Skip to main content

Het ontsluiten van meerdere eID’s is uitdagender dan het lijkt


In ICT Magazine gaat Roderick van Cann, Product Owner bij Signicat (voorheen Connectis), in op wat er komt kijken bij het ontsluiten van meerdere eID’s.

Het aantal inlogmiddelen zit sterk in de lift en de Wet digitale overheid komt er aan. Daardoor is het voor veel aanbieders van online diensten onvoldoende om slechts één eID te ondersteunen.

Maar je loopt bij ondersteuning van meerdere eID’s al snel tegen onverwachte complicaties aan: de IT omgeving wordt complexer en de kans op implementatiefouten neemt toe. Bij de ondersteuning van meerdere eID’s is het verstandig op deze zaken te letten:

Aandachtspunt 1: Verschillende technische eisen

Verschillende eID’s hanteren verschillende technische eisen aan de verbinding. Zo hebben eID’s mogelijk verschillende eisen waar de certificaten aan moeten voldoen, wat hergebruik van bestaande certificaten soms moeilijk maakt wanneer hier vooraf geen rekening mee gehouden is. Daarnaast gebruiken eID’s vaak andere specificaties voor het berichtenverkeer. Zo gebruikt DigiD een aparte variant van het SAML-protocol, waar iDIN een eigen (IDx) protocol heeft en de meeste social accounts gebruikmaken van OpenID Connect.

Al deze verschillende technische eisen moeten ondersteund worden, wanneer eID’s direct aangesloten worden op de applicatie van de dienstverlener.

Aandachtspunt 2: Betrouwbaarheid en gebruikersgemak zijn beide belangrijk

Om online identiteitsfraude te voorkomen is effectieve authenticatie van gebruikers cruciaal. Maar gebruikers willen vooral zo snel en eenvoudig mogelijk inloggen. Dienstverleners moeten daarom een afweging maken: de gewenste balans tussen gemak en betrouwbaarheid.

Het is van belang om goed na te denken over welk betrouwbaarheidsniveau nodig is, en welke eID hier bij aansluit. Een zeer betrouwbare eID als iDIN eisen voor een reactie op een forum is in veel gevallen niet nodig. Anderzijds is inloggen met een socialmedia-account om toegang te krijgen tot juridische documenten verre van verstandig.

Aandachtspunt 3: Aangeleverde gegevens zijn niet consistent

Helaas verschillen eID’s niet alleen aan de voorkant sterk. Ook aan de achterkant werken ze erg anders. DigiD zal bij een inlog alleen een burgerservicenummer terugsturen. Een website die alleen DigiD ondersteunt, zal de gebruiker daardoor identificeren aan een nummercombinatie. Andere inlogmiddelen sturen andere attributen terug: achternamen, geboortedata, enzovoorts. Als het achterliggende systeem alleen nummers accepteert, wordt identificatie aan de hand van een naam erg lastig. Dit soort wijzigingen kunnen zeer arbeidsintensief zijn. In het ergste geval moet de dienstverlener een geheel nieuw systeem implementeren.

Aandachtspunt 4: De terminologie van de attributen is niet gestandaardiseerd

Is het ‘email’, ‘e-mail’, ‘e-mailadres’ of ‘mailadres’? Een mens heeft direct door dat het om hetzelfde gaat, voor een technisch systeem ligt dit veel complexer. Het helpt ook niet dat iedere eID zijn eigen termen en naamgevingen hanteert. Het is aan het systeem om al deze verschillende termen naar een en hetzelfde ‘label’ te vertalen. En de inhoud die schuilgaat achter zo’n label moet ook nog eens consistent blijven.

Conclusie

Deze vier punten hebben gemeen dat het om uitdagingen gaat die op technisch vlak een flinke kluif kunnen vormen voor dienstverleners. Niet alleen moet de IT-infrastructuur van de dienstverlener meerdere eID’s ondersteunen, ook is het noodzakelijk dat alle verschillende gegevens door de dienstverlener verwerkt kunnen worden. Het beheer en de configuratie dient zo eenvoudig mogelijk te zijn om fouten en hoge kosten te voorkomen. Het CIAM (Customer Identity & Access Management) platform met self serviceportaal van Signicat (voorheen Connectis) kan veel van deze beheerzorgen uit handen nemen.

Het originele artikel van Roderick van Cann is hier te lezen op ICTmagazine.nl.