OAuth

Uit NORA Online
FS:Oauth
Naar navigatie springen Naar zoeken springen


Beschrijving
Status
Lijst status Aanbevolen
Functioneel toepassingsgebied
Organisatorisch werkingsgebied
Aanvullende verplichtingen
Europese status (MSP)Nee
Nut en werking
Typering
Nut Met OAuth 2.0 kunnen gebruikers of organisaties een programma of website toegang geven tot specifieke (privé)gegevens, die opgeslagen zijn op een ander systeem, zonder hun gebruikersnaam en wachtwoord uit handen te geven. OAuth 2.0 wordt als standaard vaak gebruikt voor de autorisatie van gebruikers op mobiele telefoons, tablets, wearables en internet of things apparaten. Een bekend voorbeeld is de mogelijkheid om bij een bepaalde onlinedienst in te loggen gebruikmakend van een Google- of Facebook-account.
Werking OAuth 2.0 is een autorisatiestandaard voor met web gebaseerde applicaties die gegevens uitwisselen met behulp van API’s. OAuth 2.0 maakt gebruik van 'tokens' waardoor vertrouwelijke gegevens als een gebruikersnaam of wachtwoord niet afgegeven hoeven te worden. Elk token geeft slechts toegang tot specifieke gegevens van één website voor een bepaalde duur. OAuth 2.0 is een generieke standaard die meestal nog profielen (aanvullende afspraken) vereist voor toepassing in specifieke domeinen.
Relatie met andere standaarden
Domein

Veilig internet

TrefwoordenInformatiebeveiliging
Gangbaar
Detailinformatie
Volledige naamOpen Authorisation
Versie2
Specificatiedocumenthttps://tools.ietf.org/html/rfc6749
BeheerorganisatieIETF
Community
Hulpmiddelen
Conformiteitstest
Praktijkvoorbeelden
Toetsingsinformatie
Toelichting bij opname Forum Standaardisatie heeft de standaard OAuth 2.0 in 2016 getoetst voor opname op de ‘pas toe of leg uit’-lijst, waarbij een volledig expertonderzoek is uitgevoerd en het expertadvies ter openbare consultatie is aangeboden. Het resulterende Forumadvies OAuth 2.0 van april 2017 luidde dat eerst een Nederlands overheidsprofiel moet worden ontwikkeld voordat OAuth kan worden opgenomen op de lijst open standaarden.

Aansluitend heeft het Kennisplatform API’s gewerkt aan een Nederlands overheidsprofiel voor OAUth 2.0, dat op 15 juli 2019 werd gepubliceerd als ‘NL GOV Assurance profile for OAuth 2.0’. NL GOV Assurance profile for OAuth 2.0 bevat bindende afspraken over het gebruik van OAuth 2.0 bij de Nederlandse overheid en moet beheerd worden volgens de criteria voor open standaarden.

In gevallen waar een generieke standaard moet worden toegepast met een specifieker profiel, plaatst het Forum Standaardisatie het profiel op de 'pas toe of leg uit' lijst en de onderliggende generieke standaard op de lijst aanbevolen standaarden.
AdoptieadviezenOAuth 2.0 moet worden toegepast met NL GOV Assurance profile for OAuth 2.0, het profiel dat is ontwikkeld voor toepassing bij de Nederlandse overheid.
Uitstekend beheer
Documentatie
    Datum van aanmelding2016-03-16
    Datum van besluit
    Overig
    Waarvoor geldt de verplichting
    ToelichtingEr bestaat een samenhang met de ‘verplichte’ standaard SAML op de lijst open standaarden. Allebei zijn ze ook te gebruiken voor autorisatie. Wel zijn er verschillen in de situaties waar beide standaarden typisch worden toegepast. SAML richt zich op federatieve single-signon. Bij het gebruik van OAuth is juist niet nodig dat sprake is van een federatie. SAML wordt veelal gebruikt in omgevingen waar XML wordt gebruikt. Waar RESTful API’s worden gebruikt, wordt veelal OAuth 2.0 gebruikt. SAML is voor authenticatie en autorisatie; OAuth 2.0 alleen voor autorisatie.
    Aandachtspunten
    Advies aan beheerder
    Sjabloon-bestektekst
    CPV-code(s)
    Leveranciers
    Bijlagen:
    Copyright
    Door Forum Standaardisatie vrijgegeven onder Creative Commons zero