Logo Rijksoverheid, link naar hoofdpagina

EAR Online

Melding

Heeft u vragen en/of opmerkingen over deze pagina, mailto:postbusear@rijksoverheid.nl

Overzicht Doelarchitectuur Toegang

Figuur is een plaatje uit het document doelarchitectuur Toegang en als illustratie toegevoegd.
RijksIdM als de bron voor toegangsbeheer

Inhoud

Doelarchitectuur Toegang (DAT)

In haar vergadering van 21 juni 2011 heeft de ICCIO* de ‘Hoofdlijnennotitie Toegang’ vastgesteld. In deze notitie is een visie uitgewerkt op Identity & Access Management binnen de (Compacte) Rijksdienst. De doelarchitectuur Toegang is een verdere uitwerking van de visie op Identity & Access Management binnen de (Compacte) Rijksdienst en beschrijft de contouren van een rijksbrede oplossing voor Identity- en Accessmanagement. De visie op werken in de Compacte Rijksdienst is in de notitie als volgt samengevat:

  • Een Rijksmedewerker is in dienst van het Rijk (één werkgever), heeft binnen het Rijk een unieke digitale identiteit, heeft één e-mailadres, één Rijkspas, één of meerdere (eigen) mobiele devices en steeds vaker een flexibele werkplek.
  • De Rijkspas geldt als standaard authenticatiemiddel voor zowel fysieke als logische toegang. Met de Rijkspas heeft een medewerker toegang tot elk relevant rijkskantoor, logt daarmee ook in (ook thuis of elders) om toegang te krijgen tot relevante bestanden, systemen en informatiediensten en kan daarmee een elektronische handtekening zetten.

Het rijksbrede IAM-stelsel moet een einde maken aan de situatie waarin:

  • medewerkers voor de toegang tot verschillende departementale gebouwen en informatiesystemen meerdere (pseudo-)identiteiten en daarmee Rijkspassen nodig hebben; tijd-, plaats- en apparaat onafhankelijk werken is en blijft dan een illusie;
  • elk departement de identiteiten van de in de organisatie werkzame personen beheert zonder rekening te houden met andere werkrelaties bij het Rijk;
  • rijksambtenaren bij elke overplaatsing hun doopceel opnieuw moeten lichten;
  • elk departement kosten moet maken voor het beheer en de exploitatie van het departementale IAM-systeem;
  • P-Direkt rekening moet houden met verschillende koppelvlakken voor de uitwisseling van persoonsgegevens met de verschillende departementen;
  • rijksbrede informatiesystemen rekening moeten houden met verschillende koppelvlakken van departementen voor de ontsluiting van identiteitsgegevens en van gegevens die nodig zijn om toegangsrechten te bepalen en te beheersen;
  • het inzicht ontbreekt in de mate waarin binnen het Rijk veilig en vertrouwd, in overeenstemming met vigerende wet- en regelgeving, wordt (samen)gewerkt; rijksbreed risicomanagement is niet of nauwelijks mogelijk.

Document: media:Doelarchitectuur Toegang - Definitief.pdf

(*: ICCIO is de voorganger van het CIO-Beraad)

Vaststelling

De “Doelarchitectuur Toegang”, versie 1.0 is door de ICCIO op 12 april 2012 vastgesteld. Doelarchitectuur tezamen met visie, Project Start Architectuur (PSA) en businesscase zijn de beslisdocumenten die de basis vormen voor het reeds in gang gezette realisatietraject van het programma Toegang. De zakelijke rechtvaardiging van het programma Toegang versie 0.99, d.d. 18 september 2012 door ICCIO vond plaats in september 2012 en de PSA Toegang versie 0.98 d.d. 12 september 2012 vond plaats in de ICCIO van oktober 2012.

Structuur/opzet document

De doelarchitectuur start met een beschrijving van de IST-situatie. Kenmerkend voor die situatie is dat identiteitenbeheer en beheren van toegangsrechten in essentie (sub-)departementale fenomenen zijn. Deze departementale benadering leidde tot steeds meer knelpunten. De Compacte Rijksdienst maakte het noodzakelijk om Identity- en Accessmanagement als een rijksbrede ICT-basisvoorziening te implementeren.

