Applicaties en identiteiten zijn federatief

Een aantal mensen komt al enige tijd bij elkaar in de werkgroep "mens en informatie" om elkaar te discussiëren over de impact van de veranderende informatiemaatschappij op mensen en organisaties. Zij werken samen aan een boek over het onderwerp. In dit blog item een tweede concept stuk uit het hoofdstuk waarin met name op de impact op de technologie wordt gesproken. Dit stuk gaat in op dat applicaties en identiteiten steeds meer federatief worden.

Organisatiegrenzen zijn steeds meer aan het verdwijnen. Het is al lang niet meer vanzelfsprekend dat mensen hun hele leven voor een organisatie werken. Mensen kiezen steeds vaker om verder te gaan als zelfstandige professional en werken dan voor meerdere organisaties tegelijk. Daarnaast ontstaan er allerlei nieuwe vormen van samenwerking. Ketenpartijen vinden elkaar en kiezen bewust om gebruik te maken van elkaars kerncompetenties. Organisaties besteden een deel van hun processen uit zodat ze zich kunnen richten op hun kerntaken. Overheden zoals gemeenten voeren specifieke taken samen uit met buurgemeenten en delen gemeenschappelijke diensten zoals IT. Onderwijsinstellingen werken samen zodat lerenden een opleiding kunnen samenstellen uit onderdelen van curricula van verschillende onderwijsinstellingen. Burgers kunnen participeren in de beleidsvorming van overheidsorganisaties. Via sociale netwerken worden mensen lid van allerlei groepen waarin wordt gediscussieerd over specifieke onderwerpen maar waarin ook co-creatie plaats vindt. Organisaties werken samen in projectverband, bijvoorbeeld om gemeenschappelijk zaken te onderzoeken of ontwikkelen. Daarnaast worden applicaties steeds meer als een dienst aangeboden en door verschillende organisaties gebruikt.

Door dit alles is het niet meer vanzelfsprekend dat applicaties alleen toegankelijk zijn voor gebruikers van één organisatie. Mensen willen typisch ook toegang tot applicaties van ketenpartijen. Ze willen ze ook tijdelijk toegang tot projectomgevingen die door mensen van veel verschillende organisaties worden gebruikt. Lerenden willen hun eigen laptop meenemen en met het account van hun primaire onderwijsinstelling gebruik maken van het draadloze netwerk van een andere onderwijsinstelling en vervolgens tot alle applicaties die relevant zijn voor de vakken die ze daar volgen. Burgers willen één keer inloggen bij de overheid en vervolgens transparant gebruik maken van diensten van andere overheidsorganisaties. Dit vraagt een sterke vorm van samenwerking van organisaties alsook een wederzijds vertrouwen om elkaars gebruikers toegang te geven tot de verschillende systemen. Daarnaast vraagt het om veilige en beheersbare voorzieningen waarmee deze toegang kan worden verzorgd. Mensen verwachten daarnaast dat ze nog steeds maximaal worden ondersteund in hun werkzaamheden en dat alle gewenste functionaliteit op een geïntegreerde wijze wordt aangeboden. Dit betekent dat ze eigenlijk helemaal niet willen weten waar functionaliteit vandaan komt. Anderzijds verwachten ze wel dat ze zelf een grote mate van invloed hebben op welke applicaties ze gebruiken.

Dit alles leidt tot het principe:

“applicaties en identiteiten zijn federatief”

Dit betekent in eerste instantie dat het beheer van gegevens over gebruikers (identiteiten) op een andere wijze moet worden georganiseerd. Dit is grotendeels samen te vatten onder de noemer “federated identity”, wat zoveel wil zeggen als dat gebruikersgegevens ook buiten de organisatie bruikbaar zijn. Het basisidee is dat er een onderscheid wordt gemaakt tussen de organisatie die de gebruikersgegevens beheert (identity provider) en de organisatie die diensten aan biedt aan deze gebruikers (service provider). De identity provider hoeft de service provider alleen te melden of de gebruiker bekend is. Doordat er verder geen gegevens over gebruikers worden verstrekt aan de service provider wordt de integriteit en vertrouwelijkheid van deze gegevens bewaakt. De service provider wordt ontlast van het zelf beheren van gebruikersgegevens. Dit concept is inmiddels geïmplementeerd in verschillende sectoren en organisaties.

