OAuth
Inhoudsopgave
Content
Status
|
Lijst status
|
Aanbevolen |
|
Europese status
|
Nee |
Nut en werking
|
Typering
|
API Autorisatiestandaard |
|
Nut
|
Met OAuth 2.0 kunnen gebruikers of organisaties een programma of website toegang geven tot specifieke (privé)gegevens, die opgeslagen zijn op een ander systeem, zonder hun gebruikersnaam en wachtwoord uit handen te geven. OAuth 2.0 wordt als standaard vaak gebruikt voor de autorisatie van gebruikers op mobiele telefoons, tablets, wearables en internet of things apparaten. Een bekend voorbeeld is de mogelijkheid om bij een bepaalde onlinedienst in te loggen gebruikmakend van een Google- of Facebook-account. |
|---|---|
|
Werking
|
OAuth 2.0 is een autorisatiestandaard voor met web gebaseerde applicaties die gegevens uitwisselen met behulp van API’s. OAuth 2.0 maakt gebruik van 'tokens' waardoor vertrouwelijke gegevens als een gebruikersnaam of wachtwoord niet afgegeven hoeven te worden. Elk token geeft slechts toegang tot specifieke gegevens van één website voor een bepaalde duur. OAuth 2.0 is een generieke standaard die meestal nog profielen (aanvullende afspraken) vereist voor toepassing in specifieke domeinen. |
|
Domein
|
|
|
Relatie met andere standaarden
|
|
|
Trefwoorden
|
Detailinformatie
|
Volledige naam
|
Open Authorisation |
|---|---|
|
Versie
|
2.0 |
|
Specificatiedocument
|
|
|
Beheerorganisatie
|
IETF |
Toetsingsinformatie
|
Toelichting bij opname
|
Forum Standaardisatie heeft de standaard OAuth 2.0 in 2016 getoetst voor opname op de ‘pas toe of leg uit’-lijst, waarbij een volledig expertonderzoek is uitgevoerd en het expertadvies ter openbare consultatie is aangeboden. Het resulterende Forumadvies OAuth 2.0 van april 2017 luidde dat eerst een Nederlands overheidsprofiel moet worden ontwikkeld voordat OAuth kan worden opgenomen op de lijst open standaarden. Aansluitend heeft het Kennisplatform API’s gewerkt aan een Nederlands overheidsprofiel voor OAUth 2.0, dat op 15 juli 2019 werd gepubliceerd als ‘NL GOV Assurance profile for OAuth 2.0’. NL GOV Assurance profile for OAuth 2.0 bevat bindende afspraken over het gebruik van OAuth 2.0 bij de Nederlandse overheid en moet beheerd worden volgens de criteria voor open standaarden. In gevallen waar een generieke standaard moet worden toegepast met een specifieker profiel, plaatst het Forum Standaardisatie het profiel op de 'pas toe of leg uit' lijst en de onderliggende generieke standaard op de lijst aanbevolen standaarden. |
|---|---|
|
Adoptieadviezen
|
OAuth 2.0 moet worden toegepast met NL GOV Assurance profile for OAuth 2.0, het profiel dat is ontwikkeld voor toepassing bij de Nederlandse overheid. |
|
Uitstekend beheer
|
|
| Expertadvies |
Expertadvies-OAuth-2.0.pdf
PDF Document | 575.94 KB
|
| Forumadvies |
FS170419.2B-Forumadvies-OAuth-2.0.pdf
PDF Document | 226.23 KB
|
| Consultatie |
Reacties-uit-openbare-consultatie-OAuth-2.0.pdf
PDF Document | 331.78 KB
|
|
Datum van aanmelding
|
16-03-2016 |
Overig
|
Toelichting
|
Er bestaat een samenhang met de ‘verplichte’ standaard SAML op de lijst open standaarden. Allebei zijn ze ook te gebruiken voor autorisatie. Wel zijn er verschillen in de situaties waar beide standaarden typisch worden toegepast. SAML richt zich op federatieve single-signon. Bij het gebruik van OAuth is juist niet nodig dat sprake is van een federatie. SAML wordt veelal gebruikt in omgevingen waar XML wordt gebruikt. Waar RESTful API’s worden gebruikt, wordt veelal OAuth 2.0 gebruikt. SAML is voor authenticatie en autorisatie; OAuth 2.0 alleen voor autorisatie. |
|---|