BZK VO, 17 november 2008Leon Kuunders – Trusted-ID

leon.kuunders@minbzk.nl (+31 6411 64 995)Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Ministerie van Justitie@trusted-id/leon

Identity Management

over architectuur (MARIJ),

keten- en concerndenken,IdM Justitie

(met maar liefst 24 backup slides!)

door Peter Steiner

Definities:

Identity “a group of personas”

Persona “an application of identity to a specific situation”

Role “a specific application within a persona”

Ed Harrington/Dave Kearns

Waarom Identity Management?

Zakelijke beweegredenen

 

Kostenbeheersing Om de financiële positie van de organisatie en haar sectoren en

diensten te verbeteren, is het belangrijk de kosten over de gehele organisatie m.b.t. de administratie en het beheer van identities te verlagen.

Verhogen beveiliging Om informatiebeveiliging te verhogen en te conformeren aan

wetgeving (compliance) is het belangrijk om het verstrekken en verwijderen van permissies aan een medewerker goed te beheren, evenals het auditen van deze permissies en de toegang tot systemen.

Verhogen flexibiliteit van de organisatie

Om enige ondernemingsflexibiliteit te hebben binnen de organisatie en binnen iedere sector en dienst is het belangrijk dat de identity management architectuur de veranderende eisen vanuit de business kan ondersteunen op zowel het hoogste niveau alsook (de specifieke eisen) op het lokale niveau.

vrij naar Carl Adams, onderzoek invoering IdM bij Justitie

4Directie Financieel-Economische Zaken

Directie Personeel en Organisatie

Bestuursdepartement

GC-ICT

Bureau VIP

BVA

Gemeenschappelijke Beheerorganisatie

Dienst Justis

Algemene Rekenkamer

Beschouw het ministerie als één concern. Ontwikkel een gestandaardiseerde concern-informatiearchitectuur.

(Grip op Informatievoorziening: IT-governance, 2005, p5)

MARIJ

Binnen de Rijksdienst als federatief stelsel is de concern-gedachte een

belangrijke trend.

(MARIJ v1.0, 2008, p18)

Mentaal model

vrij naar Tim Berkelaar, DI/Justitie:“Architectuur voor een ontkokerde overheid”

MARIJ

De architectuur voor organisatie, processen en systemen wordt afgeleid

uit het bedrijfsfunctiemodel.

(MARIJ v1.0, 2008, p19)

form follows function

OUTSIDE

Concern of Keten

verschillen

heb je de doorzettingsmacht wel die je aan jezelf toeschrijft?

concernbenadering hanteren als de machtsverhoudingen anders liggen

leidt tot tegenwerking!

Fundamentele principes Rijksdienst

“M1: Het Rijk is een eenheid”aha! het Rijk is één concern

“M2: Het Rijk is doeltreffend”externe effectiviteit!

“M3: Het Rijk is doelmatig”interne efficiency, dankzij M1!

(MARIJ v1.0, 2008, p26, 27, 28)

MARIJ

Vooral de ondersteunende functies moeten meer Rijksbreed ten dienste

komen van de Rijksambtenaar.

(MARIJ v1.0, 2008, p18)

MARIJ

Ondersteunende functies zijn Personeel, ICT, Organisatie, Financiën, Algemene Zaken,

Communicatie en Huisvesting.

(MARIJ v1.0, 2008, p19)

interoperabiliteit

de mogelijkheid van twee of meer systemen om informatie uit te wisselen en die

informatie op een voorspelbare manier te gebruiken

-syntax (structuur) semantiek (betekenis)

vrij naar Webster

interoperabiliteit

concern-denken

interoperabiliteit wordt bereikt door te homogeniseren en te concentreren

-homogeniseren: gelijk maken, afzonderlijke bestanddelen

zijn niet langer te onderscheidenconcentreren: verenigen, samenbrengen

keten-denken

interoperabiliteit wordt bereikt door te virtualiseren en te standaardiseren

-virtualiseren: de werkelijkheid simulerend

standaardiseren: tot eenheid brengen door normen

interoperabiliteit

syntax & semantiek

interoperabiliteit

koppelen & vertalen

syntax :: standaardiseren

Een standaard of een norm is een procedure, een formaat of een maat waarover een groep mensen heeft afgesproken dat ze deze zullen

gebruiken. Het gaat hierbij om verwachtingen over de gedragingen van

mensen en/of technologie.

