Scenario’s aanvraag (sub)OIN gemeenten DKD-inlezen
Versie 2.0
Datum februari 2020
Auteur Communicatie Inlichtingenbureau
Inhoudsopgave
Aanleiding ... 3
1. Verschillende scenario’s aanvraag (sub)OIN DKD-inlezen ... 4
1 Gemeente (A) eigen bevraging ... 4
2 Gemeente (A) eigen bevraging via leverancier (L) SaaS oplossing ... 4
3 Gemeente (B) gemandateerd namens andere gemeente (A) ... 5
4 Gemeente (B) gemandateerd namens andere gemeente (A) via leverancier (L) ... 6
5 Gemeente (B) gedelegeerd namens andere gemeente (A) ... 7
6 Gemeente (B) gedelegeerd namens andere gemeente (A) via leverancier ... 7
7 Samenwerkingsverband (S: bestaat uit gemeente A,B en C) gemandateerd namens andere gemeente (A) ... 8
8 Samenwerkingsverband (S: bestaat uit gemeente A, B en C) gemandateerd namens andere gemeente (A) via leverancier (L) ... 9
9 Samenwerkingsverband (S) gedelegeerd namens andere gemeente (A,B en C) ...10
10 Samenwerkingsverband (S) gedelegeerd namens andere gemeente (A,B en C) via leverancier (L) ...11
Aanleiding
Een belangrijk verschil ten opzichte van Transactiestandaard 3.1 is dat bij Transactiestandaard 4.0 de SuwiML Header is komen te vervallen. Hiermee wordt het berichtenverkeer binnen de keten werk & inkomen Digikoppeling compliant. Dit brengt met zich mee dat de identificatie van
afnemers plaatsvindt op basis van (Sub)OIN in plaats van de huidige Distinguished Name. Voor het uitwisselen van DKD berichten dient u altijd over een geldig PKI overheidscertificaat te
beschikken.
Het aangevraagde (Sub)OIN moet in het bericht onder het WS-Addressing element ‘wsa:From’
worden opgenomen. WS-Addressing is een gestandaardiseerde manier om routeringsinformatie voor Web service-berichten in de header van een SOAP-bericht te plaatsen. Door een subOIN op te nemen in het WS-Addressing element wordt fijnmaziger autorisatie mogelijk.
Let op! Voor het ondertekenen van berichten (signing) dient u een geldig PKI overheidscertificaat te hebben waar een actief OIN in voorkomt. Afhankelijk van de organisatievorm dient u het OIN te koppelen aan uw organisatie. Raadpleeg onderstaande scenario’s om te controleren wat voor uw organisatievorm van toepassing is.
In het document komt u veelvuldig de termen ‘’mandateren en delegeren’’ tegen.
Hierbij is mandateren, het overdragen door gemeente A van de bevraging aan partij B met behoud van DKD bevoegdheid door partij A;
Delegeren is het overdragen door gemeente A van de bevraging aan partij B MET overdracht van DKD bevoegdheid naar partij B.
1. Verschillende scenario’s aanvraag (sub)OIN DKD-inlezen
Er bestaan verschillende organisatievormen binnen gemeenten. Dit betekent dat het mandaat voor het bevragen van berichten niet altijd bij dezelfde partij ligt. Dit document omschrijft de verschillende organisatievormen. Het aanvragen van (sub)OIN’s is noodzakelijk voor het DKD berichtenverkeer.
1 Gemeente (A) eigen bevraging
Dit scenario doet zich voor als gemeente A de verbinding verzorgt en alleen voor gemeente A gebruik maakt van DKD berichten.
Gemeente A ondertekent (signing) de DKD berichten met een PKI overheidscertificaat waarin het OIN van gemeente A staat. U dient een subOIN aan te vragen voor gemeente A voor de adressing.
2 Gemeente (A) eigen bevraging via leverancier (L) SaaS oplossing
Dit scenario doet zich voor indien het inlezen van DKD berichten zich voltrekt via het
softwarepakket bij uw softwareleverancier. We spreken in dit geval van een SaaS oplossing. Als uw softwarepakket voor het inlezen van DKD berichten een SaaS oplossing is, is het niet nodig om voor gemeente A een apart certificaat aan te vragen. U dient een subOIN aan te vragen voor gemeente A en deze te koppelen aan de OIN van de leverancier van gemeente A.
De softwareleverancier ondertekent (signing) de DKD berichten met een PKI overheidscertificaat waarin het OIN van de softwareleverancier staat. U dient een subOIN aan te vragen voor
gemeente A voor de adressing.
