Ontwerpgebieden Digitale identiteiten & H2M / IV-domein IAM

Registratiestatus: Geregistreerd - januari 2021
Gebruiksadvies: Aangeraden
Werkingsgebied: vve po vo bve ho nfo
Versie: ROSA Ontwerpgebieden Digitale identiteiten & H2M / IV-domein IAM - januari 2025
Versiestatus: Concept

Beschrijving

Ontwerpgebied Digitale identiteiten
Het ontwerpgebied Digitale identiteiten geeft invulling aan de architectuurkaders voor het omgaan met digitale identiteiten in het onderwijs. De scope omvat ontwerpprincipes en -kaders voor digitale identiteiten van alle entiteiten die binnen het onderwijs relevant zijn. De architectuurkaders zijn conform de ROSA opgebouwd uit een aantal logische lagen. Binnen de ontwerpgebieden Digitale identiteiten en H2M worden ontwerpprincipes en -kaders gedefinieerd die aansluiten op bovenliggende ROSA kaders (drivers/doelen en architectuurprincipes, zie ook: Architectuurkaders ROSA). De ontwerpprincipes en -kaders kunnen gezien worden als een verdiepende kaderstelling van ROSA Architectuurprincipes (zie ook: Ontwerpgebieden ROSA).

Ontwerpgebied H2M
Het ontwerpgebied H2M (in combinatie met het ontwerpgebied Digitale identiteiten) geeft invulling aan de architectuurkaders specifiek voor natuurlijke personen. Deze architectuurkaders geven hoog over sturing aan afsprakenstelsels binnen het onderwijs zodat deze meer convergeren.
Bij een digitale identiteit van een persoon ten behoeve van toegang gaat het vaak om gegevens om een persoon te identificeren en autoriseren, bijvoorbeeld een identifier (bijvoorbeeld ECK iD) of rol.

Het gaat binnen dit ontwerpgebied echter ook om een verzameling persoonsgegevens (attributen), zoals: voornaam, achternaam, etc. Daarnaast beschouwen we een diploma of beroepskwalificatie ook als een mogelijk onderdeel van de digitale identiteit. Al deze gegevens kunnen digitaal gecommuniceerd worden in de vorm van een (verifieerbare) verklaring. Naast dat interoperabiliteit op verschillende niveaus hier een belangrijke rol speelt, geldt dat ook voor regie op gegevens. Bij dit laatste gaat het om wie waarom over bepaalde gegevens een bepaalde periode mag beschikken. Binnen het onderwijs sturen we er op dat regie op gegevens bij het individu (betrokkene) zelf ligt, maar daar waar er geen sprake is van een handelingsbevoegd of -bekwaam individu geldt een andere inrichtingsvorm met andere (architectuur)kaders. Effectief gelden er dus architectuurkaders vanuit verschillende invalshoeken om over een (verifieerbare) verklaring te beschikken.

IV-domein IAM
De architectuurprincipes en -kaders worden bij het IV-domein IAM vertaald naar verschillende (gestandaardiseerde) inrichtingsvarianten die in de ROSA als scenario’s uitgewerkt zijn. Die uitwerking volgt de hiërarchie van scenario’s zoals die in het metamodel van de ROSA beschreven staat. Er zijn genoeg verschillen in rollen en verantwoordelijkheden (deels door sectorspecifieke kenmerken) om de huidige inrichtingsvarianten te kunnen verantwoorden. Deze inrichtingsvarianten zijn ook (over het algemeen) te mappen op verschillende internationale de-facto standaarden. Hiermee wordt een balans gecreëerd tussen het bieden van sectoroverstijgende interoperabiliteit en het mogelijk maken dat er binnen sectoren ruimte is om eigen keuzes te maken omdat de context kan verschillen. De rollen en (generieke) functies die in de scenario’s opgenomen zijn, worden in een bepaalde context beschreven en aangevuld met interacties. Deze context heeft bijvoorbeeld betrekking op een bestaand of toekomstig vertrouwensraamwerk. Er kunnen dus meerdere vertrouwensraamwerken zijn die dezelfde scenario’s gebruiken (en zelfs een combinatie daarvan).

Het streven is om het aantal inrichtingsvarianten te beperken. Bij vergelijkbare context wordt derhalve gestreefd naar standaardisatie. Het in kaart brengen op welke wijze de toekomstbeelden voor toegang binnen de onderwijssectoren op elkaar aansluiten hoort bij dit streven.

