Een aantal mensen komt al enige tijd bij elkaar in de werkgroep "mens en informatie" om elkaar te discussiëren over de impact van de veranderende informatiemaatschappij op mensen en organisaties. Zij werken samen aan een boek over het onderwerp. In dit blog item een tweede concept stuk uit het hoofdstuk waarin met name op de impact op de technologie wordt gesproken. Dit stuk gaat in op dat applicaties en identiteiten steeds meer federatief worden.

Organisatiegrenzen zijn steeds meer aan het verdwijnen. Het is al lang niet meer vanzelfsprekend dat mensen hun hele leven voor een organisatie werken. Mensen kiezen steeds vaker om verder te gaan als zelfstandige professional en werken dan voor meerdere organisaties tegelijk. Daarnaast ontstaan er allerlei nieuwe vormen van samenwerking. Ketenpartijen vinden elkaar en kiezen bewust om gebruik te maken van elkaars kerncompetenties. Organisaties besteden een deel van hun processen uit zodat ze zich kunnen richten op hun kerntaken. Overheden zoals gemeenten voeren specifieke taken samen uit met buurgemeenten en delen gemeenschappelijke diensten zoals IT. Onderwijsinstellingen werken samen zodat lerenden een opleiding kunnen samenstellen uit onderdelen van curricula van verschillende onderwijsinstellingen. Burgers kunnen participeren in de beleidsvorming van overheidsorganisaties. Via sociale netwerken worden mensen lid van allerlei groepen waarin wordt gediscussieerd over specifieke onderwerpen maar waarin ook co-creatie plaats vindt. Organisaties werken samen in projectverband, bijvoorbeeld om gemeenschappelijk zaken te onderzoeken of ontwikkelen. Daarnaast worden applicaties steeds meer als een dienst aangeboden en door verschillende organisaties gebruikt.

Door dit alles is het niet meer vanzelfsprekend dat applicaties alleen toegankelijk zijn voor gebruikers van één organisatie. Mensen willen typisch ook toegang tot applicaties van ketenpartijen. Ze willen ze ook tijdelijk toegang tot projectomgevingen die door mensen van veel verschillende organisaties worden gebruikt. Lerenden willen hun eigen laptop meenemen en met het account van hun primaire onderwijsinstelling gebruik maken van het draadloze netwerk van een andere onderwijsinstelling en vervolgens tot alle applicaties die relevant zijn voor de vakken die ze daar volgen. Burgers willen één keer inloggen bij de overheid en vervolgens transparant gebruik maken van diensten van andere overheidsorganisaties. Dit vraagt een sterke vorm van samenwerking van organisaties alsook een wederzijds vertrouwen om elkaars gebruikers toegang te geven tot de verschillende systemen. Daarnaast vraagt het om veilige en beheersbare voorzieningen waarmee deze toegang kan worden verzorgd. Mensen verwachten daarnaast dat ze nog steeds maximaal worden ondersteund in hun werkzaamheden en dat alle gewenste functionaliteit op een geïntegreerde wijze wordt aangeboden. Dit betekent dat ze eigenlijk helemaal niet willen weten waar functionaliteit vandaan komt. Anderzijds verwachten ze wel dat ze zelf een grote mate van invloed hebben op welke applicaties ze gebruiken.

Dit alles leidt tot het principe:

“applicaties en identiteiten zijn federatief”

Dit betekent in eerste instantie dat het beheer van gegevens over gebruikers (identiteiten) op een andere wijze moet worden georganiseerd. Dit is grotendeels samen te vatten onder de noemer “federated identity”, wat zoveel wil zeggen als dat gebruikersgegevens ook buiten de organisatie bruikbaar zijn. Het basisidee is dat er een onderscheid wordt gemaakt tussen de organisatie die de gebruikersgegevens beheert (identity provider) en de organisatie die diensten aan biedt aan deze gebruikers (service provider). De identity provider hoeft de service provider alleen te melden of de gebruiker bekend is. Doordat er verder geen gegevens over gebruikers worden verstrekt aan de service provider wordt de integriteit en vertrouwelijkheid van deze gegevens bewaakt. De service provider wordt ontlast van het zelf beheren van gebruikersgegevens. Dit concept is inmiddels geïmplementeerd in verschillende sectoren en organisaties.

