Verantwoordelijkheden Herkenningsmakelaar
De Herkenningsmakelaar (HM) vormt de linking pin tussen het Netwerk (voor Elektronische Toegangsdiensten) en de dienstverleners, en heeft een routeer- en navigatiefunctie in het netwerk. Dit reduceert het aantal relaties tussen dienstverleners enerzijds en authenticatiediensten, machtigingenregisters en het BSNk anderzijds.
Verantwoordelijkheden
- De Herkenningsmakelaar routeert binnen het netwerk ten behoeve van een dienstverlener conform de afgesloten overeenkomst en overeengekomen service levels.
- De Herkenningsmakelaar sluit een duidelijke Service Level Agreement met de dienstverlener af. Deze Service Level Agreement kan onderdeel uitmaken van de overeenkomst.
- De Herkenningsmakelaar sluit alleen toegelaten authenticatiediensten en machtigingenregisters aan en houdt deze aangesloten, een en ander conform hetgeen hiertoe is vastgelegd in het Afsprakenstelsel.
- Om aan te tonen dat de Dienstverlener/Dienstbemiddelaar/Dienstaanbieder voldoet aan de voor hem geldende verplichtingen aan het afsprakenstelsel overlegt deze de ingevulde Template zelfverklaring Dienstverlener aan de Herkenningsmakelaar.
- De Herkenningsmakelaar is verantwoordelijk voor het testen van de dienstverlener opdat de dienstverlener, alvorens hij wordt aangesloten op het netwerk, aan alle in het afsprakenstelsel opgenomen specificaties voldoet.
- De Herkenningsmakelaar is het centrale aanspreekpunt voor de dienstverlener en de beheerorganisatie, onder andere in het geval van calamiteiten of een beveiligingsincident bij een dienstverlener. De Herkenningsmakelaar verstrekt als centraal aanspreekpunt de dienstverlener en de beheerorganisatie alle benodigde informatie.
- De Herkenningsmakelaar MOET de Dienstverlener wijzen op de Handleiding Dienstencatalogus en op de Regelhulp Betrouwbaarheidsniveaus.
- De Herkenningsmakelaar MOET borgen dat de naam van de Dienstverlener/Dienstbemiddelaar/Dienstaanbieder in de Dienstencatalogus overeenkomt met de naam in het gebruikte PKI-certificaat. Indien een PKIo-certificaat wordt gebruikt, dient het OIN daarin ook overeen te komen met het OIN in diens EntityID.
- De Herkenningsmakelaar draagt zorg voor correcte uitvoering van alle aan haar in het Afsprakenstelsel voorgeschreven verplichtingen, waaronder auditverplichtingen.
- Indien de Herkenningsmakelaar twijfelt of van mening is dat de Dienstverlener niet langer aan zijn verplichtingen voldoet, geeft hij dit terstond door aan de Toezichthouder.
- Een Herkenningsmakelaar die een koppelvlak aanbiedt met de eIDAS-berichtenservice (EB) sluit een overeenkomst met de staatssecretaris van Binnenlandse Zaken als verantwoordelijke voor de eIDAS-berichtenservice (EB) om de interoperabiliteit tussen het Afsprakenstelsel Elektronische Toegangsdiensten en de eIDAS-oplossingen van andere lidstaten te realiseren ten behoeve van grensoverschrijdend inloggen met door de Europese Commissie op grond van artikel 9 van de eIDAS-verordening erkende middelen.
Eisen
Een Herkenningsmakelaar MOET:
- Aan Dienstverleners een gestandaardiseerd koppelvlak leveren waarover toegangsdiensten kunnen worden geïnitieerd en gevraagde verklaringen kunnen worden geleverd.
- Voor Authenticatiediensten en Machtigingenregisters tenminste de twee meest recente gestandaardiseerde koppelvlakken ondersteunen zolang dit voor migratie en/of het gekozen Inzetgebied noodzakelijk is.
- Aan Gebruikers een online interface leveren om de gebruiker in staat te stellen indien nodig een Authenticatiedienst of een Machtigingenregister te selecteren.
- Bij de selectie van de Authenticatiedienst MOET de Herkenningsmakelaar alle instanties van de eIDAS-berichtenservice als Authenticatiedienst tonen als de dienstinstantie (ServiceInstance) is geclassificeerd als 'eIDAS-inbound'. Anders MOET de Herkenningsmakelaar deze NIET tonen.
- Indien het Inzetgebied bedrijven/consumenten wordt bediend
- zowel het koppelvlak voor online bevragen van machtigingenregisters als het koppelvlak voor verificatie van de volgende schakel aan een Machtigingenregister ondersteunen.
- in staat zijn om op basis van een authenticatieverklaring en een of meer machtigingsverklaringen ontvangen van Machtigingsregisters een verklaring aan de Dienstverlener over authenticatie en ketenmachtiging samen te stellen. Voorafgaand aan verstrekking moet de Herkenningsmakelaar de consistentie van alle verklaringen en gespecificeerde informatie controleren.
- Gebruikers bij de selectie van de Authenticatiedienst de optie bieden om deze instelling te bewaren. Iedere Herkenningsmakelaar moet zorgen dat een gebruiker waarvoor de selectie van de Authenticatiedienst bewaard is, deze vraag niet opnieuw voorgelegd krijgt.
- SSO ondersteunen en daartoe vragen met SSO doorgeven aan een Authenticatiedienst en logoutberichten verwerken en doorsturen naar de Authenticatiedienst.
- Registreren welke attributen een Dienstverlener wil uitvragen bij iedere authenticatie.
- Attributen doorgeven precies zoals ze ontvangen zijn van Authenticatiediensten of Machtigingenregisters.
- Na ontvangst van een verklaring van een Machtigingenregister controleren of het een incomplete keten betreft die alleen geldig is indien aanvullende schakels ook geverifieerd kunnen worden.
- Zich houden aan de richtlijnen naam- en merkgebruik eHerkenning.
- De Dienstverlener ontzorgen bij het verkrijgen van sleutelmateriaal voor het ontsleutelen van Versleutelde Pseudoniemen en/of Versleutelde Identiteiten.