Hardwarematige authenticatiemiddelen als smartcards hebben altijd uitgeblonken in hun hoge prijs. Veel overheidsinstanties gebruiken sinds kort bestaande passen voor autorisatie met LDAP, ActiveDirectory of een SQL-database.
Het Leids Universitair Medisch Centrum is een van de organisaties die goede ervaringen heeft met het door Surfnet ontwikkelde A-Select. “Door gebruik te maken van de middleware A-Select, kan het ziekenhuis een bankpas of andere in omloop zijnde passen gebruiken voor sterke authenticatie op een server of in een applicatie zoals het elektronisch patiëntendossier”, zegt Erik Flikkenschild, die de invoering van de software in het ziekenhuis begeleidde. “Een bijkomend voordeel is dat ik als beheerder volledig mijn eigen beleid kan blijven voeren. Het is tenslotte nog niet helemaal duidelijk welke authenticatievorm in de toekomst zal doorbreken.”
A-Select is gebaseerd op authenticatie via tokens als een bankpas of een andere chippas die al binnen een organisatie gebruikt wordt. Ook ondersteunt het zwakke authenticatie via alleen gebruikersnaam en wachtwoord. Zodra de identiteit van de gebruiker is vastgesteld, krijgt deze toegang tot de voor hem geldende applicatie of portal. Voor de gebruiker speelt het hele authenticatieproces zich vooral achter de schermen af. Wie een door authenticatie afgeschermde applicatie wil openen, krijgt eerst een eenvoudig inlogmenu te zien. Hier wordt een inlogmethode gekozen. Dat kan zijn via de bankpas, maar ook een RSA-token of gsm kan als sterke authenticatiemethode worden gekozen.
Bankpas
Het voordeel van authenticatie via de bankpas van Rabobank en ABN/AMRO is dat er geen aparte kaartlezer voor nodig is. De techniek is gebaseerd op het internetbankieren van beide banken en maakt gebruik van de offline kaartlezer die niet gebruikersspecifiek is, waardoor de kosten laag blijven. Wie zijn lezer vergeet, kan die van een ander gebruiken. Het onderhoud van de kaart en de lezer wordt ook niet gedragen door de beheerder van het netwerk, maar door de banken. Dat houdt de kosten beheersbaar.
Om A-Select te kunnen gebruiken, moet een A-Select-server worden ingericht. Deze is gebouwd op basis van Java en maakt gebruik van Secure Sockets Layer (SSL). A-Select draait zowel met Apache als Internet Information Services (IIS). De gebruiker hoeft slechts te beschikken over een browser die cookies accepteert. In principe kan vrijwel elke applicatie geschikt worden gemaakt om via de A-Select server te worden aangestuurd. Er is inmiddels een lange lijst applicaties die gebruiksklaar zijn, maar deze richten zich voor een groot deel op het onderwijs.
Aanpalende sectoren, zoals de gezondheidszorg en bibliotheken, werken inmiddels ook met de software, waardoor deze nu verder wordt uitgebouwd. “Na het onderwijs waren het de bibliotheken die A-Select snel oppikten”, vertelt Bart Kerver van Surfnet. “Die hebben een soort federatie gebouwd waar je met je lokale bibliotheekkaart boeken kan bestellen bij andere bibliotheken. Via een gelaagd model met een landelijke proxy is hier sprake van een soort gefedereerd identity management.” Vervolgens is het balletje gaan rollen richting overheid en zij hebben gekeken of de Belastingdienst hier geen gebruik van kon maken. Het probleem was echter dat de code inmiddels wel vrij was voor het hoger onderwijs, maar niet voor andere doeleinden. “Gebruikers waren bang dat als men op deze voorwaarden ging standaardiseren en opeens de licentie onderuit gehaald zou worden, dat ze dan in problemen zou komen”, vertelt Kerver. Toen is besloten om de code in z’n geheel af te kopen en vanaf midden 2005 is A-Select open source onder een Apache-achtige licentie.
Gebruikers waren erg tevreden over het authenticeren en het aanhaken op de legacy back-ends zoals LDAP, ActiveDirectory of een SQL-database. Ook het verknopen met applicaties ging perfect, maar men wilde meer. Zo was er een sterke wens om gebruikerskenmerken te koppelen. Gebruikers vragen naar personalisatie. Men wil bijvoorbeeld weten wat de voor- en achternaam van een gebruiker is of wat de rol van een specifieke gebruiker is binnen een bepaalde omgeving. Met attribuutvergaring kun je vanuit een back-end gegevens over een gebruiker opvragen die vervolgens op een gecontroleerde wijze door het netwerk heen gecommuniceerd worden. Iedere applicatie die door A-Select is ontsloten kan zo eigen gebruikersattributen uit de LDAP-database aangeleverd krijgen.
Nieuwe ontwikkelingen
Afgelopen september is versie 1.4.2 uitgekomen, waarmee het mogelijk is om op basis van reguliere expressies aan toegangscontrole te doen. Je kunt nu een regel opnemen waarbij je een gebruiker zichzelf eerst laat authenticeren, er gebruikerskenmerken bijkomen en waar je kunt zeggen dat deze gebruiker een bepaalde applicatie alleen maar kan benaderen als het een werkdag is tussen acht uur ‘s ochtends en vijf uur ‘s middags met als gebruikerstype ‘student’. De volgende stap in de ontwikkeling van A-Select is dat sinds de overheid met DigID gebruik maakt van A-Select, er wordt gekeken naar een herontwerp. In de toekomstige versies wordt alles opnieuw onder de loep genomen. Een van de belangrijke punten daarbij wordt standaardisatie en aansluiting bij industriestandaarden zoals SAML. In wat straks versie 1.5 gaat worden ondersteunt A-Select volledig het SAML 1.1-protocol volgens de specificaties van OASIS.