Binnen de overheid wordt het gebruikt om burgers eenmalig te laten inloggen met DigiD bij de overheid, waarna ze gebruik kunnen maken van diensten van allerlei overheidsorganisaties. Overheidsorganisaties sluiten hiervoor aan bij de eenmalig inloggen federatie. Logisch startpunt voor de burger is zijn persoonlijke Internet portaal dat hij vindt op mijnoverheid.nl, en van waaruit hij door kan naar andere overheidsorganisaties die meer gedetailleerde persoonlijke gegevens en diensten aanbieden. Ook voor bedrijven is dit concept ingevoerd; het eHerkenning netwerk is de opvolger van DigiD voor bedrijven en is gebaseerd op federatieve identiteiten. Bedrijven kunnen zelf kiezen voor een middelenuitgever die authenticatiemiddelen biedt om elektronisch zaken te kunnen doen met de overheid. Overheidsorganisaties kiezen een makelaar waarmee ze toegang krijgen tot het eHerkenning netwerk. Authenticatiediensten voeren de daadwerkelijke authenticatie uit. Ook is er een machtigingenregister waarmee bedrijven specifieke medewerkers kunnen machtigen voor toegang tot specifieke overheidsdiensten.

In het hoger onderwijs biedt SURF federatieve identiteitsdiensten via de SURFfederatie. Hierdoor kunnen lerenden met het account van hun onderwijsinstelling toegang krijgen tot diensten van andere onderwijsinstellingen of andere leveranciers van diensten die zich hebben aangesloten. SURF stelt zich daarbij op als intermediair tussen de onderwijsinstelling en dienstenleverancier waardoor beiden zich alleen hoeven aan te sluiten op de SURFfederatie en geen verdere onderlinge afspraken noodzakelijk zijn. Een voorbeeld van een dienst die is ontsloten via deze federatie is Eduroam. Hiermee is het voor een lerende or medewerker van een onderwijsinstelling mogelijk om met het eigen account draadloos toegang te krijgen tot een gastnetwerk binnen de SURFnet-doelgroep. Er zijn zelfs ook allerlei buitenlandse instellingen aangesloten bij deze dienst waardoor je ook in het buitenland gebruik kunt maken van deze faciliteiten.

Een ander belangrijke consequentie is dat gebruikers functionaliteit niet meer op één plaats kunnen vinden; het is aanwezig in applicaties die door allerlei organisaties wordt aangeboden. Dit kunnen vertrouwde ketenpartijen zijn, maar ook bijvoorbeeld leveranciers van Internetdiensten. Het werkstation van de gebruiker is niet meer de heilige en vertrouwde plaats voor applicaties. Zeker niet als je bedenkt dat gebruikers zelf ook steeds meer controle willen over hun werkstation en de applicaties die ze gebruiken, omdat ze dat thuis ook zo gewend zijn. Het liefst nemen ze hun eigen apparatuur mee naar het werk, variërend van notebook tot tablet of smartphone. En daar hebben ze natuurlijk ook gewoon hun eigen applicaties op draaien waar ze al erg aan gewend zijn en die ze het liefst ook voor hun werk zouden gebruiken. Ze willen alleen liefst wel een geïntegreerde en persoonlijke omgeving zodat ze snel en laagdrempelig bij die applicaties kunnen die ze vaak gebruiken. Een interessante ontwikkeling is die van de organisatie-specifieke “App Store”. Geïnspireerd door soortgelijke winkels voor mobiele applicaties zijn verschillende organisaties op dit moment bezig om zelf een winkel aan te bieden voor applicaties. Deze bestaan voor een deel uit applicaties die door de organisatie zelf worden aangeboden en fysiek geïnstalleerd zijn in het rekencentrum van de organisatie. Voor een ander deel bestaat deze ook uit applicaties die worden aangeboden als Internetdienst. Daarbij kan de organisatie wel een selectie maken van  applicaties die voldoen aan specifieke eisen op het gebied van bijvoorbeeld beveiliging en betrouwbaarheid. Daarnaast kan ook gewoon worden verwezen naar andere applicaties, die wellicht niet aan alle eisen voldoen maar wel nuttig kunnen zijn voor specifieke toepassingen. Het basisidee is dat de gebruiker zelf aan het stuur is en de organisatie niet meer kan opleggen of specifieke applicaties wel of niet gebruikt mogen worden. Daarbij is differentiatie overigens wel wenselijk; het voeren van een financiële administratie kan bijvoorbeeld niet zomaar per gebruiker of via eigen oplossingen van individuele gebruikers worden gevoerd.

