Hoofdinhoud
Inleiding
Wie mogen aansluiten op DigiD?
Een dienstaanbieder mag aansluiten op DigiD als deze voldoet aan deze voorwaarden:
- de organisatie (ofwel dienstaanbieder) is een publiekrechtelijke organisatie of een privaatrechtelijke organisatie die op basis van een wettelijke grondslag belast is met de uitvoering van een publieke taak;
- de organisatie mag op basis van een wettelijke grondslag over het Burgerservicenummer (BSN) beschikken;
- de taak waarvoor DigiD wordt gebruikt is een publieke taak.
DigiD en het Burgerservicenummer (BSN)
Bij het inloggen krijgt uw systeem de mededeling teruggekoppeld dat een persoon met een bepaald BSN bij DigiD is ingelogd. U moet dus zelf nog een koppeling leggen met een systeem (zoals de Basisregistratie Personen) waarmee u aan de hand van dit BSN informatie kunt opvragen over deze persoon.
Benodigde documentatie
U vindt de benodigde documenten op de Logius website. Per stap in het aansluitproces wordt aangegeven welke documenten relevant zijn. Indien er externe documentatie benodigd is (zoals internationale standaarden), dan wordt daarnaar met een URL verwezen in de tekst.
Vragen
Heeft u vragen of opmerkingen? U kunt ons bereiken op werkdagen van 8.00 tot 17.00 uur via telefoonnummer 0900 555 4555 (10 ct/m) of via het algemeen contactformulier.
Heeft u suggesties om het aansluitproces op DigiD verder te verbeteren? Wij horen het graag. Kleinere wijzigingen aan dit document communiceren wij niet breed, dus kijk zelf met enige regelmaat of er een nieuwere versie van dit document online staat.
Stap 1: Voorbereiding en projectplan
Benodigde documenten
- Handreiking betrouwbaarheidsniveaus
- Informatie over ICT-beveiligingsassessments
- Documentatie over PKIoverheid-certificaten
Rol- en taakverdeling voor het aansluitproject
Om succesvol op DigiD te kunnen aansluiten, is het nodig dat verschillende personen in uw organisatie een taak op zich nemen. Voor iedere stap raden we in dit document een rol- en taakverdeling aan.
In onderstaand schema vindt u een rolverdeling met bijbehorende taken en verantwoordelijkheden, die nodig zijn om het aansluitproces zo effectief en efficiënt mogelijk te laten verlopen.
Rolverdeling | Taken en verantwoordelijkheden |
---|---|
Tekenbevoegde | Heeft tekenbevoegdheid voor de organisatie die op DigiD aansluit. |
Projectleider | Begeleidt het hele aansluitproces op DigiD. |
Technisch specialist | Heeft technische kennis van de omgeving waarop DigiD wordt ingevoerd en heeft voldoende kennis van de specifieke systemen en de koppelvlakstandaarden om de aansluiting te realiseren. |
Rol- en taakverdeling voor stap 1 in het proces
Rol | Taken |
---|---|
Projectleider | Alle taken in stap 1 vallen onder de aansturing van de projectleider. Het is aan de projectleider zelf om hulp te vragen aan andere medewerkers. |
Taken
Opstellen invoeringsplan
Zorg voor draagvlak binnen uw organisatie voor het aansluiten op DigiD en dat de financiering hiervoor is geregeld.
Maak een plan van aanpak om de aansluiting op DigiD goed te laten verlopen. Met dit plan maakt u duidelijk:
- wat het doel en de kaders zijn van de aansluiting op DigiD
- wie de betrokken partijen zijn
- welke acties nodig zijn en door wie (vergeet hierbij de communicatie binnen uw eigen organisatie niet)
- wat de planning is
- welke partij de aansluiting verzorgt (zie ook het overzicht van leveranciers die in het verleden al een aansluiting op DigiD hebben verzorgd). Uiteraard kunt u ook zelf de aansluiting verzorgen
- wat de kosten zijn
- wie verantwoordelijk is voor de inbeheername
U kunt bij uw planning uitgaan van een reactietijd van maximaal 5 werkdagen bij handelingen die Logius moet uitvoeren.
