Technische bijlage aanmeldingsdienst

SPÉCIFICATIONS FONCTIONNELLES ET
TECHNIQUES DU SERVICE D'IDENTIFICATION
FUNCTIONELE EN TECHNISCHE SPECIFICATIES
VAN DE AANMELDINGSDIENST
CHAPITRE Ier. – Fonctionnement du moyen
d'identification sans fil
HOOFDSTUK I. – Werking van het niet-verbonden
aanmeldingsmiddel
Art. 1er . L'utilisateur fait lire sa carte d'identité
électronique par le moyen d'identification sans
fil.
Art. 1. De gebruiker laat zijn elektronische
identiteitskaart uitlezen door het niet-verbonden
aanmeldingsmiddel.
Art. 2. § 1. Het aanmeldmiddel vereist een
verificatiecode (de “challenge”) die zowel in de tijd
als per aanmeldingsmiddel uniek is.
Art. 2. § 1er. Le moyen d'identification requiert
un code de vérification (le « challenge ») qui est
unique dans le temps et pour chaque moyen
d'identification.
Ce code de vérification peut utiliser des
informations
fournies
par
le
service
d'identification. Dans ce cas, l'utilisateur devra
saisir l'information délivrée dans le moyen
d'identification.
Le moyen d'identification importe le code de
vérification dans le module cryptographique de
la carte d'identité électronique.
Deze verificatiecode kan gebruik maken van
informatie die de aanmeldingsdienst aanlevert. In
dit geval, zal de gebruiker de aangeboden
informatie
moeten
invoeren
in
het
aanmeldingsmiddel.
Het aanmeldingsmiddel brengt de verificatiecode in
de cryptografische module van de elektronische
identiteitskaart in.
§ 2. L'utilisateur entre son code d'identification
personnel (code PIN) dans le moyen
d'identification sans fil, ce qui débloque la clé
privée dans le module cryptographique de la
carte d'identité électronique.
§ 2. De gebruiker geeft zijn/haar persoonlijke
identificatiecode (pincode) in het niet-verbonden
aanmeldingsmiddel in, waardoor de private sleutel
wordt vrijgegeven aan de cryptografische module
van de elektronische identiteitskaart.
Art.3. § 1er. L'opération cryptographique
exécutée par la carte d'identité électronique se
fait à l'aide de la clé privée liée au certificat
d'identité (clé appelée « Authentication »,
assortie de la valeur KeyUsage : «
DigitalSignature »).
§ 2. Le moyen d'identification sans fil confirme
la validité de l'opération cryptographique,
exécutée sur le code de vérification, sur la base
de la clé publique liée au certificat d'identité.
Art. 3. § 1. De cryptografische operatie die de
elektronische identiteitskaart uitvoert, gebeurt door
middel van de bij het identiteitscertificaat
behorende
private
sleutel
(genoemd:
“Authentication”, met als KeyUsage de waarde:
“DigitalSignature”).
§ 2. Het niet-verbonden aanmeldingsmiddel
bevestigt de geldigheid van de cryptografische
operatie, uitgevoerd op de verificatiecode, op basis
van de bij het identiteitscertificaat behorende
publieke sleutel.
§ 3. Het niet-verbonden aanmeldingsmiddel
gebruikt het resultaat van de cryptografische
operatie uitgevoerd op de verificatiecode,
rechtstreeks bij het berekenen van de informatie
die wordt uitgewisseld bij het aanmelden van de
gebruiker (de “aanmeldingscode”). Het resultaat
van deze operatie leidt tot een code die ten minste
6 karakters telt.
§ 4. Het aanmeldingsmiddel toont deze
aanmeldingscode
aan
de
gebruiker
(de
“response”).
§ 3. Le moyen d'identification sans fil utilise le
résultat de l'opération cryptographique exécutée
sur le code de vérification, et ce, directement
lors du calcul des informations échangées lors
de l'identification de l'utilisateur (le « code
d'identification »). Il résulte de cette opération
un code qui compte au moins 6 caractères.
§ 4. Le moyen d'identification soumet ce code
d'identification à l'utilisateur (la « response »).