Binnen de overheid wordt het gebruikt om burgers eenmalig te laten inloggen met DigiD bij de overheid, waarna ze gebruik kunnen maken van diensten van allerlei overheidsorganisaties. Overheidsorganisaties sluiten hiervoor aan bij de eenmalig inloggen federatie. Logisch startpunt voor de burger is zijn persoonlijke Internet portaal dat hij vindt op mijnoverheid.nl, en van waaruit hij door kan naar andere overheidsorganisaties die meer gedetailleerde persoonlijke gegevens en diensten aanbieden. Ook voor bedrijven is dit concept ingevoerd; het eHerkenning netwerk is de opvolger van DigiD voor bedrijven en is gebaseerd op federatieve identiteiten. Bedrijven kunnen zelf kiezen voor een middelenuitgever die authenticatiemiddelen biedt om elektronisch zaken te kunnen doen met de overheid. Overheidsorganisaties kiezen een makelaar waarmee ze toegang krijgen tot het eHerkenning netwerk. Authenticatiediensten voeren de daadwerkelijke authenticatie uit. Ook is er een machtigingenregister waarmee bedrijven specifieke medewerkers kunnen machtigen voor toegang tot specifieke overheidsdiensten.

In het hoger onderwijs biedt SURF federatieve identiteitsdiensten via de SURFfederatie. Hierdoor kunnen lerenden met het account van hun onderwijsinstelling toegang krijgen tot diensten van andere onderwijsinstellingen of andere leveranciers van diensten die zich hebben aangesloten. SURF stelt zich daarbij op als intermediair tussen de onderwijsinstelling en dienstenleverancier waardoor beiden zich alleen hoeven aan te sluiten op de SURFfederatie en geen verdere onderlinge afspraken noodzakelijk zijn. Een voorbeeld van een dienst die is ontsloten via deze federatie is Eduroam. Hiermee is het voor een lerende or medewerker van een onderwijsinstelling mogelijk om met het eigen account draadloos toegang te krijgen tot een gastnetwerk binnen de SURFnet-doelgroep. Er zijn zelfs ook allerlei buitenlandse instellingen aangesloten bij deze dienst waardoor je ook in het buitenland gebruik kunt maken van deze faciliteiten.

Een ander belangrijke consequentie is dat gebruikers functionaliteit niet meer op één plaats kunnen vinden; het is aanwezig in applicaties die door allerlei organisaties wordt aangeboden. Dit kunnen vertrouwde ketenpartijen zijn, maar ook bijvoorbeeld leveranciers van Internetdiensten. Het werkstation van de gebruiker is niet meer de heilige en vertrouwde plaats voor applicaties. Zeker niet als je bedenkt dat gebruikers zelf ook steeds meer controle willen over hun werkstation en de applicaties die ze gebruiken, omdat ze dat thuis ook zo gewend zijn. Het liefst nemen ze hun eigen apparatuur mee naar het werk, variërend van notebook tot tablet of smartphone. En daar hebben ze natuurlijk ook gewoon hun eigen applicaties op draaien waar ze al erg aan gewend zijn en die ze het liefst ook voor hun werk zouden gebruiken. Ze willen alleen liefst wel een geïntegreerde en persoonlijke omgeving zodat ze snel en laagdrempelig bij die applicaties kunnen die ze vaak gebruiken. Een interessante ontwikkeling is die van de organisatie-specifieke “App Store”. Geïnspireerd door soortgelijke winkels voor mobiele applicaties zijn verschillende organisaties op dit moment bezig om zelf een winkel aan te bieden voor applicaties. Deze bestaan voor een deel uit applicaties die door de organisatie zelf worden aangeboden en fysiek geïnstalleerd zijn in het rekencentrum van de organisatie. Voor een ander deel bestaat deze ook uit applicaties die worden aangeboden als Internetdienst. Daarbij kan de organisatie wel een selectie maken van  applicaties die voldoen aan specifieke eisen op het gebied van bijvoorbeeld beveiliging en betrouwbaarheid. Daarnaast kan ook gewoon worden verwezen naar andere applicaties, die wellicht niet aan alle eisen voldoen maar wel nuttig kunnen zijn voor specifieke toepassingen. Het basisidee is dat de gebruiker zelf aan het stuur is en de organisatie niet meer kan opleggen of specifieke applicaties wel of niet gebruikt mogen worden. Daarbij is differentiatie overigens wel wenselijk; het voeren van een financiële administratie kan bijvoorbeeld niet zomaar per gebruiker of via eigen oplossingen van individuele gebruikers worden gevoerd.

