Attribuutcatalogus
Een aantal attributen MOET kunnen worden geleverd. Dit zijn verplicht te verstrekken attributen. De attribuutcatalogus beschrijft welke attributen een attribuutverstrekker kan leveren.
Attributen waarvan de naam met urn:etoegang:x.y:attribute: (met x.y een versie van het AS) begint, mogen enkel door Authenticatiediensten worden geleverd. Attributen waarvan de naam met urn:etoegang:x.y:attribute-represented: begint, mogen enkel door Machtigingdiensten worden geleverd. Aangezien de eIDAS-berichtenservice (EB) voor eIDAS-inbound zowel als AD als MR optreedt, mag de EB beide leveren.
Voor eIDAS-outbound, levert de BRP de minimale vereiste attributenset en heeft de EB de rol van Dienstbemiddelaar.
Elke deelnemer MAG alleen de attributen verstrekken die gespecificeerd zijn in de attribuutcatalogus. De attribuutcatalogus bestaat uit een ondertekend <AttributeCatalogue> element. Signing gebeurt met dezelfde private key waarmee ook de metadata ondertekend wordt. Zie Digital signature.
Een deelnemer MOET op een gemeenschappelijk overeengekomen tijdstip de attribuutcatalogus verwerken. Dit hoeft niet op basis van de XML representatie van de attribuutcatalogus te gebeuren, zolang men de kenmerken van de attributen in acht neemt.
XML formaat
Data element | 0..n | Invulling | |
---|---|---|---|
@Version | 1 | Elektronische Toegangsdiensten: Versie van de attribuutcatalogus in het formaat: urn:etoegang:<scheme version>:<omgeving>:attribute-catalogue:<sequence number>. Bijvoorbeeld: urn:etoegang:1.11:attribute-catalogue:P:1 | |
@IssueInstant | 1 | Elektronische Toegangsdiensten: Tijd waarop de attribuutcatalogus is aangemaakt | |
Signature | 1 | Elektronische Toegangsdiensten: MOET de elektronische handtekening van de partij die de attribuutcatalogus heeft aangemaakt, over het hele bericht bevatten | |
Attribute | 1..n | Elektronische Toegangsdiensten: Eén of meerdere elementen die een attribuut specificeren met de kenmerken uit Attribuutcatalogus. | |
Name | 1 | Elektronische Toegangsdiensten: Naam van het attribuut. | |
Type | 1 | Elektronische Toegangsdiensten: Type van het attribuut. Bijvoorbeeld “http://www.w3.org/2001/XMLSchema#string” | |
FriendlyName | 1..n | Elektronische Toegangsdiensten: Een korte omschrijving van het attribuut zodat de betekenis van het attribuut eenduidig geïnterpreteerd wordt, één voorkomen per taal. | |
@lang | 1 | taal van FriendlyName, om in gebruikersinterfaces te tonen. | |
Description | 1..n | Elektronische Toegangsdiensten: Een gedetailleerde omschrijving van het attribuut zodat de betekenis van het attribuut eenduidig geïnterpreteerd wordt, één voorkomen per taal. | |
@lang | 1 | taal van Description, om in (toelichtingen bij) gebruikersinterfaces te tonen. | |
PermissibleSource | 1..n | Elektronische Toegangsdiensten: Referentie aan bronnen welke het attribuut op mogen leveren. |
Schema AttribuutCatalogus
<?xml version="1.0" encoding="UTF-8"?>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
xmlns:eac="urn:etoegang:1.9:attribute-catalogue"
targetNamespace="urn:etoegang:1.9:attribute-catalogue"
elementFormDefault="qualified"
attributeFormDefault="unqualified"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="urn:oasis:names:tc:SAML:2.0:metadata http://docs.oasis-open.org/security/saml/v2.0/saml-schema-metadata-2.0.xsd">
<xs:import namespace="http://www.w3.org/2000/09/xmldsig#"
schemaLocation="http://www.w3.org/TR/xmldsig-core/xmldsig-core-schema.xsd" />
<xs:import namespace="urn:oasis:names:tc:SAML:2.0:metadata"
schemaLocation="http://docs.oasis-open.org/security/saml/v2.0/saml-schema-metadata-2.0.xsd" />
<xs:element name="Attribute" type="eac:AttributeType" />
