Samenwerken in vertrouwen! Standaardisatie van uitwisseling van identiteitsgegevens Bart Knubben Bureau Forum Standaardisatie Seminar Elektronische identiteiten en diensten 4 juni 2013
2
De wereld draait op open standaarden 3
Kabinet: Open ICT-standaarden zijn de norm! Interoperabiliteit Hergebruik Geen lock-in Concurrentie op de standaard en niet om de standaard. 4
Interoperabiliteit 5 Standaardiseren doe je niet alleen!
College en Forum Standaardisatie besluit College adviseert Forum ondersteunt Bureau 6
Lijsten met open standaarden 1. Pas toe of leg uit -lijst Status: verplicht Sinds medio 2008 Eerste versie: 5 standaarden, nu: 29 standaarden Pas toe: Bij aanschaf van ICT-systemen Leg uit: Alleen als zwaarwegende reden via jaarverslag. 2. Lijst met gangbare standaarden Status: aanbevolen Reeds breed geadopteerd 7
SAML: standaard voor authenticatie Maart 2005: SAML 2.0 door OASIS November 2009: pas toe of leg uit -lijst Status 2013: Brede adoptie, gebruikt door o.a. eherkenning, DigiD, SURFconext, Kennisnet Entree, NICTIZ, Bibliotheken, ING etc. 8
Maar de ene SAML, is de andere SAML niet Kennissessies SAML in 2010 en 2011 Met o.a. MijnOverheid, DigiDX, e-herkenning en SURFfededratie Verschillende implementatieprofielen Toetsingsprocedure koppelvlak eherkenning Niet opgenomen (eind 2012) Reden: Goede opzet, in lijn met Kantara egov SAML-profiel. Afwijkend profiel t.o.v. DigiD. Voordelen standaardisatie onderbenut. 9
Handreiking betrouwbaarheidsniveaus Voor welke dienst welke authenthicatiemiddelsterkte? Risicomodel: - al dan niet rechtsgevolg - wettelijke eisen - wilsuiting - persoonsgegevens: risicoklassen, BSN - individueel economisch belang - publiek belang (collectief economisch belang, schending rechtsorde) Families van diensten: - o.a. informatie opvragen, aanvraag indienen, verantwoording afleggen - Verwarrende verlichtende aspecten 10
Trends en bijbehorende standaarden I&AM Federatief (rol/sector/landoverstijgend) Single sign on en sign off (SAML) Sterkere authenticatie (bijv. 2-fact o.b.v. TOTP) Betrouwbaarheidsniveaus (STORK, handreiking) Attribute based access control (XACML, UMA) Ondertekening (o.a. PAdES, XAdES) Web2.0 standaarden (bijv. OpenID Connect) Mobile devices (bijv. NFC) 11
Rode draad I&AM Gezamenlijk (federatief) Betrouwbaar Flexibel Transparant Naar een I&AM-infrastructuur Open standaarden 12
Adviesrol Forum bij eid-stelsel NL Scope: Koppelvlakken en interoperabiliteit Eerste advies: Ga uit van (internationale) open standaarden Betrek het veld bij ontwikkeling van standaarden/profielen Zorg voor laagdrempelige conformiteitstoetsing Vervolg: Tweede helft 2013: Consultatie van koppelvlakspecificatie 13
Sessie I&AM-standaarden en interoperabiliteit (30 juni jl.) Aanwezig: SURFnet, Kennisnet, Stichting Bibliotheek.nl, Ministerie van Defensie, Logius (eherkenning / DigiD) en CJIB Conclusies: Let op internationale ontwikkelingen (o.a. www.idmanagement.gov) Kantara egov SAML interop profiel volgen is cruciaal Botsende stelsels (grenzen aan semantiek en vertrouwen) Gebruiker centraal Veel ontwikkelingen 14
Vervolg: CISIP Community Identitymanagement, Standaarden & Interoperabiliteit (semi-) Publieke sector Doelgroep: Experts werkzaam voor (semi-) publieke sector Pleio-groep op https://www.pleio.nl/groups/profile/20690012/ Geïnitieerd door Forum Standaardisatie en ECP i.s.m. aanwezigen bij sessie 15
Meer weten? W: www.forumstandaardisatie.nl T: twitter.com@openstandaarden 16