Authenticatie op datadienstniveau
Authenticatie in datadiensten vindt op verschillende manieren plaats, afhankelijk van onder andere het type datadienstgebruiker. Omdat het voor de datadienstaanbieder niet mogelijk is om een mens op dezelfde manier te authenticeren als een partij, zijn voor de verschillende type datadienstgebruikers afspraken opgenomen in het afsprakenstelsel.
De tabel hieronder bevat per type datadienstgebruiker meer informatie over de bijbehorende authenticatie. Het gaat nadrukkelijk om de wens van de datadienstaanbieder om de betrouwbaarheid van de identiteit zelf vast te stellen om doelgericht gegevensuitwisseling in te regelen en daarmee risico's te beperken. De datadienstaanbieder kiest zelf het gewenste betrouwbaarheidsniveau en bijpassende authenticatie-oplossingen.
Type datadienst-gebruiker | Beschrijving | Voorbeeld | Authenticatie-oplossing per type datadienstgebruiker |
|---|---|---|---|
Mens namens zichzelf | Voor personen die privé (bv. als burger, consument of klant) gebruik willen maken van datadiensten. | Jan Janssen, een huiseigenaar (menselijke datadienstgebruiker), wil bij zijn gemeente (datadienstaanbieder) de status van de vergunningsaanvraag in zien. De gemeente eist dat Jan DigiD als authenticatiemiddel gebruikt om met betrouwbaarheidsniveau laag zijn identiteit te verifiëren. | |
Mens namens partij | Voor het beroepsmatig gebruik van een datadienst, waar het authenticatiemiddel zekerheid geeft dat de menselijke datadienstgebruiker de datadienst afneemt in uitvoeren van zijn/haar beroep. | De projectontwikkelaar (datadienstaanbieder) wil zelf controleren dat alleen Jan (menselijke datadienstgebruiker) van het architectenbureau aanpassingen doet aan het ontwerp in de CDE van de projectontwikkelaar. De projectontwikkelaar eist dat Jan met hoog betrouwbaarheidsniveau zijn identiteit aantoont door eHerkenning als authenticatiemiddel te gebruiken. | |
Machine namens partij | Voor gestructureerde geautomatiseerde gegevensuitwisseling, waar de geclaimde identiteit een partij betreft. | Een aannemersbedrijf (in de rol van datadienstgebruiker) wil elke dag geautomatiseerd toegang tot niet-publieke productdata van de fabrikant (in de rol van datadienstaanbieder) om de prijslijsten te updaten. Om zich te authenticeren in een datadienstverzoek heeft het aannemersbedrijf twee mogelijkheden:
|
DSGO.Basis: Als een datadienstaanbieder een datadienstgebruiker wil authenticeren als machine namens partij dan MOET een AdSeal of QSeal en MAG ClientPassword gebruikt kunnen worden als authenticatie-oplossing
DSGO.Basis: Als een datadienstaanbieder een datadienstgebruiker wil authenticeren als machine namens partij, én een autorisatiebeleid heeft waarbij er een toegangsrecht is verstrekt door een datarechthebbende, dan MOET een AdSeal of QSeal gebruikt worden als authenticatie-oplossing
DSGO.Basis: Als een datadienstgebruiker zich wil authenticeren bij een datadienstaanbieder dan MOET een AdSeal of QSeal en MAG ClientPassword gebruikt kunnen worden als authenticatie-oplossing
DSGO.Basis: Als een datadienstbroker zich wil authenticeren bij een datadienstaanbieder dan MOET een AdSeal of QSeal gebruikt worden als authenticatie-oplossing.
DSGO.Basis: Als een partij zich wil authenticeren bij een autorisatieregister, datadienstbroker of participantenregister dan MOET een AdSeal of QSeal gebruikt worden als authenticatie-oplossing
DSGO.Basis: Een datadienstaanbieder die gebruik maakt van de ClientPassword authenticatie-oplossing MOET een administratief proces van preregistratie van Clients en Passwords verzorgen waarbij het password (client_secret) tenminste 1 maal per jaar wordt ververst en de DSGO vereisten voor Access Tokens blijven gelden
DSGO.Basis: Datadienstaanbieders MOETEN voor hun datadiensten bepalen welk type datadienstgebruiker geauthenticeerd wordt en dit vastleggen in de datadienstspecificatie en beschikbaar maken in het /capabilities endpoint
DSGO.Basis: Als datadienstaanbieders een datadienstgebruiker wil authenticeren als mens namens partij OF mens namens zichzelf dan MOETEN hun keuzes voor authenticatie-oplossing(en) worden vastgelegd in de datadienstspecificatie en beschikbaar maken in het /capabilities endpoint
DSGO.Basis: Datadienstaanbieders MOETEN de keuze voor authenticatie-oplossing van machine namens partij vastleggen in de datadienstspecificatie en beschikbaar maken in het /capabilities endpoint
Onderstaande beslisboom biedt ondersteuning bij het bepalen van welk type datadienstgebruiker het omgaat in een bepaalde context.