Naar de inhoud Naar de navigatie

NL GOV Assurance profile for OAuth 2.0


Standaarden
Onderdeel van
Lijsten & Verwijzingen
Contact
NORA Beheer
nora@ictu.nl
Status
Actueel
Status is afgeleid van Status bij Forum Standaardisatie (Verplicht ('Pas toe of leg uit'))
Naam
NL GOV Assurance profile for OAuth 2.0
ID
Type

Standaard

Wijzigingsdatum
Laag Vijflaagsmodel

Deze informatie is (deels) overgenomen van forumstandaardisatie.nl.
Schaduwkopie: NL GOV Assurance profile for OAuth 2.0



  • Nut: NL GOV Assurance profile for OAuth 2.0 legt bindende afspraken vast over het gebruik van de de standaard OAuth 2.0 bij de Nederlandse overheid. In combinatie met onderliggende standaard OAuth 2.0 zorgt NL GOV Assurance profile for OAuth 2.0 ervoor dat de autorisatie van gebruikers van REST APIs van de overheid op een uniforme en eenduidige plaatsvindt.
  • Werking: OAuth 2.0 is een open standaard voor de beveiliging van applicaties die gegevens uitwisselen met behulp van REST APIs. Met OAuth 2.0 kunnen gebruikers een website of webapplicatie autoriseren om hun persoonlijke gegevens via een REST API op te halen bij een ander systeem, zonder daarbij hun gebruikersnaam en wachtwoord uit handen te geven. OAuth 2.0 maakt hiervoor gebruik van ‘tokens’ die toegang geven tot specifieke gegevens van één gebruikersaccount voor een bepaalde duur.

OAuth 2.0 is een generieke standaard die meestal nog aanvullende afspraken vereist voor de toepassing in specifieke domeinen. NL GOV Assurance profile for OAuth 2.0 legt nadere afspraken vast over het gebruik van OAuth 2.0 bij de Nederlandse overheid. Zo bepaalt NL GOV Assurance profile for OAuth 2.0 hoe applicaties zich bij elkaar moeten registreren en hoe autorisatiecodes veilig uitgewisseld moeten worden. OAuth 2.0 laat daarin namelijk nog te veel implementatieopties vrij.


Waar toepasbaar

  • Functioneel toepassingsgebied: NL GOV Assurance Profile for OAuth 2.0 moet worden toegepast bij applicaties waarbij gebruikers of ‘resource owners’ impliciet of expliciet toestemming geven aan een dienst van een derde om namens deze toegang te krijgen tot gegevens via een REST API waarvoor ze recht van toegang hebben.
  • Organisatorisch werkingsgebied:

Meer informatie

Realiseert

Lijst Open Standaarden voor Pas Toe of Leg Uit

Toepassing in voorzieningen en bouwstenen

VoorzieningToelichtingOordeelRelevantieVolgens bronGepubliceerd op
BRO (Basisregistratie Ondergrond)Oauth wordt toegepast toe bij notificaties en het is de ambitie om het BRO Bronhouderportaal ook te laten voldoen. Het groeipad voor dat laatste is als volgt: er wordt momenteel een BASIC AUTH mechanisme geïmplementeerd. De tokens worden verkregen via inloggen op het bronhouderportaal (via de geauthentiseerde webtoegang). Stap 1 (afgelopen 1.5 jaar transitie): het aantal tokens in het werkveld is drastisch teruggebracht. Dit komt door de "ontwarring" autorisatie / authenticatie. Het token wordt nu slechts gebruikt voor authenticatie. Autorisatie wordt middels een nieuwe REST service (v2) geregeld. Alle aangesloten partijen zijn inmiddels over. De tokens hebben ook een eindige levensduur gekregen. Stap 2: gepland vanaf Q4: parallelle introductie oAuth2 met als doel, uit-faseren BASIC AUTH eind 2025., maar dat is nog een groeipadgeplandvan toepassingMonitor Open Standaarden 202429 januari 2025
BRV (Basisregistratie Voertuigen)voldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
HR (Basisregistratie Handelsregister)Basisregistratie Handelsregister voldoet volgens de beheerder aan de NL GOV Assurance profile for OAuth 2.0 standaard.voldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
MijnOverheidMijnOverheid maakt gebruik van OpenID Connect (OIDC).voldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
Website RDW.nlOAuth2.0 wordt ondersteund door RDW. Voornamelijk voor de interne bedrijfsvoering, maar er is één externe koppeling waarop OAuth2.0 wordt toegepast.voldoetvan toepassingMonitor Open Standaarden 202218 november 2022
Beheervoorziening BSN
BRP-V (BRP Verstrekkingsvoorziening)		Deze standaard wordt gehanteerd in het BRP API traject onder het experimenteerbesluit. Deze standaard is niet van toepassing bij BV-BSN.voldoet deelsvan toepassingMonitor Open Standaarden 202429 januari 2025
DWR (Digitale Werkomgeving Rijksdienst)DWR ondersteunt dit protocol.voldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
Toelichting: Voorzieningen en gebruikte standaarden

De betekenis die mensen geven aan gegevens in een context.

Naar de pagina met de definitie van ‘informatie’

Vaststaand, erkend voorbeeld of model.

Naar de pagina met de definitie van ‘standaard’

Een samenhangend en geïntegreerd geheel van componenten die elkaar wederzijds beïnvloeden.

Naar de pagina met de definitie van ‘systeem’

De functioneel inhoudelijke afbakening van bepaalde artefacten.

Naar de pagina met de definitie van ‘toepassingsgebied’

Een ondersteunde voorziening.

Naar de pagina met de definitie van ‘dienst’

De geografische of organisatorische afbakening waarin iets uitwerking heeft. 

Naar de pagina met de definitie van ‘werkingsgebied’

Datgene wat je wil bereiken in de context van een missie.

Naar de pagina met de definitie van ‘doel’
Overgenomen van "https://www.noraonline.nl/index.php?title=NL_GOV_Assurance_profile_for_OAuth_2.0&oldid=48021"