Ga naar inhoud
FTV Beeldmerk

Federatieve Toegangsverlening

Methodiek

De FTV-standaarden

Standaardisatie is bij uitstek het middel om aansluiting en uitwisseling tussen systemen te vergemakkelijken. Open standaarden hebben daarbij de sterke voorkeur, alsmede het voortbouwen op bestaande internationale standaarden.

Het project FTV werkt aan drie standaarden:

  1. AuthZEN
  2. Logboek toegangsbeslissingen
  3. Register toegangsbeleid

Schema van de drie FTV-standaarden

1. AuthZEN

De AuthZEN Authorization API is een initiatief van de OpenID foundation, bekend van OpenID Connect. De belangrijkste leveranciers van PDP’s en API gateways werken hier samen aan een autorisatiestandaard.

Het OpenID logo

Het eerste gebied dat AuthZEN heeft uitgewerkt is de interface tussen PEP en PDP. Dat zijn de soort vragen die gesteld kunnen worden aan de PDP, en de antwoorden daarop.

Informatiemodel

Als basis is eerst een informatiemodel uitgewerkt. Dat beschrijft de velden die in een verzoek moeten of kunnen staan, en hun mogelijke waarden. In de PxP-architectuur zijn deze vier onderdelen benoemd:

diagram s-a-r-c

  1. Subject. De aanvrager. Dit kan een persoon of organisatie zijn.
  2. Action. De verwerking die gevraagd wordt. Denk hierbij bijvoorbeeld aan inzien, aanpassen, verwijderen of verstrekken.
  3. Resource. De gegevens verwerking op uitgevoerd moet worden.
  4. Context. De situatie / omgeving waarin het gegevensverzoek gedaan is. Dit kan gaan over de verbinding, de huidige tijd, de locatie van het subject en meer.

In hoofdstuk 5 van de AuthZEN specificatie zijn alle details te vinden.

APIs

AuthZEN 1.0 definieert de volgende APIs:

  • Access Evaluation. Een enkelvoudige vraag om toegang. Dat is een verzoek met Subject, Action en Resource ingevuld, en optioneel de Context. Het antwoord is in ieder geval een ‘ja’ of ’nee’, en optioneel een onderbouwing van de beslissing.
  • Access Evaluations. Hiermee kunnen meerdere aanvragen in een verzoek gedaan worden. Dit kan de afhandeling efficienter maken. Er is ook de optie om eisen dat alle verzoeken geldig moeten zijn of dat een genoeg is.
  • Search APIs. Hiermee wordt gezocht naar opties door telkens Subject, Action of Resource weg te laten. Het ontbreken van een Subject bijvoorbeeld geeft aan dat de vrager wil weten welke Subjecten toegestaan zijn. Als de vragen een bestand en de actie ‘inzien’ meegeeft, dan vertelt de API welke Subjecten het bestand mogen lezen. En als de Action weggelaten wordt dan is de vraag: ‘welke acties mag deze gebruiker op dit bestand uitvoeren?’.

Status

De AuthZEN standaard versie 1.0 heeft nu de status Implementers Draft. Daarin zit een informatiemodel zoals boven beschreven en de 3 APIs. Deze versie zal midden 2025 aangeboden worden ter consultatie.

Diverse commerciƫle toegangsverleningsproducten en API-gateways implementeren deze versie inmiddels. De AuthZEN interop laat zien welke partijen dat zijn, en legt uit wat dat precies inhoudt.

AuthZEN NL Gov

De Nederlandse standaard is een uitbreiding op AuthZEN en heeft als volledige naam NLGov Profile for OpenID AuthZEN Authorization API gekregen; kortweg “AuthZEN NL Gov”. Er wordt momenteel door de werkgroep FTV gewerkt aan de gewenste invulling daarvan.

De huidige werkversie is te vinden op “Standaard voor Federatieve Toegangsverlening.”.

En OAuth dan?

Open Authorisation (OAuth) is een bestaande open standaard voor autorisatie. Waarom nu dan nog een standaard? Het antwoord is dat AuthZEN een stuk reikwijdte toevoegt, bovenop OAuth.

OAuth gaat primair over delegatie: een applicatie toestemming geven om namens een gebruiker toegang tot een andere applicatie te verkrijgen. En dat zonder de credentials zelf te delen. Met OAuth scopes zijn daar ook op beperkte rechten aan te koppelen (bijvoorbeeld toestemming voor het ’lezen van bestanden’). Dat is een vorm van grofmazige autorisatie.

AuthZEN gaat verder: fijnmazige autorisatie, op elk moment, op elke plek. OAuth en AuthZEN kunnen elkaar aanvullen: het OAuth token kan gebruikt worden als een van de attributen in AuthZEN policies.

In dit artikel lees je meer over OAuth en AuthZEN.

Zijn er alternatieven?

FTV is niet het enige project dat werkt aan standaardisatie van toegang. Vind hier een overzicht van de belangrijkste projecten.

2. Logboek Toegangsverlening

Het Logboek Toegangsverlening richt zich op het verantwoorden van toegangsverzoeken. Met behulp van de standaard kunnen historische toegangsverzoeken uniform beschikbaar gemaakt worden. Hierbij gaat speciaal aandacht uit naar het voorkomen van ongewenste gegevensduplicatie (data bij de bron) met behulp van betrouwbare bronnen en integratie met het Logboek Dataverwerkingen en FSC - Logging.

3. Register toegangsbeleid

Het Register Toegangsbeleid gaat definiƫren welke eisen er aan een PAP gesteld worden. Denk hierbij aan dat de versies van policies over tijd bewaard blijven en de metadata die die een policy moet en mag hebben.