8 november 2006Frank Robben. Gebruikers- en toegangsbeheer: beschikbare diensten Gestion des accès...

8 november 2006Frank Robben

Gebruikers- en toegangsbeheer:beschikbare diensten

Gestion des accès et des utilisateurs: services disponibles

Frank RobbenAdministrateur-generaal Kruispuntbank Sociale ZekerheidGedelegeerd bestuurder SmalS-MvMSint-Pieterssteenweg 375B-1040 BrusselE-mail: [email protected] KSZ: www.ksz.fgov.beEigen website: www.law.kuleuven.ac.be/icri/frobben

mailto:[email protected]



http://www.ksz.fgov.be/

http://www.law.kuleuven.ac.be/icri/frobben






Beschikbare diensten

• 3 doelgroepen– burgers– beroepsbeoefenaars– ondernemingen en hun dienstverleners

• verschillende aspecten– registratie van de identiteit– authenticatie van de identiteit– registratie van kenmerken en mandaten– verificatie van kenmerken en mandaten– registratie van autorisaties– verificatie van autorisaties


Identité, caractéristiques et mandats: quoi ?

• identité– un numéro unique ou une série d’attributs d’une entité (personne

physique, entreprise, établissement d’une entreprise, …) qui permet de savoir de manière univoque qui est l’entité

– une entité ne possède qu’une seule identité

• caractéristique– un attribut d’une entité autre que les attributs qui déterminent

l’identité de l’entité, tel qu’une qualité, une fonction dans une organisation déterminée, une qualification professionnelle, …

– une entité peut avoir différentes caractéristiques


Identité, caractéristiques et mandats: quoi ?

• mandat– un droit conféré par une entité identifiée à une autre entité

identifiée pour poser en son nom et pour son compte certains actes (juridiques)

– une entité peut conférer un ou plusieurs mandats à une ou plusieurs entités


Registratie: wat ?

• het proces waarbij de identiteit van een entiteit, een kenmerk van een entiteit of een mandaat

• met een voldoende zekerheid wordt vastgesteld

• vooraleer middelen ter beschikking worden gesteld aan de hand waarvan de identiteit, een kenmerk of een mandaat kunnen worden geauthentiseerd of geverifieerd


Authentification de l’identité : quoi ?

• le processus permettant de vérifier que l’identité que prétend posséder une entité pour pouvoir utiliser un service électronique constitue bien l’identité exacte

• l’authentification d’une identité peut intervenir sur base d’un contrôle– de connaissances (p.ex. un mot de passe)– d’une possession (p.ex. un certificat sur une carte lisible par la

voie électronique)– de caractéristiques biométriques– d’une combinaison d’un ou plusieurs de ces moyens


Verificatie van een hoedanigheid of mandaat: wat ?

• het proces waarbij wordt nagegaan of een kenmerk of mandaat die een entiteit beweert te hebben om gebruik te kunnen maken van een elektronische dienst, effectief een kenmerk of een mandaat van deze entiteit is

• de verificatie van een kenmerk of een mandaat kan geschieden op basis van– dezelfde soort middelen als deze gebruikt voor de authenticatie

van de identiteit– na authenticatie van de identiteit van een entiteit, door de

raadpleging van een gegevensbank (authentieke bron) waarin kenmerken of mandaten m.b.t. een geïdentificeerde entiteit worden opgeslagen


Gebruiker

Policy

Toepassing (PEP )

Toepassing

Policy

Beslissing (PDP)

Actie op

toepassing Beslissingsaanvraag

Beslissingsantwoord

Actieop

toepassingTOEGESTAAN

Policy Informatie

(PIP)

InformatieVraag /

Antwoord

Policy Administratie(PAP)

Ophalenpolicies

Authentieke bron

Policy Informatie

(PIP)

