Hoofdinhoud

In deze handleiding leest u hoe u aansluit op DigiD Machtigen via het nieuwe CombiConnect koppelvlak. Dit is een algemene handleiding. De technische details staan in de Engelstalige documentatie op Gitlab. Daar vindt u alles wat u nodig heeft om de aansluiting te realiseren. Kleine wijzigingen aan deze handleiding melden wij niet. Bent u een leverancier en sluit u vaker organisaties aan? Controleer dan zelf of een nieuwe versie van deze handleiding online staat.

Wat is CombiConnect?

CombiConnect is het nieuwe koppelvlak voor DigiD Machtigen. Net als DigiD is het gebaseerd op het SAML-protocool. Toekomstige ontwikkelingen worden ook op dit koppelvlak uitgevoerd. CombiConnect is een combinatie van DigiD en DigiD Machtigen. Het is een DigiD aansluiting die machtigbaar is. Zijn uw diensten via een portaal ontsloten? Dan worden automatisch alle achterliggende diensten ook machtigbaar. Heeft u één dienst ontsloten met CombiConnect? Dan is die dienst machtigbaar. Het voordeel van CombiConnect is dat u geen eigen beheerschermen hoeft te bouwen. De afhandeling van de machtiging met de gebruiker gebeurt volledig via DigiD Machtigen. Hierdoor heeft de gebruiker altijd dezelfde herkenbare beleving.

Als u op CombiConnect bent aangesloten, kunt u er ook voor kiezen uw bestaande DigiD-aansluiting(en) op te zeggen. Daarmee vervalt ook de assessmentplicht op die oude aansluiting(en).

CombiConnect verandert niets aan de dienstverlening van DigiD Machtigen voor gebruilkers. Gebruikers maken nog steeds een machtiging aan via het DigiD Machtigen portaal. 

Voor wie is deze handleiding?

Deze handleiding is bedoeld voor:

  • Organisaties die zelf willen aansluiten op DigiD Machtigen.
  • Leveranciers die in opdracht van een organisatie de aansluiting regelen.

Wie mag aansluiten op DigiD Machtigen?

Uw organisatie of de organisatie waar u de aansluiting voor regelt kan alleen aansluiten als het voldoet aan de volgende voorwaarden:

  • Voert een publieke taak uit op basis van een wettelijke grondslag.
  • Is opgenomen op de Autorisatielijst BSN-gerechtigden.
  • Beschikt over een OIN (Organisatie Identificatie Nummer).
  • Zet DigiD alleen in voor taken waarvoor het BSN-recht heeft.

Daarnaast mogen leveranciers aansluiten op de preproductieomgeving.

Burgerservicenummer (BSN) en DigiD 

DigiD levert uitsluitend het BSN. Wanneer een gebruiker bij uw organisatie inlogt, ontvangt uw systeem de melding dat een persoon met een bepaald BSN bij DigiD is ingelogd. U kunt dit BSN gebruiken om een koppeling te leggen met bijvoorbeeld het Basisregistratie Personen (BRP) voor aanvullende gegevens. Bij DigiD Machtigen ontvangt u een XML-bestand (het machtigingsbewijs) met de actieve machtiging voor de aangevraagde dienst. Hierin staan het BSN van de gemachtigde en het BSN van de gebruiker die de machtiging afgeeft.

Rollen en taken binnen het aansluitproject

Voor een succesvolle aansluiting is het belangrijk om de rollen en taken binnen de organisatie of de organisatie die u aansluit duidelijk te verdelen:

Rol Taken
Projectleider Begeleidt het hele aansluitproces op DigiD Machtigen, maakt het plan van aanpak, bewaakt de planning en biedt de aansluiting aan bij Logius.
Technisch specialist Heeft technische kennis van de omgeving waarop DigiD Machtigen wordt ingevoerd, de systemen en de koppelvlakstandaarden. Ook verzorgt hij de technische aansluiting op de (pre)productieomgeving van DigiD Machtigen en test deze
Tekenbevoegde Tekent de aanvraagformulieren namens de organisatie die aansluit.

Zelf aansluiten of uitbesteden?

U kunt de aansluiting zelf regelen of uitbesteden aan uw leverancier. Wilt u dit uitbesteden? Neem dan contact op met uw ICT-leverancier voor de planning en contractuele zaken. Wanneer u kiest voor uitbesteding, doorloopt de leverancier dezelfde stappen in deze handleiding. 

