Een Authenticatiedienst (AD) authenticeert dienstafnemers of hun vertegenwoordigers. 

Verantwoordelijkheden

  • De authenticatiedienst is verantwoordelijk voor het authenticeren van personen op basis van hun authenticatiemiddel.
  • De authenticatiedienst biedt daartoe aan een gebruiker een online interface om zich te (laten) authenticeren.
  • De authenticatiedienst verwerkt een authenticatievraag conform de gesloten overeenkomst en overeengekomen service levels tussen de deelnemers en hun klanten.
  • De authenticatiedienst ziet erop toe dat authenticatievragen alleen worden verwerkt indien zij kunnen worden verwerkt aan de hand van toegelaten authenticatiemiddelen van toegelaten middelenuitgevers.
  • De authenticatiedienst verwerkt bijbehorende logoutberichten en toont de gebruiker een scherm met een bevestiging van de logout nadat deze succesvol heeft plaatsgevonden (indien de authenticatiedienst geen SSO ondersteunt of heeft uitgevoerd dan wordt een in die situatie passende boodschap getoond).
  • De authenticatiedienst draagt zorg voor correcte uitvoering van alle aan haar in het Afsprakenstelsel voorgeschreven verplichtingen, waaronder auditverplichtingen.

Indien de AD attribuutverstrekking ondersteunt

Zie Attributenbeleid

Eisen

  • De authenticatiedienst MOET bewaken dat zowel de identificatie (i.c. het gebruikte authenticatiemiddel) als het proces van de authenticatie van minimaal het door de dienstverlener gewenste betrouwbaarheidsniveau is.
  • De authenticatiedienst MOET op elke getoonde web pagina de naam van dienstverlener tonen zoals die in de dienstencatalogus is opgenomen.
  • De authenticatiedienst MAG NIET betrouwbaarheidsniveaus voeren of gebruiken waarvoor hij geen expliciete toestemming heeft van de Eigenaar.
  • De authenticatiedienst MOET alle processen inrichten volgens de eisen voor het betreffende betrouwbaarheidsniveau zoals beschreven in Normenkader betrouwbaarheidsniveaus.
  • De authenticatiedienst MOET toegang hebben tot de relevante door de middelenuitgever vastgelegde informatie om tot een authenticatie van het betreffende betrouwbaarheidsniveau te komen.
  • De authenticatiedienst MOET zich houden aan de Richtlijnen naam- en merkgebruik eHerkenning.

Indien de authenticatiedienst single sign-on ondersteunt

  • De authenticatiedienst MOET single sign-on zodanig uitvoeren dat er geen risico's op hergebruik of afluisteren van het authenticatiemechanisme bestaan.
  • De authenticatiedienst MOET zodra een vraag van een dienstverlener ontvangen wordt waarin geen verplichte authenticatie door de gebruiker gespecificeerd is, de optie aanbieden om ingelogd te blijven. De authenticatiedienst MAG deze optie ook bieden indien wel een verplichte authenticatie gespecificeerd is. Het is toegestaan instellingen van de gebruiker aangaande het al dan niet aangemeld blijven na eerste authenticatie op een andere manier vast te leggen en toe te passen. Deze specificatie door de gebruiker blijft alleen relevant indien het een vraag betreft waarbij de dienstverlener single sign-on toestaat.
  • Als een gebruiker  persoon kiest om niet ingelogd te blijven, MOET deze keuze door de authenticatiedienst onthouden worden.
  • De authenticatiedienst MOET de gebruiker middels teksten op het scherm of anderszins duidelijk maken in welke situatie de gebruiker zich bevindt (time-out van een SSO sessie, gedwongen authenticatie tijdens een bestaande SSO sessie, logout, etc.)
  • De authenticatiedienst MOET vanaf de eerste authenticatie met SSO het maximum AD-tijdsverloop bewaken. Een volgende authenticatie op basis van SSO ZOU MOETEN worden gegeven indien deze binnen dit maximum AD-tijdsverloop valt tenzij een logoutbericht is ontvangen of er sprake is van afgedwongen authenticatie.
  • Na het ontvangen van een logoutbericht MAG de gebruiker NIET geauthenticeerd worden op basis van SSO.

Toelichting

De authenticatiediensten gaan initieel het BSN ondersteunen voor de eIDAS implementatie van eHerkenning. Dit houdt in dat vooralsnog de EB het BSN van de authenticatiedienst mag ontvangen.

Aangezien de authenticatiedienst het BSN-domein ondersteunt

  • De authenticatiedienst MOET het koppelvlak voor online (de)registreren van het BSNk implementeren.
  • De authenticatiedienst MOET alle processen beschrijven en inrichten volgens de eisen voor het betreffende betrouwbaarheidsniveau zoals beschreven in Normenkader betrouwbaarheidsniveaus. De beschrijvingen MOETEN via de website van de middelenuitgever/authenticatiedienst worden gepubliceerd.
  • Het betrouwbaarheidsniveau voor het identificatie- en registratieproces MOET minstens voldoen aan de criteria voor niveau EH3.
  • De authenticatiedienst MOET een overeenkomst met de gebruiker sluiten. Zie ook Juridisch kader.
  • De authenticatiedienst MOET voor de gebruiker het BSN registreren bij het BSNk, via het daarvoor aangewezen koppelvlak.
  • De authenticatiedienst MOET de registratie afmelden indien het middel en/of het pseudoniem niet (meer) toegeschreven kunnen worden aan de gebruiker.
  • De authenticatiedienst is verantwoordelijk om te voldoen aan de aansluitvoorwaarden van BSNk.