CHAPITRE II. – L'enregistrement (unique) de
l'utilisateur au service d'identification
Art. 4. Cet enregistrement se fait durant la
période de validité de la carte d'identité
électronique de l'utilisateur au moyen de
laquelle l'accès au service d'identification est
HOOFDSTUK II. – De (eenmalige) registratie van
de gebruiker voor de aanmeldingsdienst
Art. 4. Deze registratie geschiedt binnen de
geldigheidsperiode
van
de
elektronische
1
demandé. Par conséquent, lorsque l'utilisateur
reçoit une nouvelle carte d'identité électronique,
il se peut qu'il faille à nouveau procéder à
l'enregistrement.
Art. 5. Au moment de l'enregistrement :
1.
le prestataire de services confirme au
moins la validité du certificat d'identité de la
carte d'identité électronique ; et
2.
le prestataire de services enregistre
uniquement
les
informations
minimales
permettant de confirmer la validité de la carte
d'identité
électronique
au
moment
de
l'identification (via une validation OCSP, ou
éventuellement une validation CRL en cas
d'indisponibilité des services OCSP officiels). Le
numéro de Registre national de la personne ne
fait pas partie de ces données et ne peut dès
lors être conservé.
Art. 6. Au moment de l'enregistrement réussi :
1.
le prestataire de services connecte le
profil de l'utilisateur au service d'identification et
le certificat d'identité à la carte d'identité
électronique de l'utilisateur ; et
2.
le service d'identification met à
disposition de l'autorité d'agrément un code
d'identification unique (un Universal Unique
IDentifier - UUID) qui sera utilisé par le
prestataire de services et l'autorité d'agrément.
Celle-ci joint le code d'identification au profil de
l'utilisateur auprès du service d'identification.
Art.
7.
Lorsque
l'utilisateur
arrête
l'enregistrement
auprès
de
l'autorité
d'agrément,
celle-ci
supprime
le
code
d'identification
qu'elle
a
enregistré.
Le
prestataire de services n'en est pas informé.
identiteitskaart van de gebruiker waarmee toegang
wordt gezocht tot de aanmeldingsdienst. Dit houdt
in dat wanneer de gebruiker een nieuwe
elektronische identiteitskaart krijgt, de registratie
opnieuw kan moeten gebeuren.
Art. 5. Op het moment van de registratie:
1.
bevestigt de dienstverlener tenminste de
geldigheid van het identiteitscertificaat op de
elektronische identiteitskaart; en
2.
slaat de dienstverlener enkel de minimale
informatie op teneinde de geldigheid van de
elektronische identiteitskaart te kunnen valideren
op het moment van de aanmelding (via een OCSP
validatie, eventueel terugvallend op een CRL
validatie in geval van onbeschikbaarheid van de
officiële OCSP diensten). Het Rijksregisternummer
van de persoon behoort niet tot deze gegevens en
mag bijgevolg niet worden bewaard.
Art. 6. Op het moment van de geslaagde
registratie:
1.
brengt de dienstverlener een koppeling tot
stand tussen het profiel van de gebruiker bij de
aanmeldingsdienst en het identiteitscertificaat op
de elektronische identiteitskaart van de gebruiker;
en
2.
stelt de aanmeldingsdienst een unieke door
de dienstverlener en de erkennende overheid te
hanteren identificatiecode (een Universele Unieke
IDentificatie – UUID) ter beschikking van de
erkennende overheid. De erkennende overheid
voegt de identificatiecode toe aan het profiel van
de gebruiker bij de aanmeldingsdienst.
Art. 7. Wanneer de gebruiker de registratie stopzet
bij de erkennende overheid, verwijdert de
erkennende overheid de door haar opgeslagen
identificatiecode. De dienstverlener wordt hiervan
niet op de hoogte gebracht.
CHAPITRE III. – Identification par l'utilisateur
Art. 8. L'autorité d'agrément peut autoriser des
services d'identification agréés qui utilisent des
moyens d'identification sans fil pour des
applications publiques numériques spécifiques
qui, à ce moment, utilisent le service fédéral
d'authentification (FAS).