Gemeente A moet zijn subOIN koppelen met het OIN van de leverancier van gemeente A. Dit doet u via het portaal van het Inlichtingenbureau:
o Log in op het portaal (link);
o Selecteer het product DKD;
o Ga naar het tabblad ‘’DKD leveranciers’’;
o Koppel hier het subOIN van gemeente A aan het OIN van de leverancier van gemeente A.
3 Gemeente (B) gemandateerd namens andere gemeente (A)
Dit scenario doet zich voor indien gemeente A verantwoordelijk is voor de bevragi ngen van berichten, maar de autorisatie hiervoor uit handen heeft gegeven aan gemeente B
(gemandateerde gemeente).
Ondanks dat gemeente B het mandaat heeft gekregen voor het bevragen van berichten, moeten de aangevraagde (Sub)-OIN’s in het WS-Addressing element ‘wsa:From’ opgenomen worden van gemeente A. Gemeente A blijft in dit geval verantwoordelijk voor de bevragingen van berichten.
Dit omdat gemeente B gemandateerd is voor bevragingen namens gemeente A en tevens
bevragingen doet namens zichzelf. U dient een subOIN aan te vragen voor gemeente A en deze te koppelen aan de OIN van gemeente B. Dit omdat gemeente B gemandateerd is voor het bevragen van berichten.
Gemeente B ondertekent (signing) de DKD berichten met een PKI overheidscertificaat waarin het OIN van gemeente B staat. U dient een subOIN aan te vragen voor gemeente A voor de adressing.
Gemeente A moet zijn subOIN koppelen met het OIN van de gemeente B. Dit doet u via het portaal van het Inlichtingenbureau:
o Log in op het portaal (link);
o Selecteer het product DKD;
o Ga naar het tabblad ‘’DKD leveranciers’’;
o Koppel hier het subOIN van gemeente A aan het OIN van gemeente B.
4 Gemeente (B) gemandateerd namens andere gemeente (A) via leverancier (L)
Dit scenario doet zich voor indien gemeente A verantwoordelijk is voor het bevragen van berichten, maar hiervoor de autorisatie uit handen heeft gegeven aan gemeente B (gemandateerde gemeente), die deze berichten met de tussenkomst van een leverancier
verstuurt. We spreken in dit geval van een SaaS oplossing. Als uw softwarepakket voor het inlezen van DKD berichten een SaaS oplossing is, is het niet nodig om voor gemeente A een apart
certificaat aan te vragen. Dat kan alleen als uw gemeente toestemming verleent aan gemeente A om namens u berichten te bevragen.
De softwareleverancier ondertekent (signing) de DKD berichten met een PKI overheidscertificaat waarin het OIN van de softwareleverancier staat.
U dient een subOIN aan te vragen voor gemeente A en deze te koppelen aan de OIN van de Leverancier van gemeente B. Gemeente A moet zijn subOIN koppelen met het OIN van de Leverancier van gemeente B. Dit doet u via het portaal van het Inlichtingenbureau:
o Log in op het portaal (link);
o Selecteer het product DKD;
o Ga naar het tabblad ‘’DKD leveranciers’’;
o Koppel hier het subOIN van gemeente A aan het OIN van de softwareleverancier van gemeente B.
5 Gemeente (B) gedelegeerd namens andere gemeente (A)
Dit scenario doet zich voor indien gemeente A al haar activiteiten voor het versturen van
berichten heeft overgedragen aan gemeente B. Gemeente B is gedelegeerd en heeft het volmacht ontvangen om berichten op te vragen voor gemeente A. Gemeente B ondertekend (signing) de DKD berichten met een PKI overheidscertificaat waarin het OIN van gemeente B staat.
Gemeente B ondertekent (signing) de DKD berichten met een PKI overheidscertificaat waarin het OIN van gemeente B staat.
U dient een subOIN aan te vragen voor gemeente B voor de adressing. Gemeente A hoeft geen actie te ondernemen omdat alle activiteiten zijn gedelegeerd.
6 Gemeente (B) gedelegeerd namens andere gemeente (A) via leverancier
Dit scenario doet zich voor indien gemeente A al haar verantwoordelijkheid voor het bevragen van berichten heeft overgedragen aan gemeente B (gedelegeerde gemeente) , die deze berichten met de tussenkomst van een leverancier (SaaS) verstuurt.
7 Samenwerkingsverband (S: bestaat uit gemeente A,B en C) gemandateerd namens andere gemeente (A)
(Dezelfde werkwijze als een gemeente die gemandateerd is).
Dit scenario doet zich voor indien het samenwerkingsverband verantwoordelijk is voor de
bevragingen van berichten, maar de autorisatie hiervoor uit handen heeft gegeven aan gemeente A (gemandateerde gemeente).
