NL GOV Assurance profile for OAuth 2.0

Uit NORA Online
FS:Nl-gov-assurance-profile-oauth-20
Naar navigatie springen Naar zoeken springen


Beschrijving
OAuth 2.0 is een afspraak over de beveiliging van applicaties die gegevens uitwisselen met behulp van REST APIs. NL GOV Assurance is een Nederlandse versie van deze afspraak. Dankzij de beveiliging kunnen gebruikers een website of app autoriseren om hun gegevens via een REST API op te halen bij een ander systeem.
Status
Lijst status Verplicht (pas toe leg uit)
Functioneel toepassingsgebied NL GOV Assurance Profile for OAuth 2.0 moet worden toegepast bij applicaties waarbij gebruikers of ‘resource owners’ impliciet of expliciet toestemming geven aan een dienst van een derde om namens deze toegang te krijgen tot gegevens via een REST API waarvoor ze recht van toegang hebben.
Organisatorisch werkingsgebied Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
Aanvullende verplichtingen
Europese status (MSP)Nee
Nut en werking
Typering
Nut NL GOV Assurance profile for OAuth 2.0 legt bindende afspraken vast over het gebruik van de de standaard OAuth 2.0 bij de Nederlandse overheid. In combinatie met onderliggende standaard OAuth 2.0 zorgt NL GOV Assurance profile for OAuth 2.0 ervoor dat de autorisatie van gebruikers van REST APIs van de overheid op een uniforme en eenduidige plaatsvindt.
Werking OAuth 2.0 is een open standaard voor de beveiliging van applicaties die gegevens uitwisselen met behulp van REST APIs. Met OAuth 2.0 kunnen gebruikers een website of webapplicatie autoriseren om hun persoonlijke gegevens via een REST API op te halen bij een ander systeem, zonder daarbij hun gebruikersnaam en wachtwoord uit handen te geven. OAuth 2.0 maakt hiervoor gebruik van ‘tokens’ die toegang geven tot specifieke gegevens van één gebruikersaccount voor een bepaalde duur. OAuth 2.0 is een generieke standaard die meestal nog aanvullende afspraken vereist voor de toepassing in specifieke domeinen. NL GOV Assurance profile for OAuth 2.0 legt nadere afspraken vast over het gebruik van OAuth 2.0 bij de Nederlandse overheid. Zo bepaalt NL GOV Assurance profile for OAuth 2.0 hoe applicaties zich bij elkaar moeten registreren en hoe autorisatiecodes veilig uitgewisseld moeten worden. OAuth 2.0 laat daarin namelijk nog te veel implementatieopties vrij.
Relatie met andere standaarden
Domein

Veilig internet

TrefwoordenInformatiebeveiliging
Gangbaar
Detailinformatie
Volledige naamNL GOV Assurance profile for OAuth 2.0
Versie15 juli 2019
Specificatiedocumenthttps://publicatie.centrumvoorstandaarden.nl/api/oauth/
BeheerorganisatieLogius
CommunityGithub
Hulpmiddelen
Conformiteitstest
Praktijkvoorbeelden
Toetsingsinformatie
Toelichting bij opname De standaard NL GOV Assurance profile for OAuth 2.0 is ontwikkeld in het Kennisplatform APIs door een brede groep organisaties. Vanaf medio 2020 ligt het beheer van de standaard formeel bij Logius. Het Kennisplatform APIs blijft wel input leveren voor de doorontwikkeling van de standaard.

NL GOV Assurance profile for OAuth 2.0 moet gezien worden als een ‘standaard op de standaard’ OAuth 2.0. Voor het beheer gelden dan ook de criteria die gelden voor open standaarden op de 'pas toe of leg uit' lijst.

NL GOV Assurance profile for OAuth 2.0 vereist het gebruik van PKI Overheid certificaten. Organisaties van de overheid zonder Organisatie Identificatie Nummer (OIN) kunnen NL GOV Assurance profile for OAuth 2.0 daarom niet volledig toepassen. Deze organisaties zijn dus ook niet gehouden aan de 'pas toe of leg uit' verplichting.
Adoptieadviezen
Uitstekend beheerNog niet getoetst
Documentatie
    Datum van aanmelding2016-03-16
    Datum van besluit2020-07-09
    Overig
    Waarvoor geldt de verplichting
    Toelichting
    Aandachtspunten
    Advies aan beheerder
    Sjabloon-bestektekst
    CPV-code(s)
    Leveranciers
    bijlagen:
    Copyright
    Door Forum Standaardisatie vrijgegeven onder Creative Commons zero