Leveranciers die organisaties aansluiten

Voor leveranciers zijn twee mogelijke scenario's :

  1. U verzorgt een zelfstandige aansluiting voor een andere organisatie. In overleg met uw opdrachtgever voert u de stappen uit dit stappenplan uit. De aanvraagformulieren moeten altijd door de tekenbevoegde van de organisatie die wordt aangesloten ondertekend worden.
  2. U gaat een testaansluiting op preproductie realiseren om uw systeem te testen. U kunt in een latere fase dit systeem gebruiken om zelfstandige aansluitingen voor afnemers te realiseren. Voor preproductie kunt u het onderstaande stappenplan uitvoeren. Deze testaansluiting kan uitsluitend op de preproductieomgeving gerealiseerd worden.

Stappenplan

Stap 1: Voorbereiding en maken projectplan

Maak een plan van aanpak 

Zorg voor een plan van aanpak waarin u het volgende vastlegt:

  • Doel en kaders van de aansluiting op DigiD Machtigen.
  • Betrokken partijen en hun verantwoordelijkheden.
  • Benodigde acties en wie deze uitvoert (inclusief interne communicatie).
  • Planning. Houd rekening met een reactietijd van maximaal 5 werkdagen voor acties vanuit Logius.
  • Verzorging van de aansluiting: uw eigen organisatie of een leverancier?
  • Verantwoordelijkheid voor inbeheername.

Bepaal betrouwbaarheidsniveau 

DigiD heeft vier betrouwbaarheidsniveaus: DigiD basis, DigiD midden, DigiD substantieel en DigiD hoog. Welk betrouwbaarheidsniveau nodig is hangt bijvoorbeeld af van de gegevens die u verwerkt. Gebruik de Handreiking betrouwbaarheidsniveaus om het juiste niveau te bepalen voor uw online diensten.

Vraag PKIoverheid-certificaten aan

Voor de aansluiting op DigiD Machtigen heeft u twee PKIoverheid-certificaten nodig met daarin het Organisatie-identificatienummer (OIN-nummer) van de organisatie die aansluit nodig:

  • één voor de preproductieomgeving
  • één voor de productieomgeving 

Controleer of u bestaande certificaten kunt hergebruiken of dat u nieuwe certificaten moet aanvragen bij een certificaatverstrekker. Hiervoor heeft u een Organisatie-identificatienummer nodig. Begin hier op tijd mee, vóórdat u aansluit op de preproductieomgeving. Het aanvraagproces kan enkele weken duren.

Houd rekening met ICT-beveiligingsassessment DigiD

Na aansluiting op de productieomgeving moet uw dienst voldoen aan veiligheidseisen. Daarom wordt uw onlinedienst ieder jaar getoetst met een ICT-beveiligingsassessment. Dit gaat om de dienst die u aanbiedt achter DigiD. Bijvoorbeeld een online paspoortaanvraag.

Binnen twee maanden na de activering van uw aansluiting op de productieomgeving moet u een assessmentrapport aanleveren bij Logius. Plan dit op tijd in uw projectplanning, zodat uw dienst vanaf de start op productie voldoet aan de beveiligingsnormen. Zo voorkomt u vertraging of herstelkosten.

Zorg dat tekenbevoegden beschikbaar zijn

Alle aanvragen voor de aansluiting en de certificaten moeten ondertekend worden door tekenbevoegde personen. Controleer daarom vooraf of deze correct staan geregistreerd bij de Kamer van Koophandel (KvK).

Stap 2: Aansluiten op de preproductieomgeving

Doel van de prepoductieomgeving

De preproductieomgeving is bedoeld om de koppeling met DigiD Machtigen te ontwikkelen en testen. Deze omgeving is functioneel hetzelfde als de productieomgeving, maar bevat alleen fictieve gegevens.

Voorbereiding invullen van het dienstgegevensformulier en het aansluitformulier 

Om toegang te krijgen tot de preproductieomgeving moet u het dienstgegevensformulier en het aansluitformulier invullen. 

Dienstgegevensformulier preproductieomgeving

Vul eerst het dienstgegevensformulier in met de technische informatie over uw dienst in de preproductieomgeving. Na het invullen ontvangt u het formulier op het opgegeven e-mailadres. Voeg dit formulier vervolgens toe aan het aanvraagformulier en bewaar het goed. Wilt u later iets wijzigingen? Dan dient u opnieuw een dienstgegevensformulier in te vullen. U kunt de ongewijzigde gegevens overnemen uit het eerder ingevulde dienstgegevensformulier.

Voor de preproductieaansluiting op het CombiConnect koppelvlak hebben wij het publieke deel van het PKIoverheid-certificaat voor tweezijdig TLS en de metadata in een XML-bestand nodig.