Keuze Eenmalig Inloggen
DigiD biedt de mogelijkheid tot 'eenmalig inloggen' (ook wel ‘single signon’ of SSO genoemd). Burgers hoeven dan tijdens een actieve sessie niet opnieuw in te loggen als ze wisselen tussen webdiensten in hetzelfde SSO domein. Steeds meer organisaties maken gebruik van eenmalig inloggen om het gezamenlijke doel van een geïntegreerde dienstverlening te kunnen realiseren. U kunt als organisatie kiezen of u deze functionaliteit aan uw gebruikers wilt bieden. Eenmalig inloggen kan alleen met het SAML koppelvlak. Voor Eenmalig Inloggen worden aanvullende eisen gesteld in de Checklist aansluiten op DigiD en DigiD Machtigen (zie paragraaf 4.3.1).
Analyseren benodigd betrouwbaarheidsniveau (ofwel: zekerheidsniveau)
DigiD heeft op dit moment twee betrouwbaarheidsniveaus (ook wel zekerheidsniveaus genoemd): DigiD Basis en DigiD Midden. Welke betrouwbaarheid nodig is hangt bijvoorbeeld af van de gevoeligheid van informatie die u ter beschikking wilt stellen.
In Europees verband worden betrouwbaarheidsniveaus geclassificeerd in vier STORK niveaus. DigiD Basis maakt gebruik van een gebruikersnaam en een wachtwoord en heeft STORK QAA niveau 2. DigiD Midden maakt daarnaast gebruik van een extra controlestap via sms. Er kunnen kosten verbonden zijn aan het gebruik van DigiD Midden. Stel met behulp van de Handreiking betrouwbaarheidsniveaus vast wat een passend betrouwbaarheidsniveau is voor uw online diensten.
Kiezen voor SAML of CGI koppelvlak
We raden voor nieuwe aansluitingen aan om van het SAML koppelvlak gebruik te maken. Dit koppelvlak is gebaseerd op de internationale SAML2.0 standaard. Deze standaard is toekomstvast, veiliger, veel software is hier standaard compatibel mee en naar verwachting wordt er ook gebruik gemaakt van de SAML standaard in het eID stelsel. Door nu gebruik te maken van het SAML koppelvlak voorkomt u een grotere migratie in de nabije toekomst. Bekijk de koppelvlakspecificaties om een goede afweging te maken.
PKIoverheid-certificaten aanvragen
Met behulp van PKIoverheid-certificaten is de informatie die personen en organisaties over het internet sturen, beveiligd op een hoog niveau van betrouwbaarheid. Voor DigiD zijn PKIoverheid-certificaten verplicht.
Bepaal of u PKIoverheid-certificaten bij een certificaatverstrekker moet aanvragen of controleer of u bestaande PKIoverheid-certificaten kunt hergebruiken.
Let op dat u voor het SAML koppelvlak een apart PKIoverheid-certificaat nodig heeft voor de preproductie en de productieomgeving. Voor SAML mag u u één certificaat gebruiken voor zowel de Webserver, Saml Signing en het backchannel verkeer met DigiD. Voor het CGI koppelvlak volstaat een certificaat voor alleen de productieomgeving (in de preproductieomgeving volstaat een self-signed certificaat).
Let op!
- PKIoverheid-certificaten kunt u het beste zo vroeg mogelijk aanvragen. Het kan namelijk een aantal weken duren voor uw registratie als nieuwe abonnee rond is. De uitgifte van de certificaten verloopt overigens sneller als uw organisatie al abonnee is van een PKIoverheid-certificaatverstrekker.
- Let op dat u voor het SAML koppelvlak twee PKI-overheidcertificaten nodig heeft: een voor de preproductie en een voor de productieomgeving. Voor het CGI koppelvlak volstaat een certificaat voor alleen de productieomgeving (in de CGI preproductieomgeving volstaat een self-signed certificaat).
Aandachtspunten
- ICT-beveiligingsassessment. Iedere online dienst die is aangesloten op DigiD, moet jaarlijks worden getoetst via een ICT-beveiligingsassessment. Houd er bij het maken van het projectplan rekening mee dat er aan de achterliggende beveiligingsnormen wordt voldaan. Dit scheelt latere kosten voor het herstellen van eventuele bevindingen. Let op: het betreft hier een assessment van de dienst die u aanbiedt achter DigiD (bijvoorbeeld een online paspoortaanvraag), en niet van de DigiD aansluiting zelf. U moet voor uw dienst binnen 2 maanden na aansluiting op de productieomgeving van DigiD een assessment rapport aanleveren bij Logius.
