Skip to end of banner
Go to start of banner

BEB - Beheren van entiteiten en bevoegdheden - [review]

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 35 Next »

Hier een korte samenvatting van wat conclusies en wensen voortgekomen uit discussie met testteam.

Het verlenen van toegang tot resources moet goed geregeld zijn. Het is een proces waar alle belanghebbenden baat bij hebben. Hoe groter de organisatie, hoe meer applicaties er in gebruik zijn, hoe belangrijker een formeel autorisatieproces wordt. Dit proces moet duidelijk, effectief en efficiënt zijn.


a001. Voordat bevoegdheden worden vastgelegd moeten eerst de entiteiten (applicaties of personen), (applicatie en gebruikers) rollen, autorisatieregels en domeinen worden vastgelegd. Er zijn al meerdere applicatie- en beheerdersrollen beschreven en vastgelegd door de architecten. Als we een vaste set aan (applicatie) rollen definiëren, kunnen we autorisatieregels samenstellen omdat we al grotendeels weten welke FHIR resources we gebruiken binnen Koppeltaal. De entiteiten, rollen, autorisatieregels en domeinen kunnen door Support (de systeembeheerder)  worden opgevoerd. Dit is een domein- en applicatie onafhankelijke taak.

a002. Een domein bevat (minimaal) de volgende gegevens/attributen:

a. Een unieke domein identifier

b. Een (leesbare) naam voor het domein

c. een (logische) domein naam voor een URL

d. Contact gegevens voor het domein

i. contactpersoon

ii. e-mail adres/telefoon

e. Type domein (nader uitwerken)

003. Een entiteit (applicatie) bevat (minimaal) de volgende gegevens/attributen:

a. Een unieke entiteit identifier

b. Een (leesbare) naam van de entiteit

c. Een (logische) naam van de entiteit

d. Toekennen van 0 of meer rol identifiers.

e. Contact gegevens voor de entiteit

i. contactpersoon

ii. e-mail adres/telefoon

a004. De autorisatieregels bevatten wie (eigenaar of iedereen) de toegestane CRUD operaties op de FHIR resources mag uitvoeren. Elke vastgelegde rol krijgt een verzameling autorisatieregels.

a005. Een (applicatie) rol bevat (minimaal) de volgende gegevens/attributen:

a. Een unieke rol identifier,

b. Een (leesbare) naam

c. Een (logische) naam

d. Een verzameling autorisatieregels.

e. Contact gegevens voor de rolbeschrijving

i. contactpersoon

ii. e-mail adres/telefoon

a006. Er mogen geen afhankelijkheden in een rol vastgelegd worden naar andere digitale identiteiten. Voorbeeld: Rol X bepaalt (Grant) een autorisatieregels voor Rol Y waar een ander digitale entiteit aan is gekoppeld.

a007. De invulling van één domein en de uitgave van digitale identiteiten (voor applicatie instanties – client id’s) gebeurt door de domeinbeheerder.

a008. Het toekennen van bevoegdheden aan digitale identiteiten (applicatie instanties) of het intrekken van bevoegdheden, gebeurt via het toekennen van een (applicatie of gebruikers) rol aan een digitale identiteit. Dit wordt door de domeinbeheerder uitgevoerd. Het intrekken van bevoegdheden gebeurt dus door de digitale identiteiten (applicatie instantie) zijn rol te ontnemen.

a. Je kan een entiteit (applicatie) certificeren voor meerdere rollen, maar een applicatie instantie heeft maar één (actieve) rol binnen een domein.

1. Hiermee kan de systeembeheerder aangeven welke rollen er zijn weggelegd voor de applicatie
Controleren of we bij de beheerschermen kunnen aangegeven dat een applicatie meerdere rollen kan hebben.

