Merk op, het afsprakenstelsel DSGO is nog in ontwikkeling. Zie de Aanpak ontwikkeling afsprakenstelsel voor meer informatie. Voor vragen of opmerkingen neem contact op met afsprakenstelseldsgo@digigo.nu

Autorisatie-informatie organiseren

Owned by Bauke Rietveld
Last updated: 10 Apr 2024
4 min read

Om een autorisatiebesluit mogelijk te maken bij een datadienstverzoek, is naast het verzoek aanvullende informatie nodig. In het autorisatiebesluit wordt deze informatie omtrent het verzoek getoetst tegen het autorisatiebeleid. In het organiseren van autorisatie-informatie worden de voorbereidingen getroffen om deze informatie beschikbaar te stellen bij het maken van het autorisatiebesluit. Afhankelijk van het autorisatiebeleid kan het organiseren van autorisatie-informatie over verschillende type informatie gaan, daarmee zijn alle type autorisatie-informatie optioneel voor gebruik door datadienstaanbieders. Bijvoorbeeld het uitgeven van bepaalde kwalificaties en eigenschappen die bij het datadienstverzoek nodig zijn, het registeren van gedelegeerde rechten of het gebruik van een access token.

Access Token

Doel: Acces tokens maken het mogelijk voor datadienstaanbieders om de functionaliteit van autorisatie onafhankelijk uit te voeren van de datadienst. Dit biedt een schaalbare oplossing die in de praktijk vaak voorkomt.

Een access token dienst als bewijs dat een partij de rechten heeft om een datadienstverzoek te sturen. In het afsprakenstelsel wordt het OAuth 2.0 protocol gebruikt om access tokens op te halen. Veel huidige toepassingen verwachten het gebruik van OAuth 2.0 access tokens bij het aanroepen van een dienst. Een access token maakt het mogelijk voor de gebruiker om eenmalig te autoriseren voor de aanvraag van meerdere diensten. In het DSGO wordt in bij aanvraag van een access token de authenticiteit van de aanvrager vastgelegd middels getekende JWTs.

DSGO.Basis: Als datadienstaanbieders gebruik maken van een access token dan MOET dit worden gedaan volgens het afsprakenstelsel

DSGO.Basis: Als datadienstaanbieders gebruik maken van een access token dan MOET dit worden vastgelegd in de datadienstspecificatie

In Access token wordt het onderwerp van access tokens verder gedetailleerd. Wanneer een datadienstaanbieder het gebruik van een access token verplicht, moet de datadienstgebruiker een access token opvragen bij de datadienstaanbieder voordat een succesvol datadienstverzoek kan plaatsvinden.

Delegatie

Doel: Het ondersteunen van delegatie door datadienstaanbieders stelt de datarechthebbende in staat om haar recht op toegang tot (de bewerking van) data over te dragen.

Delegatie is het overdragen van een bevoegdheid, van de datarechthebbende, aan een ander die vervolgens die bevoegdheid kan gebruiken. De datadienstaanbieder kan het mogelijk maken om rechten te delegeren om de soevereiniteit van de datarechthebbende te bevorderen of functionaliteiten breder aan te bieden. Het delegeren van rechten binnen het DSGO volgt de doelstelling van het DSGO om partijen in staat te stellen om data vanuit de bron beschikbaar te stellen. Dit zorgt ervoor dat in een federatief ecosysteem voor datadelen er geen onnodige data replicatie plaatsvindt waar data telkens moet worden doorgestuurd. Datarechthebbende kunnen rechten delegeren aan andere partijen zodat data zij data direct van de bron kunnen ophalen. Echter, het delegeren van rechten is niet altijd relevant of mogelijk.

DSGO.Basis: Datadienstaanbieders ZOUDEN het voor de datarechthebbende mogelijk MOETEN maken haar rechten over data te delegeren

In het DSGO zijn er drie manieren waarop delegaties kunnen worden geregistreerd en beheert, zodat deze als informatie kunnen worden gebruikt door de datadienstaanbieder bij het maken een autorisatiebesluit.

  1. De datarechthebbende beheert zelf delegaties. De datarechthebbende heeft (in afstemming met de datadienstaanbieder) bepaald dat de datarechthebbende voor elk verzoek om een datadienst toestemming moet geven.

  2. De datarechthebbende registreert zijn delegaties bij de datadienstaanbieder. De datarechthebbende bepaalt en deelt haar delegatieregels op basis waarvan de datadienstaanbieder autonoom een autorisatiebesluit kan nemen.

  3. De datarechthebbende registreert zijn delegaties bij een onafhankelijk autorisatieregister. De datarechthebbende heeft voordat een datadienstverzoek plaatsvindt haar delegaties geregistreerd in een onafhankelijk autorisatieregister.

In Delegaties wordt het delegeren van rechten verder toegelicht.

Kwalificaties en eigenschappen

Doel: Kwalificaties en eigenschappen worden gebruikt zodat een datadienstaanbieder modulair kan bepalen onder welke voorwaarden een partij toegang krijgt tot een datadienst en dit mogelijk aan te brengen in delegaties.

In het autorisatiebeleid kan zijn bepaald dat voor het gebruik van een datadienst kan de datadienstaanbieder bepalen dat datadienstgebruikers kwalificaties en eigenschappen moeten hebben. Bijvoorbeeld dat de partij ISO27001 gecertificeerd is, een BRL6000-21/00 certificering heeft voor het installeren van een warmtepomp, of lid is van Techniek Nederland. In de voorbereiding voor het gebruik van de datadienst moeten de nodige kwalificaties en eigenschappen worden behaald, geregistreerd en klaar gemaakt om beschikbaar te stellen aan de datadienstaanbieder voor controle bij het nemen van een autorisatiebesluit.

Complexiteit in autorisatie-informatie

Afhankelijk van het type datadienst zit er veel variatie in de voorbereiding van autorisatie-informatie