Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat



Vergelijkbare documenten
Reactie op de openbare consultatie voor CZP van de volgende partij: - Surf Foundation. Geachte heer, mevrouw,

Forum Standaardisatie. Consultatiedocument IPv6. Datum 6 augustus 2010

Forum Standaardisatie. Consultatiedocument IFC. Datum 5 augustus 2011

Consultatiedocument. SAML v2.0. ir. D. Krukkert. 20 februari Definitief. Auteur(s) Datum. Status

Expertadvies. SAML v 2.0. ir. A.C.M. Smulders, ir D. Krukkert. 19 februari Definitief. Auteur(s) Datum. Versie. Status

Forum Standaardisatie. Consultatiedocument Open Archives Initiative - Protocol for Metadata Harvesting (OAI-PMH) versie 2.0

Opname OAuth 2.0-standaard op de lijst met open standaarden. Opname OAuth 2.0-standaard op de lijst met open standaarden

Forum Standaardisatie. Wilhelmina van Pruisenweg AN Den Haag. Postbus JE Den Haag.

Verzamelde reacties publieke consultatie Webrichtlijnen versie 2

Het Forum Standaardisatie wordt geadviseerd om de aangemelde standaard Kerberos niet in behandeling te nemen voor opname op de lijst.

Forum Standaardisatie. Consultatiedocument SIKB0101. Datum 13 februari 2012

Reactie in kader van consultatie StUF. Geachte lezer, Hierbij onze reactie op de consultatieprocedure StUF

Opname WPA2-Enterprise op de lijst voor pas toe of leg uit

Forum Standaardisatie. Expertadvies functioneel toepassingsgebieden internet- en beveiligingsstandaarden

Opname eherkenning op de lijst voor. Datum: 26 oktober 2012 Versie 0.9

Verzamelde reacties publieke consultatie SEPA

Algemene ontwikkelingen IAM Onderwijs Jaap Kuipers Platform Identity Management Nederland Utrecht

Consultatieadvies verwijdering NTA 9040 van de lijst met open standaarden

Opname STOSAG op de lijst voor pas toe of leg uit

Forum Standaardisatie. Consultatiedocument <project>

Samenwerken in vertrouwen!

Bureau Forum Standaardisatie Datum: Versie 1.0 Overzicht reacties openbare consultatieronde NEN- ISO/IEC en 27002

Concept Agendapunt: 06 Lijsten met open standaarden Bijlagen: College Standaardisatie

SURFconext dienstbeschrijving

Opname NLCIUS (standaard voor e-factureren) op de lijst met open standaarden

Forum Standaardisatie. Expertadvies WS-Policy en XACML standaarden voor authenticatie en autorisatie. Datum 5 augustus 2011

Dienstbeschrijving SURFconext

Notitie College Standaardisatie CS B. Agendapunt: 06 Standaarden open Bijlagen: Rapport Expertgroep PDF v1.7 Aan: College Standaardisatie Van:

SAML & FEDERATED IDENTITIES. The Single Sign-on provider

A. Expertadvies adoptie-evaluatie SAML B. Notitie van eid over verwerking adviespunten C. Opzet monitor open standaarden-beleid 2014

Opname COINS-standaard (uitwisselingsformaat voor bouwinformatie) op de lijst met open standaarden

Single Sign On. voor. Residentie.net en Denhaag.nl

FORUM STANDAARDISATIE 11 oktober 2017

Trust & Identity Innovatie

Doel is, dat dit document uiteindelijk een visie formuleert, waar de volgende partijen achter kunnen staan:

Dienstbeschrijving SURFconext

eid Routeringsvoorziening OpenID Connect

FORUM STANDAARDISATIE 11 oktober 2017

Forum Standaardisatie. Wilhelmina v Pruisenweg AN Den Haag Postbus AA Den Haag

Afspraken zijn de essentie

Advies voor het verwijderen van Dimensions v1.0 van de pas toe of leg uit lijst en het wijzigen van het functioneel toepassingsgebied van XBRL v2.

