Authenticatie
Authenticatie is het proces waarmee de geldigheid van een geclaimde identiteit van een datadienstgebruiker tijdens een transactie wordt geverifieerd. Authenticatie is van belang omdat datadiensten alleen afgenomen kunnen worden als een datadienstgebruiker hier rechten toe heeft. Deze rechten zijn typisch gebonden aan de identiteit van een partij, waardoor een datadienstaanbieder de geclaimde identiteit authenticeerd. Onafhankelijk van het type interactie, speelt authenticatie een rol op twee niveaus: op de verbinding tussen partijen en op datadiensten niveau.
Authenticatie op transport niveau
In het DSGO vindt alle communicatie tussen partijen plaats tussen de machines van de partijen. Daarom moet in de verbinding tussen de machines van de partijen authenticatie plaats vinden, zodat er een mate van zekerheid van de identiteit van de machine waarmee gecommuniceerd wordt is. One-way (server only) Transport Layer Security (TLS) wordt binnen het DSGO gebruikt om de identiteit van datadienstaanbieders te authenticeren. Hiermee borgt de datadienstgebruiker dat data onderdeel van een datadienstverzoek alleen bij de juiste datadienstaanbieder terechtkomt.
Merk op, authenticatie van de datadienstgebruiker gebeurt niet op transport niveau, maar op datadienstniveau.
Authenticatie op datadienstniveau
Wanneer gecommuniceerd wordt over het gebruik van een datadienst, moet worden bepaald of de datadienstgebruiker de juiste autorisatie heeft om gebruik te maken van de datadienst. In het komen tot een autorisatie beslissing speelt de authenticiteit van de identiteit van de datadienstgebruiker een belangrijke rol. Het type datadienstgebruiker speelt een belangrijke rol bij de keuze voor authenticatieoplossingen op dit niveau. Het DSGO onderscheidt drie type datadienstgebruikers:
Een mens namens zichzelf
Een mens namens een partij
Een machine namens een partij
Het bepalen van het type datadienstgebruiker gaat nadrukkelijk om de wens van de datadienstaanbieder om de betrouwbaarheid van de identiteit zelf vast te stellen om doelgericht gegevensuitwisseling in te regelen en daarmee risico's te beperken.
Voorbeeld: Een aannemersbedrijf (datadienstaanbieder) kiest om alleen Jan Janssen van het architectenbureau (maar niet zijn collega’s) toegang te geven tot het gebruik van een document management systeem (DMS). Daarmee kiest de datadienstaanbieder er ook voor om zelf Jan’s identiteit te verifiëren en dit niet aan de IT-administrator van het architectenbureau te laten. Het aannemersbedrijf vereist van Jan dat hij met eHerkenning authenticatiemiddelen kan inloggen, omdat het een hoog betrouwbaarheidsniveau hanteert.
Zie de onderliggende pagina voor meer informatie:
IoT objecten
Het kan van belang zijn een datadienstaanbieder het identificerend kenmerk van IoT objecten kan authenticeren. Omdat het IoT object binnen het DSGO altijd handelt namens een partij die een van de rollen uit het DSGO rollenmodel vervult, bevat het DSGO geen aparte afspraken over het authenticeren van IoT objecten. Authenticatie van het IoT object (de machine) volgt dus de afspraken voor authenticatie van machine namens een partij (zie Authenticatie op datadienstniveau).
Â
Â