- Bewerkersovereenkomst. Maakt u gebruik van de diensten van een externe leverancier? Let er dan ook op dat u een bewerkersovereenkomst afsluit met deze leverancier, in verband met privacywetgeving.
Resultaat
Aan het einde van deze voorbereiding heeft u:
- het aansluitproces DigiD ingeregeld
- een invoerplan opgesteld
- de betrokken partijen binnen en buiten uw organisatie geïnformeerd
- een plan opgesteld voor de inbeheername van uw online dienst, inclusief gebruikersondersteuning
- certificaten aangevraagd. Deze moeten vóór de aansluiting op de preproductieomgeving beschikbaar zijn
Stap 2: Aansluiten op de DigiD preproductieomgeving
Benodigde documenten
Voor deze stap heeft u de volgende documenten nodig:
- aanvraagformulier preproductieomgeving
- voorwaarden preproductieomgeving DigiD voor afnemers of voorwaarden preproductieomgeving DigiD voor leveranciers
- koppelvlakspecificatie SAML (of eventueel de koppelvlakspecificatie CGI: alleen op aanvraag)
- Checklist aansluiten op DigiD en DigiD Machtigen
- Documentatie over de ICT-beveiligingsassessments
Rol- en taakverdeling
Rol | Taken |
---|---|
Tekenbevoegde | Ondertekent het aanvraagformulier preproductieomgeving. |
Projectleider | Begeleidt het aansluitproces op de preproductieomgeving van DigiD. Hierbij houdt hij de planning goed in de gaten. |
Technisch specialist | Zorgt voor het aansluiten op de preproductieomgeving van DigiD. |
Taken
In deze paragraaf vindt u in chronologische volgorde alle taken die u moet doen.
Aanvraagformulier preproductieomgeving insturen
Voordat u tot de preproductieomgeving van DigiD toegang krijgt, moet u het aanvraagformulier preproductieomgeving DigiD invullen en met originele handtekening per post opsturen naar Servicecentrum Logius.
Het publieke deel van het PKIoverheid-certificaat en de XML metadata sturen.
Wanneer u aansluit op het SAML koppelvlak, het publieke deel van het PKIoverheid-certificaat en de XML metadata in een gezipt bestand mailen naar servicecentrum@logius.nl.
Goedkeuring aanvraag door Logius
Servicecentrum Logius keurt vervolgens de aanvraag goed. U ontvangt van Servicecentrum Logius een bevestigingsmail en vijf testaccounts. In deze mail staan alle DigiD endpoints. Gebruikt u CGI dan ontvangt u in overleg het shared-secret. U kunt vanaf dan gebruik maken van de preproductieomgeving.
Aansluiting realiseren
Voor het realiseren van de aansluiting, kunt u het document koppelvlakspecificatie SAML (of eventueel de koppelvlakspecificatie CGI: alleen op aanvraag) raadplegen.
Aandachtspunten
- Omgevingen: Logius stelt u een preproductieomgeving beschikbaar om de koppeling met DigiD te kunnen ontwikkelen en testen. Deze preproductieomgeving is functioneel gelijk aan de productieomgeving. De inhoud van deze omgeving is uiteraard fictief.
- Omgevingen: Er moet een duidelijk verschil zijn tussen de preproductie-url en de productie-url. De preproductie url bevat bijvoorbeeld 'acc', 'tst', of 'test'. Zoals: https://digid.test.gemeente.nl en in productie: https://digid.gemeente.nl
- PKIoverheid-certifcaat voor het SAML koppelvlak: In het aanvraagformulier van DigiD voor aansluiten op het SAML koppelvlak moet u gegevens van het PKIoverheid-certificaat vermelden. Zorg ervoor dat u al zo’n PKIoverheid-certificaat bezit, voordat u een aanvraagformulier preproductieomgeving instuurt.
- Criteria waaraan uw aansluiting moet voldoen: Uw aansluiting moet voldoen aan de criteria van de Checklist aansluiten op DigiD en DigiD Machtigen en aan de normen van het ICT-beveiligingsasssessment. Neem dit mee in de vereisten voor de implementatie van uw aansluiting.
Resultaat
Na afloop van stap 2 heeft u de volgende zaken geregeld:
- een PKIoverheid-certificaat voor (pre)productieomgeving
- aansluiting op de preproductieomgeving
Stap 3: Testen aansluiting preproductieomgeving
In deze stap test u de koppeling tussen de preproductieomgeving van uw systeem en de preproductieomgeving van DigiD.
