Skip to main content Link Menu Expand (external link) Document Search Copy Copied

Authenticatie via mutual TLS voor KIK-Inzage

Het Kadaster vereist de authenticatie / autorisatie van de eindklant op basis van een PKIoverheid certificaat.

Realisatie van de M2M communicatie met mutual TLS:

Tweezijdige TLS met PKIoverheid (X.509) certificaten, ook wel bekend als mutual TLS (mTLS). Authenticatie is gebaseerd op het wederzijds “trusten” van de client en server certificaten tijdens het opzetten van de TLS verbinding. De autorisatie gebeurt aan de hand van het Organisatie-identificatie Nummer (OIN), een uniek identificerend nummer voor uw organisatie dat in het client certificaat moet zijn opgenomen.
Zie over het OIN: Organisatie-identificatienummer (OIN) en OIN Stelsel - Logius Handreiking

Een Mutual TLS verbinding moet per klant worden gelegd. Hebt u toegang voor uw hele organisatie via een KVK nummer nodig, dan is 1 PKIoverheid certificaat voldoende. Werkt u met meerdere onderdelen binnen uw organisatie, elk met eigen KVK nummer of met een eigen factuur afhandeling, dan is van elk onderdeel een eigen certificaat vereist. Zo nodig kunnen voor elk van deze onderdelen SubOIN’s naast het OIN worden aangevraagd.

Deze methode ondersteunt het volledig geautomatiseerd werken. Certificaten hebben een lange levensduur, raadpleeg hiervoor de diverse leveranciers.

Realisatie van de M2M communicatie in de usecase met (minimaal) 3 partijen:

de Serviceafnemer (eindklant) – Intermediair service – Serviceaanbieder (Kadaster Kik-Inzage)

mTLS

In dit geval is de intermediair service gemachtigd om de PKIoverheid serviceafnemer-eindklant TLS certificaten te beheren. Voor het Kadaster is het dan alsof direct met de serviceafnemer via mTLS met de PKIoverheid eindklant communiceert.

Veiligheid regels in de keten, aandachtspunten:

  1. Intermediair-service host het PKI-O serviceafnemer-eindklant certificaat. Intermediair-service acteert namens serviceafnemer.

  2. De serviceafnemer en de intermediair-service hebben een machtigingsovereenkomst gemaakt.

  3. De intermediair-service is verantwoordelijk voor het certificaatbeheer van zijn serviceafnemers.

  4. De serviceafnemer heeft het recht om zijn eigen PKIoverheid certificaat bij de intermediair-service in te trekken.

  5. Een audit-archief met uitwisselberichten zou aanwezig moeten zijn en als bewijs kunnen dienen voor de M2M keten-communicatie.

  6. Het Kadaster heeft het recht om de KIK-Inzage toegang voor de serviceafnemer binnen de M2M keten-communicatie in te trekken.