DigiD is volledig ingeburgerd in Nederland. Bij de belastingaangifte, bij de aanvraag van toeslagen of het inzien van zorgverzekeringen vertrouwen we veelal op DigiD. Het fungeert als de digitale identiteitskaart voor websites en applicaties. Gemak dient de mens, maar DigiD vereist veel van de achterliggende infrastructuur. Hoe kunnen overheidsinstellingen en dienstverleners hier goed mee omgaan?
Voor de DigiD-gebruiker is een inlognaam en wachtwoord voldoende. De overheidsdienst, zorginstelling en verzekeraar moet meer stappen zetten. Deze instellingen hebben te maken met verschillende entiteiten die toegang zoeken: burgers met DigiD, burgers zonder DigiD, bedrijven met eHerkenning, eigen medewerkers met hun credentials, verbindingen naar collega-instellingen (zoals de brandweer), gasten en bezoekers op locatie, toeleveranciers die remote-beheer uitvoeren op allerlei apparaten en apparaten met een internetaansluiting die zelf contact zoeken met systemen zoals bewakingscamera’s.
Voor hen is DigiD een extra systeem dat meer complexiteit, extra aandacht voor beveiliging en meer kans op verstoringen met zich meebrengt.
Overheidsinstellingen hebben vaak vele puntoplossingen in hun omgeving staan. Het ondersteunend personeel moet steeds meer kennis hebben, want alle producten worden elk jaar slimmer. Dit drukt zwaar op het personeel. Er is een tekort aan goede mensen, en/of de overheid kan ze niet vinden, dan wel overtuigen om voor de overheid te gaan werken.
Gebruikte techniek
Voordat we naar oplossingen kijken, duiken we eerst in de techniek. DigiD kent meerdere technieken om identificatie mogelijk te maken. De meest moderne is SAML 2.0. Deze Security Assertion Markup Language is een gestandaardiseerd communicatieprotocol dat op XML is gebaseerd en gebruikmaakt van objecten en attributen. Hierdoor zijn er diverse varianten van SAML-implementaties mogelijk die onderling sterk van functionaliteit kunnen verschillen. In alle gevallen stelt SAML ons in staat om authenticatie en autorisatie tussen websites mogelijk te maken.
Hiertoe kent SAML twee entiteiten:
- SAML-serviceprovider (SP): de website van de dienst die met gebruik van SAML ontsloten moet worden;
- SAML-identityprovider (IdP): de website die de authenticatie en autorisatie van een gebruiker uitvoert.
Bij het gebruik van SAML voor identificatie op overheidswebsites fungeert DigiD als SAML-identityprovider en de te ontsluiten overheidsdienst als SAML-serviceprovider.
Het is belangrijk te realiseren dat SAML een framework is dat optioneel gebruikmaakt van objecten en attributen. Een doorsneesysteem dat voorziet in SAML 2.0 zal over het algemeen niet alle objecten en attributen ondersteunen. DigiD maakt bijvoorbeeld gebruik van een directe koppeling tussen de SAML-SP en de SAML-IdP. Verder worden er een aantal optionele SAML-attributen gebruikt. Hierdoor zal niet iedere leverancier van een SAML-oplossing de DigiD SAML-implementatie ondersteunen.
SAML integreren in de netwerktechnologie
Kosten besparen is van alle tijden; tegenwoordig zeggen we in onze branche dat de total cost of ownership zo laag mogelijk moet zijn. Dit heeft geresulteerd in het consolideren van verschillende functies op één apparaat. Routers kregen firewalls geïntegreerd, switches kregen L3-routers erbij en load balancers werden uitgerust met functionaliteit voor SSL offload, access gateway, web application firewalls, wat zelfs resulteerde in een nieuwe naam: application delivery controller (ADC).
Consolidatie is het sleutelwoord, maar tot voor kort ging dit dus niet op voor DigiD, omdat de ondersteuning simpelweg ontbrak. Nu zien we eindelijk de eerste ADC-platformen die dat wel doen en (eventueel gelijktijdig op één machine) zowel SAML-IdP- als SAML-SP-functionaliteit bieden. Dit is van groot belang voor de overheids- en zorginstellingen. Als een ADC-platform het door Logius gespecificeerde SAML-koppelvlak voor authenticatie en autorisatie ondersteunt, zijn websites gemakkelijk te ontsluiten op basis van DigiD. Het maakt het gebruik van DigiD veel laagdrempeliger en eenvoudiger, omdat de ADC in veel gevallen al gebruikt wordt voor authenticatie van gebruikers en het load balancen en ontsluiten van applicaties.
Als daar DigiD bij kan komen, zijn heel veel functies door één apparaat te laten verzorgen en heb je minder separate oplossingen, met hun eigen beheerperikelen, nodig. Dit maakt de benodigde infrastructuur minder complex waardoor de beheerslast en daardoor de total cost of ownership lager is.
Deze bijdrage is mede tot stand gekomen dankzij mijn collega Jan-Bart Hilhorst.
ik hoor net dat het instant houden van DigiD 200 miljoen per jaar kost.
Nu ben ik erg benieuwd waar die kosten dan inzitten?