Een andere consequentie van dit principe is dat er behoefte is aan andere voorzieningen dan de traditionele desktop om gebruikers een geïntegreerde ondersteuning te bieden. Een omgeving die de in de vorige alinea beschreven eigen vrijheid van applicaties erkent. Hierin kan worden gezocht naar oplossingen die sterk leunen op allerlei virtualisatiemechanismen zodat “traditionele” applicaties centraal beheerd kunnen worden terwijl gebruikers ze ervaren als lokale applicatie. In de toekomst zullen webapplicaties echter steeds meer de norm worden, ook voor standaard kantoortoepassingen. Webapplicaties hebben nu eenmaal standaard de eigenschap dat ze eenvoudig plaatsonafhankelijk kunnen worden aangeboden. In het verleden zijn ook zogenaamde “portalen” bedacht om een geïntegreerde webervaring te bieden aan gebruikers, met één standaard look-and-feel. Portalen weten we de gebruiker is en tonen alleen die functionaliteit en informatie die aansluit bij de rol, autorisatie en voorkeur van de gebruiker. De gebruiker logt één keer in op het portaal en het portaal zorgt er ook voor dat de gebruiker niet nogmaals hoeft in te loggen op applicaties die toegankelijk zijn via het portaal. Het portaal is opgebouwd uit kleinere applicatiecomponenten die specifieke functionaliteiten bieden (portlets). Het concept applicatie is vanuit dit perspectief ook minder belangrijk; de gebruiker selecteert die functionaliteiten die voor hem relevant zijn en hoeft niet te weten welke applicaties deze functionaliteiten bieden. De aangeboden applicatiecomponenten zijn slim genoeg om te begrijpen wie de gebruiker is en kunnen hun gedrag daar op aan passen. Daarnaast kunnen ze ook samenwerken met andere applicatiecomponenten in het portaal, waardoor de gewenste integratie op het niveau van de gebruikersinterface wordt gerealiseerd. Veel organisaties zijn verleidt geweest tot het implementeren van portalen, maar zijn daar deels op terug gekomen omdat het volledig implementeren van dit concept nogal veel inspanning vraagt. Daarnaast was de onderliggende technologie nogal complex, waardoor er veel specifieke kennis noodzakelijk was om het goed te gebruiken. In de praktijk leidde dat ertoe dat vanuit het portaal alleen bestaande applicaties werden opgestart waarbij veel van de beloofde integratie niet werd behaald. Ook sloten deze portaalomgevingen niet goed aan bij de wens tot federatie van applicaties en identiteiten over organisatiegrenzen, noch bij recente ontwikkelingen op het gebied van sociale netwerken.

Er is echter een nieuwe vorm van portalen op komst die beter passen bij deze ontwikkelingen. Het meest sprekende voorbeeld daarvan is iGoogle; een portaal die de gebruiker helemaal naar zijn eigen smaak kan inrichten. Niet alleen kan hij daarin zijn eigen look-and-feel bepalen; hij kan zijn omgeving zelf samenstellen uit applicatiecomponenten die ergens op het Internet als dienst worden aangeboden. Deze zogenaamde gadgets weten niet alleen wie de gebruiker is; ze hebben zelfs toegang tot alle gegevens die het portaal van de gebruiker heeft. Veel sociale netwerken zijn zelf ook portalen en ondersteunen ook dit soort gadgets, die hierdoor ook het sociale netwerk van de gebruiker kunnen gebruiken bij het bieden van hun functionaliteit. In de onderwijssector heeft SURF dit concept verder uitgewerkt onder de noemer SURFconext. Het idee is dat onderwijsinstellingen zelf een portaal kunnen aanbieden met dit soort eigenschappen. De gadgets kunnen deels geleverd worden door de onderwijsinstelling zelf, maar ook door SURF of leveranciers die zich conformeren aan de afgesproken standaarden. Centraal daarbij staat ook de SURFfederatie, waardoor gebruikers met hun eigen account transparant toegang kunnen krijgen tot al deze functionaliteiten. Ook heeft SURF een voorziening gecreëerd genaamd SURFteams waardoor ook over de grenzen van organisaties heen groepen van mensen kunnen worden samengesteld. Deze groepen kunnen worden gebruikt in de gadgets waardoor samenwerkingsverbanden op allerlei manieren kunnen worden hergebruikt. Er zijn inmiddels een aantal leveranciers die hun diensten geschikt hebben gemaakt voor aansluiting op SURFconext door ze in de vorm van een gadget beschikbaar te stellen. Uiteraard kunnen gebruikers deze gadgets van verschillende organisaties ook gewoon zelf in iGoogle samenstellen. De informatievoorziening van onderwijsinstellingen evolueert hiermee naar een set van gadgets die gebruikers zelf in hun omgeving integreren.

