Onderzoek

Toegangsverlening wordt volwassen. Schaalvergroting, gedistribueerde architectuur en federatief werken hebben de noodzaak van betere oplossingen duidelijk gemaakt. Er is een serieuze markt van producten ontstaan, die samenhangt met IAM in bredere zin.

De architectuur van Externalized Authorization Management (EAM) is de meest geschikte keus voor Federatieve Toegangsverlening (FTV). EAM voldoet aan de eisen van flexibiliteit en schaalbaarheid.

Policy-Based Access Control (PBAC), Attribute-Based Access Control (ABAC) en Relationship-Based Access Control (ReBAC) zijn verschillende vormen van Externalized Authorization Management (EAM). Er hoeft geen keus gemaakt te worden hiertussen, omdat de meeste systemen allen ondersteunen en ze elkaar kunnen aanvullen.

Er zijn veel regeltalen, waarvan er niet één intrinsiek beter is of een groter marktaandeel heeft. Ze willen allen grotendeels hetzelfde en ontlenen hun bestaansrecht voornamelijk aan het product waaraan ze gekoppeld zijn.

FTV zal vooralsnog geen keus maken. In plaats daarvan wordt gekeken of op termijn de sterkste naar voren komt of een overkoepelende taal of mechanisme ontstaat.

Er zijn pogingen gedaan producten tot standaard te verheffen en daarnaast een aantal meer onafhankelijke initiatieven. De enige open standaard voor EAM die nu daadwerkelijk toepasbaar is en voet aan de grond heeft bij de grote spelers is AuthZEN van de OpenID Foundation.

FTV sluit zich bij AuthZEN aan, en specificeert een profiel en/of extensies daarbovenop voor de Nederlandse overheid.

AuthZEN spreekt zich niet uit over logging of over de opslag van policies. Dit deel neemt FTV daarom zelf voor haar rekening.

Er zijn veel open source producten beschikbaar, waarvan een aantal belangrijke getest en in principe geschikt zijn bevonden.

Dit zijn echter alleen deelvoorzieningen waarmee regels runtime toegepast kunnen worden (Policy Decision points, PDPs). Voor een totaaloplossing zit de uitdaging in schaalbaar en gedistribueerd beheer en operatie. Hiervoor zijn commerciële producten beschikbaar. Vaak zijn deze om een open source PDP gebouwd, als het ware een freemium model.

Lopende het project wordt door FTV een marktonderzoek van commerciële oplossingen gedaan. Dit gebeurt door eigen tests en vooral door gesprekken met de leveranciers zelf. Er wordt gekeken naar compleetheid, adoptie van standaarden en koppelingen naar aanpalende systemen zoals Identity and Access Management (IAM). Het resultaat van het onderzoek zal geen koopadvies worden, maar een handreiking over hoe tot een keus te komen.

De bestaande koppelvlakstandaarden bieden geen van allen invulling aan toegangsverlening, maar vormen ook geen belemmering. Een nieuwe standaard zou prima aan de bestaande koppelvlakken kunnen worden toegevoegd. Dit is dan ook het streven van FTV.

Van de aanbieders heeft alleen de BRP een serieuze vorm van toegangsverlening. Dit is een zelfgebouwde oplossing die gelijkenissen met PBAC heeft. Het is op zich niet vreemd dat er weinig gedaan is, omdat aanbieders vaak weinig complexe regels hebben. Deze liggen eerder bij de afnemers.

De meeste systemen van afnemers hebben toegangsverlening erkend als belangrijk en lastig. De oplossingen zijn heel divers maar over het algemeen RBAC of ad hoc maatwerk. Bij leveranciers van zaaksystemen zoals Maykin en Dimpact zijn wel stappen gezet richting PBAC.

Het succes daarvan staat of valt met de beheersbaarheid op schaal. Tot nu toe zijn traagheid en de complexiteit van de policies nog struikelblokken.

Er zijn een aantal sectorspecifieke en ketenintegratievoorzieningen die goed functioneren. Toegangsverlening is daarin vaak goed meegenomen, ook met EAM. Deze stelsels hebben ook de grootste noodzaak gezien de schaal van uitwisseling en diversiteit van deelnemers.

Deze stelsels zijn een kansrijke plek voor FTV om de eerste adoptie te verkrijgen.

De tijd is rijp voor FTV. Er zijn goede oplossingen beschikbaar, maar nog geen standaarden, waardoor AuthZEN op het juiste moment komt.

Bij de Nederlandse overheid worden de eerste serieuze stappen naar EAM gezet door vernieuwende datastelsels. Doordat dit naar verhouding nog in de kinderschoenen staat is er nog veel ruimte om te sturen.