Ondanks dat het samenwerkingsverband het mandaat heeft gekregen voor het bevragen van berichten, moeten de aangevraagde (Sub)-OIN in het WS-Addressing element ‘wsa:From’
opgenomen worden van gemeente A, B of C. Het samenwerkingsverband blijft in dit geval verantwoordelijk voor de bevragingen van berichten.
Het samenwerkingsverband ondertekent (signing) de DKD berichten met een PKI
overheidscertificaat waarin het OIN van het samenwerkingsverband staat. U dient een subOIN aan te vragen voor gemeente A, B en C.
Het OIN van het Samenwerkingsverband moet een koppeling maken met het subOIN van gemeente A, B en C. Dit doet u via het portaal van het Inlichtingenbureau:
o Log in op het portaal (link);
o Selecteer het product DKD;
o Ga naar het tabblad ‘’DKD leveranciers’’;
o Koppel hier het subOIN van gemeente A aan het OIN van het samenwerkingsverband.
Herhaal deze handeling voor alle gemeenten (gemeenten A, B en C) binnen het samenwerkingsverband.
8 Samenwerkingsverband (S: bestaat uit gemeente A, B en C) gemandateerd namens andere gemeente (A) via leverancier (L)
Dit scenario doet zich voor indien het samenwerkingsverband verantwoordelijk is voor de
bevragingen van berichten, maar de autorisatie hiervoor uit handen heeft gegeven aan gemeente A (gemandateerde gemeente) via een leverancier.
Ondanks dat het samenwerkingsverband het mandaat heeft gekregen voor het bevagen van berichten, moeten de aangevraagde subOIN in het WS-Addressing element ‘wsa:From’
opgenomen worden van de verschillende gemeenten (A, B en C). Het samenwerkingsverband blijft in dit geval verantwoordelijk voor de bevragingen van berichten.
De softwareleverancier ondertekent (signing) de DKD berichten met een PKI overheidscertificaat waarin het OIN van de softwareleverancier staat. U dient een subOIN aan te vragen voor
gemeente A, B en C.
Het OIN van de leverancier van het samenwerkingsverband moet een koppeling maken met het subOIN van gemeente A, B en C. Dit doet u via het portaal van het Inlichtingenbureau:
o Log in op het portaal (link);
o Selecteer het product DKD;
o Ga naar het tabblad ‘’DKD leveranciers’’
9 Samenwerkingsverband (S) gedelegeerd namens andere gemeente (A,B en C)
Dit scenario doet zich voor indien gemeente A, B en C al haar verantwoordelijkheid voor het bevragen van berichten heeft overgedragen aan het gedelegeerde samenwerkingsverband. Uw samenwerkingsverband is bekend op het portaal van het Inlichtingenbureau.
Het samenwerkingsverband ondertekent (signing) de DKD berichten met een PKI overheidscertificaat waarin het OIN van het samenwerkingsverband staat.
De verschillende gemeenten (A, B en C) hoeven geen subOIN aan te vragen. U maakt in dit geval gebruik van het OIN van het samenwerkingsverband.
Het OIN (WSA:from) van het samenwerkingsverband moet worden gekoppeld met het OIN (PKI overheidscertificaat) van het samenwerkingsverband. Dit doet u via het portaal van het
Inlichtingenbureau:
o Log in op het portaal (link);
o Selecteer het product DKD;
o Ga naar het tabblad ‘’DKD leveranciers’’
o Koppel hier het OIN van het samenwerkingsverband aan het OIN van het samenwerkingsverband.
10 Samenwerkingsverband (S) gedelegeerd namens andere gemeente (A,B en C) via leverancier (L)
Dit scenario doet zich voor indien gemeente A, B en C al haar verantwoordelijkheid voor het bevragen van berichten heeft overgedragen aan het gedelegeerde samenwerkingsverband die gebruik maakt van een leverancier. Uw samenwerkingsverband is bekend op het portaal van het Inlichtingenbureau. U hoeft geen subOIN aan te vragen.
De softwareleverancier ondertekent (signing) de DKD berichten met een PKI overheidscertificaat waarin het OIN van de softwareleverancier staat.
U maakt in dit geval gebruik van het OIN van het samenwerkingsverband voor de WSA:from adressing. Het OIN (WSA:from) van het samenwerkingsverband moet worden gekoppeld aan het OIN van de softwareleverancier. Dit doet u via het portaal van het Inlichtingenbureau:
o Log in op het portaal (link);
o Selecteer het product DKD;
o Ga naar het tabblad ‘’DKD leveranciers’’
o Koppel hier het OIN van het samenwerkingsverband aan het OIN van de leverancier.