Technische architectuur Beschrijving

FORUM STANDAARDISATIE 11 oktober 2017

Opname S/MIME 3.2 (standaard voor aanvullende beveiliging van ) op de lijst met open standaarden

Introductie iwelcome. Paul Eertink product marketing lustrum e-herkenning 2015

Opname TLS 1.2 op de lijst voor pas toe of leg uit. Stuurgroep Standaardisatie Datum: 2 april 2014 Versie 1.0

FS FORUM STANDAARDISATIE 28 oktober 2015 Agendapunt 2. Open standaarden, lijsten Stuknummer 2. Oplegnotitie lijsten

Opname PDF/A-2 op de lijst voor pas toe of leg uit. Datum: 23 mei 2012 Versie 1.0

Consultatiedocument. Content Zoekprofiel v1.3. ir. L.M. Punter. 20 februari Definitief. Auteur(s) Datum. Versie. Status

Forum Standaardisatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

FS A. Advies. Pagina 1 van7

Implementatiekosten en baten van SURFconext. Versie: 0.5 Datum: 06/06/2013 Door: Peter Clijsters

FORUM STANDAARDISATIE 22 april 2015 Agendapunt 2: Open standaarden, lijsten Stuk 2A: Advies opname DMARC en SPF op de pas toe of leg uit -lijst

Opname EPUB 3.0 op de lijst voor pas toe of leg. Stuurgroep Standaardisatie Datum: 3 april 2014 Versie 1.0

Reactie op Ontwerp op hoofdlijnen van de werking van het eid Stelsel NL d.d. 7 juni 2013 (versie 0.9)

Consultatiereacties STOSAG

FORUM STANDAARDISATIE Aanmelding WS-policy

Opname Digikoppeling 2.0 op de lijst voor pas toe of leg uit

What s

Aan: Forum Standaardisatie Van: Bureau Forum Standaardisatie Datum: 3 april 2018 Versie 1.0 Betreft:

FS C SAML2.0. Evaluatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds De Minister van Economische Zaken, Landbouw en Innovatie,

Shared Services in ontwikkeling binnen de Rijksoverheid

Doel. Agendapunt: 4. Lijst open standaarden. Stuurgroep open standaarden Datum: Versie 1.0 Stand van zaken Open standaarden

Opname NLCS (standaard voor de uniformering van bouwtekeningen) op de lijst met open standaarden

FORUM STANDAARDISATIE 22 april 2015 Agendapunt 2: Open standaarden, lijsten Stuk 2C: Advies opname SKOS op de pas toe of leg uit -lijst

Advies opname IFC op de lijst voor pas-toe-of-leg-uit

Overheidskoppelvlak eherkenning

Standaarden toepassen

Index. Auteur: André van den Nouweland Datum: 17 oktober 2017 Betreft: SAML voor authenticatie/autorisatie

Verzamelde reacties publieke consultatie SHA-2

Forum Standaardisatie. Samenvatting expertadvies DANE. Datum 12 februari 2014

ENTERPRISE LINKED DATA WORKSHOP

Concept COLLEGE NOTITIE Agendapunt: 05 Lijst open standaarden Additioneel onderzoek OAI-PMH College Standaardisatie

Datum: 29 oktober 2010 Versie 1.0 Bijlagen:

Toetsingsprocedure en criteria voor Erkende Voorzieningen

Sr. Security Specialist bij SecureLabs

Visie op toegang! Identity management als speerpunt! H-P Köhler, Kennisnet Roel Rexwinkel, Surfnet

ENTERPRISE LINKED DATA INTRODUCTIE

Forum Standaardisatie. Wilhelmina van Pruisenweg AN Den Haag. Postbus JE Den Haag.

Enterprise SSO Manager (E-SSOM) Security Model

Gebruikersdag NORA 29 november 2018

Wijziging versiebeheer van Digikoppeling op de pas toe of leg uit lijst

Quick scan data kwaliteit. Andre Bal

Gebruikershandleiding Digikoppeling Compliance Voorziening (Portaal)

De openheid van de standaard en het standaardisatieproces is een bijzonder aandachtspunt voor het expertonderzoek.

Wijziging versiebeheer van Digikoppeling (stelselstandaard voor betrouwbaar berichtenverkeer) op de pas toe of leg uit lijst

Doen of laten? Een dag zonder risico s is een dag niet geleefd

Opname CMIS op de lijst voor pas toe of leg uit

FS D. FORUM STANDAARDISATIE 16 december 2014 Agendapunt 5. Open standaarden, lijsten Stuknummer 5D. Intake-advies OSI.

Opname SIKB0102 standaard op de lijst van open standaarden.