Weergaven: 340

Reactie van Mark Paauwe (Founder of Dragon1) op 31 Mei 2012 op 10.07

Danny,

Een interessante uiteenzetting. Ik denk dat je de spijker op zijn kop slaat betreffende federatie van applicaties.

Om bij organisaties nog sneller een beeld te krijgen over wat het echte principe in dit geval is en welke besluiten dienen te worden genomen om aan gestelde business eisen te voldoen en dit principe in de organisatie (of een verbond van organisaties) aan de gang te krijgen, vlieg ik hem meestal net wat anders aan. Zonder overigens belerend te willen beschrijf ik hieronder mijn gedachtengang op.Het gaat mij om de discussie hierover.

REQUIREMENT

Jouw uitspraak "Applicaties en identiteiten zijn federatief" zijn wat ik noem aan de hand van het Dragon1 begrippenkader een requirement of een beschrijving van een gewenste of vereiste toekomstige situatie. Maar de uitspraak is volgens mij geen principe. De uitspraak is mogelijk voor een bepaalde tijdsperiode waar maar ook niet waar binnen een zelfde context. De uitspraak is behoorlijk abstract en zal niet door iedereen gelijk begrepen worden.

Als een manager deze eis stelt “dat applicatie en identiteiten zijn federatief” op moment X in omgeving Y, dan is nog wel behoefte aan het uitleggen wat onder deze drie woorden wordt verstaan om misverstanden zoveel mogelijk uit de weg te gaan. Bijvoorbeeld:  “softwareapplicaties en virtuele gebruikersidentiteiten worden gemeenschappelijk beheerd en aangeboden binnen het verbond van organisaties (de federaties)”.

Aan een dergelijke eis voldoen in een omgeving levert vele voordelen op, zoals het niet redundant beschikbaar hoeven hebben van gebruikersadministraties en applicaties en dus lagere kosten en ook meer naadloos van verschillende applicaties gebruik kunnen maken met dezelfde identiteit op basis van één enkele keer inloggen.

Deze eis “Applicaties en identiteiten zijn federatief” kan nog verder worden verduidelijkt met visualisaties (situatieschetsen en situatietekeningen) die laten zien dat iemand inlogt op de omgeving van zijn organisatie, terwijl gebruikersauthenticatie plaatsvindt met behulp van een gebruikersadministratie bij een andere organisatie in de federatie en dat resultaatgegevens via open industrie standaarden worden gecommuniceerd. Een ook dat applicaties vanuit eenzelfde gebruikersidentiteit kunnen worden gebruikt terwijl die applicaties worden beschikbaar gesteld door andere organisaties, ook weer op basis van open industriestandaarden. Naadloos surf je van de ene applicatie naar de andere applicatie. Een droom die uitkomt!

PRINCIPE

Maar nu….

