Samenwerken in vertrouwen!

Transcriptie

1 Samenwerken in vertrouwen! Standaardisatie van uitwisseling van identiteitsgegevens Bart Knubben Bureau Forum Standaardisatie Seminar Elektronische identiteiten en diensten 4 juni 2013

2 2

3 De wereld draait op open standaarden 3

4 Kabinet: Open ICT-standaarden zijn de norm! Interoperabiliteit Hergebruik Geen lock-in Concurrentie op de standaard en niet om de standaard. 4

5 Interoperabiliteit 5 Standaardiseren doe je niet alleen!

6 College en Forum Standaardisatie besluit College adviseert Forum ondersteunt Bureau 6

7 Lijsten met open standaarden 1. Pas toe of leg uit -lijst Status: verplicht Sinds medio 2008 Eerste versie: 5 standaarden, nu: 29 standaarden Pas toe: Bij aanschaf van ICT-systemen Leg uit: Alleen als zwaarwegende reden via jaarverslag. 2. Lijst met gangbare standaarden Status: aanbevolen Reeds breed geadopteerd 7

8 SAML: standaard voor authenticatie Maart 2005: SAML 2.0 door OASIS November 2009: pas toe of leg uit -lijst Status 2013: Brede adoptie, gebruikt door o.a. eherkenning, DigiD, SURFconext, Kennisnet Entree, NICTIZ, Bibliotheken, ING etc. 8

9 Maar de ene SAML, is de andere SAML niet Kennissessies SAML in 2010 en 2011 Met o.a. MijnOverheid, DigiDX, e-herkenning en SURFfededratie Verschillende implementatieprofielen Toetsingsprocedure koppelvlak eherkenning Niet opgenomen (eind 2012) Reden: Goede opzet, in lijn met Kantara egov SAML-profiel. Afwijkend profiel t.o.v. DigiD. Voordelen standaardisatie onderbenut. 9

10 Handreiking betrouwbaarheidsniveaus Voor welke dienst welke authenthicatiemiddelsterkte? Risicomodel: - al dan niet rechtsgevolg - wettelijke eisen - wilsuiting - persoonsgegevens: risicoklassen, BSN - individueel economisch belang - publiek belang (collectief economisch belang, schending rechtsorde) Families van diensten: - o.a. informatie opvragen, aanvraag indienen, verantwoording afleggen - Verwarrende verlichtende aspecten 10

11 Trends en bijbehorende standaarden I&AM Federatief (rol/sector/landoverstijgend) Single sign on en sign off (SAML) Sterkere authenticatie (bijv. 2-fact o.b.v. TOTP) Betrouwbaarheidsniveaus (STORK, handreiking) Attribute based access control (XACML, UMA) Ondertekening (o.a. PAdES, XAdES) Web2.0 standaarden (bijv. OpenID Connect) Mobile devices (bijv. NFC) 11

12 Rode draad I&AM Gezamenlijk (federatief) Betrouwbaar Flexibel Transparant Naar een I&AM-infrastructuur Open standaarden 12

13 Adviesrol Forum bij eid-stelsel NL Scope: Koppelvlakken en interoperabiliteit Eerste advies: Ga uit van (internationale) open standaarden Betrek het veld bij ontwikkeling van standaarden/profielen Zorg voor laagdrempelige conformiteitstoetsing Vervolg: Tweede helft 2013: Consultatie van koppelvlakspecificatie 13

14 Sessie I&AM-standaarden en interoperabiliteit (30 juni jl.) Aanwezig: SURFnet, Kennisnet, Stichting Bibliotheek.nl, Ministerie van Defensie, Logius (eherkenning / DigiD) en CJIB Conclusies: Let op internationale ontwikkelingen (o.a. Kantara egov SAML interop profiel volgen is cruciaal Botsende stelsels (grenzen aan semantiek en vertrouwen) Gebruiker centraal Veel ontwikkelingen 14

15 Vervolg: CISIP Community Identitymanagement, Standaarden & Interoperabiliteit (semi-) Publieke sector Doelgroep: Experts werkzaam voor (semi-) publieke sector Pleio-groep op Geïnitieerd door Forum Standaardisatie en ECP i.s.m. aanwezigen bij sessie 15

16 Meer weten? W: T: 16