Aansluitformulier prepoductieomgeving

Als u alle informatie verzameld heeft, vult u het aansluitformulier in met daarin de gevraagde bestanden. Vervolgens kunt u deze met het dienstgegevensformulier als bijlage versturen naar Logius. 

Ondertekenen en versturen

Nadat u het formulier op de website volledig heeft ingevuld en verstuurd, ontvangt u per e-mail een pdf-bestand van het aanvraagformulier. U dient hierna het volgende te doen:

  • Print dit PDF-bestand.
  • De tekenbevoegde ondertekent dit document.
  • Scan het document.
  • Stuur het gescande formulier via het contactformulier naar Logius.

Geef in het contactformulier aan dat u hulp bij het aansluiten op een dienst wilt en dat het om DigiD gaat. Vermeld ook dat u het aanvraagformulier voor de DigiD preproductieomgeving als bijlage meestuurt. Met het uploaden van het aanvraagformulier gaat u akkoord met de aansluitvoorwaarden.

Logius controleert uw aanvraag

Logius controleert of uw aanvraag volledig en juist is. Bij goedkeuring ontvangt u van Logius een bevestigingsmail met:

  • De DigiD Machtigen endpoints.
  • Gegevens om vijf testaccounts te maken.

U kunt vanaf dan gebruikmaken van de preproductieomgeving. Als Logius uw aanvraag niet kan goedkeuren, nemen wij contact met u op. 

Aansluiting realiseren

Voor het realiseren van de aansluiting kunt u de DigiD CombiConnect 1.1 gebruiken. Uw aansluiting moet voldoen aan de criteria van de Checklist Aansluiten en aan de normen van het ICT-beveiligingsassessment. Neem dit mee in de vereisten voor de implementatie van uw aansluiting.

Stap 3: Testen aansluiting preproductieomgeving

In deze stap test u de koppeling tussen de preproductieomgeving van uw systeem en de preproductieomgeving van DigiD Machtigen.

Test en biedt uw preproductieomgeving aan bij Logius

Controleer eerst zelf of uw prepoductieomgeving voldoet aan de eisen van de Checklist Aansluiten en los eventuele bevindingen op. Wij kunnen uw aansluiting afsluiten als de bevindingen de veiligheid en werking van DigiD in gevaar brengen.

Test ook de werking van de verschillende betrouwbaarheidsniveaus met behulp van de Checklist Aansluiten en beoordeel of uw dienst voldoet. Logius verwacht dat u tijdens het testen in uw eigen systeem gebruikmaakt van een preproductieomgeving die functioneel gelijk is aan de toekomstige productieomgeving van de aansluiting.

Is uw aansluiting klaar om getest te worden door Logius? Dien dan het formulier Aanvragen test DigiD-aansluiting in met:

  • URL van de preproductieomgeving (door Logius benaderbaar).
  • producten/diensten die getest moeten worden.
  • gegevens van één testaccount.
  • contactgegevens technisch contactpersoon.

Acceptatie door Logius

Binnen vijf werkdagen ontvangt u per e-mail een testrapport met de resultaten. Voldoet uw aansluiting nog niet aan de Checklist Aansluiten? Dan past u deze aan en biedt u de test via dezelfde procedure opnieuw aan bij Logius. Na goedkeuring geeft Logius toestemming om uw aanvraag voor de aansluiting op de productieomgeving in te dienen.

Stap 4: Aansluiten op de productieomgeving

Heeft uw webapplicatie op de preproductieomgeving een goedgekeurd testrapport en voldoet deze aan de Checklist aansluiten? En heeft u van Logius de voorwaarden voor de productieomgeving van CombiConnect ontvangen? Dan kunt u de aansluiting voor de productieomgeving aanvragen. U gebruikt hiervoor hetzelfde aansluitformulier als in stap 2, maar de bestanden en certificaten zijn anders voor de productieomgeving.

Dienstgegevensformulier productieomgeving

U levert de gegevens van uw dienst aan via het dienstgegevensformulier. De gegevens in dit formulier mogen niet hetzelfde zijn als preproductiegegevens. Vul eerst het dienstgegevensformulier in met de technisch informatie van uw dienst in de productieomgeving. Na het invullen ontvangt u het formulier op het opgegeven e-mailadres. Voeg het vervolgens toe aan het aanvraagformulier en bewaar het goed. Wilt u later iets wijzigingen? Vul dan opnieuw een dienstgegevensformulier in. U kunt de ongewijzigde gegevens overnemen uit de eerdere versie.