2. De domeinbeheerder kan uit de aangegeven rollen, één rol selecteren/activeren voor een domein voor de applicatie instantie. Hierdoor maak je dus niet de fout dat de domeinbeheerder een andere rol kiest dan wat de systeembeheerder aangeeft.
Een lijst van rollen voor de domeinbeheerder moet dus opgebouwd worden uit de selectie die een systeembeheerder heeft gemaakt op een ander beheerscherm. 

b. De gehele toegangscontrole van een entiteit is gebaseerd op een rol. Hierbij worden entiteiten niet rechtstreeks geautoriseerd op resources, maar krijgen uitsluitend rechten in de vorm van een groepslidmaatschap, op basis van een rol die ze vervullen binnen één domein. 

c. Een applicatie instantie krijgt alleen een (actieve) rol als deze aan een domein is toegekend. 

d. Het daadwerkelijk toekennen van rechten (en daarbij behorende permissies) aan een entiteit en het verstrekken van gerelateerde objecten (tokens e.d.) heet provisioning.

a009. Een digitale identiteiten (applicatie instanties) bevat (minimaal) de volgende gegevens/attributen:

a. Een uniek (uitgegeven) client identifier

b. Een (leesbare) naam

c. Een (logische) naam

d. Een entiteit (applicatie) identifier

d. Een Key Identifier (KID). Is een unieke identifier voor het kunnen bepalen en ophalen van de (geregistreerde) publieke sleutel. Zie JWKS (RFC 7515 sectie 4 en voor de algoritmen RFC 7518)

e. Een domein Identifier.

f. Rol Identifier. Deze wordt pas vastgelegd nadat de domein en entiteit identifiers bekend zijn bij deze digitale identiteit. 

g. Endpoints (lijst van endpoints die gebruikt worden door de applicatie instantie, zoals lanceer of notificatie endpoints)

i. Endpoint.identifier (globale identifier, bruikbaar over domeinen heen)

ii. Endpoint.name naam van het endpoint

ii. Endpoint.status: active | off | test

iii. Endpoint.period.start: dateTime (startdatum dat endpoint actief is)

iv. Endpoint.period.end: dateTime (einddatum dat endpoint actief is)

iv. Endpoint.connectionType: notification | launch | fhir-rest

v. Endpointaddress: url (technisch basis adres van het endpoint)

vi. Endpoint.header: string (header info, zodat men security tokens kan meesturen, tijdens communicatie)


Hier het gehele plaatje in Archimate. Het model beschrijft de samenhang en relaties tussen de verschillende (uitgewerkte) begrippen op basis van definities. Er zijn 2 relaties in dit model opgenomen, namelijk specialisatie (driehoek) en aggregatie (ruitje). Let op het model is geen datamodel. In een datamodel zouden de relaties andersom getekend worden.

Enkele definities:

  • Applicatie. Software of (geautomatiseerd) proces.
  • Persoon. Een persoon (van vlees en bloed) die rechten en plichten heeft.
  • Entiteit. Een herkenbaar en onderscheidbaar iets dat relevant is voor identificatie en toegangscontrole waarbij een digitale identiteit kan behoren.
  • Digitale identiteit. Een verzameling gegevens (attributen) die een (digitale) representatie zijn van een entiteit. Een entiteit kan meerdere digitale identiteiten hebben.
  • Authenticatiemiddel. Een fysiek of digitaal middel op grond waarvan authenticatie van een entiteit kan plaatsvinden; bijvoorbeeld een (authenticatie) token van een Digitale Identiteit met een vastgesteld betrouwbaarheidsniveau.
  • Domein. Afgrenzend gebied van entiteiten en de daaraan gerelateerde diensten/voorzieningen die onder één domein valt.
  • Rol. Het hebben van een rol is een eigenschap van een entiteit en bepaalt het gedrag van de digitale identiteit.
  • Autorisatieregel. Aan de hand van de autorisatieregels kan een entiteit bepaalde handelingen uitvoeren gebaseerd op zijn rol en digitale identiteit.
  • Resource. Eenheid van informatie waartoe een entiteit toegang zou kunnen krijgen.
  • FHIR Interactie. Soort van toegang of de interactie op informatie.
  • No labels