Referentie-architectuurIdentity & Access Management

Danny Greefhorst (dgreefhorst@archixl.nl)v12, 2 juli 2014

Monitoring en audit

Self-serviceAutorisatieadministratie

Identiteitenadministratie

Doelsystemen

Autoritatieve bronnen

Provisioning

Authenticatie en autorisatie

Identity- en accessmanagementsysteem

Directory

IT-systeem

Monitoring en audit

Self-serviceAutorisatieadministratie

Identiteitenadministratie

DoelsystemenAutoritatieve bronnen

Prospect

Interne medewerker

Externe medewerker

Leverancier

Gast

Rol

Deelnemer Organisatie onderdeel

Rol

Autorisatie-object

Identiteit

Autorisatie

Provisioning

Authenticatie en autorisatie

Organisatie onderdeel

IT-systeem

Identity- en accessmanagementsysteem

Account Account

Authenticatiemiddel

Autorisatie-object

Autorisatie

Rol

Rol

Autorisatie-object

Account

Autorisatie

Authenticatiemiddel IT-systeem

Administreren identiteiten

Bewaken geldigheid account

Creëren account en initieel wachtwoord Zelfregistreren

Beheren persoonlijk profiel

Wijzigen wachtwoord

Resettenwachtwoord

Raadplegen rollen

Aanvragen rol

Aanvragen autorisatie

Afleiden rollen uit huidige autorisaties

Administreren rollen & autorisaties

Delegeren autorisatiebeheer

Controleren functiescheiding

Automatisch koppelen rollen

Synchroniseren identiteiten

Synchroniseren accounts

Ondersteunen hand-matige provisioning

Monitorenprovisioning

Synchroniseren autorisaties

Provisionen naar cloudapplicatie

Genereren token Controleren token

Risico-gebaseerd authenticeren Sterk authenticeren

Authenticerenmet formulier

Inloggen in web- of desktopapplicatie

Grofmazigautoriseren

Autoriserenapplicatie Uitloggen

Audit trail Rapporteren verschil IST-SOLL

Rapporteren huidige autorisaties

Fijnmazigautoriseren

Use-case: opvoeren nieuwe identiteit in bron

identiteit,organisatieonderdeel

Synchroniseren identiteiten

Administreren identiteiten

Creëren account en initieel wachtwoord

identiteit

Automatisch koppelen rollen

Administreren rollen & autorisaties

rol

identiteit,organisatieonderdeel

identiteit, rolaccount,authenticatie-

middel

Autoritatieve bron

Doelsysteem

Synchroniseren accounts

Synchroniseren autorisaties

Monitoren provisioning

monitorgegevens

monitorgegevens

monitorgegevens

account,authenticatiemiddel

account,authenticatie-

middel

rol

rol, autorisatieidentiteit, account

rol, autorisatie

Ondersteunen hand-matige provisioning

Provisionen naar cloudapplicatie

Audit trail

auditinformatie

account, authenticatiemiddel,

rol, autorisatie

identiteit, rol, organisatieonderdeel

monitorgegevens

Use-case: self-service aanvragen additionele rol

Administreren identiteiten

Controleren functiescheiding

Administreren rollen & autorisaties

Doelsysteem

Synchroniseren autorisaties

Monitoren provisioning

rolidentiteit, account

rol

Ondersteunen hand-matige provisioning

Provisionen naar cloudapplicatieAudit trail

auditinformatie

rol

Aanvragen rol

identiteit

identiteit, rol

rol rol, autorisatie, autorisatieobject

identiteit, rol

rol

rol

monitorgegevens

monitorgegevens

IT-systeem

Use-case: federatieve toegang tot IT-systeem

Identity provider Service provider

Controleren token

autorisatie-object,rol, autorisatie

Authenticerenmet formulier

Genereren token

Directory

Fijnmazigautoriseren

autorisatie-object, token

autorisatie-object,account

Grofmazigautoriseren

autorisatie-object,account, rol, autorisatie

autorisatie-object

Controleren tokenautorisatie-object

account,authenticatiemiddel

autorisatie-object,account

rol, autorisatie

Directory

rol

autorisatie

IT-systeem

Use-case: federatieve toegang tot IT-systeem via intermediair

Identity provider Service provider

Controleren token

autorisatie-object,rol, autorisatie

Bepalen identity provider

Genereren token

Fijnmazigautoriseren

autorisatie-object, token

Grofmazigautoriseren

autorisatie-object,account, rol, autorisatie

autorisatie-object

Controleren token

