Inloggen Geen profiel? Registreer hier.

Hoe organiseer je veilig gebruik van Haal Centraal API’s?

11/05/2021

Gemeenten moeten basisgegevens rechtstreeks kunnen afnemen bij de landelijke registraties: dat is wat het programma Haal Centraal wil realiseren, in lijn met de informatiekundige visie Common Ground. Een belangrijke schakel in de uitvoering zijn de Haal Centraal API’s die rechtstreeks ophalen bij de bron mogelijk maken. Veilig gebruik vraagt om investeringen aan de kant van gemeenten in beveiliging, autorisatie, protocollering en identiteitsbeheer.

De praktijk vandaag de dag is dat gemeenten de basisgegevens die ze nodig hebben voor hun processen opslaan en opvragen in hun eigen gegevensmagazijnen en processystemen. In feite gaat het dan om kopieën van gegevens, met alle risico’s van dien: risico’s op fouten en op privacy- en securitykwesties. Daar willen we van af en dat kan met de Haal Centraal API's.

Een API (Application Programming Interface) maakt het mogelijk dat twee systemen rechtstreeks met elkaar kunnen communiceren; een soort digitale stekkerdoos. Met een API kan de afnemer bijvoorbeeld rechtstreeks gegevens in de Basisregistratie Kadaster (BRK) zoeken en raadplegen. Maar dat moet natuurlijk wel aan bepaalde eisen voldoen. Hoe zorgen we er bijvoorbeeld voor dat gebruikers van privacygevoelige gegevens uitsluitend toegang krijgen tot gegevens waarvoor zij zijn geautoriseerd als zij een landelijke API gebruiken? Deze vraag stond centraal tijdens het fieldlab van 25 maart.

Gegevens van de basisregistraties ophalen bij de bron, stelt eisen aan de toegangsbeveiliging. Tijdens het fieldlab zijn verschillende onderwerpen verkend:

  • Beheer van gebruikersaccounts Het beheer van data en gebruikersaccounts in allerlei verschillende systemen brengt risico’s met zich mee voor de informatieveiligheid. Waar we naartoe willen is centraal beheer van gebruikersaccounts in de gemeente met een centrale infrastructuur voor toegangsbeveiliging en logging. 
  • API Gateway De toegangspoort waardoor alle aanvragen lopen is de API Gateway. Een API Gateway zorgt voor centraal autorisatie- en toegangsbeheer van API’s bij gemeenten, en bevat allerlei functies om dit proces veilig te laten verlopen.
  • Identity Provider Naast een API Gateway heeft een gemeente een Identity Provider nodig, die tokens (op basis van OAuth en OpenID Connect) verstrekt aan (SaaS)applicaties om namens de gebruiker een API te bevragen. 
  • Logging of protocolleringsvoorziening Dit heeft een gemeente nodig om achteraf alle bevragingen te kunnen controleren. 

Migratiestrategieën 

Hoe knoop je als gemeente al die onderdelen veilig aan elkaar? En hoe leg je de puzzel met je bestaande applicaties? In een interview voor iBestuur gaan Cathy Dingemanse en Brenda de Graaf van het programma Haal Centraal in op mogelijke migratiestrategieën. In het artikel, dat uitgebreid terugblikt op het fieldlab, leest u ook de ervaringen van de gemeente ’s-Hertogenbosch die een jaar geleden, samen met Eindhoven, aan de slag ging met de specificaties van Haal Centraal voor de BRP Bevragen API en de BAG Bevragen API van het Kadaster voor hun verhuisapplicatie. 

De gemeente Hollands Kroon wilde de website voorzien van BRP-gegevens van de binnengemeentelijke personen. De inwoner die inlogt, ziet dan de juiste gegevens. In het artikel leest u hoe ze dat hebben gerealiseerd, gebruikmakend van een beveiligde koppeling naar hun zaaksysteem via een API-Gateway.

Starterkit

Voor het fieldlab maakte VNG Realisatie docker containers waarmee met name de toegangsbeveiliging OAuth 2.0 en OpenID Connect beproefd konden worden. Meer hierover leest u in de presentatie hieronder (zie Downloads). 

De docker containers zijn onderdeel van de Starterkit die gemeenten kunnen gebruiken om stap voor stap aan de slag te gaan met de borging van de informatieveiligheid. Niet zozeer door te vertellen waar men aan moet voldoen, maar door gemeenten (en leveranciers) te helpen met hoe zij zelf de beveiliging kunnen richten. 

De Starterkit is te vinden in de Haal Centraal Web Security repo. Bij Getting Started staat hoe u de Starterkit gebruikt.

Bij VNG Realisatie is ook een spreekwoordelijk ‘kookboek’ in de maak waarin kennis en vooruitzichten rond dit thema gebundeld worden. Dit kookboek wordt volgens de planning eind tweede kwartaal door de VNG opgeleverd.

Downloads

Openingspresentatie

Presentatie Toegangsbeveiliging OAuth 2.0 en OpenID Connect