Forum Standaardisatie. Expertadvies: Opname MIME op lijst met gangbare standaarden. Datum 4 februari 2011

FS FORUM STANDAARDISATIE 10 juni 2015 Agendapunt 2. Open standaarden, lijsten

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni Arthur Donkers, 1Secure BV arthur@1secure.nl

Verslag klanttevredenheidsonderzoek support Q1

Patiënt identificatie en authenticatie voor zorgportalen;

Bureau Forum Standaardisatie Datum: Versie 1.0 Overzicht reacties openbare consultatieronde DMARC

Hoofdpijn of medicijn?

Meer Business mogelijk maken met Identity Management

Transcriptie:

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat

KENNISNET 1. Zijn er volgens u in deze toelichting aanvullingen of anderszins wijzigingen nodig, bezien vanuit het doel van het document (het Forum en College Standaardisatie voorzien van een inhoudelijk relevante toelichting op SAML). [paragraaf 1.1 t/m 1.4 van het expertadvies]. Advies: neem bij de zin "Door de expertgroep is versie 2.0 van de SAML standaard beoordeeld." de lijst met daadwerkelijk beoordeelde documenten op en ten minste een link naar het overzicht van de documentatie behorende bij de specificatie (http://saml.xml.org/saml-specifications) 2. Bent u het eens met het door de expertgroep geadviseerde toepassingsgebied van SAML? [paragraaf 2.1 van het expertadvies] Het expertadvies biedt onvoldoende houvast o De term "single-sign-off" moet volgens mij "single logout" zijn o In het advies over toepassingsgebieden zie ik erg weinig referenties naar de exacte onderdelen in de SAML 2.0 specificatie. o Het lijkt erop dat er alleen voor de profielen 1a en 1d is gekozen (zie lijst hieronder). De verschillende profielen in SAML 2.0 zijn: 1. SSO Profiles of SAML a. Web Browser SSO Profile b. Enhanced Client or Proxy (ECP) Profile c. Identity Provider Discovery Profile d. Single Logout Profile e. Name Identifier Management Profile 2. Artifact Resolution Profile 3. Assertion Query/Request Profile 4. Name Identifier Mapping Profile 5. SAML Attribute Profiles a. Basic Attribute Profile b. X.500/LDAP Attribute Profile c. UUID Attribute Profile d. DCE PAC Attribute Profile e. XACML Attribute Profile [bron: http://docs.oasis open.org/security/saml/v2.0/saml profiles 2.0 os.pdf Het expertadvies lijkt lang niet ver genoeg gaan (onvoldoende profielen aan te bevelen) o hiervoor heb ik een collega om aanvullend advies gevraagd en hij kwam met het volgende antwoord: Ik deel je mening dat er zeer summier naar de beschikbare SAML 2.0 profielen is gekeken. Ik adviseer om een aantal generieke use cases uit te werken voor het overheid en op basis hiervan een mapping te maken op de beschikbare SAML 2.0 profielen. Hierbij kan ik alvast een extra profiel aandragen: het SAML 2.0 Profiel Assertion Query/Request Profile. Met dit mechanisme worden additionele attributen van een gebruiker getransporteerd. We zien in het onderwijs dat hier in een federatief verband een sterke behoefte aan is. Hiermee kunnen identiteiten verrijkt worden met (geverifieerde) attributen uit diverse systemen. Hier is vooral in het onderwijs nu een acute behoefte aan, omdat er naast identity providers de rol attribute of autorisation provider sterk vorm neemt.