identity provider

Directory

rol

autorisatie

Authenticerenmet formulierGenereren token

Directory

autorisatie-object, token autorisatie-object

account,authenticatiemiddel

autorisatie-object,account

Intermediair

Controleren token

autorisatie-objectautorisatie-object,

token

autorisatie-object,account

rol, autorisatie

Directory

IT-systeem

Monitoring en audit

Self-serviceAutorisatieadministratie

Identiteitenadministratie

DoelsystemenAutoritatieve bronnen

Prospect

Interne medewerker

Externe medewerker

Leverancier

Gast

Rol

Deelnemer Organisatie onderdeel

Rol

Autorisatie-object

Identiteit

Autorisatie

Provisioning

Authenticatie en autorisatie

Organisatie onderdeel

IT-systeem

Identity- en accessmanagementsysteem

Account Account

Authenticatiemiddel

Autorisatie-object

Autorisatie

Rol

Rol

Autorisatie-object

Account

Autorisatie

Authenticatiemiddel IT-systeem

Administreren identiteiten

Bewaken geldigheid account

Creëren account en initieel wachtwoord Zelfregistreren

Beheren persoonlijk profiel

Wijzigen wachtwoord

Resettenwachtwoord

Raadplegen rollen

Aanvragen rol

Aanvragen autorisatie

Afleiden rollen uit huidige autorisaties

Administreren rollen & autorisaties

Delegeren autorisatiebeheer

Controleren functiescheiding

Automatisch koppelen rollen

Synchroniseren identiteiten

Synchroniseren accounts

Ondersteunen hand-matige provisioning

Monitorenprovisioning

Synchroniseren autorisaties

Provisionen naar cloudapplicatie

Genereren token Controleren token

Risico-gebaseerd authenticeren Sterk authenticeren

Authenticerenmet formulier

Inloggen in web- of desktopapplicatie

Grofmazigautoriseren

Autoriserenapplicatie Uitloggen

Audit trail Rapporteren verschil IST-SOLL

Rapporteren huidige autorisaties

Fijnmazigautoriseren

PAGE 9

Identiteit Rol

Autorisatie-objectAccount

Organisatieonderdeel

Autorisatie

heeftverantwoordelijke is onverenigbaar met

is onverenigbaar met

Token

Authenticatiemiddel IT-systeem

is specialisatie van

is onderdeel van

groepeert

heeft

heeftbestaat in

kent

heeft heeft

heeft

bestaat uit

heeft betrekking op

is onderdeel van

heeft specialisatie

DefinitiesAccount: Een middel waarmee een identiteit toegang kan krijgen tot autorisatie-objecten.Apparaat: Een fysiek rekenmiddel waar artefacten op geïnstalleerd kunnen worden en worden uitgevoerd.Applicatie: Een systeem dat zijn inhoud verbergt en zijn functionaliteit beschikbaar stelt via een verzameling van interfaces.Autorisatie: Het recht om gebruik te maken van een autorisatie-object en de condities die daarbij gelden.Autorisatie-object: Een object waartoe toegang dient te worden verleend voordat het kan worden gebruikt.Authenticatiemiddel: Een middel waarmee een vertrouwen ontstaat in de authenticiteit van een identiteit. Deelnemer: Een individu die aan onderwijsactiviteiten deelneemt.Externe medewerker: Een medewerker die geen dienstbetrekking heeft bij de organisatie.Gast: Iemand die voor een heel beperkte tijd een relatie heeft met de organisatie.Identiteit: Een mens of IT-systeem.Individu: Een mens.Interne medewerker: Een medewerker die een dienstbetrekking heeft bij de organisatie.IT-systeem: Een apparaat, applicatie of systeemsoftware.Leverancier: Een organisatie die producten of diensten levert.Medewerker: Een individu die werkactiviteiten uitvoert in opdracht van de organisatie..Organisatie: Een bedrijf, instelling of overheidsorganisatie.Organisatieonderdeel: Een onderdeel van een organisatie.Rol: Een set van taken en bevoegdheden van een identiteit in een organisatie.Systeemsoftware: Een software-omgeving voor specifieke componenten en objecten die erop geïnstalleerd worden in de vorm van artefacten.Token: Een tijdelijk object dat specifieke eigenschappen van een individu aantoont.

PAGE 10

Architectuurprincipes

De architectuurprincipes die horen bij de referentie-architectuur zijn te vinden op:http://www.referentiearchitectuur.nl/index.php/Thema_Identity-_en_accessmanagement

PAGE 11