PvIB thema avond Access Management Access Management … Visie en Architectuur

Rieks Joosten2 Een selectie uit de mogelijk interessante onderwerpen: 1.Visie op Access Management (AM) Access Control Access Management 2.Visie op AM Architectuur Architectuur – flessen en doppen AM van kleine bedrijven naar (erg) grote bedrijven (uitdrukken van) toegangscriteria en wat dan nog? 3.Waarom houdt TNO zich hier mee bezig Ja, waarom eigenlijk? Het TNO Claims-based (IAM Experience) Lab

Rieks Joosten3 Visie op Access Management “Een goed omschreven probleem is de halve oplossing”* … en dat geldt ook voor Access Management (*) vrij naar Dewey: Logic: the theory of Inquiry (1938) bron: Expertbrieven Access Management, delen 1 en 2, okt 2009 “ Het geheel aan beleid, verantwoor- delijkheden, processen en hulpmiddelen dat organi- saties in staat stelt om de toegang tot en het gebruik van systemen en informatie te faciliteren, beheren en controleren. ” ??????

Rieks Joosten4 Access Control ≈ Nemen van operationele beslissingen t.a.v. toegang tot functionaliteit van bedrijfsmiddelen Persoon wil toegang tot gebouw of ruimte. Mag dat? 1 Gebruiker / applicatie wil toegang tot data. Mag dat? 4 Wij willen ook toegang!!! Mag dat? 5 Gebruiker wil toegang tot werkplek / netwerk. Mag dat? 2 Wij ook!!! Mag dat? 5 Gebruiker / systeem wil toegang tot applicatie. Mag dat? 3

Rieks Joosten5 Access Control ≈ Nemen van operationele beslissingen t.a.v. toegang tot functionaliteit van bedrijfsmiddelen Access Management ≈ al hetgeen binnen één organisatie nodig is om haar access control zo (efficiënt/effectief) in te richten als zij dat zelf wil. ‘The Cloud ’ ‘The Cloud ’

Rieks Joosten6 X-architectuur (X = bedrijf, proces, systeem …) gaat over de afspraken (c.q. (bedrijfs)regels) waaraan een organisatie zich wil houden om X net zo efficiënt en effectief in te richten als die organisatie dat zelf wil. Visie op Architectuur Informatie, nov 2009: -architectuur = Kwaliteit * Acceptatie * Impact -architectuur ‘ervaren’ (d.m.v. bordspellen, digitale spellen) -architect = ‘eenzame cowboy’: -eenzelvige beslisser -die vooral kennis consumeert -weinig kennis documenteert … -… en deelt met anderen -meer grip op business dankzij bedrijfsregels (casus: Belastingdienst) (en ook: IND)

Rieks Joosten7 Architectuur is dus ook: achteroverleunen en heel goed conceptueel nadenken over de afspraken die je wilt maken AM Architectuur ≈ de verzameling afspraken binnen een organisatie om haar AM zo efficiënt/effectief te laten zijn als zij dat zelf wil.

Rieks Joosten8 AM van kleine bedrijven naar (erg) grote bedrijven ‘The Cloud’ ‘The Cloud’ Toegangs- criteria Bedrijfs- middelen Kleine bedrijven  eenvoudig (relatief)

Rieks Joosten9 Kleine bedrijven Bedrijfs- middel Criterium toegangs criterium 1..1 Toegang tot een bedrijfsmiddel wordt slechts verleend als aan het bij het bedrijfsmiddel behorende toegangscriterium is voldaan.

Rieks Joosten10 Grotere bedrijven  wordt al ingewikkelder ‘The Cloud’ ‘The Cloud’ Bedrijfs- middelen Eigenaren Toegangs- criteria Ik zou hier nog veel meer bedrijfsmiddelen in kunnen tekenen om het punt nog duidelijker te maken…

Rieks Joosten11 Bedrijfs- middel Criterium Persoon eigenaar 1..1 manager 1..1 toegangs criterium 1..1 Grotere bedrijven De eigenaar van een bedrijfsmiddel stelt het toegangscriterium voor dat bedrijfsmiddel vast. Toegang tot een bedrijfsmiddel wordt slechts verleend als aan het bij het bedrijfsmiddel behorende toegangscriterium is voldaan.