Buiten het onderwijsveld zie ik hier ook toepassingen voor, bijvoorbeeld: authenticeren met DigiD bij een overheid service provider, deze vraagt bij een andere overheid attribute provider wat gegevens over de persoon uit ten behoeve van zijn eigen dienstverlening. Het standaardiseren van het protocol hiervoor draagt bij tot een open architectuur. 3. Bent u het eens met het door de expertgroep geadviseerde werkingsgebied van SAML? [paragraaf 2.2 van het expertadvies] geen aanvullende opmerkingen 4. Bent u het eens met de conclusie van de expertgroep inzake de openheid van de standaard SAML? [paragraaf 3.1 van het expertadvies] - 5. Bent u het eens met de conclusie van de expertgroep inzake de bruikbaarheid van de standaard SAML? [paragraaf 3.2 van het expertadvies] Ten aanzien van single logout gaat er bij het op een goede manier implementeren (dus daadwerkelijk werkend) volgens mij nog veel mis, afgaande op presentaties die zijn gehouden op een meeting van EdReNe in Oegstgeest. 6. Bent u het eens met de conclusie van de expertgroep inzake de impact van de standaard SAML? [paragraaf 3.3 van het expertadvies] Ik deel de mening van de expertgroep ten aanzien van de risico's van de complexiteit van de standaard. Ik deel eveneens de volgende mening van de expertgroep: quote federatieve (web)browserbased single-sign-on (SSO) en single-sign-off. Mijn verbazing is mede daarom extra groot over het gekozen beperkte toepassingsgebied. 7. Bent u het eens met de conclusie van de expertgroep inzake het potentieel van de standaard SAML? [paragraaf 3.4 van het expertadvies] De functionele scope (quote "het uitwisselen van autorisatie en authenticatie data tussen security domeinen.") lijkt niet tot zijn recht te komen in de toepassingsgebied (qoute federatieve (web)browser-basedsingle-sign-on (SSO) en single-sign-off ) Het potentieel van de standaard lijkt met deze afbakening onvoldoende tot zijn recht te komen. (zie opmerkingen bij vraag 2) Overigens staat dit in paragraaf 3.3 8. Bent u het eens met de samenvattende overwegingen van de expertgroep? [paragraaf 4.1 van het expertadvies] Volgens mij toont de volgende zin een redenatiefout: quote: "SAML wordt ingezet in omgevingen voor federatieve browser bases SSO, en inzet van deze omgevingen introduceert een zekere afhankelijkheid van andere partijen." Het is logisch dat alleen die applicaties die de specifiek gekozen profielen van SAML hebben geïmplementeerd alleen maar zullen werken. Dat is echter niet de vraag. Het is de vraag of de ontwikkeling van de standaard voldoende open gebeurt zodat iedere willekeurige partij deze SAML profielen kan implementeren. Deze opmerking wekt de suggestie dat je met de keuze van SAML aan bepaalde partijen vast zit, wat nu juist niet het geval behoort te zijn met een open standaard.

Volgende opmerking onderstreept onze mening dat er meer uit SAML te halen valt dan met de huidige afbakening het geval is: "Afhankelijk van de implementatie van SAML kan het voor de eindgebruiker niet altijd inzichtelijk zijn welke gegevens er verstuurd worden. SAML biedt hiervoor wel mogelijkheden, maar het gebruik daarvan wordt niet afgedwongen." 9. Bent u het eens met het advies van de expertgroep aan het Forum en College Standaardisatie? [paragraaf 4.2 van het expertadvies] In het advies zou tevens in moeten gaan op de noodzaak om ten minste op termijn aanvullende afspraken te maken over (de invulling van) andere profielen van SAML. Het opnemen van SAML op de advieslijst schept verwachtingen ten aanzien van een relatief gemakkelijke uitwisseling van authenticatie en autorisatie informatie. Gezien het huidige gekozen toepassingsgebied is dit echter ver weg van de realiteit. 10. Is/zijn er volgens u nog andere informatie of overwegingen omtrent SAML die aan het Forum en College Standaardisatie zou moeten worden meegegeven voor een besluit over het opnemen van SAML op de lijst met standaarden? Het advies is vrij optimistisch opgesteld en lijkt onvoldoende rekening te houden met de vele interpretatieverschillen die er in huidige implementaties zijn. Aanvullende opmerking ten aanzien van de structuur van het advies: Onder toepassingsgebied (paragraaf 2.1) worden zowel de functionele scope als toepassingsgebied benoemd. Waarschijnlijk duidelijker om hier aparte (sub)paragraven voor te gebruiken.. Groetjes, Jeroen F.M. Hamers Expert onderwijsstandaarden Stichting Kennisnet