Art. 9. L'utilisateur qui souhaite accéder à de
telles
applications
publiques
numériques
sélectionne le service d'identification de son
choix sur le service fédéral d'authentification,
après quoi l'autorité d'agrément redirige
l'utilisateur vers ledit service d'identification si
l'application autorise explicitement l'utilisation
HOOFDSTUK III. – Aanmelding door de gebruiker
Art. 8. De erkennende overheid kan erkende
aanmeldingsdiensten die gebruik maken van nietverbonden aanmeldingsmiddelen toelaten voor
specifieke digitale overheidstoepassingen die op
dat moment gebruik maken van de federale
authenticatiedienst (FAS).
Art. 9. De gebruiker die toegang wenst te krijgen
tot zulke digitale overheidstoepassingen, selecteert
de aanmeldingsdienst van zijn/haar keuze op de
federale
authenticatiedienst,
waarna
de
erkennende overheid de gebruiker doorverwijst
naar deze aanmeldingsdienst indien de toepassing
2
du moyen d'identification sans fil agréé.
Art. 10. Le serveur du prestataire de services
vers lequel l'utilisateur est dirigé demande à
celui-ci de s'identifier afin de retrouver le bon
profil.
En outre, le serveur demande à l'utilisateur
d'entrer le code d'authentification généré par le
moyen d'identification comme décrit à l'article
11.
Art. 11. Le serveur du prestataire de services :
1.
valide le code d' authentification,
compte tenu du fait que ce code a été généré
sur la base d'un certificat d'identité spécifique
sur une carte d'identité électronique qui, au
moment de l'enregistrement auprès du
prestataire de services, a été associé au profil
de l'utilisateur auprès de ce prestataire de
services, en utilisant éventuellement le «
challenge » correct de l'article 2 ;
2.
contrôle si le code d'authentification est
suffisamment récent ;
3.
confirme la validité du certificat
d'identité utilisé (et donc enregistré) via une
validation OCSP, ou éventuellement une
validation CRL en cas d'indisponibilité des
services OCSP officiels.
Lorsque tous les contrôles susmentionnés sont
positifs, l'identification est réussie. Dans tous les
autres cas, l'identification échoue.
het gebruik van het erkende, niet-verbonden
aanmeldingsmiddel expliciet toelaat.
Art. 10. De server van de dienstverlener waar de
gebruiker terecht komt, verzoekt de gebruiker zich
te identificeren teneinde het juiste profiel terug te
vinden.
Daarbij verzoekt de server de gebruiker de door
het
aanmeldingsmiddel
gegenereerde
authenticatiecode in te geven zoals beschreven in
artikel 11.
Art. 11. De server van de dienstverlener:
1.
valideert de authenticatiecode, rekening
houdend met het feit dat deze code werd
gegenereerd op basis van een specifiek
identiteitscertificaat
op
een
elektronische
identiteitskaart dat op het moment van de
registratie bij de dienstverlener, aan het profiel van
de gebruiker bij die dienstverlener werd gekoppeld,
eventueel gebruik makend van de correcte
“challenge” uit artikel 2;
2.
controleert
of
de
authenticatiecode
voldoende recent is;
3.
bevestigt de geldigheid van het gebruikte
(en aldus geregistreerde) identiteitscertificaat (via
een OCSP validatie, eventueel terugvallend op een
CRL validatie in geval van onbeschikbaarheid van
de officiële OCSP diensten).
Voor zover tenminste bovenstaande controles
positief zijn, is de aanmelding geslaagd. In alle
andere gevallen is de aanmelding niet-geslaagd.
Art. 12. Dans le cas d'une identification réussie,
le service d'identification transmet le code
d'identification mentionné à l'article 6 à l'autorité
d'agrément.
À l'aide de ce code, l'autorité d'agrément
retrouve le profil de l'utilisateur avec lequel ce
dernier est identifié auprès de l'autorité.
L'autorité d'agrément fera toujours office
d'intermédiaire pour le prestataire de services et
les applications d'e-gouvernement intégrées.
