21-09-2023: SAML en OpenID.NLGov zijn gezamenlijk verplicht ('Pas toe of leg uit'-verplichting) aan de overheid. De 'Pas toe of leg uit'-verplichting van SAML en OpenID.NLGov is overgegaan naar Authenticatie-standaarden (OpenID.NLGov en SAML) op de 'Pas toe of leg uit'-lijst. Authenticatie-standaarden (OpenID.NLGov en SAML) vervangt de afzonderlijke registraties van SAML, NL GOV AP OIDC en OIDC op de lijst open standaarden.

De verplichting van OpenID.NLGov (het Nederlandse profiel) betekent dat het gebruik van de internationale standaard OpenID Connect (OIDC) verplicht is volgens de aanscherpende eisen uit het Nederlandse profiel.

OIDC

Inhoudsopgave

Status

Lijst status ‘Verplicht ('Pas toe of leg uit’)' betekent dat de standaard verplicht moet worden uitgevraagd en toegepast volgens de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten. ‘Aanbevolen’ betekent dat dit een gangbare of opkomende standaard is waarvan het Forum Standaardisatie het gebruik aanbeveelt. ‘In behandeling’ betekent dat de standaard wordt getoetst voor opname op een van de lijsten. ‘Archief’ betekent dat de standaard in het verleden op de lijst heeft gestaan of in behandeling is geweest en nu niet (meer) verplicht of aanbevolen wordt.	Archief
Functioneel toepassingsgebied Beschrijft de toepassing(en) waarvoor het gebruik van de standaard verplicht is of aanbevolen wordt (afhankelijk van de lijststatus).	OpenID Connect kan toegepast worden bij het beschikbaar stellen van federatieve authenticatiediensten.
Organisatorisch werkingsgebied Benoemt de organisaties waarvoor de verplichting geldt.	Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
Europese status ‘Ja’ betekent dat de standaard is erkend door het Multi Stakeholder Platform on ICT Standardisation van de Europese Commissie.	Nee

Nut en werking

Typering	Authenticatie
Nut	OpenID Connect (OIDC) is een open en gedistribueerde manier om één authenticatiedienst naar keuze te kunnen hergebruiken bij meerdere (semi-)overheidsdienstverleners, bij gebruik vanuit onder andere webapplicaties en mobiele apps. Belangrijkste redenen om op OIDC in te zetten is de actieve ontwikkelingen en de mobile-first strategie ondersteuning van digitale overheidsdiensten.
Werking	OIDC bouwt voort op OAuth 2.0. Het maakt het mogelijk om andere authenticatievoorzieningen middels een routeringsvoorziening te ontsluiten. Bovendien geeft het de mogelijkheid om meerdere attributen of andere type identifiers mee te geven. OIDC is een generieke standaard die meestal nog profielen (aanvullende afspraken) vereist voor toepassing in specifieke domeinen.
Domein	Veilig internet
Relatie met andere standaarden	SAML
Relatie met andere standaarden	OAuth
Trefwoorden

Detailinformatie

Volledige naam	OpenID Connect
Versie	1.0
Specificatiedocument	Final Specifications
Beheerorganisatie	OpenID Foundation

Toepassing

Hulpmiddelen Vrij beschikbare hulpmiddelen en software die de adoptie van de standaard ondersteunen. Dit kunnen zijn: referentie-implementaties, open source libraries, test tools, e.d.	Er is een groot aantal configureerbare implementaties en libraries beschikbaar.

Toetsingsinformatie

Toelichting bij opname	Er is geadviseerd zo snel mogelijk een breed gedragen Nederlands profiel te ontwikkelen voor OIDC. Dit Nederlands profiel zal dan moeten worden aangedragen voor plaatsing op de ‘pas toe of leg uit’-lijst. Op 9 december 2020 heeft Forum Standaardisatie besloten de aanmelding van Logius voor het Nederlandse profiel van de standaard OIDC (NL GOV Assurance Profile for OIDC) voor plaatsing op de ‘pas toe of leg uit’-lijst in procedure te nemen. Dit profiel spitst zich specifiek toe op de context van (semi-)overheidsorganisaties in Nederland. In gevallen waar een generieke standaard moet worden toegepast met een specifieker profiel, plaatst het Forum Standaardisatie het profiel op de 'pas toe of leg uit' lijst en de onderliggende generieke standaard op de lijst aanbevolen standaarden.
Uitstekend beheer ‘Ja’ betekent dat een nieuwe versie van de standaard na aanmelding op de lijst wordt overgenomen zonder aanvullende toetsing door het Forum Standaardisatie. ‘Nee’ betekent dat een nieuwe versie van de standaard na aanmelding eerst door het Forum Standaardisatie wordt getoetst voordat de huidige versie op de lijst door de nieuwe versie kan worden vervangen.	Nee
Expertadvies	Expertadvies-OpenID-Connect-1.0_0.pdf PDF Document \| 404.69 KB
Intakeadvies	FS-190612.4D_Intakeadvies_OIDC.pdf PDF Document \| 136.29 KB
Consultatie	191211-Consultatiedocument-OIDC.pdf PDF Document \| 116.25 KB
Forumadvies	191211-Forumadvies-OIDC.pdf PDF Document \| 136.42 KB
Datum van aanmelding Datum waarop een organisatie de standaard heeft aangemeld voor verplichten aan de overheid ('Pas toe of leg uit') of aanbevelen aan de overheid door plaatsing op een van de lijsten. Als een standaard voldoet aan de criteria om in behandeling genomen te worden, vindt een toetsingsprocedure plaats. Deze duurt ongeveer zeven maanden.	17-04-2019
Datum van besluit Datum waarop het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) of een van zijn voorgangers heeft besloten de standaard op de lijst te plaatsen.	23-03-2020

Standaard Samenwerken