RIJKSWATERSTAAT Geacht forum standaardisatie, Onderstaand op verzoek van Andre de Boer namens Rijkswaterstaat reactie op de vragen die het Forum standaardisatie stelt bij de openbare consultatie voor het opnemen van de SAML standaard in de lijst van open standaarden van het Forum standaardisatie. Vraag: 1. Zijn er volgens u in deze toelichting aanvullingen of anderszins wijzigingen nodig, bezien vanuit het doel van het document (het Forum en College Standaardisatie voorzien van een inhoudelijk relevante toelichting op SAML). [paragraaf 1.1 t/m 1.4 van het expertadvies]. Antwoord: Het is zeer wenselijk om vanuit de NORA een functionele behoefte te beschrijven op grond waarvan het wenselijk is om afspraken te maken over een bepaalde standaard. Daarmee wordt ook de relatie tussen al vastgestelde standaarden en nog te maken afspraken duidelijker. 2. Bent u het eens met het door de expertgroep geadviseerde toepassingsgebied van SAML? [paragraaf 2.1 van het expertadvies] Antwoord: ja 3. Bent u het eens met het door de expertgroep geadviseerde werkingsgebied van SAML? [paragraaf 2.2 van het expertadvies] Antwoord: ja 4. Bent u het eens met de conclusie van de expertgroep inzake de openheid van de standaard SAML? [paragraaf 3.1 van het expertadvies] Antwoord: ja 5. Bent u het eens met de conclusie van de expertgroep inzake de bruikbaarheid van de standaard SAML? [paragraaf 3.2 van het expertadvies] Antwoord: Op grond van onderzoek in onze eigen organisatie hebben we eind 2008 in samenwerking met de Gartner geconcludeerd, dat rijkswaterstaat op dit moment nog niet klaar is voor brede uitrol van SAML. Dat heeft zowel met organisatorische aspecten te maken als met de beschikbaarheid van SAML kennis bij marktpartijen in Nederland. Wel hebben we SAML geschikt bevonden voor pilot projecten binnen onze organisatie. Als het comply or explain principe er toe zou leiden dat er druk ontstaat om de standaard te implementeren voor de organisatie er klaar voor is, dan kan dat risco s opleveren voor de kwaliteit van de implementatie van het beveiligingsbeleid binnen de nederlandse overheid. Inpassing in een binnen het NORA passende beveiligingsarchitectectuur die zowel business, informatie als technische aspecten beschrijft achten wij dan ook wenselijk. Gezien onze eigen ervaringen zijn wij het op dit moment dan ook niet eens met de conclusie van de expertgroep. 6. Bent u het eens met de conclusie van de expertgroep inzake de impact van de standaard SAML? [paragraaf 3.3 van het expertadvies] Antwoord Rijkswaterstaat: Gedeeltelijk, het expertpanel benoemt risico s op het gebied van technische en organisatorische implementatie. Deze risico s kunnen aanzienlijk zijn bij de implementatie van deze standaarden. Dit impliceert dat het comply or explain principe met voorzichtigheid moet worden gehanteerd omdat het voor een uitvoeringsorganisatie een aanzienlijke inspanning vereist om te voldoen aan het comply beleid. 7. Bent u het eens met de conclusie van de expertgroep inzake het potentieel van de standaard SAML? [paragraaf 3.4 van het expertadvies] Antwoord Rijkswaterstaat: ja

8. Bent u het eens met de samenvattende overwegingen van de expertgroep? [paragraaf 4.1van het expertadvies] Antwoord Rijkswaterstaat: t.a.v. de bruikbaarheid: er wordt gesteld dat er veel praktijkervaring mee is opgedaan, we zouden graag inzicht krijgen in de ervaringen die bij een grote overheidsorganisatie in Nederland zijn opgedaan en zijn dan met name geïnteresseerd in de organisatorische aspecten en de ondersteuning vanuit de markt. 9. Bent u het eens met het advies van de expertgroep aan het Forum en College Standaardisatie? [paragraaf 4.2 van het expertadvies] Antwoord: alleen als het forum aan kan tonen dat er voldoende ondersteuning is binnen de Nederlandse ICT-markt, of als het forum aangeeft dat de uitvoeringsorganisaties voldoende tijd krijgen om pilots te starten voordat er gestuurd wordt op compliance op de standaard. 10. Is/zijn er volgens u nog andere informatie of overwegingen omtrent SAML die aan het Forum en College Standaardisatie zou moeten worden meegegeven voor een besluit over het opnemen van SAML op de lijst met standaarden? Antwoord: Inzichtelijk maken hoe kandidaat standaarden in de NORA passen, zou helpen om de samenhang tussen de lijst open standaarden en wat we er mee willen bereiken in het oog te houden. Door onderscheid te maken tussen te handhaven standaarden en kandidaat standaarden, kan dit mogelijk opgelost worden. Dan kunnen organisaties wel anticiperen op het gebruik en de nodige organisatorische maatregelen treffen, maar wordt er niet overhaast zonder architectuursturing geimplementeerd. Met vriendelijke groet, Ardy Siegert namens Andre de Boer Directeur Informatie en Rapportage Staf DG Rijkswaterstaat --------------------------------- Ardy Siegert Sr. Adviseur ICT strategie en sturing Rijkswaterstaat staf DG

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback