NL GOV Assurance profile for OAuth 2.0
FS:Nl-gov-assurance-profile-oauth-20
Naar navigatie springen
Naar zoeken springen
Deze gegevens zijn afkomstig van https://www.forumstandaardisatie.nl/open-standaarden/Nl-gov-assurance-profile-oauth-20
Beschrijving | |
---|---|
OAuth 2.0 is een afspraak over de beveiliging van applicaties die gegevens uitwisselen met behulp van REST APIs. NL GOV Assurance is een Nederlandse versie van deze afspraak. Dankzij de beveiliging kunnen gebruikers een website of app autoriseren om hun gegevens via een REST API op te halen bij een ander systeem. | |
Status | |
Lijst status | Verplicht (pas toe leg uit) |
Functioneel toepassingsgebied | NL GOV Assurance Profile for OAuth 2.0 moet worden toegepast bij applicaties waarbij gebruikers of ‘resource owners’ impliciet of expliciet toestemming geven aan een dienst van een derde om namens deze toegang te krijgen tot gegevens via een REST API waarvoor ze recht van toegang hebben. |
Organisatorisch werkingsgebied | Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector. |
Aanvullende verplichtingen | |
Europese status (MSP) | Nee |
Nut en werking | |
Typering | |
Nut | NL GOV Assurance profile for OAuth 2.0 legt bindende afspraken vast over het gebruik van de de standaard OAuth 2.0 bij de Nederlandse overheid. In combinatie met onderliggende standaard OAuth 2.0 zorgt NL GOV Assurance profile for OAuth 2.0 ervoor dat de autorisatie van gebruikers van REST APIs van de overheid op een uniforme en eenduidige plaatsvindt. |
Werking | OAuth 2.0 is een open standaard voor de beveiliging van applicaties die gegevens uitwisselen met behulp van REST APIs. Met OAuth 2.0 kunnen gebruikers een website of webapplicatie autoriseren om hun persoonlijke gegevens via een REST API op te halen bij een ander systeem, zonder daarbij hun gebruikersnaam en wachtwoord uit handen te geven. OAuth 2.0 maakt hiervoor gebruik van ‘tokens’ die toegang geven tot specifieke gegevens van één gebruikersaccount voor een bepaalde duur. OAuth 2.0 is een generieke standaard die meestal nog aanvullende afspraken vereist voor de toepassing in specifieke domeinen. NL GOV Assurance profile for OAuth 2.0 legt nadere afspraken vast over het gebruik van OAuth 2.0 bij de Nederlandse overheid. Zo bepaalt NL GOV Assurance profile for OAuth 2.0 hoe applicaties zich bij elkaar moeten registreren en hoe autorisatiecodes veilig uitgewisseld moeten worden. OAuth 2.0 laat daarin namelijk nog te veel implementatieopties vrij. |
Relatie met andere standaarden | |
Domein | |
Trefwoorden | Informatiebeveiliging |
Gangbaar | |
Detailinformatie | |
Volledige naam | NL GOV Assurance profile for OAuth 2.0 |
Versie | 15 juli 2019 |
Specificatiedocument | https://publicatie.centrumvoorstandaarden.nl/api/oauth/ |
Beheerorganisatie | Logius |
Community | Github |
Hulpmiddelen | |
Conformiteitstest | |
Praktijkvoorbeelden | |
Toetsingsinformatie | |
Toelichting bij opname | De standaard NL GOV Assurance profile for OAuth 2.0 is ontwikkeld in het Kennisplatform APIs door een brede groep organisaties. Vanaf medio 2020 ligt het beheer van de standaard formeel bij Logius. Het Kennisplatform APIs blijft wel input leveren voor de doorontwikkeling van de standaard.
NL GOV Assurance profile for OAuth 2.0 moet gezien worden als een ‘standaard op de standaard’ OAuth 2.0. Voor het beheer gelden dan ook de criteria die gelden voor open standaarden op de 'pas toe of leg uit' lijst. NL GOV Assurance profile for OAuth 2.0 vereist het gebruik van PKI Overheid certificaten. Organisaties van de overheid zonder Organisatie Identificatie Nummer (OIN) kunnen NL GOV Assurance profile for OAuth 2.0 daarom niet volledig toepassen. Deze organisaties zijn dus ook niet gehouden aan de 'pas toe of leg uit' verplichting. |
Adoptieadviezen | |
Uitstekend beheer | Nog niet getoetst |
Documentatie | |
Datum van aanmelding | 2016-03-16 |
Datum van besluit | 2020-07-09 |
Overig | |
Waarvoor geldt de verplichting | |
Toelichting | |
Aandachtspunten | |
Advies aan beheerder | |
Sjabloon-bestektekst | |
CPV-code(s) | |
Leveranciers |
- Commentaar-uit-de-openbare-consultatie-NLGOV-profile-OAuth2.0.pdf (Consultatie,https://www.forumstandaardisatie.nl/sites/default/files/2020-07/Commentaar-uit-de-openbare-consultatie-NLGOV-profile-OAuth2.0.pdf,PDF Document)
- FS-20200506.3B-Forumadvies-NLGov-profile-OAuth-2.0.pdf (Forumadvies,https://www.forumstandaardisatie.nl/sites/default/files/2020-07/FS-20200506.3B-Forumadvies-NLGov-profile-OAuth-2.0.pdf,PDF Document)