Skip to content

Identificatie

In elk artifact response zitten twee essentiële attributen: ActingSubjectID en LegalSubjectID. Deze worden gebruikt om de gebruiker en het vertegenwoordigingde bedrijf te identificeren, en kunnen verschillende waarden bevatten.

ActingSubjectID

eHerkenning

Binnen eHerkenning bevat ActingSubjectID een specifiek pseudoniem dat wordt gegenereerd op basis van:

  • Het OIN van de DV waarop de gebruiker inlogt
  • Het interne pseudoniem van de gebruiker bij de AD
  • De organisatie die de gebruiker machtigt

Het specifiek pseudoniem heeft tot doel gebruikers te identificeren zonder hun persoonsgegevens te verwerken. Zolang de gebruiker inlogt met hetzelfde account en voor dezelfde organisatie, blijft het specifiek pseudoniem hetzelfde.

Let op: Als de gebruiker vervolgens inlogt met een ketenmachtiging die via dezelfde organisatie is verleend, blijft de ActingSubjectID ook hetzelfde. Daarom moet ook de LegalSubjectID worden verwerkt.

eIDAS (natuurlijke personen)

Afhankelijk van hoe de dienst in de dienstencatalogus is geconfigureerd, bevat ActingSubjectID meestal een van de volgende attributen (zie ook: DV-keys API):

Indien er een BSN wordt verzocht en de gebruiker deze niet heeft, zal de gebruiker worden doorgestuurd naar een hulppagina met meer informatie over de aanvraag van een BSN.

eIDAS (niet-natuurlijke personen)

Bij eIDAS aansluitingen waarbij gebruikers namens een bedrijf inloggen, bevat ActingSubjectID een specifiek pseudoniem dat door het eIDAS-berichtenservice is gegenereerd.

LegalSubjectID

eHerkenning

Het LegalSubjectID identificeert de organisatie namens wie de gebruiker inlogt. Het bevat meestal alleen een KvK-nummer, maar kan ook aanvullende waarden bevatten (bijv. RSIN). Het is essentieel om vast te stellen welk bedrijf wordt vertegenwoordigd (via primaire machtiging of ketenmachtiging).

eIDAS (natuurlijke personen)

Bij eIDAS voor natuurlijke personen (het meest voorkomende situatie) wordt geen gebruik gemaakt van LegalSubjectID, aangezien gebruikers niet namens een bedrijf inloggen.

eIDAS (niet-natuurlijke personen)

Bij eIDAS voor organisaties bevat LegalSubjectID altijd een eIDASLegalIdentifier.

Ontsleuteling

Attributen kunnen worden ontsleuteld met behulp van het in de DV-metadata verstrekte encryptie certificaat. Hieronder volgt een uitleg van de verschillende elementen die hiervoor nodig zijn.

<saml:EncryptedID>
    <!--ID van versleutelde gegevens-->
    <xenc:EncryptedData
        Id="_cf087b22f2c288b140db5e5f8efd1ef6a31335f1"
        Type="http://www.w3.org/2001/04/xmlenc#Element">
        <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc" />
        <!--ID van key nodig om gegevens te onsleutelen-->
        <ds:KeyInfo>
            <ds:RetrievalMethod
                Type="http://www.w3.org/2001/04/xmlenc#EncryptedKey"
                URI="#_4eb6be6a57cec0c2b8f013e115c92c91aca2246a" />
        </ds:KeyInfo>
        <!--Versleutelde gegevens-->
        <xenc:CipherData>
            <xenc:CipherValue>WM5u91kFSdyqj68ruFrOQZMQc0VGZVf0NTJaC9SkCNanjMcnOcZFpFnIUgUB
                EIugKWQjwwig82eS4f8P+bSk1cDJtDCWy22KolAN3DKT3nyzlJGL+UqDkvcF
                rw1L45PeQKJs7tce+QTtMLB07WnyGljA5P6YPjLG4U1ghehL/g4fZ8MkZLeM
                YPgPQIdNEmHpxEdPGb1ao7cOgoB5T/WJruQSVyBxtQRB3cDf3o3T7CSx1VLB
                ofqcJKh4a7wpHskJYyHj1mUoo9yFzfPh8gb+aaB3Krs1VxmQ2JdpzJekR2A3
                1N6hQH/Ga0mC5PuGI1dMbx3TzaFPDvuJGRLa4UQGFGmgNA5WQWcKBltT5bWm
                BNP8JMhjjbHU0tIFOG7ShsBHnikVw/8MMCXfZ43m0XREaPrhrjGpFeMf6Z3m
                fleGxSc=
            </xenc:CipherValue>
        </xenc:CipherData>
    </xenc:EncryptedData>
    <!--ID van key nodig om gegevens te onsleutelen + entityID van DV die mag ontsleutelen-->
    <xenc:EncryptedKey
        Id="_4eb6be6a57cec0c2b8f013e115c92c91aca2246a"
        Recipient="urn:etoegang:DV:00000003507204570000:entities:0013">
        <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p">
            <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
        </xenc:EncryptionMethod>
        <!--KeyName van certificaat nodig om key te onsleutelen-->
        <ds:KeyInfo>
            <ds:KeyName>F4195A846A02FCEFE515520AAB1DD7ECB14F638E</ds:KeyName>
        </ds:KeyInfo>
        <!--Versleutelde key-->
        <xenc:CipherData>
            <xenc:CipherValue>ksvhCIOhFCqOcHcoNDvL8SWTUJwSxT/IIFR3BDMfBewgrOBsit751He8G0SW
                km0Ub24zIC42imt6mud8cHvzt9PO7GyLzg7PfBJrssRRkQOdbcfxNAIbJf82
                yhKzHkN7sOEiEK67vcsBvuT/uAfC3uAvYtLrhfIPiy2SwZAxqOclmO7fxkYK
                LdlmDNA+FldTYh6mJ2OdzF7NRAN5QgaLKC+JRyZ32Bf7XWS4KA7V3YNprdqF
                vImJhUevzIMSk/FBmk1Y2fmHWkx90qlLzmgGTh89OPh8BScyXpgznScd4CLS
                1+VnsHJe0ghzA+sl+1TcFFV9erv/3q6Nr0dQRX97AM==
            </xenc:CipherValue>
        </xenc:CipherData>
        <!--ID van gegevens die met deze key kunnen worden ontsleuteld-->
        <xenc:ReferenceList>
            <xenc:DataReference URI="#_cf087b22f2c288b140db5e5f8efd1ef6a31335f1" />
        </xenc:ReferenceList>
    </xenc:EncryptedKey>
</saml:EncryptedID>