Rieks Joosten12 Nog grotere bedrijven Bedrijfs- middel Criterium toegangs criterium Persoon eigenaar 1..1 manager 1..1 De eigenaar van een bedrijfsmiddel stelt elk toegangscriterium voor dat bedrijfsmiddel vast. De eigenaar van het type bedrijfsmiddel stelt elk toegangscriterium voor dat type bedrijfsmiddelen vast. Elk toegangscriterium van een type bedrijfsmiddel is impliciet toegangs- criterium voor elke instantie van dat bedrijfsmiddel. Type Bedr.Middel 1..1 toegangscriterium 1..1 eigenaar Naarmate een organisatie groter is, zullen steeds meer (bedrijfs)regels nodig zijn om toegang te kunnen managen (goede operationele toegangsbesluiten nemen). Toegang tot een bedrijfsmiddel wordt slechts verleend als aan alle bij het bedrijfsmiddel behorende toegangscriteria is voldaan.

Rieks Joosten13 AM architectuur: van klein naar GROOT Kleine bedrijven bedrijven geen architectuur (voor een kippenhok maak je geen bestek) Bij grote bedrijven wil je: rust te nemen en op afstand te kijken het probleem ‘echt goed’ formuleren weten welke onderscheiden wel, en welke niet relevant zijn (fles/dop) goede toegangscriteria samenstellen weten wat de impact (en acceptatie is) … enz. Bij middelgrote bedrijven kun je nog overzicht houden; en met wat ‘handigheidjes’ kom je een heel eind.

Rieks Joosten14 Manieren voor het uitdrukken van toegangscriteria RBAC DAC Rule Based Access Control - ‘tijdens werktijd’ ‘usernames’ Rollen: - ‘>= 18 jaar’ - ‘screening’ - ‘werkt binnen bedrijfsonderdeel’ - ‘Aanwezig in gebouw’ - ‘…’ Beweringen (assertions): Werknemer Beheerder … Claims Based Access Control (Claim = Bewering, gedaan door een persoon/organisatie)

Rieks Joosten15 Weten we wat de IMPACT van toegangscontrole is? NSPW’09, September 8–11, 2009, Oxford, UK Copyright 2010 ACM /09/09 Laissez-Faire Access Control In the end, a perfect access control system just isn't possible; organizations are simply too chaotic for it to work. And any good system will allow a certain number of access control violations, if they're made in good faith by people just trying to do their jobs.

Rieks Joosten16 Waarom houdt TNO zich hiermee bezig? Het is TNO’s missie om wetenschappelijke kennis toepasbaar te maken […] voor bedrijfsleven en overheid. Beheersbaarheid Controleerbaarheid Gegevensuitwisseling (ook met derden) ‘nieuwe werken’: Persoon-Baan niet meer 1:1; kenmerk-gebonden AM/AC (vb: delegatie) Beleid  toegangscriteria … Veel organisaties zijn bezig met (I)AM

Rieks Joosten17 TNO Lab(s) Claims-Based IAM Experience B.V. Nederland heeft kennis nodig m.b.t.: (werkende) implementaties (werkende) implementaties afleiden toegangscriteria uit beleid afleiden toegangscriteria uit beleid samenhang tussen beleid, processen en systemen samenhang tussen beleid, processen en systemen richtlijnen (do’s en don’ts) richtlijnen (do’s en don’ts) opstellen AM specs/req’s opstellen AM specs/req’s … …

Rieks Joosten18 Positionering van zo’n lab Rieks Joosten18 (Overheids-)partijen kunnen in zo’n lab: ervaring (met CBAC) opbouwen ervaring (met CBAC) opbouwen gevoel te krijgen bij de (on)mogelijkheden gevoel te krijgen bij de (on)mogelijkheden vendor-onafhankelijk advies inwinnen vendor-onafhankelijk advies inwinnen implementaties van verschillende vendors te vergelijken implementaties van verschillende vendors te vergelijken … … Vendors/system integrators kunnen hun producten beschikbaar stellen aan het lab hun producten beschikbaar stellen aan het lab hun producten (laten) evalueren in het lab hun producten (laten) evalueren in het lab Alle partijen profiteren van onderzoek dat TNO er doet, bijv. Claims Based Process Engineering Claims Based Process Engineering

Rieks Joosten19 Waar zijn de valkuilen? Bottom line: Hoe vind je je weg in een moeras? RBAC AM architectuur = Techniek Onderbelichte principes: AM & Scoping AM & Governance Opstellen toegangscriteria …

Rieks Joosten20 Rieks Joosten