Art. 12. In het geval van een geslaagde
aanmelding, verzendt de aanmeldingsdienst de in
artikel 6 vermelde identificatiecode aan de
erkennende overheid.
Aan de hand van deze code vindt de erkennende
overheid het profiel van de gebruiker terug
waarmee deze laatste bij de overheid aangemeld
is.
De erkennende overheid zal steeds als tussenpartij
optreden voor de dienstverlener en de
geïntegreerde e-government toepassingen.
CHAPITRE IV. – Échange d'informations entre le
prestataire de services et l'autorité d'agrément
HOOFDSTUK IV. – Informatie-uitwisseling tussen
de dienstverlener en de erkennende overheid
Art. 13. L'échange d'informations entre, d'une
part, l'autorité d'agrément et, d'autre part, le
service
d'identification
concernant
l'enregistrement et toute connexion ou
déconnexion ultérieure se fait sur la base du
protocole SAML2.0 ou OAuth2.0.
Art. 13. De uitwisseling van informatie tussen de
erkennende overheid en de aanmeldingsdienst met
betrekking
tot
de
registratie
en
iedere
daaropvolgende aanmelding of afmelding geschiedt
op basis van het SAML2.0 of het OAuth2.0
protocol.
Section 1re. - Échange d'informations via le
protocole SAML2.0
Afdeling 1. – Informatie-uitwisseling via SAML2.0
protocol
3
Art. 14. L'échange d'informations techniques
d'identification entre le prestataire de services et
le service fédéral d'authentification (comme
proposé par l'autorité d'agrément) se fait via les
métadonnées SAML2.0 publiées par les deux
parties.
Art. 14. De uitwisseling van technische
aanmeldingsinformatie tussen de dienstverlener en
de federale authenticatiedienst (zoals deze wordt
aangeboden door de erkennende overheid)
geschiedt via de door beide partijen gepubliceerde
SAML2.0 metadata.
Art. 15. Le service fédéral d'authentification de
l'autorité d'agrément transmet la demande
d'identification (Authentication Request) au
prestataire de services. Cette demande
d'identification se fait via le protocole SAML2.0,
sur la base d'une Browser HTTP-POST Binding.
La demande d'identification comprend les
données suivantes :
1.
le
moyen
d'identification
choisi,
conformément à l'URI établi au moment de
l'introduction
du
dossier
d'agrément
(AuthContextClassRef) ;
2. le code d'identification du service fédéral
d'authentification de l'autorité d'agrément,
mentionnant la provenance de la demande
d'identification (Issuer) comme établi dans les
métadonnées échangées du prestataire de
services ;
3. le code d'identification du prestataire de
services concerné (Destination) comme établi
dans les métadonnées échangées de l'autorité
d'agrément ;
4. une notification indiquant si une actualisation
de l'identification est requise (ForceAuth) ;
5. le code d'identification de la demande
d'identification (RequestID) ;
6. la signature numérique de la demande
d'identification sur la base du certificat de
signature du service fédéral d'authentification
de l'autorité d'agrément. Ce service fédéral
d'authentification publie ledit certificat de
signature séparément comme un élément des
métadonnées SAML2.0. Le certificat en luimême (et la « certificate chain » associée) n'est
pas joint à la demande d'identification.
Art. 15. De federale authenticatiedienst van de
erkennende
overheid
verzendt
de
aanmeldingsaanvraag (Authentication Request)
naar de dienstverlener. Deze aanmeldingsaanvraag
geschiedt via het SAML2.0 protocol, op basis van
een Browser HTTP-POST Binding.
De
aanmeldingsaanvraag
bevat
volgende
gegevens:
1.
het
gekozen
aanmeldingsmiddel,
overeenkomstig de URI die werd bepaald op het
moment
van
de
indiening
van
het
erkenningsdossier (AuthContextClassRef);
2.
de
identificatiecode
van
de
federale
authenticatiedienst van de erkennende overheid ter
aanduiding
van
de
herkomst
van
de
aanmeldingsaanvraag (Issuer) zoals bepaald in de
uitgewisselde metadata van de dienstverlener;
Art.16. Le prestataire de services répond à la
demande d'identification par une réponse
d'identification (Authentication Response) via le
protocole SAML2.0, sur la base d'une Browser
HTTP POST Binding.
La réponse d'identification comprend les
données suivantes :
1. le statut de l'identification (StatusCode) :
1°
le code qui indique une identification
réussie (SUCCESS) ; ou
2°
le code qui indique une identification
échouée (FAILURE) ;
2. le code d'identification du prestataire de
services indiquant la provenance de la réponse
3. de identificatiecode van de betrokken
dienstverlener (Destination) zoals bepaald in de
uitgewisselde metadata van de erkennende
overheid;
4. de vermelding of een actualisatie van de
aanmelding is vereist (ForceAuth);
5.
de
identificatiecode
van
de
aanmeldingsaanvraag (RequestID);
6.
de
digitale
handtekening
van
de
aanmeldingsaanvraag
op
basis
van
het
ondertekeningscertificaat
van
de
federale
authenticatiedienst van de erkennende overheid.
Deze federale authenticatiedienst publiceert dit
ondertekeningscertificaat afzonderlijk als een deel
van de SAML2.0 metadata. Het certificaat zelf (en
de bijbehorende “certificate chain”) wordt niet
toegevoegd aan de aanmeldingsaanvraag.
Art. 16. De dienstverlener beantwoordt de
aanmeldingsaanvraag
met
een
aanmeldingsantwoord (Authentication Response)
via het SAML2.0 protocol, op basis van een
Browser HTTP POST Binding.
Het
aanmeldingsantwoord
gegevens:
bevat
volgende
1. de status van de aanmelding (StatusCode):
1°
de code ter aanduiding van een geslaagde
aanmelding (SUCCESS); of
2°
de code ter aanduiding van een niet-
4
d'identification (Issuer) ;
3. le code d'identification du service fédéral
d'authentification de l'autorité d'agrément
(Destination) ;
4. dans le cas d'une identification réussie, le
code d'identification de l'utilisateur qui s'est
identifié dans un AttributeAssertion avec le nom
« urn:be:fas:extauthprovider:identificationcode
»;
5. le code de référence de la demande
d'identification (InResponseTo) ;
6. la signature numérique de la réponse
d'identification sur la base du certificat de
signature du prestataire de services. Le
prestataire de services publie ce certificat de
signature séparément comme un élément des
métadonnées SAML2.0. Le certificat en luimême (et la « certificate chain » associée) n'est
pas joint à la réponse d'identification.
Art. 17. Chaque modification apportée par le
prestataire de services, tant aux métadonnées
qu'au certificat de signature utilisé, est
communiquée à temps, par le prestataire de
services, à l'autorité d'agrément, conformément
aux dispositions relatives à la gestion des
services.
geslaagde aanmelding (FAILURE);
2. de identificatiecode van de dienstverlener ter
aanduiding
van
de
herkomst
van
het
aanmeldingsantwoord (Issuer);
3.
de
identificatiecode
van
de
federale
authenticatiedienst van de erkennende overheid
(Destination);
4. in geval van een geslaagde aanmelding, de
identificatiecode van de gebruiker die zich heeft
aangemeld in een AttributeAssertion met de naam
“urn:be:fas:extauthprovider:identificationcode”;
5. de referentiecode van de aanmeldingsaanvraag
(InResponseTo);
6.
de
digitale
handtekening
van
het
aanmeldingsantwoord
op
basis
van
het
ondertekeningscertificaat van de dienstverlener. De
dienstverlener
publiceert
dit
ondertekeningscertificaat afzonderlijk als een deel
van de SAML2.0 metadata. Het certificaat zelf (en
de bijbehorende “certificate chain”) wordt niet
toegevoegd aan het aanmeldingsantwoord.
Art.
17.
Iedere
door
de
dienstverlener
aangebrachte wijziging aan zowel de metadata als
het gebruikte ondertekeningscertificaat, wordt door
hem tijdig aan de erkennende overheid
meegedeeld conform de bepalingen omtrent
service management.