Een andere consequentie van dit principe is dat er behoefte is aan andere voorzieningen dan de traditionele desktop om gebruikers een geïntegreerde ondersteuning te bieden. Een omgeving die de in de vorige alinea beschreven eigen vrijheid van applicaties erkent. Hierin kan worden gezocht naar oplossingen die sterk leunen op allerlei virtualisatiemechanismen zodat “traditionele” applicaties centraal beheerd kunnen worden terwijl gebruikers ze ervaren als lokale applicatie. In de toekomst zullen webapplicaties echter steeds meer de norm worden, ook voor standaard kantoortoepassingen. Webapplicaties hebben nu eenmaal standaard de eigenschap dat ze eenvoudig plaatsonafhankelijk kunnen worden aangeboden. In het verleden zijn ook zogenaamde “portalen” bedacht om een geïntegreerde webervaring te bieden aan gebruikers, met één standaard look-and-feel. Portalen weten we de gebruiker is en tonen alleen die functionaliteit en informatie die aansluit bij de rol, autorisatie en voorkeur van de gebruiker. De gebruiker logt één keer in op het portaal en het portaal zorgt er ook voor dat de gebruiker niet nogmaals hoeft in te loggen op applicaties die toegankelijk zijn via het portaal. Het portaal is opgebouwd uit kleinere applicatiecomponenten die specifieke functionaliteiten bieden (portlets). Het concept applicatie is vanuit dit perspectief ook minder belangrijk; de gebruiker selecteert die functionaliteiten die voor hem relevant zijn en hoeft niet te weten welke applicaties deze functionaliteiten bieden. De aangeboden applicatiecomponenten zijn slim genoeg om te begrijpen wie de gebruiker is en kunnen hun gedrag daar op aan passen. Daarnaast kunnen ze ook samenwerken met andere applicatiecomponenten in het portaal, waardoor de gewenste integratie op het niveau van de gebruikersinterface wordt gerealiseerd. Veel organisaties zijn verleidt geweest tot het implementeren van portalen, maar zijn daar deels op terug gekomen omdat het volledig implementeren van dit concept nogal veel inspanning vraagt. Daarnaast was de onderliggende technologie nogal complex, waardoor er veel specifieke kennis noodzakelijk was om het goed te gebruiken. In de praktijk leidde dat ertoe dat vanuit het portaal alleen bestaande applicaties werden opgestart waarbij veel van de beloofde integratie niet werd behaald. Ook sloten deze portaalomgevingen niet goed aan bij de wens tot federatie van applicaties en identiteiten over organisatiegrenzen, noch bij recente ontwikkelingen op het gebied van sociale netwerken.

Er is echter een nieuwe vorm van portalen op komst die beter passen bij deze ontwikkelingen. Het meest sprekende voorbeeld daarvan is iGoogle; een portaal die de gebruiker helemaal naar zijn eigen smaak kan inrichten. Niet alleen kan hij daarin zijn eigen look-and-feel bepalen; hij kan zijn omgeving zelf samenstellen uit applicatiecomponenten die ergens op het Internet als dienst worden aangeboden. Deze zogenaamde gadgets weten niet alleen wie de gebruiker is; ze hebben zelfs toegang tot alle gegevens die het portaal van de gebruiker heeft. Veel sociale netwerken zijn zelf ook portalen en ondersteunen ook dit soort gadgets, die hierdoor ook het sociale netwerk van de gebruiker kunnen gebruiken bij het bieden van hun functionaliteit. In de onderwijssector heeft SURF dit concept verder uitgewerkt onder de noemer SURFconext. Het idee is dat onderwijsinstellingen zelf een portaal kunnen aanbieden met dit soort eigenschappen. De gadgets kunnen deels geleverd worden door de onderwijsinstelling zelf, maar ook door SURF of leveranciers die zich conformeren aan de afgesproken standaarden. Centraal daarbij staat ook de SURFfederatie, waardoor gebruikers met hun eigen account transparant toegang kunnen krijgen tot al deze functionaliteiten. Ook heeft SURF een voorziening gecreëerd genaamd SURFteams waardoor ook over de grenzen van organisaties heen groepen van mensen kunnen worden samengesteld. Deze groepen kunnen worden gebruikt in de gadgets waardoor samenwerkingsverbanden op allerlei manieren kunnen worden hergebruikt. Er zijn inmiddels een aantal leveranciers die hun diensten geschikt hebben gemaakt voor aansluiting op SURFconext door ze in de vorm van een gadget beschikbaar te stellen. Uiteraard kunnen gebruikers deze gadgets van verschillende organisaties ook gewoon zelf in iGoogle samenstellen. De informatievoorziening van onderwijsinstellingen evolueert hiermee naar een set van gadgets die gebruikers zelf in hun omgeving integreren.

Danny Greefhorst (dgreefhorst@archixl.nl) is principal consultant en mede-directeur bij ArchiXL.