Thema-architectuur Werken met API's


Aanleiding[bewerken]

In 2017 zijn gemeenten, VNG en leveranciers onder de naam ‘Common Ground’ een nieuwe informatiekundige weg ingeslagen. Een belangrijk doel daarbij was om data niet meer op te slaan binnen 'silo-systemen' maar om data (ook) op een gestandaardiseerde manier beschikbaar te stellen voor hergebruik. Ontsluiten van data uit registraties gebeurt via 'Application Programming Interfaces' (APIs): software-interfaces die andere software-applicaties kunnen gebruiken voor gebruik van data of functionaliteit. Meer gebruik van API's stelt nieuwe eisen aan de architectuur en daarop gebaseerde bedrijfsvoering en informatievoorziening.

Doel[bewerken]

De thema-architectuur 'Werken met API's' heeft als doel om te beschrijven hoe architectuur om goed met API's te kunnen werken er uit ziet. Daarbij geldt dat veel vraagstukken niet gemeente-specifiek zijn. Reden om vaker te verwijzen naar bronnen waar al bruikbare informatie is te vinden.

Gelet op het belang voor gemeenten is binnen de GEMMA als eerste uitgewerkt hoe API's verantwoord en veilig zijn te gebruiken. Klassiek identiteits- en toegangsbeheer, met de focus op authenticatie en autorisatie van medewerkers en applicaties, volstaat daarvoor niet. De GEMMA heeft als doel om voor gemeenten en leveranciers te beschrijven hoe met name authenticatie- en autorisatiebeheer daarvoor fundamenteel anders moeten worden ingericht.

Het is wenselijk dat API's op een vergelijkbare manier zijn te gebruiken. Overheidsbreed en specifiek voor gemeenten zijn daarvoor verschillende soorten (API-)standaarden ontwikkeld. De thema-architectuur beschrijft om wat voor standaarden het daarbij gaat, wat de meerwaarde ervan is en wat er zoal bij gebruik komt kijken.

Architectuur[bewerken]

De GEMMA gebruikt service-oriëntatie als leidende architectuurstijl. Daarbij maken applicatiecomponenten via, bij voorkeur gestandaardiseerde, API's gebruik van elkaars services. Gebruik van API's is daarbij niets nieuws. Maar de manier waarop en het toenemend gebruik ervan maakt het belangrijk om binnen de architectuur uit te werken.

Meer gebruik maken van API's vereist maatregelen op meerdere gebieden. In termen van architectuur raakt het zowel de bedrijfs-, informatie- als technische architectuur. Voor een overzicht en beschrijving van een veelheid aan benodigde generieke functies ('capability's') maken we gebruik van het 'API capability model' van de Nederlandse API Strategie. Die functies beschrijven de bekwaamheden of vermogens waarover partijen moeten (gaan) beschikken om goed met API's te kunnen werken.

De thema-architectuur werkt uit hoe toegangsbeheer plaats moet vinden binnen een applicatielandschap waar intensief van API's gebruik wordt gemaakt. Bekende mechanismen voor toegang en informatiebeveiliging, zoals Role- (RBAC) en Attribute- based Access (ABAC), zijn te grofmazig en bijvoorbeeld niet geschikt om te kunnen verantwoorden wie wanneer voor welk doel bepaalde data heeft gebruikt. Om de toegang tot systemen en bronnen via API's goed te kunnen beheren is een ontwikkeling richting 'Policy Based Access' nodig. Daarbij worden beleidsregels gedefinieerd waarmee betrouwbaar is vast te stellen of toegang tot een API geoorloofd is of niet. Invoeren hiervan vereist zowel technische als organisatorische veranderingen en zal langere tijd vergen.

De ontkoppeling die werken met API's met zich meebrengt vereist een architectuur waarbij geen enkele gebruiker, systeem of API inherent vertrouwd wordt (ook afnemers binnen dezelfde (netwerk)omgeving niet). Er moet altijd verificatie en autorisatie op basis van identiteit plaatsvinden, op basis waarvan toegang tot bronnen wordt bepaald. De thema-architectuur beschrijft naast een aantal beveiligingsrichtlijnen voor API's, het type architectuur dat wordt aangeduid met de term 'Zero Trust Architectuur'. Een architectuur waarbinnen het 'niets-en-niemand-vertrouwen principe' geldt. Algemene aspecten van een Zero Trust Architectuur worden uitgewerkt in de Thema-architectuur Privacy en Informatiebeveiliging. Hier wordt met name beschreven wat in relatie tot gebruik van API's relevant is.

Producten

Meer informatie
Zero trust architectuur:

NORA:

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Systematische en meestal in een informatiesysteem opgeslagen beschrijvingen van instanties van concepten.

Afkorting van 'application programming interface': een manier om twee of meer computerprogramma's met elkaar te laten communiceren. Het is een soort software-interface die een dienst aanbiedt aan andere stukjes software.

De fundamentele concepten of eigenschappen van een systeem in zijn omgeving belichaamd in zijn elementen, relaties en in de principes van zijn ontwerp en evolutie.

Het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van de organisatie.

Betekenisvolle gegevens.

De GEMeentelijke ModelArchitectuur met een verzameling samenhangende kaders, richtlijnen, referentiemodellen en standaarden die gemeenten helpt bij het inrichten van hun IT-omgeving en processen.

Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen.

De fundamentele concepten of eigenschappen van een systeem in zijn omgeving belichaamd in zijn elementen, relaties en in de principes van zijn ontwerp en evolutie.

Een manier van denken in termen van services, service-based ontwikkeling en de uitkomsten van services.

Een beschrijving van de structuur en interactie van de technologiediensten en technologiecomponenten.

Een vermogen waarover een organisatie, persoon of systeem beschikt.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem.

De eenheid van wezen, volkomen overeenstemming en gelijkheid. Dat wat uniek of eigen is aan iets of iemand. Het kan daarbij gaan om zowel personen als organisaties of landen.

Overgenomen van "https://www.gemmaonline.nl/index.php?title=Thema-architectuur_Werken_met_API%27s&oldid=1062001"
Deze pagina is het laatst bewerkt op 18 apr 2024 om 14:00.