OAuth

Inhoudsopgave

Content

Status

Lijst status
Aanbevolen
Europese status
Nee

Nut en werking

Typering
API Autorisatiestandaard
Nut

Met OAuth 2.0 kunnen gebruikers of organisaties een programma of website toegang geven tot specifieke (privé)gegevens, die opgeslagen zijn op een ander systeem, zonder hun gebruikersnaam en wachtwoord uit handen te geven. OAuth 2.0 wordt als standaard vaak gebruikt voor de autorisatie van gebruikers op mobiele telefoons, tablets, wearables en internet of things apparaten. Een bekend voorbeeld is de mogelijkheid om bij een bepaalde onlinedienst in te loggen gebruikmakend van een Google- of Facebook-account.

Werking

OAuth 2.0 is een autorisatiestandaard voor met web gebaseerde applicaties die gegevens uitwisselen met behulp van API’s. OAuth 2.0 maakt gebruik van 'tokens' waardoor vertrouwelijke gegevens als een gebruikersnaam of wachtwoord niet afgegeven hoeven te worden. Elk token geeft slechts toegang tot specifieke gegevens van één website voor een bepaalde duur.

OAuth 2.0 is een generieke standaard die meestal nog profielen (aanvullende afspraken) vereist voor toepassing in specifieke domeinen.

Domein
Relatie met andere standaarden
Trefwoorden

Detailinformatie

Volledige naam

Open Authorisation

Versie
2.0
Specificatiedocument
Beheerorganisatie
IETF

Toetsingsinformatie

Toelichting bij opname

Forum Standaardisatie heeft de standaard OAuth 2.0 in 2016 getoetst voor opname op de ‘pas toe of leg uit’-lijst, waarbij een volledig expertonderzoek is uitgevoerd en het expertadvies ter openbare consultatie is aangeboden. Het resulterende Forumadvies OAuth 2.0 van april 2017 luidde dat eerst een Nederlands overheidsprofiel moet worden ontwikkeld voordat OAuth kan worden opgenomen op de lijst open standaarden.

Aansluitend heeft het Kennisplatform API’s gewerkt aan een Nederlands overheidsprofiel voor OAUth 2.0, dat op 15 juli 2019 werd gepubliceerd als ‘NL GOV Assurance profile for OAuth 2.0’. NL GOV Assurance profile for OAuth 2.0 bevat bindende afspraken over het gebruik van OAuth 2.0 bij de Nederlandse overheid en moet beheerd worden volgens de criteria voor open standaarden.

In gevallen waar een generieke standaard moet worden toegepast met een specifieker profiel, plaatst het Forum Standaardisatie het profiel op de 'pas toe of leg uit' lijst en de onderliggende generieke standaard op de lijst aanbevolen standaarden.

Adoptieadviezen

OAuth 2.0 moet worden toegepast met NL GOV Assurance profile for OAuth 2.0, het profiel dat is ontwikkeld voor toepassing bij de Nederlandse overheid.

Uitstekend beheer
Expertadvies

Expertadvies-OAuth-2.0.pdf

PDF Document | 575.94 KB
Forumadvies

FS170419.2B-Forumadvies-OAuth-2.0.pdf

PDF Document | 226.23 KB
Consultatie
Datum van aanmelding

16-03-2016

Overig

Toelichting

Er bestaat een samenhang met de ‘verplichte’ standaard SAML op de lijst open standaarden. Allebei zijn ze ook te gebruiken voor autorisatie. Wel zijn er verschillen in de situaties waar beide standaarden typisch worden toegepast. SAML richt zich op federatieve single-signon. Bij het gebruik van OAuth is juist niet nodig dat sprake is van een federatie. SAML wordt veelal gebruikt in omgevingen waar XML wordt gebruikt. Waar RESTful API’s worden gebruikt, wordt veelal OAuth 2.0 gebruikt. SAML is voor authenticatie en autorisatie; OAuth 2.0 alleen voor autorisatie.