Informatievraag /

antwoord

Policy

repository

Actieop

toepassingGEWEIGERD

Beheerder

Autorisatiebeheer

Authentieke bron


Niv Enregistrement

identité citoyens

Authentification

identité citoyens

Applications

0 aucun aucun info / services publics

1 on-line par l’introduction du numéro de registre national, numéro de carte d’identité et numéro de carte SIS

numéro d’utilisateur et mot de passe choisi par l’utilisateur

info / services à faible sensibilitélogging

2 niveau 1 + envoi d’e-mail avec URL d’activation vers l’adresse e-mail indiquée par le citoyen et envoi de token sur support papier vers la résidence principale du citoyen reprise dans le Registre national

niveau 1 + introduction d’une série de lettres mentionnée sur le token (contient 24 séries de lettres) demandée de façon aléatoire

info / services à sensibilité moyennelogging

3 présentation physique auprès de la commune pour obtention CIE

certificat d’authentification sur CIE + mot de passe par session

info / services à sensibilité élevée

logging

4 présentation physique auprès de la commune pour obtention CIE

certificat d’authentification sur CIE + certificat de signature sur CIE + mot de passe par transaction

services qui requièrent une signature électronique


Burgers

• een burger krijgt op heden enkel toegang tot– openbare informatie en diensten– niet-openbare diensten m.b.t. zichzelf

• dus enkel nood aan– registratie van de identiteit– authenticatie van de identiteit op een niveau aangepast aan de

graad van gevoeligheid van de dienst

• (vooralsnog) geen– verificatie van kenmerken– verificatie van mandaten


Professionnels

• qui ?– collaborateurs des services publics– professions libérales: prestataires de soins (médecins,

pharmaciens, …), huissiers de justice, comptables, …– ...

• enregistrement et authentification de l’identité– voir citoyens– pour les collaborateurs des services publics le token, au niveau

2, est envoyé au conseiller en sécurité du service public dont l’intéressé fait partie et il est remis au collaborateur par le conseiller en sécurité


Beroepsbeoefenaars

• registratie van kenmerken en mandaten– aanduiding door de overheid, per soort van beroepsbeoefenaar,

van een instantie die met voldoende zekerheid het kenmerk of het mandaat kan vaststellen

– ingave van het kenmerk of mandaat door de betrokken instantie in een authentieke bron (PIP) toegankelijk voor alle belanghebbenden

• verificatie van kenmerken en mandaten– raadpleging van de authentieke bron (PIP) toegankelijk voor alle

belanghebbenden– indien gebruik van het token, ook willekeurig gevraagde

letterreeks vermeld op het token


Niv Enregistrement identité

mandataires

des entreprises

Authentification identité

mandataires

des entreprises

Applications

0 aucun aucun info / services publics

1 gestionnaire local: lettre à l’ONSS de la part de l’entreprise pour laquelle l’intéressé agit en tant que gestionnaire local

autres collaborateurs: validation par le gestionnaire local

numéro d’utilisateur et mot de passe

info / services à faible sensibilité

logging

2 présentation physique auprès de la commune pour obtention de la CIE

certificat d’authentification sur CIE + mot de passe par session

info / services à sensibilité élevée

logging

3 présentation physique auprès de la commune pour obtention de la CIE

certificat d’authentification sur CIE + certificat de signature sur CIE + mot de passe par transaction

services qui requièrent une signature électronique


Registratie mandaten ondernemingen

• voor alle belanghebbenden toegankelijke authentieke bron (PIP) bij de RSZ met – per onderneming, mandaat van lokale beheerder om namens de

onderneming gebruik te maken van bepaalde info/diensten

– per onderneming, eventueel mandaat van dienstverlener (erkend sociaal secretariaat of andere dienstverlener) om namens onderneming gebruik te maken van bepaalde info/diensten

– per dienstverlener, mandaat van lokale beheerder om namens dienstverlener gebruik te maken van bepaalde info/diensten

– mogelijkheid voor lokale beheerders van ondernemingen/ dienstverleners om mandaten toe te kennen aan andere aangestelden van een onderneming/dienstverlener om namens onderneming/ dienstverlener gebruik te maken van bepaalde info/diensten


