icon Identity & Access Management
icon Beschrijving IAM diensten
icon Aansluiten op IAM

De dienst Identity & Access Management bestaat uit drie onderdelen.   

1. Authenticatie

Hoe werkt authenticatie via deze IAM-dienst? Om toegang te krijgen tot een applicatie vindt allereerst controle plaats op de digitale identiteit van de medewerker. Deze controle op identiteit (authenticatie) gebeurt door de DICTU Identity Provider (IDP). De DICTU IDP controleert de digitale identiteit van alle EZK en LNV gebruikers aan de hand van:

  • Inlognaam
  • Wachtwoord
  • Tweede factor met een authenticator app (voor inloggen vanuit een onvertrouwd netwerk)

Toegang verlenen gaat op basis van drie criteria: iets wat je weet, iets wat je hebt of iets wat je bent. Het wachtwoord is iets wat je weet, een One Time Password. Dit wordt gegenereerd met een app op een apparaat (iets wat je hebt, bv een smartphone of laptop). We noemen dat de tweede factor. Iets wat je bent (vingerafdruk, iris scan) wordt nog niet toegepast. Zelf authenticatiemiddelen ontwikkelen is niet meer nodig. Deze zijn namelijk al als bouwsteen beschikbaar. 

Sneller en veiliger met Single Sign-on

Door aan te sluiten op de DICTU provider ontstaat Single Sign-on inloggen Dit betekent dat een gebruiker nog maar één login en wachtwoord nodig heeft en vervolgens automatisch op verschillende bedrijfsapplicaties in kan loggen. De Rijksbrede bedrijfsapplicaties zoals Rijksportaal, P-Direkt en Samenwerkruimten zijn ook op de DICTU IDP aangesloten. Apart inloggen is niet meer nodig. Hierdoor kunnen medewerkers sneller en veiliger werken want medewerkers hoeven nog maar één login en wachtwoord te houden. 

slot iam

2. Autorisatie

Door de inrichting van een bevoegdhedenbeheer systeem ontstaat grip op toegekende autorisaties. DICTU en Directie Bedrijfsvoering richten in 2022 samen een bevoegdhedenbeheersysteem in. Het maakt het aanvragen, toekennen en beheren van autorisaties op basis van bevoegdheden veel eenvoudiger. Het creëert met een druk op de knop een overzicht van de toegekende autorisaties. Een bevoegde medewerker bepaalt de bevoegdheden van andere medewerkers aan de hand van rollen (=een functie) of attributen (=een kenmerk, bv een locatie). Het bevoegdhedenbeheersysteem vertaalt deze naar autorisaties. Zo krijgen medewerkers rechten tot bedrijfsapplicaties. Verandert een medewerker van rol dan veranderen autorisaties automatisch mee. Dit bespaart veel tijd want het handmatig doorvoeren van aanpassingen is niet meer nodig.

Het beheer van rechten van medewerkers of systemen met verhoogde rechten ten opzichte van standaard gebruikers vindt plaats in een apart bevoegdhedensysteem. Dit systeem biedt extra mogelijkheden voor bescherming van autorisaties en audit trailing. 

toestemming

3. User Provisioning

De Baseline Informatiebeveiliging Overheid (BIO) schrijft voor dat er een sluitende, formele registratie- en afmeldprocedure voor het beheren van gebruikersidentificaties moet zijn geïmplementeerd. Binnen EZK en LNV wordt geregistreerd in een centraal identiteiten systeem genaamd IBIS. De digitale identiteiten zijn gekoppeld aan IBIS, zodat deze altijd actueel zijn. Bedrijfsapplicaties dienen continu gesynchroniseerd te zijn met het centrale digitale identiteitensysteem voor het aanmaken van nieuwe accounts of het verwijderen van accounts van medewerkers die uit dienst zijn. De dienst User Provisioning maakt die synchronisatie mogelijk en voldoet tevens aan de AVG doordat alleen die gebruikersgegevens gesynchroniseerd worden die noodzakelijk zijn om toegang te geven tot een applicatie.

Stopcontacten IAM