De beschrijving van de SOLL-situatie is onderverdeeld in een aantal hoofdstukken:

  • Uitgangspunten en principes
  • Rijks Identiteitenbeheer (als proces)
  • Federatieve authenticatie
  • Beveiliging en privacy

De SOLL-situatie voor accessmanagement in het document beperkt uitgewerkt. Hieraan is inmiddels een vervolg gegeven. In het hoofdstuk Rijks Identiteitenbeheer wordt nader ingegaan op de relevante processen door middel van een aantal platen. Uit de plaat is een aantal uitgangspunten afgeleid:

  • De intake van nieuwe medewerkers vindt plaats in het HRM-domein.
  • Vanuit het HRM-domein als gezaghebbende bron worden gegevens over personen en hun werkrelatie(s) met het Rijk geleverd aan het register Rijks Identitymanagement.
  • Toegangsbeheer voor rijksmedewerkers tot departement-overstijgende voorzieningen wordt ingericht met RIdM als bron. Bijgaande figuur geeft dit treffend weer. Niet-rijksmedewerkers kunnen via het aangaan van een federatie toegang tot deze voorzieningen krijgen.
  • Toegangsbeheer tot specifieke departementale systemen en voorzieningen blijft vooralsnog een departementale verantwoordelijkheid. Departementen kunnen daartoe een eigen IdM-omgeving handhaven, die dan wel gevuld wordt (voor wat betreft de rijksbreed afgesproken gegevensset) door RIdM.

In het hoofdstuk (Federatieve) Authenticatie wordt een functioneel model beschreven voor de inrichting van federatieve authenticatie als preferent mechanisme om toegangsbeheer in te richten. Het model is generiek toepasbaar voor verschillende situaties:

  • Toegang van rijksmedewerkers tot voorzieningen binnen het Rijk;
  • Toegang van derden tot voorzieningen binnen het Rijk;
  • Toegang van rijksmedewerkers tot voorzieningen van derden.

Het laatste hoofdstuk van deze doelarchitectuur beschrijft het transitiepad voor identiteitenbeheer van IST naar SOLL. Daartoe is om te beginnen een aantal uitgangspunten geformuleerd:

  • De winkel moet open kunnen blijven tijdens de verbouwing,
  • Het transitieproces moeten kunnen omgaan met tempoverschillen tussen departementen;
  • Om de kosten van het transitieproces te beperken wordt inzet op het maximaal benutten van departementale capaciteit, hergebruik en waar mogelijk “slim” samenwerken en faciliteren.

Deze uitgangspunten sluiten een big-bang scenario de facto uit.

Het geschetste transitiepad kent een tweetal fasen. Fase 1 behelst het inrichten - binnen het HRM-domein - van het proces uitgifte van het Rijks Identificatie Nummer (RIN), het toevoegen van het RIN aan de departementale IdM-omgevingen en het inrichten van het register RIdM. De doorlooptijd van deze fase wordt indicatief geschat op een jaar.

Fase 2 omvat de daadwerkelijke transformatie naar rijksbreed identiteitenbeheer en - daarop volgend - de centrale ontsluiting van departement-overstijgende voorzieningen via het geschetste federatieve model. Dit transformatieproces zal zeker een aantal jaren in beslag nemen.

OG/Eigenaar/status

Opdrachtgever namens het Rijk is Ron Roozendaal, CIO van VWS. De doelarchitectuur, versie 0.95, 16 januari 2012 is aangenomen in het ICCIO van januari 2012.

Doelstelling

De doelarchitectuur Toegang beschrijft de contouren van een rijksbrede oplossing voor Identity- en Accessmanagement. Het gaat over de identificatie, authenticatie en autorisatie van personen en systemen die gebruik willen maken van data en/of voorzieningen die vallen onder de verantwoordelijkheid van de Rijksdienst. Op basis van een authentiek vastgestelde identiteit kan een persoon of systeem het recht krijgen om gebruik te maken van bepaalde data en/of voorzieningen van het Rijk. De rijksmedewerker die gebruik wil maken van data en/of voorzieningen moet de mogelijkheid krijgen zich te identificeren, te authenticeren en te autoriseren.

Principes en afspraken

De belangrijkste uitgangspunten en principes voor de inrichting van rijksbreed Identitymanagement die in het stuk worden geformuleerd zijn:


Vervolgafspraken/inclusief standaarden

Toegang is een essentiële voorwaarde voor realisatie van de ambities van Compacte Rijksdienst, I-strategie en Hervormingsagenda. Daartoe is inmiddels een Programma ‘Toegang’ gestart dat zich richt op het realiseren van een rijksbrede voorziening voor identiteitenbeheer (‘wie ben je’) en autorisatiebeheer (‘wat mag je’). Daarmee wordt fysieke en logische toegang gewaarborgd voor de juiste mensen tot de juiste generieke fysieke en digitale omgevingen. Het programma Toegang is een verandertraject met consequenties voor verschillende onderdelen van de bedrijfsvoering, waarbij de ICT volgend is op de verandering in de werkwijzen. Er is op 1 maart 2013 een programmaplan Toegang 2013-2015 gereed gekomen. Dit bestaat uit 3 deelprojecten

  • Rijks identificerend Nummer (RIN)
  • Rijksbreed Identiteiten Management (RIDM)
  • Rijks Autorisatie Management (RAM)

Conform planning is de BvRIN gerealiseerd en op 15 oktober 2013 opgeleverd. Aansluiting departementen op BvRIN vindt plaats. Met deelproject 2. RIDM is een start gemaakt.

EAR Online