NL GOV Assurance profile for OAuth 2.0
OAuth 2.0 is een afspraak over de beveiliging van applicaties die gegevens uitwisselen met behulp van REST APIs. NL GOV Assurance is een Nederlandse versie van deze afspraak. Dankzij de beveiliging kunnen gebruikers een website of app autoriseren om hun gegevens via een REST API op te halen bij een ander systeem.
Inhoudsopgave
Content
Status
Lijst status
|
Verplicht (pas toe leg uit) |
Functioneel toepassingsgebied
Beschrijft de toepassing(en) waarvoor het gebruik van de standaard verplicht is of aanbevolen wordt (afhankelijk van de lijststatus). |
NL GOV Assurance Profile for OAuth 2.0 moet worden toegepast bij applicaties waarbij gebruikers of ‘resource owners’ impliciet of expliciet toestemming geven aan een dienst van een derde om namens deze toegang te krijgen tot gegevens via een REST API waarvoor ze recht van toegang hebben. |
---|---|
Organisatorisch werkingsgebied
Benoemt de organisaties waarvoor de verplichting geldt. |
Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector. |
Nut en werking
Typering
|
Beveiligingstandaard voor het autoriseren van toegang tot REST API’s |
Nut
|
NL GOV Assurance profile for OAuth 2.0 legt bindende afspraken vast over het gebruik van de de standaard OAuth 2.0 bij de Nederlandse overheid. In combinatie met onderliggende standaard OAuth 2.0 zorgt NL GOV Assurance profile for OAuth 2.0 ervoor dat de autorisatie van gebruikers van REST APIs van de overheid op een uniforme en eenduidige plaatsvindt. |
---|---|
Werking
|
OAuth 2.0 is een open standaard voor de beveiliging van applicaties die gegevens uitwisselen met behulp van REST APIs. Met OAuth 2.0 kunnen gebruikers een website of webapplicatie autoriseren om hun persoonlijke gegevens via een REST API op te halen bij een ander systeem, zonder daarbij hun gebruikersnaam en wachtwoord uit handen te geven. OAuth 2.0 maakt hiervoor gebruik van ‘tokens’ die toegang geven tot specifieke gegevens van één gebruikersaccount voor een bepaalde duur. OAuth 2.0 is een generieke standaard die meestal nog aanvullende afspraken vereist voor de toepassing in specifieke domeinen. NL GOV Assurance profile for OAuth 2.0 legt nadere afspraken vast over het gebruik van OAuth 2.0 bij de Nederlandse overheid. Zo bepaalt NL GOV Assurance profile for OAuth 2.0 hoe applicaties zich bij elkaar moeten registreren en hoe autorisatiecodes veilig uitgewisseld moeten worden. OAuth 2.0 laat daarin namelijk nog te veel implementatieopties vrij. |
Domein
|
|
Relatie met andere standaarden
|
|
Trefwoorden
|
Toepassing
Community
Organisaties waarbij men terecht kan voor adoptieondersteuning, best practices, use cases en/of nadere informatie over de standaard. |
---|
Toetsingsinformatie
Toelichting bij opname
|
De standaard NL GOV Assurance profile for OAuth 2.0 is ontwikkeld in het Kennisplatform APIs door een brede groep organisaties. Vanaf medio 2020 ligt het beheer van de standaard formeel bij Logius. Het Kennisplatform APIs blijft wel input leveren voor de doorontwikkeling van de standaard. NL GOV Assurance profile for OAuth 2.0 moet gezien worden als een ‘standaard op de standaard’ OAuth 2.0. Voor het beheer gelden dan ook de criteria die gelden voor open standaarden op de 'pas toe of leg uit' lijst. NL GOV Assurance profile for OAuth 2.0 vereist het gebruik van PKI Overheid certificaten. Organisaties van de overheid zonder Organisatie Identificatie Nummer (OIN) kunnen NL GOV Assurance profile for OAuth 2.0 daarom niet volledig toepassen. Deze organisaties zijn dus ook niet gehouden aan de 'pas toe of leg uit' verplichting. |
---|---|
Uitstekend beheer
|
Nog niet getoetst |
Datum van aanmelding
Datum waarop een organisatie de standaard heeft aangemeld voor verplichten aan de overheid ('Pas toe of leg uit') of aanbevelen aan de overheid door plaatsing op een van de lijsten. Als een standaard voldoet aan de criteria om in behandeling genomen te worden, vindt een toetsingsprocedure plaats. Deze duurt ongeveer zeven maanden. |
16-03-2016 |
Datum van besluit
Datum waarop het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) of een van zijn voorgangers heeft besloten de standaard op de lijst te plaatsen. |
09-07-2020 |
Expertadvies |
Expertadvies-OAuth-2.0.pdf
PDF Document | 575.94 KB
|
Consultatie |
Commentaar-uit-de-openbare-consultatie-NLGOV-profile-OAuth2.0.pdf
PDF Document | 179.35 KB
|
Forumadvies |
FS-20200506.3B-Forumadvies-NLGov-profile-OAuth-2.0.pdf
PDF Document | 220.78 KB
|
Detailinformatie
Volledige naam
|
NL GOV Assurance profile for OAuth 2.0 |
---|---|
Versie
|
15 juli 2019 |
Specificatiedocument
|
|
Beheerorganisatie
|
Logius |