Hoofdinhoud
Inleiding
Doelgroep en gebruik van deze pagina
Deze checklist is bedoeld voor:
- overheidsinstellingen en organisaties met een publiekrechtelijke taak (hierna: dienstaanbieders) die gebruik willen maken van DigiD als authenticatiemiddel;
- leveranciers die aansluitingen ontwikkelen voor dienstaanbieders.
Ontwikkelaars van een webdienst gebruiken de checklist voor zelfcontrole. Logius controleert periodiek en bij elke nieuwe aansluiting of een aansluiting aan de criteria in deze checklist voldoet.
Let op: de dienstaanbieder blijft altijd zelf verantwoordelijk voor de veilige en correcte werking van de systemen die op DigiD aansluiten.
Gerelateerde pagina's
De laatste versie van deze pagina
Logius verbetert en verduidelijkt deze pagina met regelmaat. Logius informeert dienstaanbieders per e-mail alleen bij wijzigingen met een grote impact. Controleer daarom zelf regelmatig of er een nieuwe versie van deze pagina op de website van Logius staat.
Verbetersuggesties
Logius ontvangt graag uw suggesties om deze pagina te verbeteren. U kunt hiervoor contact opnemen met Logius.
Testcriteria voor DigiD-aansluitingen
Testcriteria voor communicatie
Testcriterium | Toelichting | |
---|---|---|
C1 | Geen testdata of “under Construction”-teksten |
De pagina’s van de webapplicatie direct voor en na het inloggen op DigiD bevatten geen teksten of plaatjes die aangeven dat de site “under construction” is. Deze pagina’s bevatten ook geen testgegevens of links naar testpagina’s. Opmerking: dit criterium is niet vereist in de preproductieomgeving van DigiD. |
C2 |
Deeplinks |
Indien de website of applicatie gebruikmaakt van deeplinks naar DigiD, dan verwijzen deze naar https://www.digid.nl, en niet direct naar de betreffende pagina’s. |
C3 | Schrijfwijze |
|
C4 | Logo | Op elke plaats waar u doorverwijst naar DigiD voor authenticatie gebruikt u onderstaand logo: Dit logo is te downloaden op: https://logius.nl/diensten/digid/documentatie Afmetingen zijn minimaal 20x20 pixels, gangbaar is 100x100 pixels. Naast het logo geeft u een link die doorverwijst naar het inlogscherm van DigiD. Link en logo staan zodanig bij elkaar dat de gebruiker er vanuit kan gaan dat deze voor het inloggen via DigiD is. Afmetingen minimaal 20x20 pixels en gangbaar 100x100 pixels. |
C5 | Veelgestelde vragen en helpdesk |
|
Technische testcriteria
Testcriterium | Toelichting | |
---|---|---|
T1 | Browserondersteuning | De pagina waarin u verwijst naar DigiD, wordt correct weergegeven in de top-95% van de meestgebruikte versies van browsers. |
T2 | U moet een zichtbaar beveiligde verbinding hebben, zich uitend in: | (NB: Voor SSL-verbindingen zijn alle volgende punten verplicht. Voor CGI-aansluitingen zijn de eerste drie punten niet verplicht. Wij adviseren echter om wel aan deze punten te voldoen.)
|
T3 | Geen frames | De inlogschermen van DigiD worden niet in een frame gepresenteerd aan de gebruiker. Het adres https://www.digid.nl is zichtbaar in de adresbalk van de gebruiker. |
T4 | Geen pop-up, nieuw window of tabblad voor inlogscherm DigiD | Na doorverwijzen vanuit de dienstaanbieder wordt het inlogscherm van DigiD in hetzelfde window getoond aan de gebruiker, dus niet in een pop-up, nieuw window of tabblad. |
T5 | Naam van de organisatie | Op de eerste inlogpagina van DigiD staat de naam van de dienstaanbieder waar de gebruiker gaat inloggen. |
T6 | Foutmelding | Indien DigiD een resultcode teruggeeft aan de webapplicatie (met uitzondering van SAML-statuscodes “Authnfailed” en “Succes” en CGI-statuscodes 0000 en 0040) bevat de pagina die wordt getoond de letterlijke foutmelding “Er is een fout opgetreden in de communicatie met DigiD. Probeert u het later nogmaals. Indien deze fout blijft aanhouden, kijk dan op de website https://www.digid.nl voor de laatste informatie.” De lokale sessie is hierna beëindigd, een gebruiker dient opnieuw in te loggen. |
T7 | Schermgedrag bij annuleren | Als de gebruiker het authenticatieproces annuleert (SAML-statuscode “AuthnFailed” of CGI-statuscode 0040), komt de gebruiker terug in het scherm vanwaar getracht is de authenticatie te starten. Dit gebeurt in hetzelfde browserscherm. Er dient een melding getoond te worden met de mededeling dat het inloggen is geannuleerd. |
T8 | Juiste aanroep-URL | De webapplicatie roept de DigiD-authenticatiepagina aan via de URL die wordt genoemd in de metadata van DigiD (voor SAML) of de bevestigingsbrief van Logius (voor CGI). |
T9 | Geen veldwaarden in de URL (Alleen voor CGI) | De veldwaarden appID of het shared secret worden niet door de webapplicatie in de URL of op het scherm getoond. |
T10 | Rechtstreekse invoer door gebruiker | De gebruiker moet zijn/haar inloggegevens rechtstreeks op het inlogscherm van DigiD invoeren. |
T11 |
Redirect binnen domein |
De gebruiker wordt na het inloggen geredirect naar de inlogpagina van DigiD en na succesvolle authenticatie naar een pagina binnen hetzelfde domein. Dit geldt ook bij niet-succesvolle authenticatie of bij annuleren. Voorbeeld van stapsgewijze routering zoals toegestaan:
Niet toegestaan is dus:
Daarnaast is ook link tracking, het loggen van DigiD-surfgedrag, niet toegestaan. Bijvoorbeeld:
|
T12 | De authenticatie slaagt | Het authenticatieproces verloopt conform de koppelvlakspecificaties (zie paragraaf 1.3). De gebruiker kan inloggen bij DigiD en de dienstaanbieder ontvangt na een succesvolle authenticatie een reactie van DigiD met een sectoraal nummer. |
T13 |
Betrouwbaarheidsniveaus correct afgehandeld |
De dienstaanbieder bepaalt het minimale betrouwbaarheidsniveau. De burger mag er altijd voor kiezen om op een hoger niveau in te loggen. Bijvoorbeeld:
|
T14 | Uitloggen | Er dient vanaf het moment van inloggen met DigiD en voor de duur van de sessie op het scherm van de dienstaanbieder een mogelijkheid getoond te worden om uit te loggen. Deze uitlogmogelijkheid beëindigt de lopende sessie. |
T15 | Sessieduur | Na het inloggen houdt de webapplicatie een sessie met de gebruiker bij. Na maximaal vijftien minuten inactiviteit verloopt de sessie. Bij uitloggen of als alle actieve browserschermen afgesloten worden, vervalt de sessie ook. |
Testcriteria voor app2app
Uitgangspunt is dat een app2app-aansluiting wordt toegevoegd aan een al bestaande – en geteste – DigiD aansluiting. De app2app-aansluiting zal niet aan een uitgebreide test onderworpen worden, omdat de reguliere DigiD-aansluiting al voldoet aan de gestelde eisen. De afnemerapp zal slechts getoetst worden op de onderstaande voorwaarden.
Testcriterium | Toelichting | |
---|---|---|
A1 | Schrijfwijze DigiD | Schrijf DigiD aan elkaar met twee hoofdletters ‘D’. Schrijf over ‘DigiD’ in plaats van bijvoorbeeld ‘de DigiD’. Schrijf over ‘DigiD app’ (app met alleen kleine letters.) |
A2 |
Logo’s |
DigiD-logo: Minimale afmeting is 20x20 pixels, gangbaar is 100x100 pixels. Afnemerlogo: |
A3 | Verwijzingen naar DigiD-informatie | Er staan geen veel gestelde vragen over DigiD in de afnemer app. Alleen een verwijzing naar de website van DigiD (homepage) is toegestaan: https://www.digid.nl Nergens staat het telefoonnummer of e-mailadres van de DigiD-servicedesk vermeld in de afnemer app. |
A4 | Gebruik universal links (iOS) of Android app links | Het aanroepen van de DigiD app door de afnemer app en vice versa verloopt via iOS universal links of Android app links. Dit vereist dat de afnemer app geregistreerd staat in de App Store en/of Google Play. |
A5 | Naam DigiD aansluiting | Op het bevestigingsscherm in de DigiD app staan de naam van de afnemer app, zoals dat bij registratie is opgegeven, en het app-icoon dat de afnemer met het authenticatieverzoek meestuurt. De naam moet onderscheidend en uniek zijn. |
Afkortingen en definities
Woord/afkorting | Betekenis |
---|---|
CSP | Certificate Service Provider |
CGI | Common Gateway Interface |
SAML | Security Assertion Markup Language; Internationale standaard voor het uitwisselen van berichten met beveiligingsgegevens en informatie over eindgebruikers. |
DigiD Basis | Betrouwbaarheidsniveau voor authenticeren op basis van inlognaam plus wachtwoord |
DigiD Midden | Betrouwbaarheidsniveau voor authenticeren op basis van:
|
DigiD Substantieel | Betrouwbaarheidsniveau voor authenticeren op basis van DigiD app, waarvoor éénmalig een ID-check is uitgevoerd |
DigiD Hoog | Betrouwbaarheidsniveau voor authenticeren op basis van een fysiek identiteitsdocument. |