Diensten aanbieden via eHerkenning
eHerkenning is het inlogsysteem waarmee Nederlandse ondernemers gemakkelijk inloggen bij publieke en private organisaties. eHerkenning is een overheids inlogplatform, met eHerkenning heb je zekerheid over de identiteit van jouw gebruikers, en ook andersom.
11 april 2024 | Publicatie | Door: Arianne van Wijk
Deel
Digitaal paspoort
Om de diensten van je organisatie via eHerkenning beschikbaar te maken moet je als organisatie kunnen aantonen dat deze dienst werkelijk bij jouw organisatie hoort. Dat kun je bewijzen met een PKI (Public Key Infrastructure)-Overheidscertificaat. Dit werkt als een soort digitaal paspoort voor je organisatie. Deze moet je op tijd aanvragen om met eHerkenning aan de slag te kunnen.
Ook gebruikers hebben een digitaal paspoort via hun eHerkenning inlogmiddel. Als zij een inlogmiddel voor eHerkenning hebben aangevraagd via een leverancier, dan kunnen zij dat voor verschillende diensten gebruiken. Dit maakt eHerkenning voor de gebruiker niet alleen een veilige maar ook gebruiksvriendelijke oplossing. Het maakt door de gebruikte standaard niet uit of de gebruiker via een andere leverancier inlogt dan die van de dienstenaanbieder.
Dienstencatalogus
Daarnaast moeten de diensten die je als dienstverlener beschikbaar maakt via eHerkenning worden gepubliceerd in een eHerkenning dienstencatalogus. Hierin wordt per dienst aangegeven wat de naam en omschrijving van de dienst is, wie de dienstverlener is, en welk betrouwbaarheidsniveau nodig is voor de dienst. Het is ook mogelijk om naast de standaardattributen aan te geven dat je als dienstverlener optioneel of verplicht meer attributen van de eindgebruiker wilt gebruiken. In dat geval moeten ook het doel en het privacystatement van de dienstverlener beschikbaar zijn in de dienstencatalogus.
Leverancier eHerkenning
Als organisatie kun je niet zelf je diensten aansluiten op eHerkenning, dit gaat via een zogenaamde eHerkenning leverancier of broker. Vanuit eHerkenning mogen slechts een beperkt aantal leveranciers deze connectie maken. Deze leveranciers zijn gepubliceerd op de site van eHerkenning, sommige partijen hebben meerdere merken. Zo is First8 Conclusion technology partner van Signicat, een merk wat onder we·id opereert.
Veilige uitwisseling via SAML
Als je met een van deze leveranciers een contract hebt, dan leggen zij de connectie met eHerkenning (identity provider). Maar de connectie tussen de eHerkenningsleverancier en de eigen digitale dienst moet ook geconfigureerd worden.
De communicatie met eHerkenning is gestandaardiseerd volgens de SAML standaard. SAML wordt toegepast voor het veilig uitwisselen van authenticatie- en autorisatiegegevens om gebruikers na eenmalig inloggen toegang te geven tot meerdere diensten.
Bij SAML spelen drie partijen een rol:
- de ‘gebruiker’
- de ‘Identity Provider (IdP)’, in dit geval eHerkenning
- de ‘Service Provider (SP)’, dat is de dienstenaanbieder
De IdP regelt het authenticatieproces van de gebruiker en kan na succesvolle authenticatie aan de SP gegevens verstrekken over de identiteit, attributen en rechten van een gebruiker.
Configureren
De communicatie tussen de eigen digitale dienst en de eHerkenningsleverancier via SAML is complex proces. Je kunt dit zelf aan je applicatie toevoegen, maar dat vereist veel specialistische kennis. Of bijvoorbeeld door (open-source) libraries aan je software toe te voegen die dit voor je afhandelen. Dit zorgt er echter wel voor dat als je via meerdere applicaties diensten aanbiedt, deze specifieke verantwoordelijkheden op meerdere plekken in je systeem en organisatie terecht komen.
Je kunt dit proces ook delegeren naar een Identity and Access Management oplossing, zoals Keycloak. Op die manier kun je overzichtelijk op één plek de security beheren voor verschillende applicaties. De configuratie voor het communiceren via SAML, de uitwisseling van verschillende certificaten en het beheer van gebruikers kan zo op een centrale plek plaats vinden.