Om een oplossing te ontwerpen en te realiseren die aan deze gestelde eis voldoet, wil je als architect een oplossing hebben die op een essentieel juiste wijze werkt. In onze vakliteratuur blijkt dan dat het concept Federated Identity Management (FIdM) een vaak beproefd concept is hiervoor. Het short statement van het principe conform de Dragon1-definitie (de gehandhaafde wijze waarop een entiteit werkt en resultaten produceert) van het concept Federated Identity Management is dan bijvoorbeeld:

door overal en altijd gebruik te maken van open industrie standaarden of gepubliceerde specificaties voor oa. authenticatie-resultaten en beschikbaar stellen van applicaties in een verbonds-omgeving wordt ervoor gezorgd dat gebruikers éénmaal op een gemeenschappelijke gebruikersadministratie hoeven te worden geauthenticeerd waarna ze van alle mogelijke door de organisaties beschikbaar gestelde applicaties onder een rechtenstructuur gebruik kunnen maken, waarmee organisaties bijvoorbeeld tegen lagere kosten en met minder redundantie applicaties beschikbaar kunnen stellen en applicaties meer naadloos kunnen laten gebruiken”

De verkorte wervende titel van het principe van Federated Identity Management zou kunnen zijn “Open standaarden maken federatie van applicaties en identiteiten mogelijk

Op deze wijze het principe van een concept uitleggen, in dit geval het concept Federated Identity Management, laat zien wanneer en onder welke omstandigheden een dergelijk concept eigenlijk van toepassing is in een organisatie. Ik zelf vindt het nog belangrijker dat wil je een dergelijk concept effectief laten werken in de organisatie, het duidelijk is dat de opdrachtgever er voor moet kiezen dat authenticatie-resultaat-communicatie en beschikbaarstelling van applicaties moet plaatsvinden op basis van open standaarden of gepubliceerde specificaties. Alleen zo is dan organisatieoverstijgend te garanderen dat iemand na geauthenticeert te zijn zich alleen zo als bedoeld en toegestaan via een rechtstructuur kan gedragen in een omgeving en gebruik kan maken van applicaties. In geval van open standaarden en gepubliceerde specificaties kan iemand of een organisatie niet zo maar communicatieregels veranderen van die standaard of specificatie.

Door van het short statement van een principe een principeschets te maken of principedetailtekening wordt het voor beslissers zelf nog een stapje eenvoudiger om de keuze te maken voor communicatie op basis van open industrie standaarden of gepubliceerde specificaties.

Andere uitspraken die ook vaak als principe worden gebombardeerd maar eigenlijk een requirement zijn, zijn bijvoorbeeld:

  • No wrong door
  • Afnemers worden niet geconfronteerd met overbodige vragen

Nog te vaak krijgen organisaties dit echt niet (snel genoeg) aan de gang en pleit ik ervoor dat principes daarom anders worden geformuleerd en vooral worden gevisualiseerd.

Ik zal binnenkort een principeschets of principetekening hier plaatsen van deze principe. Maar ik nodig of daag ook anderen uit het principe van het concept FidM te visualiseren en te voorzien van te nemen beleidsmaatregelen om het effectief in te voeren in een (verbond van) organisaties.

Reactie van Danny Greefhorst op 31 Mei 2012 op 21.16

Beste Mark,

Ik weet dat jij andere termen hanteert en een eigen visie hebt, daar hebben we ook al vaker over gesproken. Ik denk echter dat het niet zo zinnig is om in een blog item een uitgebreide discussie te gaan voeren over welke woorden of interpretaties het best zijn. Ik hanteer zoals ik ook beschreven heb in mijn boek over architectuurprincipes een consistente set van termen en interpretaties die naar mijn idee ook aansluit bij wat gangbaar is in de markt. De informatie die jij verwoordt in jouw formulering van het principe is ook aanwezig in mijn interpretatie, alleen in wat andere vorm. Je zou het gehele blog item kunnen zien als een beschrijving van het principe, die je uiteraard ook in veel kortere vorm kunt opschrijven afhankelijk van het doel en de doelgroep van je communicatie. Het belangrijkst is dat we het eens zijn over de waarde van het principe. Daarnaast is belangrijk om te constateren dat dit een algemeen principe is (het komt ook in een boek) dat uiteraard vertaald en verfijnd dient te worden naar de context van een specifieke organisatie.

Mvgr,

Danny

Opmerking

Je moet lid zijn van Via Nova Architectura om reacties te kunnen toevoegen!

Wordt lid van Via Nova Architectura

Sponsoren

Advertenties

Je kunt hier adverteren

© 2019   Gemaakt door Stichting Digital Architecture.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden