder het verlengen van einddata. Wachtwrden kunnen resetten. Een interface vr self-service waarmee: Wachtwrden gewijzigd kunnen wrden. Wachtwrden gereset kunnen wrden. Een kppeling met de SURFfederatie waardr de IaaS dienst als Identity Prvider ptreedt vr de deelnemende instellingen. Een kppeling met een Radius server die p eduram kan wrden aangeslten. De IaaS-dienst levert geen maatwerkplssing, maar een standaard aanpak vr identity management. Hierbij hren een aantal gestandaardiseerde zaken, die in - bijvrbeeld - een dienstbeschrijving wrden vastgelegd. Deze zal nder meer de vlgende nderwerpen meten afdekken (hier en daar wrdt een aanzet gegeven vr de inhud van de beschrijvingen van de nderwerpen; in het algemeen zal de PC meer uitsluitsel ver de cncrete invulling meten geven): De scpe van de dienst. Hier wrdt vastgelegd welke identiteitsgegevens de IaaS-dienst zal verwerken, welke (typen van) rllen, en welke kppelingen wrden aangebden. Z zal een eerste versie van de dienst prvisiningkppelingen leveren p een aantal standaardwijzen, maar bijvrbeeld geen single sign-n vr applicaties binnen de klantrganisaties f 20

21 aansluiting van systemen van de klant als service prvider p de federatie. Beiden zuden pties in een vlgende generatie van de dienst kunnen zijn. Het Life-Cycle Management He gaat de dienst m met aankmende en vertrekkende studenten, medewerkers en derden. Het zijn de regels die gelden vr het in bedrijf huden van accunts. De beschrijving geeft k aan welke vrijheden er vr de aangeslten instelling zijn. Een beschrijving van de rllen die de dienst ndersteunt Een eerste versie van de dienst zal alleen de rllen student, medewerker, externe en alumnus ndersteunen, waarbij vraanmelder en alumnus subrllen bij student kunnen zijn. Op basis van deze rllen wrden beslissingen genmen ver tegang tt applicaties, maar (ng) niet ver tegang binnen applicaties. Andere kenmerken van gebruikers (rganisatienderdeel, studierichting, etc.) kunnen wel dr een IaaSdienst wrden verwerkt als ze beschikbaar zijn in de brnsystemen, maar zullen niet wrden gebruikt vr autrisatiebeslissingen. Een beschrijving van prcessen en prcedures Hier wrdt beschreven: Welke prcessen er zijn vr het aanmaken, wijzigen en verwijderen van accunts de dienst ndersteunt en welke autrisatiebeslissen kunnen wrden genmen (in termen van rllen); Welke functies de gebruikersinterfaces vr self-service en beheer bieden. Een beschrijving van ndersteunde authenticatiemiddelen De dienst zelf ndersteunt in een eerste versie alleen gebruikersnaam en wachtwrd met een vrgeschreven wachtwrdplicy. In een vlgende generatie van de dienst f als maatwerkptie wrden andere authenticatiemechanismen ndersteund. De brnsystemen. Welke brnsystemen zijn er vr de verschillende rllen. Dit verschilt per klant van de dienst. De wettelijke bepalingen: Relevante wetten waaraan men zich dient huden wrden hier genemd. Z is er in elk geval de WBP, die vrschrijft dat alleen datgene wat ndzakelijk is en een del dient vastgelegd mag wrden. Verder is de WBVG (Wet Bevegdheden Vrderen Gegevens) relevant in de zin dat de dienstverlener zich zal meten cmmitteren m namens de klant gegevens te verstrekken. De dienstverlener zal auditeerbaar meten zijn p deze punten. Hier speelt k het vraagstuk van het eigenaarschap van de gegevens; een klant is bij een geheel eigen dienst meer in cntrl t.a.v. wat er gebeurt met de gegevens in het geval van wettelijke vrdering. De cmmunicatie. De cmmunicatie gaat ver functinaliteit, veiligheid en de perfrmance van de 21

22 leverancier. De klant zal meten aangeven wie vr de dienstverlener de aanspreekpunten zijn. De beveiliging. De beveiliging van de dienst dient ged gedefinieerd te zijn: Beschikbaarheid: Er dienen beschikbaarheidsgaranties te wrden afgegeven. Een hge beschikbaarheid per maand (vaak k buiten kantruren) is ndig m te kunnen garanderen dat de beheer- en self-serviceinterfaces vldende beschikbaar zijn en de wijzigingen daardr vldende snel wrden verwerkt. Integriteit: he waarbrgen we dat de gegevens die uit het brnsysteem kmen k p de juiste manier in de delsystemen terecht kmen; hiervr dient de dienst peridieke cntrles uit te veren. Vertruwelijkheid: m de vertruwelijkheid van de dienst te waarbrgen meten veiligheidsmaatregelen wrden genmen, zals applicatiefirewalls p de interfaces, kppelingen via VPNs en authenticatie met clientcertificaten. Rapprtages en audits. De rapprtages die klant ntvangt dienen beschreven te wrden. Er dienen afspraken te wrden gemaakt ver audits. De kwaliteit van de gegevens. De instelling dient zelf zrg te dragen vr een gede kwaliteit van de gegevens in de brnsystemen. Respnse- en verwerkingstijden van de dienst en van de dienstverlener. Vr de prvisining binnen de IaaS-dienst zullen standaard respnse- en verwerkingstijden wrden afgegeven. De leverancier zal k aangeven welke respnsetijden gelden vr supprt. Een radmap. De leverancier zal een radmap meten pstellen met betrekking tt nieuwe functinaliteiten f het wijzigen van functinaliteiten. De radmap kmt tt stand in verleg met de klanten. Aansluitvrwaarden vr afnemende systemen. Hierin wrdt de aard van een kppeling beschreven, maar k de beveiliging die p een afnemend systeem geregeld met zijn vrdat aangeslten kan wrden en de restricties die gelden vanuit de dienst, zals de wenselijkheid m in afnemende systemen het wijzigen van wachtwrden nmgelijk te maken. 22

23 Bijlage 2 Kppelvlakken en gegevensset De kppelvlakken IaaS ndersteunt standaard een grt aantal brn- en delsystemen. Deze systemen kunnen, mits p de gebruikelijke wijze ingericht, znder meerwerk gekppeld wrden aan IaaS. Brnsystemen kunnen zijn: Micrsft Active Directry Nvell edirectry LDAP (Sun, OpenLDAP, Fedra Directry Server) De vlgende Studenteninfrmatiesystemen: ISIS OSIRIS SAP CS De vlgende HR-systemen: SAP HR Peplesft Een tekstgebaseerde interface (vrgedefinieerd CSV- f LDIF-frmaat f via LDAP); deze frmaten zullen met name in een PC wrden gebruikt. Delsystemen kunnen zijn: Micrsft Active Directry Nvell edirectry LDAP (Sun, OpenLDAP, Fedra Directry Server) Zimbra Cllabratin Suite Tekstgebaseerde interface (vrgedefinieerd CSV- f LDIF-frmaat) De gegevensset Om IaaS te vullen met accunts zijn gegevens ndig, die vanuit de brnsystemen wrden aangeleverd. Om een accunt te kunnen aanmaken f m te cntrleren f een accunt al bestaat zijn bepaalde gegevens ndzakelijk. Dit betreft de vlgende gegevens: Naam: 23

24 Achternaam (inclusief eventuele prefix) Vrnaam Initialen Gebrtedatum User-ID adres (gegenereerd f uit brnsysteem afkmstig) Wachtwrd (gegenereerd f uit brnsysteem afkmstig) Activatiedatum Deactivatiedatum (kan k nbepaald zijn) Naast de minimale gegevens wrden andere gegevens ndersteund: Geslacht Adres: Straat Plaats Pstcde Land Vrkeurstaal Verwijderingsdatum Organisatierl (indien niet afleidbaar uit brnsysteem) Studierichting Vak(ken) edupersnentitlement (ten beheve van SURFfederatie) 24