Registratie mandaten ondernemingen

• voorziene evolutie– uitbreiding toepassingsgebied tot alle ondernemingen en

dienstverleners (was oorspronkelijk beperkt tot werkgevers)– mogelijkheid tot elektronische registratie van het mandaat van

de lokale beheerder van een onderneming/dienstverlener op basis van een elektronische handtekening van de persoon die bevoegd is om de onderneming/dienstverlener te verbinden

– aanpassing aan nieuwe behoeften van onderscheiden belanghebbenden onder coördinatie van een gebruikersgroep


Gestion des autorisations : notions

• autorisation: une permission accordée à une entité pour réaliser une action déterminée ou utiliser un service donné

• groupe d’autorisations: un ensemble d’autorisations• rôle: un ensemble d’autorisations ou des groupes d’autorisations

liés à un service donné• role based access control (RBAC): une méthode permettant

d’attribuer des autorisations à des entités à l’aide de groupes d’autorisations et de rôles, afin de simplifier sur le plan administratif la gestion des autorisations et leur attribution à des entités

Entité

Autorisation(groupe)

Rôle

Service


Registratie en verificatie van autorisaties

• registratie– ingave in een authentieke bron van autorisaties (PAP) door de

aanbieder van de elektronische dienst, met specificatie van welke verwerkingen mogen worden verricht m.b.t. welke diensten onder welke voorwaarden (bvb. kenmerken, mandaten, …) gedurende welke tijdsperiode

– bepaalde entiteiten (vb. lokale beheerders) kunnen de aan hen toegekende autorisaties verder toekennen aan entiteiten die zij aanduiden door ingave in een authentieke bron van autorisaties (PAP)

• verificatie– raadpleging van de relevante authentieke bronnen van

autorisaties (PAP)


Quel niveau de sécurité ?

• responsabilité de l’instance qui met le service électronique à disposition, sous le contrôle de la Commission de la protection de la vie privée

• basé sur une analyse des risques et en fonction e.a.– du type de traitement : communication, consultation, modification …

– du champ d’application personnel du service : traitement de données de l’utilisateur uniquement ou également d’autres personnes

– du degré de confidentialité des types de données traitées

– de l’impact potentiel du traitement

• en plus du niveau de sécurité souhaité, l’utilisation de la signature électronique peut être requise pour prémunir l’institution contre toute contestation ultérieure


Principe van "cirkels van vertrouwen"

• doel– vermijden van onnodige centralisatie– vermijden van onnodige bedreigingen voor de persoonlijke

levenssfeer– vermijden van meervoudige identieke controles en opslag van

loggings


Principe des “cercles de confiance"

• méthode: répartition des tâches entre les instances concernées par la prestation de services électroniques et décisions claires en ce qui concerne les questions suivantes– qui effectue quels authentifications, vérifications et contrôles à l’aide de

quels moyens et qui en est responsable

– comment échanger électroniquement entre les instances concernées, de façon sécurisée, les résultats des authentifications, vérifications et contrôles

– qui conserve quels loggings

– comment veiller, lors d’un examen à l’initiative d’un organisme de contrôle ou suite à une plainte, à retracer entièrement quelle personne physique a utilisé quel service ou transaction concernant quel citoyen ou entreprise par l’intermédiaire de quel canal et pour quelle finalité


Besluit

• geïntegreerd basissysteem voor gebruikers- en toegangsbeheer voor burgers, beroepsbeoefenaars en ondernemingen bestaat

• met gecoördineerde toewijzing van taken aan meest geschikte partners

• toegankelijk via open standaarden• systeem laat gebruik van basisdiensten toe zonder

verlies van autonomie• systeem moet verder evolueren in functie van de

behoeften van de belanghebbenden => meld u !

8 november 2006Frank Robben. Gebruikers- en toegangsbeheer: beschikbare diensten Gestion des accès...

Documents

Transcript of 8 november 2006Frank Robben. Gebruikers- en toegangsbeheer: beschikbare diensten Gestion des accès...