Authenticatie-standaarden (OpenID.NLGov en SAML)

Inhoudsopgave

Content

Status

Lijst status
  • ‘Verplicht (pas toe of leg uit’) betekent dat de standaard verplicht moet worden uitgevraagd en toegepast volgens de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten.
  • ‘Aanbevolen’ betekent dat dit een gangbare of opkomende standaard is waarvan het Forum Standaardisatie het gebruik aanbeveelt.
  • ‘In behandeling’ wil zeggen dat de standaard wordt getoetst voor opname op de lijst.
  • ‘Archief’ betekent in het verleden op de lijst gestaan heeft of in behandeling geweest is en nu niet (meer) verplicht of aanbevolen is.
Verplicht (pas toe leg uit)
Functioneel toepassingsgebied

Beschrijft de toepassing(en) waarvoor het gebruik van de standaard verplicht is of aanbevolen wordt (afhankelijk van de lijststatus).

Authenticatie-standaarden (OpenID.NLGov en SAML) moeten worden toegepast door aanbieders van identitydiensten, onder wie identity providers en identity brokers/gateways, op hun externe koppelvlak aan serviceproviders (d.w.z. overheden met digitale diensten) voor federatieve toegang en voor de uitwisseling van attributen, waaronder identiteitsgegevens, zodat serviceproviders de keuze hebben tussen beide standaarden.
Organisatorisch werkingsgebied

Benoemt de organisaties waarvoor de verplichting geldt.

Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
Europese status

‘Ja’ betekent dat de standaard is erkend door het Multi Stakeholder Platform on ICT Standardisation van de Europese Commissie.

Nut en werking

Typering

Authenticatie
Nut

[ nut ]
Werking

[ werking ]
Domein
Trefwoorden

Detailinformatie

Volledige naam

Authenticatie-standaarden (OpenID.NLGov en SAML)
Versie

Zie: ‘Toelichting bij opname’
Specificatiedocument
Beheerorganisatie
Logius, OASIS

Toepassing

Community

Organisaties waar men terecht kan voor adoptieondersteuning, best practices, use cases en informatie over de standaard.

Toetsingsinformatie

Toelichting bij opname

De Authenticatie-standaarden op de 'Pas toe of leg uit'-lijst van het Forum Standaardisatie bestaan uit:

  • OpenID.NLGov, Nederlands overheidsprofiel op OpenID Connect, versie 1.0.1
  • SAML, versie 2.0

De registratie Authenticatie-standaarden vervangt de afzonderlijke registraties van SAML, NL GOV AP OIDC en OIDC op de lijst open standaarden.

De verplichting van OpenID.NLGov (het Nederlandse profiel) betekent dat het gebruik van de internationale standaard OpenID Connect (OIDC) verplicht is volgens de aanscherpende eisen uit het Nederlandse profiel.

OpenID.NLGov is aangemeld bij Forum Standaardisatie onder de naam NL GOV AP OIDC. Met de naamsverandering naar OpenID.NLGov wordt aangesloten op de internationale conventie van namen voor profielen bij OIDC.
Adoptieadviezen

De formele adoptieadviezen die het Forum Standaardisatie meegeeft bij plaatsing op de lijst open standaarden.

Het Forum Standaardisatie geeft de volgende adviezen bij plaatsing van Authenticatie-standaarden op de ‘Pas toe of leg uit’-lijst:

