Skip to end of metadata
Go to start of metadata

Een aantal attributen MOET kunnen worden geleverd. De attribuutcatalogus beschrijft verder welke attributen een attribuutverstrekker aanvullend MAG leveren.

Attributen waarvan de naam met urn:etoegang:x.y:attribute: (met x.y een versie van het AS) begint, mogen enkel door Authenticatiediensten worden geleverd. Attributen waarvan de naam met urn:etoegang:x.y:attribute-represented: begint, mogen enkel door Machtigingdiensten worden geleverd. Aangezien de eIDAS-berichtenservice (EB) zowel als AD als MR optreedt, mag de EB beide leveren.

Elke deelnemer MAG alleen de attributen verstrekken die gespecificeerd zijn in de attribuutcatalogus. De attribuutcatalogus bestaat uit een ondertekend <AttributeCatalogue> element. Signing gebeurt met dezelfde private key waarmee ook de metadata ondertekend wordt. Zie Digital signature.

Een deelnemer MOET op een gemeenschappelijk overeengekomen tijdstip de attribuutcatalogus verwerken. Dit hoeft niet op basis van de XML representatie van de attribuutcatalogus te gebeuren, zolang men de kenmerken van de attributen in acht neemt.

XML formaat

Data element0..nInvulling

@Version


1

Elektronische Toegangsdiensten: Versie van de attribuutcatalogus in het formaat: urn:etoegang:<scheme version>:<omgeving>:attribute-catalogue:<sequence number>.

Bijvoorbeeld: urn:etoegang:1.11:attribute-catalogue:P:1

@IssueInstant


1

Elektronische Toegangsdiensten: Tijd waarop de attribuutcatalogus is aangemaakt

Signature


1

Elektronische Toegangsdiensten: MOET de elektronische handtekening van de partij die de attribuutcatalogus heeft aangemaakt, over het hele bericht bevatten

Attribute


1..n

Elektronische Toegangsdiensten:  Eén of meerdere elementen die een attribuut specificeren met de kenmerken uit Attribuutcatalogus.


Name1
Elektronische Toegangsdiensten: Naam van het attribuut.

Type1
Elektronische Toegangsdiensten: Type van het attribuut. Bijvoorbeeld “http://www.w3.org/2001/XMLSchema#string

FriendlyName1..n
Elektronische Toegangsdiensten: Een korte omschrijving van het attribuut zodat de betekenis van het attribuut eenduidig geïnterpreteerd wordt, één voorkomen per taal.

@lang1taal van FriendlyName, om in gebruikersinterfaces te tonen.

Description1..n
Elektronische Toegangsdiensten: Een gedetailleerde omschrijving van het attribuut zodat de betekenis van het attribuut eenduidig geïnterpreteerd wordt, één voorkomen per taal.

@lang1taal van Description, om in (toelichtingen bij) gebruikersinterfaces te tonen.

PermissibleSource1..n
Elektronische Toegangsdiensten: Referentie aan bronnen welke het attribuut op mogen leveren.
De beheerorganisatie publiceert de laatste versie van de attribuutcatalogus op https://extranet.eherkenning.nl/1.11/attribuutcatalogus.xml.
Schema AttribuutCatalogus
<?xml version="1.0" encoding="UTF-8"?>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema"
    xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
    xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
    xmlns:eac="urn:etoegang:1.9:attribute-catalogue"
    targetNamespace="urn:etoegang:1.9:attribute-catalogue"
    elementFormDefault="qualified"
    attributeFormDefault="unqualified"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="urn:oasis:names:tc:SAML:2.0:metadata http://docs.oasis-open.org/security/saml/v2.0/saml-schema-metadata-2.0.xsd">

    <xs:import namespace="http://www.w3.org/2000/09/xmldsig#"
        schemaLocation="http://www.w3.org/TR/xmldsig-core/xmldsig-core-schema.xsd" />

    <xs:import namespace="urn:oasis:names:tc:SAML:2.0:metadata"
        schemaLocation="http://docs.oasis-open.org/security/saml/v2.0/saml-schema-metadata-2.0.xsd" />

    <xs:element name="Attribute" type="eac:AttributeType" />
    <xs:complexType name="AttributeType">
        <xs:sequence>
            <xs:element name="Name" type="xs:anyURI" />
            <xs:element name="Type" type="xs:anyURI" />
            <xs:element name="FriendlyName" type="md:localizedNameType" maxOccurs="unbounded" />
            <xs:element name="Description" type="md:localizedNameType" maxOccurs="unbounded" />
            <xs:element name="PermissibleSource" type="xs:anyURI" maxOccurs="unbounded" />
        </xs:sequence>
    </xs:complexType>

    <xs:element name="AttributeCatalogue" type="eac:AttributeCatalogueType" />
    <xs:complexType name="AttributeCatalogueType" >
        <xs:sequence>
            <xs:element ref="ds:Signature" />
            <xs:element ref="eac:Attribute" maxOccurs="unbounded" />
        </xs:sequence>
        <xs:attribute name="IssueInstant" type="xs:dateTime" use="required" />
        <xs:attribute name="Version" type="xs:anyURI" use="required" />
    </xs:complexType>

</xs:schema>

Toegestane bronnen

Bij elke wijziging moet het attribuut met dezelfde betrouwbaarheid opnieuw gevalideerd worden

URNOmschrijvingEisen aan het verificatieproces van het attribuut

urn:etoegang:1.11:attribute-sourceid:ID

Geregistreerd door deelnemer vanaf een geldig identiteitsbewijs volgens het Normenkader betrouwbaarheidsniveaus

Tijdens een registratieproces op betrouwbaarheidsniveau 3 of 4 overgenomen (of afgeleid van) het ID, of overgenomen van een kopie ID en gecontroleerd bij een tweede bron

urn:etoegang:1.11:attribute-sourceid:IDCopy

Geregistreerd door deelnemer vanaf een kopie van een geldig identiteitsbewijs volgens het Normenkader betrouwbaarheidsniveaus

Tijdens een registratieproces op betrouwbaarheidsniveau 2 overgenomen (of afgeleid van) een kopie ID

urn:etoegang:1.9:attribute-sourceid:NLGBA

Verkregen door deelnemer vanaf de Basisregistratie Persoonsgegevens

Opgehaald uit de Basisregistratie Persoonsgegevens (op basis van een Tijdens een registratieproces op betrouwbaarheidsniveau 3 of 4 van een WID overgenomen BSN)

urn:etoegang:1.11:attribute-sourceid:NLKvK

Verkregen van het Handelsregister van de Kamer van KoophandelConform eisen geldend voor de betrouwbaarheid van vaststellen identiteit Dienstafnemer

urn:etoegang:1.11:attribute-sourceid:eIDAS:XX

Verkregen door de eIDAS-node verkregen vanuit een andere lidstaat. Als PermissibleSource in de attributencatalogus wordt 'urn:etoegang:1.11:attribute-sourceid:eIDAS' opgenomen.

Bij levering van het attribuut wordt het land van oorsprong wordt als postfix toegevoegd (ISO-3166-1 alpha-2, tweeletterig; aangevuld met 'eIDAS'), bijvoorbeeld 'urn:etoegang:1.11:attribute-sourceid:eIDAS:DE' voor attributen verkregen via eIDAS vanuit Duitsland

Geen. Het attribuut  is niet gecontroleerd door de deelnemer, maar verkregen van een andere EU-lidstaat.

urn:etoegang:1.9:attribute-sourceid:SelfDeclared

Zelfverklaard, zonder controle door de deelnemer

Geen. Het attribuut is niet gecontroleerd door de deelnemer, maar door de Gebruiker zelf opgegeven.
EntityIDHet EntityID van de deelnemer die de controle heeft uitgevoerdDe deelnemer heeft een proces ingericht waarmee het attribuut onlosmakelijk geassocieerd is met de gebruiker. Bijvoorbeeld door de Gebruiker tijdens het proces AUC2 Verkrijgen authenticatiemiddel een e-mail- of postadres op te laten geven en daar een OTP naar toe te sturen. Als de Gebruiker zich met zijn middel kan authenticeren en deze OTP kan opgeven, is dat voldoende bewijs dat hij toegang heeft tot het opgegeven adres.



  • No labels