Section 2. - Échange d'informations via le
protocole OAuth2.0
Afdeling 2. – Informatie-uitwisseling via OAuth2.0
protocol
Art. 18. La configuration OAuth2.0 est la
suivante :
1. « expires_in » s'élève à 300 secondes
maximum ;
2. « token_type » supportera le type « Bearer »
;
3. il n'y a pas d'échange de refresh_token, mais
bien d'acces_token ;
4. L'UUID échangé via l'access_token, afin
d'identifier
l'utilisateur,
est
le
code
d'identification
enregistré
par
l'autorité
d'agrément.
Art. 18. De OAuth 2.0 configuratie wordt als volgt
ingesteld:
1. “expires_in” bedraagt maximaal 300 seconden;
Art. 19. Le prestataire de services et le service
fédéral
d'authentification
de
l'autorité
d'agrément
s'échangent
les
endpoints
« trusted » d'Oauth2.0. Toute modification des
endpoints d'Oauth2.0 par le prestataire de
services est notifiée par ce dernier à l'autorité
d'agrément au moins 6 semaines avant d'être
effective.
2. “token_type” zal type “Bearer” dragen;
3. er wordt geen refresh_token, maar wel een
acces_token uitgewisseld;
4. De UUID die via de access_token wordt
uitgewisseld,
teneinde
de
gebruiker
te
identificeren, is de door de erkennende overheid
opgeslagen identificatiecode.
Art. 19. De dienstverlener en de federale
authenticatiedienst van de erkennende overheid
wisselen de “trusted” OAuth2.0 endpoints met
elkaar uit. Iedere wijziging door de dienstverlener
van de OAuth2.0 endpoints wordt minimaal 6
weken voor de effectieve wijziging door hem aan
de erkennende overheid meegedeeld.
5
Art. 20. Le prestataire de services offre au
service fédéral d'authentification de l'autorité
d'agrément un access_token OAuth2.0, qui
permettra au service fédéral d'authentification
de récupérer le code d'identification de
l'utilisateur.
Section 3. – Dispositions générales
Art. 21. Le prestataire de services peut réutiliser
une session (Single Sign On) si :
1. l'utilisateur dispose déjà d'une session initiée
via le moyen d'identification du service
d'identification en question ; et
2. cette vérification d'identité s'est faite
maximum 60 minutes auparavant.
3. Le « Single Log Off » est également
supporté.
Art. 22. Le prestataire de services vérifie
l'identité de l'utilisateur uniquement via le
service d'identification agréé qu'il propose, sans
prendre connaissance de l'application publique
pour laquelle l'identification est demandée.
Vu pour être annexé à l'arrêté du [...] fixant les
conditions, la procédure et les conséquences de
l’agrément de services d’identification pour
applications publiques numériques qui utilisent
des moyens d’identification sans fil.
Art. 20. De dienstverlener biedt de federale
authenticatiedienst van de erkennende overheid
een OAuth2.0 access_token aan, waarmee deze
federale authenticatiedienst de identificatiecode
van de gebruiker kan ophalen.
Afdeling 3. – Algemene bepalingen
Art. 21. De dienstverlener kan een sessie
hergebruiken (Single Sign On) indien:
1. de gebruiker reeds over een sessie beschikt die
werd geïnitieerd door het aanmeldingsmiddel van
de aanmeldingsdienst in kwestie; en
2. deze identiteitsverificatie maximaal 60 minuten
voordien plaatsvond.
3. Ook “Single Log Off” wordt ondersteund.
Art. 22. De dienstverlener verifieert de identiteit
van de gebruiker uitsluitend door middel van de
door hem aangeboden erkende aanmeldingsdienst
zonder
dat
hij
kennis
neemt
van
de
overheidstoepassing waarvoor aanmelding wordt
gevraagd.
Gezien om te worden gevoegd bij het besluit van
[…] tot vaststelling van de voorwaarden, de
procedure en de gevolgen van de erkenning van
aanmeldingsdiensten
voor
digitale
overheidstoepassingen die gebruik maken van nietverbonden aanmeldingsmiddelen.
6