  1. aan centrale voorziening DigiD, afsprakenstelsel eHerkenning en Logius als beheerorganisatie van het profiel om binnen een jaar een transitiestrategie voor de overgang van SAML naar OpenID.NLGov op te stellen. Deze transitiestrategie heeft de volgende onderdelen:
    1. publieke roadmap waarin de ondersteuning van de standaarden op de koppelvlakken voor serviceproviders twee jaar vooruit inzichtelijk is. Dit zorgt voor voorspelbaarheid zodat serviceproviders een afgewogen keuze kunnen maken bij investeringen. Op basis van de roadmap informeert Logius per fase actief de (aangesloten) partijen en Forum Standaardisatie zodra er wijzigingen zijn in de mate van ondersteuning van de standaarden; 
    2. communicatieplan zodat alle geraakte partijen tijdig en duidelijk geïnformeerd zijn. Logius communiceert hiermee hoe de verplichting ten aanzien van beide standaarden wordt opgepakt en hoe dit toegepast kan worden door het veld. 
  2. aan Logius in de rol van beheerorganisatie van OpenID.NLGov om voortaan internationale ontwikkelingen rond OIDC te monitoren op Europees en wereld niveau, en op het moment dat internationaal andere keuzes worden gemaakt, het Nederlandse profiel zo nodig aan te passen; 
  3. aan Forum Standaardisatie om twee jaar na plaatsing van Authenticatie-standaarden op de ‘pas toe of leg uit’-lijst de Authenticatie-standaarden (OpenID.NLGov en SAML) te evalueren voor het waarborgen van de kwaliteit van de ‘pas toe of leg uit’-lijst. De evaluatie onderzoekt de voortgang van de transitiestrategie en dient als peilstok voor de transitie van SAML naar OpenID.NLGov; 
  4. aan Forum Standaardisatie om de komende twee jaar alle geraakte partijen tijdig en duidelijk te informeren wat de verplichting van Authenticatie-standaarden behelst, wie de doelgroep is voor de verplichting en wat het Forum Standaardisatie beoogt met de verplichting (bevorderen van transitie van SAML naar OIDC zet de weg open naar nieuwe toepassingen); 
  5. aan Logius als beheerder van en andere betrokken partijen bij OpenID.NLGov om gereviewde en geauditeerde voorbeeld configuraties beschikbaar te stellen die je kunt downloaden voor gebruik in gangbare implementaties; 
  6. aan Logius als beheerder van OpenID.NLGov een poging te doen om een kortere versie te maken van de beschrijving van de standaard, een soort easy start guide. Dit moet overigens niet leiden tot vertraging van de eerste implementatie; 
  7. aan Logius als de beheerder van de standaard, een vorm van een testvoorziening in te richten voor OpenID.NLGov, waarmee serviceproviders kunnen testen.
Uitstekend beheer
  • ‘Ja’ betekent dat nieuwe versies van de standaard op de lijst worden overgenomen zonder aanvullende toetsing door het Forum Standaardisatie.
  • ‘Nee’ betekent dat nieuwe versies van de standaard door het Forum Standaardisatie eerst worden getoetst voordat ze de huidige versie op de lijst kunnen vervangen.

Nee
Intakeadvies

Intakeadvies-NL-GOV-AP-OIDC.pdf

PDF Document | 111.19 KB
Expertadvies

220125-Expertadvies-NL-GOV-AP-OpenID-Connect-profiel.pdf

PDF Document | 844.47 KB
Consultatie

Reacties uit openbare consultatie
Aanvullend onderzoek

20230323-Aanvullend-onderzoek-NL-GOV-AP-OIDC.pdf

PDF Document | 397.2 KB
Forumadvies

20230614-Forumadvies-Authenticatie-standaarden-NL-GOV-AP-OIDC-en-SAML.pdf

PDF Document | 323.54 KB
Toelichting

FS19-04-05C2_notitie_SAML_aan_Forum.pdf

PDF Document | 114 KB
Expertadvies

FS_49-04-05A_Expertadvies_adoptie_SAML.pdf

PDF Document | 690.61 KB
Consultatie

OS_Consultatiedocument_SAML.pdf

PDF Document | 206.65 KB
Aanmelding

OS_SAML-aanmelding.pdf

PDF Document | 91.8 KB
Consultatie

OS_verzameld_commentaar_SAML.pdf

PDF Document | 246.6 KB
Datum van aanmelding

Datum waarop een organisatie de standaard heeft aangemeld voor opname op de lijst van aanbevolen of verplichte open standaarden. Als een standaard voldoet aan de criteria om in behandeling genomen te worden, vindt een toetsingsprocedure plaats. Deze duurt ongeveer een 6 maanden.

20-11-2020 (OpenID.NLGov)
Datum van besluit

21-09-2023

Overig

Waarvoor geldt de verplichting

De ‘Pas toe of leg uit’-verplichting van de Authenticatie-standaarden bestaat eruit dat aanbieders van identitydiensten, onder wie identityproviders en identity brokers/gateways, op hun externe koppelvlak aan serviceproviders zowel OpenID.NLGov (en de achterliggende internationale standaard OIDC) als SAML dienen te ondersteunen. Aanbieders van digitale overheidsdiensten aan burgers, bedrijven en overheden onderling (bv. Belastingdienst of UWV) (serviceproviders) kunnen kiezen tussen OpenID.NLGov (en de achterliggende internationale standaard OIDC) of SAML voor hun aansluiting op een identitydienst (zoals DigiD).
Toelichting

Deze gecombineerde verplichting van OpenID.NLGov (en de achterliggende internationale standaard OIDC)  en SAML zet een transitie in gang met afbouw van SAML en opbouw naar OpenID.NLGov (en de achterliggende internationale standaard OIDC). 

Logius stelt hiertoe een door het Forum Standaardisatie geadviseerde transitiestrategie met roadmap en communicatieplan op en neemt deze transitiestrategie in beheer. Logius informeert hiermee actief de (aangesloten) partijen zodra er wijzigingen zijn in de mate van ondersteuning van de standaarden. Dit zorgt voor voorspelbaarheid voor aangesloten partijen zodat zij een afgewogen keuze kunnen maken voor relevante ICT-diensten en -producten.