<xs:complexType name="AttributeType">
<xs:sequence>
<xs:element name="Name" type="xs:anyURI" />
<xs:element name="Type" type="xs:anyURI" />
<xs:element name="FriendlyName" type="md:localizedNameType" maxOccurs="unbounded" />
<xs:element name="Description" type="md:localizedNameType" maxOccurs="unbounded" />
<xs:element name="PermissibleSource" type="xs:anyURI" maxOccurs="unbounded" />
</xs:sequence>
</xs:complexType>
<xs:element name="AttributeCatalogue" type="eac:AttributeCatalogueType" />
<xs:complexType name="AttributeCatalogueType" >
<xs:sequence>
<xs:element ref="ds:Signature" />
<xs:element ref="eac:Attribute" maxOccurs="unbounded" />
</xs:sequence>
<xs:attribute name="IssueInstant" type="xs:dateTime" use="required" />
<xs:attribute name="Version" type="xs:anyURI" use="required" />
</xs:complexType>
</xs:schema>
Toegestane bronnen
Bij elke wijziging moet het attribuut met dezelfde betrouwbaarheid opnieuw gevalideerd worden
URN | Omschrijving | Eisen aan het verificatieproces van het attribuut |
---|---|---|
urn:etoegang:1.11:attribute-sourceid:ID | Geregistreerd door deelnemer vanaf een geldig identiteitsbewijs volgens het Normenkader betrouwbaarheidsniveaus | Tijdens een registratieproces op betrouwbaarheidsniveau 3 of 4 overgenomen (of afgeleid van) het ID, of overgenomen van een kopie ID en gecontroleerd bij een tweede bron |
urn:etoegang:1.11:attribute-sourceid:IDCopy | Geregistreerd door deelnemer vanaf een kopie van een geldig identiteitsbewijs volgens het Normenkader betrouwbaarheidsniveaus | Tijdens een registratieproces op betrouwbaarheidsniveau 2 overgenomen (of afgeleid van) een kopie ID |
urn:etoegang:1.9:attribute-sourceid:NLGBA | Verkregen door deelnemer vanaf de Basisregistratie Persoonsgegevens | Opgehaald uit de Basisregistratie Persoonsgegevens (op basis van een Tijdens een registratieproces op betrouwbaarheidsniveau 3 of 4 van een WID overgenomen BSN) |
urn:etoegang:1.11:attribute-sourceid:NLKvK | Verkregen van het Handelsregister van de Kamer van Koophandel | Conform eisen geldend voor de betrouwbaarheid van vaststellen identiteit Dienstafnemer |
urn:etoegang:1.11:attribute-sourceid:eIDAS:XX | Verkregen door de eIDAS-node verkregen vanuit een andere lidstaat. Als PermissibleSource in de attributencatalogus wordt 'urn:etoegang:1.11:attribute-sourceid:eIDAS' opgenomen. Bij levering van het attribuut wordt het land van oorsprong wordt als postfix toegevoegd (ISO-3166-1 alpha-2, tweeletterig; aangevuld met 'eIDAS'), bijvoorbeeld 'urn:etoegang:1.11:attribute-sourceid:eIDAS:DE' voor attributen verkregen via eIDAS vanuit Duitsland | Geen. Het attribuut is niet gecontroleerd door de deelnemer, maar verkregen van een andere EU-lidstaat. |
urn:etoegang:1.9:attribute-sourceid:SelfDeclared | Zelfverklaard, zonder controle door de deelnemer | Geen. Het attribuut is niet gecontroleerd door de deelnemer, maar door de Gebruiker zelf opgegeven. |
EntityID | Het EntityID van de deelnemer die de controle heeft uitgevoerd | De deelnemer heeft een proces ingericht waarmee het attribuut onlosmakelijk geassocieerd is met de gebruiker. Bijvoorbeeld door de Gebruiker tijdens het proces AUC2 Verkrijgen middel een e-mail- of postadres op te laten geven en daar een OTP naar toe te sturen. Als de Gebruiker zich met zijn middel kan authenticeren en deze OTP kan opgeven, is dat voldoende bewijs dat hij toegang heeft tot het opgegeven adres. |
urn:etoegang:1.13:attribute-sourceid:NLPROBAS | Verkregen uit PROBAS | Conform eisen geldend voor de betrouwbaarheid van vaststellen identiteit Dienstafnemer |
urn:etoegang:1.13:attribute-sourceid:NLTRR | Verkregen uit TRR | Conform eisen geldend voor de betrouwbaarheid van vaststellen identiteit Dienstafnemer |