(MARIJ, p15, met dank aan Wikipedia)

ITU-TJCA-NID

Yaddis

IBMHiggins

OID/OHN

EPCONS

OpenID

OSGi

LibertyWSF

ISOSC27WG5

OASISSAML

ETSITISPAN

MsoftCardspace

OracleIGF

ITU/IETFE.164ENUM

OASISxACML

ETSILI-RDH

CNRIhandles

ITU-TSG13

ITU-TSG17

ITU-TFG IdM

IdentyMetaSystem

NISTFIPS201

WSFederation

SXIP

FIDISDaidalos

Modinis

SourceID

XDI.ORG

VIP/PIP CoSign

IETFOSCP

Pubcookie

Passel

ANSIIDSP

ANSIHSSP

ITU-TSG4

OpenGroupIMF

ParlayPAM

3GPPIMS

3GPPGBA

OMARD-IMF

OASISSPML

Eclipse

Shibboleth

IETFIRIS

ITU-IETFLDAP

ITUX.500

ITUE.115v2

ZKP

MAGNET

ETSIIdM STF

ETSIUCI

OASISXRI

CNRIDOI

UID

W3C/IETRURI

ANSIZ39.50

NetMeshLID

TCG

ITU-TSG2

ITU-TSG11

ITU-TSG16

Object-Identifier Centric

Broad IdM CentricDiscovery Centric

Attribute Centric

Mobile Operator Centric

Project CentricNetwork Operator Centric

Authentication Centric App Service Provider Centric User Centric

LibertyI*

MetaFederation

InCommon

“The nice thing about standards is that there are so many of them to

choose from.”

Andrew S. TanenbaumVrije Universiteit, Amsterdam

semantiek

architectuur

“All models are wrong,some are useful.”

George E.P. BoxUniversity of Wisonsin

MIIS 2003

ADAM

IdM System

P-Systeem

ADAM

Presentatielaag

Interface

(nog geen concrete requirement)

File/FTP

Active Directory

Active Directory (1)

AD

User1

User2

Afdeling1

AD

Beheer AD

Sync

IdM Justitie

DP&O

Dienst /Sector

Dienst

ExternenRegistratie

B A C K U P

Claims, Claims Based Access, Claims Provider (Security Token Service), Identity Provider,

Claims Transformer, Access Control Service, Relaying Parties, Information Cards, Trust Policy, OpenID Provider, Federation Gateway, Identity

SelectorsAssertions

Definities:

Identity provider “”

Claim “”

Claim provider “”

Policy Decision Point “”

Policy Enforcement Point “”

Policy Information Point “”

Service Oriented Architecture (SOA)

“.. is a method for systems development and integration where functionality is grouped around business processes and packaged as

interoperable services,

it's architecture style enables the improvement of enterprise agility through

the use of these business services”.

Context Delivery Architecture (CoDA)

“.. is an architecture that is aware of the end user’s context such as location,

preferences, identity, etc. and delivers the information that is most suited for

that context ...

... another way to describe it is WYNIWYG (what you need is what you get) services, in which users’ context will drive what

information they receive, how applications interact with them, and where the processes

take them.”

Event Driven Architecture (EDA)

“.. is a software architecture for applications that detect and respond to

events ...

... an event is a significant change in the state of a system or its environment.”

volwassen?

Ad Hoc

Geen planning en structuur rond de identity management systemen en

processen.

Focus

Minimale planning en documentatie rond de identity management systemen en

processen.

Geen kwaliteitscontrole, resultaten zijn inconsistent.

Gestandaardiseerd

Identity Management is een onderdeel van de bedrijfsvoering.

De processen reageren nog niet op nieuwe en gewijzigde zakelijke behoeftes.

Geïntegreerd

Identity Management processen reageren op de bedrijfsvoering.

Feedback wordt gebruikt om de processen te optimalizeren en nieuwe en gewijzigde zakelijke behoeftes te ondersteunen.

Identity Management omvat

de processen en alle benodigde

technische hulpmiddelen voor

het beheer van elektronische identiteitsgegevens.

Identity Management richt zich op het beheer van virtuele identiteiten, of

“persona”.

Doel is om op geautomatiseerde wijze

persona te kunnen identificeren, authenticeren en autoriseren, bereikbaar te maken (via contactgegevens) of om

gepersonaliseerde informatie en diensten aan te bieden.

het geloof dat iets of iemand op een voorspelbare manier zal reageren in specifieke

situaties

vertrouwen