Skip to end of metadata
Go to start of metadata
In de dienstencatalogus zijn alle diensten van aangesloten dienstverleners opgenomen die worden onderscheiden binnen Elektronische Toegangsdiensten. De beheerorganisatie beheert de geaggregeerde dienstencatalogus. Dit proces beschrijft hoe wijzigingen op de dienstencatalogus worden doorgevoerd.


Voor de publicatie van de dienstencatalogus in de testomgeving is geen formeel proces afgesproken buiten het feit dat deze op de, in het proces hieronder beschreven, URL wordt gepubliceerd. In de dienstencatalogus in de testomgeving worden de testdiensten van de simulator gepubliceerd, alsmede testomgevingen van dienstverleners indien en voor zover deze testmiddelen en -machtigingen van andere deelnemers willen gebruiken..

Verantwoordelijkheden

De proceseigenaar is er vanuit de beheerorganisatie verantwoordelijk voor dat het proces wordt uitgevoerd conform de procesbeschrijving. De technisch beheerder van de beheerorganisatie is er verantwoordelijk voor dat de procesbeschrijving actueel blijft.

Overzicht processtappen

Toelichting processtappen

1. Aanleveren nieuwe dienstencatalogusinformatie

Input

Wens tot registreren van nieuwe dienst of aanpassen bestaande dienst.

Activiteit

De aangeleverde informatie is afhankelijk van het type: een Dienst of een Dienst welke Dienstbemiddeling toepast.

De dienstverlener levert informatie over de dienst aan bij de (primaire) Herkenningsmakelaar. Deze informatie over de dienst MOET het volgende bevatten:

In het geval van een Dienst die niet zelf Dienstbemiddeling toepast (de dienst mag wel Dienstbemiddeling accepteren):

  1. Of de dienst/dienstverlener al publiek beschikbaar is (op een publiek toegankelijke webpagina) voor IsPublic;
  2. De precieze URL waar de dienst beschikbaar is (alleen voor diensten die al publiek beschikbaar zijn);
  3. De precieze URL waar de voor de dienst geldende privacy policy beschikbaar is (alleen voor diensten die attributen uitvragen)
  4. Een correcte, voor gebruikers te begrijpen beschrijving van de dienstverlener (voor OrganizationDisplayName);
  5. Een correcte, voor gebruikers te begrijpen naam van de dienst (voor Servicename) en beschrijving (voor ServiceDescription);
  6. De gewenste ServiceID en ServiceUUID (kunnen in overleg met de Herkenningsmakelaar worden afgestemd);
  7. Het betrouwbaarheidsniveau wat door de dienst wordt gevraagd (voor AuthnContextClassRef). Dit MOET het standaard betrouwbaarheidsniveau zijn voor de dienst, zoals in de Dienstencatalogus (DC) beschreven. Een bestaande dienst MAG op deze wijze NIET van betrouwbaarheidsniveau gewijzigd worden. Indien een dienst van betrouwbaarheidsniveau wijzigt MOET deze opgevoerd worden als nieuwe dienst;
  8. De soorten dienstafnemer die de dienst kunnen gebruiken (voor EntityConcernedTypesAllowed);
  9. De beperkingen die de dienst kan verwerken (voor ServiceRestrictionsAllowed);
  10. Indien er een internetpagina is met uitgebreidere beschrijving van de dienst: een URL van die internetpagina (voor ServiceDescriptionURL);
  11. Het certificaat waarmee te ontvangen identiteiten en attributen versleuteld moeten worden (voor ServiceCertificate);
  12. Als een HM een nieuwe DV aansluit die voor zijn dienstverlening intermediaire CA's wil gebruiken die niet op https://cert.pkioverheid.nl/ vermeld zijn, dan moet de HM dit in Mantis melden. De overige deelnemers dienen de CA conform Service level toe te voegen aan hun systemen.
  13. Indien er attributen voor de dienst uitgevraagd (kunnen) worden, MOET ieder attribuut aangemeld worden inclusief doelverantwoording (voor het vullen van RequestedAttribute en PurposeStatement);
  14. Indien de dienst via meer dan één Herkenningsmakelaar wordt gekoppeld aan Elektronische Toegangsdiensten: de namen en/of OINs van de verschillende alternatieve Herkenningsmakelaars (voor AdditionalHerkenningsmakelaarID). N.B. de alternatieve Herkenningsmakelaars leveren verder geen informatie over de dienst aan de beheerorganisatie, alleen de primaire Herkenningsmakelaar;
  15. Aangeven of voor deze dienst Dienstbemiddeling is toegestaan en zo ja, of toestemming nodig is. Bij vereiste toestemming geldt dit ook voor toevoegen/intrekken van toestemming voor een specifieke bemiddeling, door het OIN van de betreffende dienstbemiddelaars door te geven.

  16. Indien de Dienstinstantie (ServiceInstance) in aanmerking komt voor één of meer classificaties dan worden deze doorgegeven. Zie 'Classifiers' onder Service catalog.
  17. De RecipientKeySetVersion (Sleutelsetversie voor ontsleutelen van versleutelde pseudoniemen, afgeleid van geldigheidsdatum PKIo-certificaat).

In het geval een Dienst met toepassing van Dienstbemiddeling wordt aangesloten/aangepast:

  1. De bovenstaande punten 1, 3, 4, 6, 11 en 14.
  2. Welke Dienst instantie wordt bemiddeld, door het ServiceUUID van de betreffende dienst instantie (ServiceInstance) uit de dienstencatalogus op te geven.
  3. De dienstinstantie mag verder niet opnieuw bemiddeld worden.

Output

  1. Aangeleverde nieuwe / gewijzigde dienstinformatie van dienstverlener
  2. Geïnformeerde Herkenningsmakelaar

Wie?

Dienstverlener

2. Aanleveren nieuwe dienstencatalogus

Input

Aangeleverde nieuwe/gewijzigde dienstinformatie van dienstverlener

Activiteit

Deelnemers (in de rol van Herkenningsmakelaar ) vullen de door de dienstverlener geleverde informatie zonodig nog aan met het ServiceID, ServiceUUID, het HerkenningsmakelaarID en AdditionalHerkenningsmakelaarID en stellen de, door de dienstverlener beschikbaar gestelde, wijziging op de dienstencatalogus binnen twee werkdagen na ontvangst ter beschikking aan bij de beheerorganisatie door deze te publiceren op een URL (deze URL verwijst naar een dienstencatalogusbestand met daarin alle diensten van de klanten van deze HM). 

Een Herkenningsmakelaar neemt Diensten die gebruik maken van Dienstbemiddeling alleen op indien toestemming aan de Dienstbemiddelaar is verleend door de Dienstaanbieder (indien van toepassing).

Indien voor een Dienst het urn:etoegang:1.12:EntityConcernedID:BSN als identificerend kenmerk wordt gevraagd, MOET een Herkenningsmakelaar controleren of de Dienstverlener vermeld staat op de Autorisatielijst BSN . Als de Dienstverlener vermeld staat op de Autorisatielijst dan MAG de Dienst het urn:etoegang:1.12:EntityConcernedID:BSN vragen; anders niet.

Output

  1. Beschikbare nieuwe/gewijzigde dienstencatalogusentries van deelnemer
  2. Geïnformeerde collega deelnemers in het stelsel

Wie?

Technisch beheerders deelnemers

3. Controleren en aggregeren dienstencatalogus

Input

Aangeleverde nieuwe dienstencatalogus van deelnemer

Activiteit

  • De beheerorganisatie verwerkt één keer per kwartier de wijzigingen in de dienstencatalogi van de deelnemende HM's door middel van een automatisch proces.
  • Dit proces controleert de aangeleverde dienstencatalogus wijziging(en) op conformiteit en verwijdert de handtekeningen. Als een wijziging niet door de controle komt, dan wordt de betreffende deelnemer via mail op de hoogte gebracht en worden wijzigingen van deze deelnemer niet verder verwerkt tot een correcte dienstencatalogus wordt aangeleverd.
  • Vervolgens aggregeert dit proces de dienstencatalogi van de verschillende deelnemers tot één nieuw bestand.
  • Vervolgens wordt de nieuwe dienstencatalogus gepubliceerd op een publieke URL: https://aggregator.etoegang.nl/1.11/servicecatalog.xml
  • De dienstencatalogus van de testomgeving wordt gepubliceerd op de publieke URL: https://aggregator.etoegang.nl/test/1.11/servicecatalog.xml
  • Tevens wordt de nieuwe dienstencatalogus voor productie gearchiveerd.

Output

Gepubliceerde geaggregeerde nieuwe dienstencatalogus

Wie?

Technisch beheerder van de beheerorganisatie

4. Nieuwe dienstencatalogus doorvoeren

Input

Gepubliceerde geaggregeerde nieuwe dienstencatalogus

Activiteit

De deelnemers halen de nieuwe dienstencatalogus op vanaf de publieke URL en voeren deze door in hun systeem door middel van een automatisch proces. Deelnemers moeten een gewijzigde dienstencatalogus uiterlijk twee uur na publicatie doorvoeren.

Output

Doorgevoerde nieuwe dienstencatalogus.

Wie?

  • Technisch beheerder beheerorganisatie
  • Technisch beheerders deelnemers

5. Terugkoppeling onjuistheden dienstencatalogus

Input

Feedback op dienstencatalogus entries uit de praktijk

Activiteit

  1. Indien een deelnemer tijdens de uitvoering van zijn werkzaamheden constateert dat een dienstencatalogus entry onjuist is, MOET hij dat melden aan de desbetreffende Herkenningsmakelaar (direct of via een issue in Mantis).
  2. Voorbeelden van onjuiste dienstencatalogus entries zijn onder andere:
  • Structureel andere betrouwbaarheidsniveaus uitgevraagd dan beschreven;
  • Dienst ondersteunt andere dienstafnemers dan beschreven;
  • Dienst staat beschreven als 'IsPublic=true' maar er is geen internetpagina voor de dienst;
  • Beschrijving van dienst is onjuist of onbruikbaar voor het kunnen uitgeven van machtigingen.
  • Dienstbemiddeling zonder toestemming

Bij meldingen aan de Herkenningsmakelaar (direct of via Mantis) neemt deze contact op met de dienstverlener om wijzigingen te vragen van de dienstbeschrijving (keer terug naar stap 1 van dit proces).

Output

Input voor nieuw proces doorvoeren nieuwe dienstencatalogus.

Wie?

  • Technisch beheerder deelnemer
  • Technisch beheerder beheerorganisatie