NL GOV Assurance profile for OAuth 2.0

OAuth 2.0 is een afspraak over de beveiliging van applicaties die gegevens uitwisselen met behulp van REST APIs. NL GOV Assurance is een Nederlandse versie van deze afspraak. Dankzij de beveiliging kunnen gebruikers een website of app autoriseren om hun gegevens via een REST API op te halen bij een ander systeem.

Inhoudsopgave

    Content

    Status

    Lijst status
    • ‘Verplicht (pas toe of leg uit’) betekent dat de standaard verplicht moet worden uitgevraagd en toegepast volgens de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten.
    • ‘Aanbevolen’ betekent dat dit een gangbare of opkomende standaard is waarvan het Forum Standaardisatie het gebruik aanbeveelt.
    • ‘In behandeling’ wil zeggen dat de standaard wordt getoetst voor opname op de lijst.
    • ‘Archief’ betekent in het verleden op de lijst gestaan heeft of in behandeling geweest is en nu niet (meer) verplicht of aanbevolen is.
    Verplicht (pas toe leg uit)
    Functioneel toepassingsgebied

    Beschrijft de toepassing(en) waarvoor het gebruik van de standaard verplicht is of aanbevolen wordt (afhankelijk van de lijststatus).

    NL GOV Assurance Profile for OAuth 2.0 moet worden toegepast bij applicaties waarbij gebruikers of ‘resource owners’ impliciet of expliciet toestemming geven aan een dienst van een derde om namens deze toegang te krijgen tot gegevens via een REST API waarvoor ze recht van toegang hebben.
    Organisatorisch werkingsgebied

    Benoemt de organisaties waarvoor de verplichting geldt.

    Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.

    Nut en werking

    Typering
    Beveiligingstandaard voor het autoriseren van toegang tot REST API’s
    Nut

    NL GOV Assurance profile for OAuth 2.0 legt bindende afspraken vast over het gebruik van de de standaard OAuth 2.0 bij de Nederlandse overheid. In combinatie met onderliggende standaard OAuth 2.0 zorgt NL GOV Assurance profile for OAuth 2.0 ervoor dat de autorisatie van gebruikers van REST APIs van de overheid op een uniforme en eenduidige plaatsvindt.
    Werking

    OAuth 2.0 is een open standaard voor de beveiliging van applicaties die gegevens uitwisselen met behulp van REST APIs. Met OAuth 2.0 kunnen gebruikers een website of webapplicatie autoriseren om hun persoonlijke gegevens via een REST API op te halen bij een ander systeem, zonder daarbij hun gebruikersnaam en wachtwoord uit handen te geven. OAuth 2.0 maakt hiervoor gebruik van ‘tokens’ die toegang geven tot specifieke gegevens van één gebruikersaccount voor een bepaalde duur.

    OAuth 2.0 is een generieke standaard die meestal nog aanvullende afspraken vereist voor de toepassing in specifieke domeinen. NL GOV Assurance profile for OAuth 2.0 legt nadere afspraken vast over het gebruik van OAuth 2.0 bij de Nederlandse overheid. Zo bepaalt NL GOV Assurance profile for OAuth 2.0 hoe applicaties zich bij elkaar moeten registreren en hoe autorisatiecodes veilig uitgewisseld moeten worden. OAuth 2.0 laat daarin namelijk nog te veel implementatieopties vrij.
    Domein
    Relatie met andere standaarden
    REST-API Design Rules
    Trefwoorden

    Toepassing

    Community

    Organisaties waar men terecht kan voor adoptieondersteuning, best practices, use cases en informatie over de standaard.

    Github

    Toetsingsinformatie

    Toelichting bij opname

    De standaard NL GOV Assurance profile for OAuth 2.0 is ontwikkeld in het Kennisplatform APIs door een brede groep organisaties. Vanaf medio 2020 ligt het beheer van de standaard formeel bij Logius. Het Kennisplatform APIs blijft wel input leveren voor de doorontwikkeling van de standaard.

    NL GOV Assurance profile for OAuth 2.0 moet gezien worden als een ‘standaard op de standaard’ OAuth 2.0. Voor het beheer gelden dan ook de criteria die gelden voor open standaarden op de 'pas toe of leg uit' lijst.

    NL GOV Assurance profile for OAuth 2.0 vereist het gebruik van PKI Overheid certificaten. Organisaties van de overheid zonder Organisatie Identificatie Nummer (OIN) kunnen NL GOV Assurance profile for OAuth 2.0 daarom niet volledig toepassen. Deze organisaties zijn dus ook niet gehouden aan de 'pas toe of leg uit' verplichting.
    Uitstekend beheer
    • ‘Ja’ betekent dat nieuwe versies van de standaard op de lijst worden overgenomen zonder aanvullende toetsing door het Forum Standaardisatie.
    • ‘Nee’ betekent dat nieuwe versies van de standaard door het Forum Standaardisatie eerst worden getoetst voordat ze de huidige versie op de lijst kunnen vervangen.
    Nog niet getoetst
    Datum van aanmelding

    Datum waarop een organisatie de standaard heeft aangemeld voor opname op de lijst van aanbevolen of verplichte open standaarden. Als een standaard voldoet aan de criteria om in behandeling genomen te worden, vindt een toetsingsprocedure plaats. Deze duurt ongeveer een 6 maanden.

    16-03-2016
    Datum van besluit

    Datum waarop het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft besloten de standaard op de lijst te plaatsen.

    09-07-2020
    Expertadvies

    Expertadvies-OAuth-2.0.pdf

    PDF Document | 575.94 KB
    Consultatie

    Commentaar-uit-de-openbare-consultatie-NLGOV-profile-OAuth2.0.pdf

    PDF Document | 179.35 KB
    Forumadvies

    FS-20200506.3B-Forumadvies-NLGov-profile-OAuth-2.0.pdf

    PDF Document | 220.78 KB

    Detailinformatie

    Volledige naam

    NL GOV Assurance profile for OAuth 2.0
    Versie
    15 juli 2019
    Specificatiedocument

    NL GOV Assurance profile for OAuth 2.0
    Beheerorganisatie
    Logius