Benodigde documenten
Rol- en taakverdeling
Rol | Taken |
---|---|
Technisch specialist | Test de preproductieomgeving |
Projectleider | Houdt de planning in de gaten. Biedt de aansluiting aan ter test door Logius. |
Taken
In deze paragraaf vindt u in chronologische volgorde alle taken die u moet doen.
Zelf testen van de aansluiting op de preproductieomgeving
Uw aansluiting moet voldoen aan de eisen van de Checklist aansluiten op DigiD en DigiD Machtigen. Gebruik deze checklist om zelf te controleren of uw aansluiting voldoet en verhelp eventuele bevindingen.
Daarnaast raden we aan om in dit stadium al na te gaan of de dienst ook voldoet aan de normen voor het ICT-beveiligingsassessment. Dit laatste controleren wij niet, maar hoe eerder bevindingen naar voren komen, hoe makkelijker ze te herstellen zijn.
Aansluiting aanbieden aan Logius
Is uw aansluiting klaar om te worden getest? Vraag Logius dan om uw aansluiting te testen via het formulier Aanvragen test DigiD-aansluiting. Zet hierin de volgende gegevens:
- de te testen preproductieomgeving URL. Deze omgeving dient door Logius benaderbaar te zijn.
- de te testen producten/diensten
- een testaccount (DigiD gebruikersnaam en wachtwoord)
- contactgegevens technisch contactpersoon
Acceptatie door Logius
Logius stuurt u binnen vijf werkdagen per e-mail een testrapport met de uitslag. Als hierin nog punten staan die niet voldoen aan de criteria van de Checklist aansluiten op DigiD en DigiD Machtigen dan moet u deze punten uiteraard aanpassen. Daarna kunt u de test opnieuw aanbieden bij Logius.
Aandachtspunten
- Criteria Checklist aansluiten op DigiD en DigiD Machtigen: Zorg ervoor dat zelf goed heeft getest of uw aansluiting aan de criteria van de Checklist aansluiten op DigiD en DigiD Machtigen voldoet. Als de openstaande punten de veiligheid van DigiD in gevaar brengen, kunnen wij uw aansluiting afsluiten.
- Omgevingen: Logius verwacht dat u tijdens het testen gebruik maakt van een preproductieomgeving die functioneel gelijk is aan de toekomstige productieomgeving van de aansluiting.
Resultaten
Na afloop van stap 3 heeft u de volgende zaken geregeld:
- Een preproductieomgeving die voldoet aan de eisen van de Checklist aansluiten op DigiD en DigiD Machtigen.
- Positief testrapport vanuit Logius voor de aansluiting op DigiD.
Stap 4: Aansluiten op de DigiD productieomgeving
Benodigde documenten
- aanvraagformulier productieomgeving DigiD (dit formulier ontvangt u via e-mail zodra de preproductie-aansluiting geaccepteerd is)
- Aansluitvoorwaarden DigiD en DigiD Machtigen
Rol- en taakverdeling
Rol | Taken |
---|---|
Tekenbevoegde |
|
Projectleider | Begeleidt het aansluitproces op de productieomgeving van DigiD. Hierbij houdt hij de planning goed in de gaten. |
Technisch specialist | Zorgt voor het aansluiten op de productieomgeving van DigiD. |
Taken
In deze paragraaf vindt u in chronologische volgorde alle taken die u moet doen.
Aanvraagformulier Productieomgeving insturen
Voldoet uw webapplicatie aan de eisen uit de Checklist aansluiten op DigiD en DigiD Machtigen en heeft u een goedgekeurd testrapport ontvangen van Servicecentrum Logius? Dan heeft u per e-mail het Aanvraagformulier Productie en de voorwaarden productieomgeving DigiD ontvangen. Dit Aanvraagformulier Productieomgeving moet u invullen en met originele handtekening per post naar Servicecentrum Logius terug sturen.
Publieke deel van PKIoverheid-certificaat en de SAML metadata sturen
Daarnaast hebben wij het publieke deel van het PKIoverheid-certificaat nodig en de metadata in een XML-bestand om de productie aansluiting te kunnen realiseren op het SAML koppelvlak. Deze kunt u in een gezipt bestand mailen naar servicecentrum@logius.nl.
Aansluiten op de productieomgeving
Logius keurt de aanvraag goed op basis van volledigheid en juistheid. Als het formulier is verwerkt en de aansluiting gerealiseerd is, ontvangt u van Logius een bevestigingsmail. U kunt vervolgens aansluiten op de productieomgeving.
Aandachtspunten
- PKIoverheid-certificaat. In het aanvraagformulier van DigiD moet u de gegevens van het PKIoverheid-certificaat vermelden. U moet dit certificaat dus al hebben voordat u een aanvraag kunt doen.
Resultaat
Na afloop van stap 4 heeft u de volgende zaken geregeld:
- Aansluiting op de productieomgeving.
Stap 5: Testen aansluiting op de productieomgeving
Benodigde documenten
Rol- en taakverdeling
Rol | Taken |
---|---|
Technisch specialist | Test de productieomgeving |
Projectleider | Houdt de planning in de gaten |
Taken
In deze paragraaf vindt u in chronologische volgorde alle taken die u moet doen.
Testen productieomgeving
Uw aansluiting moet voldoen aan de eisen van de Checklist aansluiten op DigiD en DigiD Machtigen. Logius gebruikt deze checklist voor het testen van uw aansluiting.
Acceptatie door Logius
Logius stuurt vanaf 1 maand na de activatiedatum het testrapport met de uitslag. Voldoet uw organisatie niet aan de gestelde criteria voor DigiD? Dan moet u de verbeteringen doorvoeren en kunt u de test opnieuw aanbieden. Als deze openstaande punten de veiligheid van DigiD in gevaar brengen, kunnen wij uw aansluiting met DigiD afsluiten.
Aandachtspunten
- Criteria Checklist Testen. Zorg ervoor dat u in de vorige stap goed heeft getest of uw aansluiting aan de criteria van de Checklist aansluiten op DigiD en DigiD Machtigen voldoet. Als de openstaande punten de veiligheid van DigiD in gevaar brengen, kunnen wij uw aansluiting afsluiten.
- Leveranciersoverzicht. Bekijk een overzicht van leveranciers die een aansluiting op DigiD hebben verzorgd. Indien uw leverancier nog niet in deze lijst staat, kunt u hem hierop wijzen.
Resultaat
Na afloop van deze laatste stap heeft u de volgende zaken geregeld:
- een productieomgeving die voldoet aan de eisen van de Checklist aansluiten op DigiD en DigiD Machtigen
- een positief testrapport van Logius
- een vermelding op https://www.digid.nl/over-digid/wie-doen-mee/
Stap 6: Inbeheername van de dienst en de aansluiting
In de eerste stap heeft u bepaald wie verantwoordelijk is voor de inbeheername van de dienst (indien de dienst nieuw is) en de daarbij behorende DigiD-aansluiting.
Rol- en taakverdeling
Rol | Taken |
---|---|
Projectleider | Verzorgt de overdracht naar de beheerorganisatie |
Taken
Overdracht naar de beheerorganisatie
Zorg voor een goed afgestemd plan voor inbeheername. Dit geldt vooral indien de achterliggende dienst achter de DigiD aansluiting nieuw is. Denk hierbij ook aan:
- De gebruikersondersteuning van de dienst. Deze handleiding vertelt alleen wat u nodig heeft om te kunnen aansluiten op DigiD. Zodra de aansluiting met DigiD in productie is, moet uw organisatie zelf de aansluiting van DigiD én uw achterliggende online dienst kunnen beheren. Voor algemene vragen over DigiD kunnen burgers terecht bij de helpdesk van DigiD. Wij raden u aan voor vragen van eindgebruikers binnen uw organisatie gebruikersondersteuning in te richten met kennis van uw eigen processen en techniek.
- De verantwoordelijkheid voor het functioneel beheer, inclusief het informeren van Logius bij belangrijke wijzigingen aan de dienst.
- Het begeleiden van het jaarlijkse ICT-beveiligingsassessment.
- Het beheer van de PKIoverheid-certificaten.
Aandachtspunten
- Binnen twee maanden na livegang moet u voldoen aan het ICT-beveiligingsassessment.
- Lees hoe wat u van ons kunt verwachten en wat uw plichten zijn onder het kopje 'Wie doet wat' op onze website.
- Logius kan de Checklist aansluiten op DigiD en DigiD Machtigen, de ICT-beveiligingsassessments en andere eisen verscherpen, om de veiligheid van DigiD te kunnen blijven waarborgen.
Resultaat
- De dienst en de bijbehorende DigiD aansluiting is formeel overgedragen aan de beheerorganisatie.