| Tweewekelijkse nieuwsbief met nieuws en ontwikkelingen van het project Federatieve Toegangsverlening |
|
|
|
|
|
Blij met deze nieuwsbrief? Stuur hem door en vraag collega’s zich ook aan te melden.
Een vraag aan het projectteam? Laat het weten via Mattermost → |
|
|
|
|
|
| Werkgroep: Subwerkgroepen en ReBAC |
De werkgroep kwam op 9 september bijeen. Vanwege de beperkte opkomst is de agenda aangepast en is het onderwerp ‘reikwijdte van de standaard’ doorgeschoven naar de volgende bijeenkomst.
Nieuws uit de subwerkgroepenIn de afgelopen weken zijn er weer stappen gezet binnen de verschillende subwerkgroepen van FTV.
AuthZEN
De interne consultatie is afgerond. Er zijn geen nieuwe punten ingebracht. De eerder aangedragen onderwerpen worden in de komende bijeenkomsten met de werkgroep besproken. Het gaat dan om:- Verduidelijking van de reikwijdte.
- Een meer gedetailleerde uitwerking van de sectie informatiemodellering.
- Gebruik van Logboek Dataverwerkingen voor verwijzingen naar algoritme- en verwerkingregisters.
Authorization Decision Log
De documentatie is gereed voor de interne consultatie die op 9 september van start ging. Zie ook het nieuwsbericht in deze FTV Update.
Presentatie ReBAC
Tot slot gaf Gerard Juijn (team FTV) een presentatie over ReBAC: Relation Based Access Control. Hij liet zien hoe ReBAC in de praktijk werkt met OpenFGA dat gebaseerd is op het Zanzibar-project van Google. De conclusie: ReBAC is een krachtige methode voor snelle evaluaties van relationele structuren. Een nadeel is wel dat er voor de toegangsverlening veel data gerepliceerd moet worden. Dit is niet altijd wenselijk binnen de context van het Federatief Datastelsel.
Meer weten?
Lees de notulen op de FTV-website.
Bekijk ook de presentatie. |
|
|
|
|
|
| Start interne consultatie Authorization Decision Log |
Op 9 september begon de interne consultatie van de conceptversie van de standaard Authorization Decision Log (Logboek Toegangsbeslissingen). Deze standaard legt vast hoe toegangsbeslissingen op een uniforme manier worden opgeslagen en traceerbaar blijven. Dat is essentieel voor verantwoording en audits: achteraf is inzichtelijk welke beslissing wanneer is genomen, op basis van welke regels en gegevens.
De standaard is gebaseerd op het AuthZEN-informatiemodel en beschrijft welke gegevens verplicht of optioneel moeten worden vastgelegd. Met de consultatie nodigt de projectgroep FTV collega’s en betrokken organisaties uit om mee te kijken en feedback te geven, zodat we samen tot een gedragen open standaard komen.
Alle informatie is te vinden op: Authorization Decision Log.
Feedback kan gegeven worden tot en met 7 oktober via: ftv@vng.nl |
|
|
|
|
|
| Interview: Linked Data en toegangsverlening |
Hans Schevers is data scientist bij het Kadaster en lid van de werkgroep FTV. Het Kadaster beheert een brede verzameling gegevens: van woningen, eigendom, percelen en wegen (uit de Basisregistratie Grootschalige Topografie, de BGT) tot ondergrondse kabels en leidingen.
Die gegevens krijgen extra betekenis wanneer ze in samenhang met andere gegevens als Linked Data worden ontsloten. Veel openbare gegevens van het Kadaster zijn inmiddels al beschikbaar als Linked Data. Het Kadaster heeft ook gegevens die niet voor iedereen toegankelijk zijn. Hans: “We willen onderzoeken hoe toegangsverlening kan worden toegepast op Linked Datasets en of dat lukt met de standaard die het project FTV ontwikkelt.”
Lees het interview op de FTV-website. |
|
|
|
|
|
| Nieuwe release OpenFTV (1.4.1) |
De nieuwe release van OpenFTV (versie 1.4.1) is beschikbaar. Open FTV is de referentie-implementatie en laat zien hoe EAM werkt in de praktijk: de toegangsbeslissing vindt plaats buiten de applicatie, op basis van extern beheerde regels. FTV is in OpenFTV uitgewerkt als concreet voorbeeld en technisch getest op werking en betrouwbaarheid.
Deze laatste release bouwt voort op de verbeteringen uit versie 1.4.0 en bevat onder andere uitbreidingen van de testomgeving, verbeterd beheer via de Manager en volledige PostgreSQL-integratie.
Meer weten? |
|
|
|
|
|
| Drie kenmerken van EAM |
FTV maakt gebruik van Externalized Authorization Management (EAM). Dit is een methode waarbij toegangsverzoeken, -beslissingen en -beleid buiten applicaties worden beheerd. Toegang wordt bepaald op basis van duidelijke regels, actuele informatie en de situatie waarin toegang wordt gevraagd. Deze aanpak maakt toegangsverlening schaalbaar, flexibel, traceerbaar en leveranciersonafhankelijk.
Policy-Based Access Control (PBAC), Attribute-Based Access Control (ABAC) en Relationship-Based Access Control (ReBAC) zijn vormen van EAM
Drie kenmerkenEAM heeft drie kenmerken:
1. Fijnmazige toegangscontrole
EAM maakt onderscheid tussen grofmazige, middelmazige en fijnmazige toegangscontrole. Bij grofmazige controle wordt tijdens login bepaald welke diensten een gebruiker kan gebruiken, bijvoorbeeld met OAuth-scopes. Middelmazige controle werkt tijdens het aanroepen van een API, vaak via OpenAPI routes. Fijnmazige controle gaat nog een stap verder en kijkt naar de context van het verzoek, zoals tijdstip, IP-adres of juridische grondslag.
2. Policy as code
Beleidsregels worden beheerd alsof het om broncode gaat. Dat betekent versiebeheer, inzicht in de historie en de mogelijkheid om eenvoudig terug te keren naar eerdere versies. Taken zoals schrijven, controleren en vrijgeven van policies zijn strak georganiseerd. Ook de policies zelf kennen toegangscontrole.
3. Realtime
Policies gelden niet alleen bij login, maar op elk moment dat een gebruiker toegang vraagt. Dat maakt het mogelijk om dynamisch en continu te bepalen of toegang wel of niet is toegestaan.
Met deze drie kenmerken biedt EAM een stevige basis voor toegangsverlening in een federatief stelsel.
Meer weten?Kijk op de FTV-website voor meer informatie. |
|
|
|
|
|
| Aanmelden |
| Wil jij elke twee weken nieuws van het project FTV in je mailbox? Meld je aan via ftv@vng.nl. |
|
|
|
|
|
| Uitschrijven |
| Je ontving deze mail omdat je je hebt aangemeld voor e-mails van het project FTV. Uitschrijven kan via ftv@vng.nl. |
|
|
|
|
|
| Contact |
| Een vraag aan het projectteam? Laat het weten via Mattermost of reageer op deze mail. |
|
|
|
|
|
|
