Conclusie #
1. Status van de techniek #
Methodieken #
Qua methodieken zijn ABAC/PBAC en ReBAC beiden gevestigd als de toekomst. PBAC past in situaties waarin relatief complexe regels met meerdere attributen de toegang bepalen. ReBAC past bij toegang gebaseerd op relaties, zoals bij het delen van bestanden en mappen, en linked data. Het een is niet per se beter dan het ander, en beide sluiten elkaar ook niet uit.
Voor FTV is het niet nodig een keus te maken. Zolang de regels en het het toepassen ervan buiten de applicatie of API plaatsvindt en gebruik kan maken van Subject, Action, Resource en Context wordt voldaan aan de eisen. De term Externalized Access Management, ook wel Externalized Authorization, omvat dit het best.
Regeltalen #
Er zijn veel regeltalen, waarvan er niet één intrinsiek beter is. Ze willen alleen grotendeels hetzelfde en ontlenen hun bestaansrecht voornamelijk aan het product waaraan ze gekoppeld zijn. Pogingen tot een overkoepelende taal zoals XACML en ODRL hebben nooit de overhand kunnen krijgen.
FTV kiest ervoor via de standaard de essentie van de regels te vatten, zonder een specifieke taal te kiezen.
Standaarden #
De enige standaard die nu daadwerkelijk toepasbaar is en voet aan de grond heeft bij de grote spelers is AuthZEN van de OpenID foundation.
FTV sluit zich bij AuthZEN aan, en specificeert een profiel en/of extensies daarbovenop voor de Nederlandse overheid.
Producten #
Van de gratis open source producten hebben we er een aantal getest en zijn in principe allen geschikt. Het zijn echter alleen voorzieningen waarmee regels runtime toegepast kunnen worden (PDP’s).
Voor een totaaloplossing zit de uitdaging vooral in schaalbaar en gedistribueerd beheer en operatie. Hiervoor zijn commerciële producten beschikbaar. Vaak zijn deze om een open source PDP gebouwd, zijn als het ware een freemium.
Op dit moment wordt door FTV een eigen inventarisatie gedaan, specifiek op de punten waar de standaard straks over zal gaan. Dit zal geen koopadvies worden, maar een handreiking over hoe tot een keus te komen.
2. Status bij de Nederlands overheid #
Koppelvlakstandaarden #
De bestaande koppelvlakstandaarden bieden geen van allen invulling aan toegangsverlening, maar vormen ook geen belemmering. Een nieuwe standaard zou prima aan de bestaande koppelvlakken kunnen worden toegevoegd. Dit is dan ook het streven van FTV.
Aanbieders #
Van de aanbieders heeft alleen de BRP een serieuze vorm van toegangsverlening. Dit is een zelfgebouwde oplossing die gelijkenissen met PBAC heeft.
Het is op zich niet vreemd dat er weinig gedaan is, omdat aanbieders vaak weinig complexe regels hebben, die liggen eerder bij de aanbieder.
Afnemers #
De meeste systemen van afnemers hebben toegangverlening erkend als belangrijk en lastig. De oplossingen zijn heel divers maar over het algemeen RBAC of ad hoc maatwerk. Bij leveranciers van zaaksystemen zoals Maykin en DImpact zijn wel stappen gezet richting PBAC. Het succes daarvan staat of valt bij de beheersbaarheid op schaal.