Het IV-domein IAM dient hiermee een aantal doelen, dit zijn:

  • inrichtingsvarianten die in praktijk bestaan zijn vergelijkbaar maken: dit wordt gerealiseerd door het beschrijven hoe een identiteitsverklaring verstrekt kan worden met de minimale attributenset die nodig is om de toegang tot een dienst te realiseren;
  • bevorderen van privacy: de beschrijving omvat privacy-maatregelen die bij het delen van gegevens ten behoeve van toegang van toepassing zijn;
  • bevorderen van interoperabiliteit: de beschrijving omvat maatregelen om semantische en technische interoperabiliteit te bevorderen.

Samenhang

De architectuurkaders zijn conform de ROSA opgebouwd uit een aantal logische lagen. Binnen de ontwerpgebieden Digitale identiteiten en H2M worden ontwerpprincipes en -kaders gedefinieerd die aansluiten op bovenliggende ROSA kaders (drivers/doelen en architectuurprincipes, zie ook: Ontwerpgebieden ROSA). De ontwerpprincipes en -kaders kunnen gezien worden als een verdiepende kaderstelling van ROSA Architectuurprincipes (zie ook: Ontwerpgebieden ROSA).
Ook sluiten ze aan op de referentie-architectuur van Regie op Gegevens (RoG). Deze referentie-architectuur wordt gepositioneerd als generiek model tussen wetgeving en beleid enerzijds en de concrete initiatieven die al onderweg zijn of nog gaan komen anderzijds. Anders gesteld: de wat-vraag staat centraal en minder de hoe-vraag. Die hoe-vraag wordt dus deels ingevuld door het IV-domein (op het niveau van scenario’s) en verder door de (architectuur van de) sectoren/projecten zelf.

Meerwaarde

De hier beschreven onderdelen van de ROSA zijn niet sec te beschouwen als standaard of afspraak, maar bieden daarvoor wel een referentie. Het zijn dus niet vertrouwensraamwerken, maar bieden juist de kaders om die raamwerken te kunnen analyseren op basis van een ROSA-scan. Die vertrouwensraamwerken kunnen wel weer als aparte afspraak binnen Edustandaard worden geregistreerd (bijvoorbeeld als onderdeel van afsprakenstelsels). De beoordeling geschiedt in de Architectuurraad van Edustandaard. De Edustandaard Architectuurraad is in staat om op basis van een ROSA-scan advies te geven over bestaande en nieuwe vertrouwensraamwerken. Dit advies kan er vervolgens ook toe leiden dat het gewenst is (waar mogelijk) convergentie te laten plaatsvinden. Indien dit niet mogelijk of wenselijk is dan wordt in overleg afgestemd waarom dit zo is. Hiermee wordt duidelijk waar er sprake is van compliancy aan bepaalde scenario’s en waar bewust of onbewust wordt afgeweken. Dit proces kan ook leiden tot nieuwe inzichten en zo tot nieuwe scenario’s en nieuwe kaders.

De doelgroep van de het ontwerpgebied Digitale identiteiten en het IV-domein IAM zijn architecten, analisten en adviseurs die zich bezighouden met gegevensdeling in het algemeen en toegang in het bijzonder.

Implementatie

De architectuurkaders van de ROSA en de scenario’s in de IV-domeinen betreffen een referentie (meta-afspraak) die richting geeft aan het werken onder architectuur bij de ROSA en bij andere sectorale referentiearchitecturen. De implementatie in de uitvoering heeft betrekking op het maken van een passende keuze voor wat betreft scenario’s en daaraan gerelateerde standaarden, afspraken en voorzieningen. Die keuze gaat gepaard met een bestuurlijke afspraak.

Ontwikkelingen

De architectuurkaders van het ontwerpgebied Digitale identiteiten, de uitwerking van het IV-domein IAM en de scenario’s voor toegang worden incrementeel uitgewerkt in de ROSA.

In de Architectuurraad van 30 januari 2025 is de nieuwe structuur van het IV-domein IAM (gebaseerd op de scenario-hiërarchie in het ROSA Metamodel) vastgesteld. Zie hiervoor: Epic 016 – IV-domein IAM uitwerken.

Er wordt nu gewerkt aan het completeren van de content van dit IV-domein. Tegelijkertijd zullen ook de ontwerpprincipes en -kaders van het ontwerpgebied Digitale identiteiten en het ontwerpgebied H2M een verdere uitwerking krijgen. Planning is om dit incrementeel te laten vaststellen in de Architectuurraad van resp. april en juni 2025.

Bijeenkomsten

Er zijn geen bijeenkomsten gepland.
Documentatie van eerdere bijeenkomsten is terug te vinden in het overzicht bijeenkomsten.