Autorisatie
Autorisatie, identificatie en authenticatie zijn drie essentiële functionaliteiten om een datadienst tussen een datadienstgebruiker en een datadienstaanbieder tot stand te laten komen. Identificatie stelt de identiteit van een partij vast, authenticatie draait om het verifiëren van de identiteit. Vervolgens gaat autorisatie om het vaststellen of de geïdentificeerde partij de rechten heeft en toestemming krijgt om een specifieke actie uit te voeren gegeven de context van de datadienst.
Aspecten van autorisatie
In het afsprakenstelsel is het onderwerp van autorisatie gesplitst naar het opstellen van autorisatiebeleid, het voorbereiden van autorisatie-informatie en het nemen van een autorisatiebesluit (zie figuur hieronder). Deze verschillende autorisatie aspecten zijn gebaseerd op de XACML standaard voor (online) toegangsbeleid. Gegeven XACML, mapt het autorisatiebeleid op Policy Administration Point (PAP), mapt authorisatie-informatie organiseren op de Policy Information Point (PIP) en het nemen van het autorisatiebesluit op Policy Decision Point (PDP). De Policy Enforcement Point (PEP) wordt geïmplementeerd in de API.
Complexiteit in autorisatie
Het is de verantwoordelijkheid van een datadienstaanbieder om voor haar datadienst geschikte autorisatiebeleid op te stellen en daar besluiten voor te nemen. Afhankelijk van het type datadienst kan dit besluit eenvoudig zijn, of complex en afhankelijke van veel (intern en externe) factoren. Het DSGO biedt datadienstaanbieders keuzes om zo (voor haar dienst) geschikte autorisatie beslissingen te kunnen nemen. Het afsprakenstelsel standaardiseert voor elke keuze een aantal aspecten om de interoperabiliteit van datadiensten in het DSGO te realiseren. De onderstaande indicatieve voorbeelden schetsen een aantal scenario's die gedurende dit hoofdstuk verder worden gebruikt als toelichting.
Indicatieve voorbeelden:
In de voorbeelden loopt de behoefte om complexiteit toe te voegen aan het komen tot een autorisatiebesluit verder op.
Een gemeente (als datadienstaanbieder) heeft een datadienst die de mogelijkheid biedt om een BIM-model te uploaden t.b.v. een vergunningaanvraag. Iedereen die een vergunningaanvraag wil doen, kan deze tool gebruiken (als datadienstgebruiker).
Een leverancier (als datadienstaanbieder) heeft een datadienst die productdata (incl. contractdata zoals prijzen) beschikbaar stelt aan afnemers waarmee ze al contracten hebben lopen (als datarechthebbende en datadienstgebruikers)
Een bouwplaatsbeheerder (als datadienstaanbieder) heeft een datadienst die het mogelijk maakt voor vervoerders (als datadienstgebruiker) om een tijdslot in te plannen voor het afleveren van de goederen. Om dit proces eerlijk te laten verlopen, komen de tijdsloten 48h van tevoren beschikbaar, en is het alleen mogelijk als de vervoerder ook de opdracht heeft gekregen om goederen te leveren.
In de onderliggende pagina’s worden de elementen van autorisatie verder gedetailleerd: