Hoofdinhoud

In deze handleiding vindt u alle stappen die u als dienstaanbieder (ofwel: als afnemer van DigiD) moet uitvoeren om met succes op DigiD aan te sluiten. Deze handleiding is bedoeld voor dienstaanbieders (organisaties) die willen (en mogen) aansluiten op DigiD en leveranciers die in opdracht van deze dienstaanbieders aansluitingen ontwikkelen.

Versiegegevens

Publicatiedatum: Januari 2015
Versie: 4.2.2

Inleiding

Wie mogen aansluiten op DigiD? 

Een dienstaanbieder mag aansluiten op DigiD als deze voldoet aan deze voorwaarden: 

  • de organisatie (ofwel dienstaanbieder) is een publiekrechtelijke organisatie of een privaatrechtelijke organisatie die op basis van een wettelijke grondslag belast is met de uitvoering van een publieke taak;  
  • de organisatie mag op basis van een wettelijke grondslag over het Burgerservicenummer (BSN) beschikken;  
  • de taak waarvoor DigiD wordt gebruikt is een publieke taak.  

DigiD en het Burgerservicenummer (BSN) 

Bij het inloggen krijgt uw systeem de mededeling teruggekoppeld dat een persoon met een bepaald BSN bij DigiD is ingelogd. U moet dus zelf nog een koppeling leggen met een systeem (zoals de Basisregistratie Personen) waarmee u aan de hand van dit BSN informatie kunt opvragen over deze persoon. 

Benodigde documentatie 

U vindt de benodigde documenten op de Logius website. Per stap in het aansluitproces wordt aangegeven welke documenten relevant zijn. Indien er externe documentatie benodigd is (zoals internationale standaarden), dan wordt daarnaar met een URL verwezen in de tekst. 

Vragen

Heeft u vragen of opmerkingen? U kunt ons bereiken op werkdagen van 8.00 tot 17.00 uur via telefoonnummer 0900 555 4555 (10 ct/m) of via het algemeen contactformulier

Heeft u suggesties om het aansluitproces op DigiD verder te verbeteren? Wij horen het graag. Kleinere wijzigingen aan dit document communiceren wij niet breed, dus kijk zelf met enige regelmaat of er een nieuwere versie van dit document online staat.

Stap 1: Voorbereiding en projectplan

Benodigde documenten

Rol- en taakverdeling voor het aansluitproject

Om succesvol op DigiD te kunnen aansluiten, is het nodig dat verschillende personen in uw organisatie een taak op zich nemen. Voor iedere stap raden we in dit document een rol- en taakverdeling aan. 

In onderstaand schema vindt u een rolverdeling met bijbehorende taken en verantwoordelijkheden, die nodig zijn om het aansluitproces zo effectief en efficiënt mogelijk te laten verlopen.

Rolverdeling Taken en verantwoordelijkheden
Tekenbevoegde Heeft tekenbevoegdheid voor de organisatie die op DigiD aansluit.
Projectleider Begeleidt het hele aansluitproces op DigiD. 
Technisch specialist  Heeft technische kennis van de omgeving waarop DigiD wordt ingevoerd en heeft voldoende kennis van de specifieke systemen en de koppelvlakstandaarden om de aansluiting te realiseren.

Rol- en taakverdeling voor stap 1 in het proces

Rol Taken
Projectleider Alle taken in stap 1 vallen onder de aansturing van de projectleider. Het is aan de projectleider zelf om hulp te vragen aan andere medewerkers.

Taken

Opstellen invoeringsplan

Zorg voor draagvlak binnen uw organisatie voor het aansluiten op DigiD en dat de financiering hiervoor is geregeld. 

Maak een plan van aanpak om de aansluiting op DigiD goed te laten verlopen. Met dit plan maakt u duidelijk:

  • wat het doel en de kaders zijn van de aansluiting op DigiD
  • wie de betrokken partijen zijn
  • welke acties nodig zijn en door wie (vergeet hierbij de communicatie binnen uw eigen organisatie niet)
  • wat de planning is
  • welke partij de aansluiting verzorgt (zie ook het overzicht van leveranciers die in het verleden al een aansluiting op DigiD hebben verzorgd). Uiteraard kunt u ook zelf de aansluiting verzorgen
  • wat de kosten zijn
  • wie verantwoordelijk is voor de inbeheername

U kunt bij uw planning uitgaan van een reactietijd van maximaal 5 werkdagen bij handelingen die Logius moet uitvoeren. 

Keuze Eenmalig Inloggen 

DigiD biedt de mogelijkheid tot 'eenmalig inloggen' (ook wel ‘single signon’ of SSO genoemd). Burgers hoeven dan  tijdens een actieve sessie niet opnieuw in te loggen als ze wisselen tussen webdiensten in hetzelfde SSO domein. Steeds meer organisaties maken gebruik van eenmalig inloggen om het gezamenlijke doel van een geïntegreerde dienstverlening te kunnen realiseren. U kunt als organisatie kiezen of u deze functionaliteit aan uw gebruikers wilt bieden. Eenmalig inloggen kan alleen met het SAML koppelvlak. Voor Eenmalig Inloggen worden aanvullende eisen gesteld in de Checklist aansluiten op DigiD en DigiD Machtigen (zie paragraaf 4.3.1).

Analyseren benodigd betrouwbaarheidsniveau (ofwel: zekerheidsniveau)

DigiD heeft op dit moment twee betrouwbaarheidsniveaus (ook wel zekerheidsniveaus genoemd): DigiD Basis en DigiD Midden. Welke betrouwbaarheid nodig is hangt bijvoorbeeld af van de gevoeligheid van informatie die u ter beschikking wilt stellen. 

In Europees verband worden betrouwbaarheidsniveaus geclassificeerd in vier STORK niveaus. DigiD Basis maakt gebruik van een gebruikersnaam en een wachtwoord en heeft STORK QAA niveau 2. DigiD Midden maakt daarnaast gebruik van een extra controlestap via sms. Er kunnen kosten verbonden zijn aan het gebruik van DigiD Midden. Stel met behulp van de Handreiking betrouwbaarheidsniveaus vast wat een passend betrouwbaarheidsniveau is voor uw online diensten.

Kiezen voor SAML of CGI koppelvlak

We raden voor nieuwe aansluitingen aan om van het SAML koppelvlak gebruik te maken. Dit koppelvlak is gebaseerd op de internationale SAML2.0 standaard. Deze standaard is toekomstvast, veiliger, veel software is hier standaard compatibel mee en naar verwachting wordt er ook gebruik gemaakt van de SAML standaard in het eID stelsel. Door nu gebruik te maken van het SAML koppelvlak voorkomt u een grotere migratie in de nabije toekomst. Bekijk de koppelvlakspecificaties om een goede afweging te maken.

PKIoverheid-certificaten aanvragen

Met behulp van PKIoverheid-certificaten is de informatie die personen en organisaties over het internet sturen, beveiligd op een hoog niveau van betrouwbaarheid. Voor DigiD zijn PKIoverheid-certificaten verplicht. 

Bepaal of u PKIoverheid-certificaten bij een certificaatverstrekker moet aanvragen of controleer of u bestaande PKIoverheid-certificaten kunt hergebruiken. 

Let op dat u voor het SAML koppelvlak een apart PKIoverheid-certificaat nodig heeft voor de preproductie en de productieomgeving. Voor SAML mag u u één certificaat gebruiken voor zowel de Webserver, Saml Signing en het backchannel verkeer met DigiD. Voor het CGI koppelvlak volstaat een certificaat voor alleen de productieomgeving (in de preproductieomgeving volstaat een self-signed certificaat).

Let op!  

  • PKIoverheid-certificaten kunt u het beste zo vroeg mogelijk aanvragen. Het kan namelijk een aantal weken duren voor uw registratie als nieuwe abonnee rond is. De uitgifte van de certificaten verloopt overigens sneller als uw organisatie al abonnee is van een PKIoverheid-certificaatverstrekker.
  • Let op dat u voor het SAML koppelvlak twee PKI-overheidcertificaten nodig heeft: een voor de preproductie en een voor de productieomgeving. Voor het CGI koppelvlak volstaat een certificaat voor alleen de productieomgeving (in de CGI preproductieomgeving volstaat een self-signed certificaat).

Aandachtspunten

  • ICT-beveiligingsassessment. Iedere online dienst die is aangesloten op DigiD, moet jaarlijks worden getoetst via een ICT-beveiligingsassessment. Houd er bij het maken van het projectplan rekening mee dat er aan de achterliggende beveiligingsnormen wordt voldaan. Dit scheelt latere kosten voor het herstellen van eventuele bevindingen. Let op: het betreft hier een assessment van de dienst die u aanbiedt achter DigiD (bijvoorbeeld een online paspoortaanvraag), en niet van de DigiD aansluiting zelf. U moet voor uw dienst binnen 2 maanden na aansluiting op de productieomgeving van DigiD een assessment rapport aanleveren bij Logius.
  • Bewerkersovereenkomst. Maakt u gebruik van de diensten van een externe leverancier? Let er dan ook op dat u een bewerkersovereenkomst afsluit met deze leverancier, in verband met privacywetgeving.

Resultaat 

Aan het einde van deze voorbereiding heeft u: 

  • het aansluitproces DigiD ingeregeld
  • een invoerplan opgesteld
  • de betrokken partijen binnen en buiten uw organisatie geïnformeerd
  • een plan opgesteld voor de inbeheername van uw online dienst, inclusief gebruikersondersteuning
  • certificaten aangevraagd. Deze moeten vóór de aansluiting op de preproductieomgeving beschikbaar zijn

Stap 2: Aansluiten op de DigiD preproductieomgeving

Benodigde documenten 

Voor deze stap heeft u de volgende documenten nodig:  

Rol- en taakverdeling

Rol Taken 
Tekenbevoegde Ondertekent het aanvraagformulier preproductieomgeving.
Projectleider Begeleidt het aansluitproces op de preproductieomgeving van DigiD. Hierbij houdt hij de planning goed in de gaten.
Technisch specialist  Zorgt voor het aansluiten op de preproductieomgeving van DigiD. 

Taken 

In deze paragraaf vindt u in chronologische volgorde alle taken die u moet doen.  

Aanvraagformulier preproductieomgeving insturen 

Voordat u tot de preproductieomgeving van DigiD toegang krijgt, moet u het aanvraagformulier preproductieomgeving DigiD invullen en met originele handtekening per post opsturen naar Servicecentrum Logius.  

Het publieke deel van het PKIoverheid-certificaat en de XML metadata sturen. 

Wanneer u aansluit op het SAML koppelvlak, het publieke deel van het PKIoverheid-certificaat en de XML metadata in een gezipt bestand mailen naar servicecentrum@logius.nl. 

Goedkeuring aanvraag door Logius 

Servicecentrum Logius keurt vervolgens de aanvraag goed. U ontvangt van Servicecentrum Logius een bevestigingsmail en vijf testaccounts. In deze mail staan alle DigiD endpoints. Gebruikt u CGI dan ontvangt u in overleg het shared-secret. U kunt vanaf dan gebruik maken van de preproductieomgeving. 

Aansluiting realiseren 

Voor het realiseren van de aansluiting, kunt u het document koppelvlakspecificatie SAML (of eventueel de koppelvlakspecificatie CGI: alleen op aanvraag) raadplegen.

Aandachtspunten 

  • Omgevingen: Logius stelt u een preproductieomgeving beschikbaar om de koppeling met DigiD te kunnen ontwikkelen en testen. Deze preproductieomgeving is functioneel gelijk aan de productieomgeving. De inhoud van deze omgeving is uiteraard fictief.
  • Omgevingen: Er moet een duidelijk verschil zijn tussen de preproductie-url en de productie-url. De preproductie url bevat bijvoorbeeld 'acc', 'tst', of 'test'. Zoals: https://digid.test.gemeente.nl en in productie: https://digid.gemeente.nl
  • PKIoverheid-certifcaat voor het SAML koppelvlak: In het aanvraagformulier van DigiD voor aansluiten op het SAML koppelvlak moet u gegevens van het PKIoverheid-certificaat vermelden. Zorg ervoor dat u al zo’n PKIoverheid-certificaat bezit, voordat u een aanvraagformulier preproductieomgeving instuurt. 
  • Criteria waaraan uw aansluiting moet voldoen: Uw aansluiting moet voldoen aan de criteria van de Checklist aansluiten op DigiD en DigiD Machtigen en aan de normen van het ICT-beveiligingsasssessment. Neem dit mee in de vereisten voor de implementatie van uw aansluiting.  

Resultaat 

Na afloop van stap 2 heeft u de volgende zaken geregeld:

  • een PKIoverheid-certificaat voor (pre)productieomgeving
  • aansluiting op de preproductieomgeving

Stap 3: Testen aansluiting preproductieomgeving

In deze stap test u de koppeling tussen de preproductieomgeving van uw systeem en de preproductieomgeving van DigiD. 

Benodigde documenten

Rol- en taakverdeling

Rol Taken
Technisch specialist Test de preproductieomgeving
Projectleider Houdt de planning in de gaten. Biedt de aansluiting aan ter test door Logius.

Taken

In deze paragraaf vindt u in chronologische volgorde alle taken die u moet doen. 

Zelf testen van de aansluiting op de preproductieomgeving

Uw aansluiting moet voldoen aan de eisen van de Checklist aansluiten op DigiD en DigiD Machtigen. Gebruik deze checklist om zelf te controleren of uw aansluiting voldoet en verhelp eventuele bevindingen.  
Daarnaast raden we aan om in dit stadium al na te gaan of de dienst ook voldoet aan de normen voor het ICT-beveiligingsassessment. Dit laatste controleren wij niet, maar hoe eerder bevindingen naar voren komen, hoe makkelijker ze te herstellen zijn. 

Aansluiting aanbieden aan Logius

Is uw aansluiting klaar om te worden getest? Vraag Logius dan om uw aansluiting te testen via het formulier Aanvragen test DigiD-aansluiting. Zet hierin de volgende gegevens: 

  • de te testen preproductieomgeving URL. Deze omgeving dient door Logius benaderbaar te zijn.
  • de te testen producten/diensten
  • een testaccount (DigiD gebruikersnaam en wachtwoord)
  • contactgegevens technisch contactpersoon 

Acceptatie door Logius 

Logius stuurt u binnen vijf werkdagen per e-mail een testrapport met de uitslag. Als hierin nog punten staan die niet voldoen aan de criteria van de Checklist aansluiten op DigiD en DigiD Machtigen dan moet u deze punten uiteraard aanpassen. Daarna kunt u de test opnieuw aanbieden bij Logius.

Aandachtspunten

  • Criteria Checklist aansluiten op DigiD en DigiD Machtigen: Zorg ervoor dat zelf goed heeft getest of uw aansluiting aan de criteria van de Checklist aansluiten op DigiD en DigiD Machtigen voldoet. Als de openstaande punten de veiligheid van DigiD in gevaar brengen, kunnen wij uw aansluiting afsluiten. 
  • Omgevingen: Logius verwacht dat u tijdens het testen gebruik maakt van een preproductieomgeving die functioneel gelijk is aan de toekomstige productieomgeving van de aansluiting. 

Resultaten 

Na afloop van stap 3 heeft u de volgende zaken geregeld:  

  • Een preproductieomgeving die voldoet aan de eisen van de Checklist aansluiten op DigiD en DigiD Machtigen.
  • Positief testrapport vanuit Logius voor de aansluiting op DigiD.

Stap 4: Aansluiten op de DigiD productieomgeving

Benodigde documenten 

Rol- en taakverdeling

Rol Taken
Tekenbevoegde
  • Ondertekent de aanvraag van het PKIoverheid-certificaat voor het aansluiten op het SAML koppelvlak (indien u dit certificaat niet al eerder heeft aangevraagd).
  • Ondertekent het Aanvraagformulier productieomgeving DigiD.
Projectleider Begeleidt het aansluitproces op de productieomgeving van DigiD. Hierbij houdt hij de planning goed in de gaten. 
Technisch specialist  Zorgt voor het aansluiten op de productieomgeving van DigiD. 

Taken

In deze paragraaf vindt u in chronologische volgorde alle taken die u moet doen. 

Aanvraagformulier Productieomgeving insturen

Voldoet uw webapplicatie aan de eisen uit de Checklist aansluiten op DigiD en DigiD Machtigen en heeft u een goedgekeurd testrapport ontvangen van Servicecentrum Logius? Dan heeft u per e-mail het Aanvraagformulier Productie en de voorwaarden productieomgeving DigiD ontvangen. Dit Aanvraagformulier Productieomgeving moet u invullen en met originele handtekening per post naar Servicecentrum Logius terug sturen. 

Publieke deel van PKIoverheid-certificaat en de SAML metadata sturen

Daarnaast hebben wij het publieke deel van het PKIoverheid-certificaat nodig en de metadata in een XML-bestand om de productie aansluiting te kunnen realiseren op het SAML koppelvlak. Deze kunt u in een gezipt bestand mailen naar servicecentrum@logius.nl. 

Aansluiten op de productieomgeving

Logius keurt de aanvraag goed op basis van volledigheid en juistheid. Als het formulier is verwerkt en de aansluiting gerealiseerd is, ontvangt u van Logius een bevestigingsmail. U kunt vervolgens aansluiten op de productieomgeving.

Aandachtspunten 

  • PKIoverheid-certificaat. In het aanvraagformulier van DigiD moet u de gegevens van het PKIoverheid-certificaat vermelden. U moet dit certificaat dus al hebben voordat u een aanvraag kunt doen.

Resultaat 

Na afloop van stap 4 heeft u de volgende zaken geregeld:

  • Aansluiting op de productieomgeving.

Stap 5: Testen aansluiting op de productieomgeving

Benodigde documenten

Rol- en taakverdeling

Rol Taken
Technisch specialist Test de productieomgeving
Projectleider Houdt de planning in de gaten

Taken 

In deze paragraaf vindt u in chronologische volgorde alle taken die u moet doen.

Testen productieomgeving

Uw aansluiting moet voldoen aan de eisen van de Checklist aansluiten op DigiD en DigiD Machtigen. Logius gebruikt deze checklist voor het testen van uw aansluiting. 

Acceptatie door Logius 

Logius stuurt vanaf 1 maand na de activatiedatum het testrapport met de uitslag. Voldoet uw organisatie niet aan de gestelde criteria voor DigiD? Dan moet u de verbeteringen doorvoeren en kunt u de test opnieuw aanbieden. Als deze openstaande punten de veiligheid van DigiD in gevaar brengen, kunnen wij uw aansluiting met DigiD afsluiten.  

Aandachtspunten 

  • Criteria Checklist Testen. Zorg ervoor dat u in de vorige stap goed heeft getest of uw aansluiting aan de criteria van de Checklist aansluiten op DigiD en DigiD Machtigen voldoet. Als de openstaande punten de veiligheid van DigiD in gevaar brengen, kunnen wij uw aansluiting afsluiten.
  • Leveranciersoverzicht. Bekijk een overzicht van leveranciers die een aansluiting op DigiD hebben verzorgd. Indien uw leverancier nog niet in deze lijst staat, kunt u hem hierop wijzen. 

Resultaat 

Na afloop van deze laatste stap heeft u de volgende zaken geregeld:  

  • een productieomgeving die voldoet aan de eisen van de Checklist aansluiten op DigiD en DigiD Machtigen
  • een positief testrapport van Logius
  • een vermelding op https://www.digid.nl/over-digid/wie-doen-mee/

Stap 6: Inbeheername van de dienst en de aansluiting

In de eerste stap heeft u bepaald wie verantwoordelijk is voor de inbeheername van de dienst (indien de dienst nieuw is) en de daarbij behorende DigiD-aansluiting.

Rol- en taakverdeling

Rol Taken
Projectleider Verzorgt de overdracht naar de beheerorganisatie

Taken 

Overdracht naar de beheerorganisatie

Zorg voor een goed afgestemd plan voor inbeheername. Dit geldt vooral indien de achterliggende dienst achter de DigiD aansluiting nieuw is. Denk hierbij ook aan: 

  • De gebruikersondersteuning van de dienst. Deze handleiding vertelt alleen wat u nodig heeft om te kunnen aansluiten op DigiD. Zodra de aansluiting met DigiD in productie is, moet uw organisatie zelf de aansluiting van DigiD én uw achterliggende online dienst kunnen beheren. Voor algemene vragen over DigiD kunnen burgers terecht bij de helpdesk van DigiD. Wij raden u aan voor vragen van eindgebruikers binnen uw organisatie gebruikersondersteuning in te richten met kennis van uw eigen processen en techniek.
  • De verantwoordelijkheid voor het functioneel beheer, inclusief het informeren van Logius bij belangrijke wijzigingen aan de dienst.
  • Het begeleiden van het jaarlijkse ICT-beveiligingsassessment.
  • Het beheer van de PKIoverheid-certificaten.

Aandachtspunten

  • Binnen twee maanden na livegang moet u voldoen aan het ICT-beveiligingsassessment.
  • Lees hoe wat u van ons kunt verwachten en wat uw plichten zijn onder het kopje 'Wie doet wat' op onze website.
  • Logius kan de Checklist aansluiten op DigiD en DigiD Machtigen, de ICT-beveiligingsassessments en andere eisen verscherpen, om de veiligheid van DigiD te kunnen blijven waarborgen.

Resultaat

  • De dienst en de bijbehorende DigiD aansluiting is formeel overgedragen aan de beheerorganisatie.