Het publieke deel van PKIoverheid-certificaat en de SAML metadata voor productie

Vraag het PKIoverheid-certificaat direct aan als u dat nog niet heeft gedaan. Voor de productieaansluiting op het CombiConnect koppelvlak hebben wij het publieke deel van het PKIoverheid-certificaat voor twee-zijdig TLS en de metadata in een XML-bestand nodig. U moet dit certificaat hebben voordat u de aanvraag indient. Dit mag niet hetzelfde certificaat zijn als voor de preproductieomgeving.

Aansluitformulier productieomgeving

Vul het aansluitformulier voor DigiD Machtigen nogmaals in. Geef hierin aan dat u wilt aansluiten op de productieomgeving. U moet het volgende hiervoor uploaden:

  • De metadata in een XML-bestand.
  • Het dienstgegevensformulier met technische informatie over de dienst die u wilt aanbieden.

Ondertekenen en versturen

Nadat u het formulier op de website volledig heeft ingevuld en verstuurd, ontvangt u per e-mail een pdf van het aanvraagformulier. U dient hierna het volgende te doen:

  • Print dit formulier.
  • Laat het ondertekenen door de tekenbevoegde.
  • Scan het formulier.
  • Stuur het via het contactformulier naar Logius.

Geef in het contactformulier aan dat u hulp bij het aansluiten op een dienst wenst en dat het DigiD betreft. Vermeld verder dat u het aanvraagformulier voor de DigiD productieomgeving als bijlage meestuurt. Met het uploaden gaat u ook akkoord met de aansluitvoorwaarden.

Logius controleert uw aanvraag en configureert uw aansluiting

Logius controleert of uw aanvraag volledig en juist is. Bij goedkeuring wordt de aansluiting geconfigureerd en ontvangt u een bevestigingsmail. Daarna kunt u de aansluiting op de productieomgeving technisch realiseren.

Aansluiting realiseren

Gebruik de koppelvlakspecificatie DigiD CombiConnect op GitLab om de aansluiting technisch te realiseren. Uw aansluiting moet voldoen aan de Checklist Aansluiten en aan de normen van het ICT-beveiligingsassessment. Voor het activeren van de aansluiting dient u een wijzigingsformulier in.

Stap 5: Testen aansluiting op de productieomgeving

Test en acceptatie van de productieomgeving

Test uw aansluiting zelf met de Checklist Aansluiten. Is uw aansluiting klaar voor de test door Logius? Geeft dit dan door via het contactformulier Vermeld hierin dat u hulp bij het aansluiten op een dienst wenst en dat het om DigiD gaat. Geef ook aan dat uw aansluiting op de productieomgeving klaar is om getest te worden en voeg het volgende toe:

  • de productie URL.
  • de producten/diensten die getest moeten worden.

Logius stuurt u binnen vijf werkdagen per e-mail het testrapport. Voldoet uw organisatie niet aan de criteria van DigiD Machtigen? Dan voert u de verbeteringen door en biedt uw aansluiting opnieuw aan. Brengt een tekortkoming de veiligheid van DigiD in gevaar? Dan kan Logius uw aansluiting afsluiten.

Na acceptatie door Logius is het aansluitproces afgerond en kunt u uw aansluiting op DigiD Machtigen gebruiken. Als uw aanvraag niet wordt goedgekeurd, dan nemen we contact met u op.

Stap 6: Inbeheername van de dienst en aansluiting

Overdracht naar de beheerorganisatie

De dienst en de bijbehorende aansluiting op DigiD Machtigen is formeel overgedragen aan de beheerorganisatie. Zorg voor een plan voor inbeheername. Vooral als de achterliggende dienst nieuw is. Leg hierin vast:

  • Hoe eindgebruikers worden ondersteund binnen uw organisatie. Burgers kunnen alleen voor algemene vragen over DigiD en DigiD Machtigen bij de DigiD-helpdesk terecht.
  • Wie verantwoordelijk is voor functioneel beheer van zowel de productie als preproductieaansluiting op DigiD Machtigen, inclusief het informeren van Logius bij wijzigingen. De preproductieomgeving wordt gebruikt voor het testen van nieuwe releases en voor het oplossen van verstoringen. Houd deze omgeving daarom altijd online en up-to-date. Verwijder deze omgeving niet.
  • Hoe het jaarlijkse ICT-beveiligingsassessment wordt begeleid.
  • Wie het beheer van de PKIoverheid-certificaten uitvoert.
  • Dat betrokken medewerkers de Logius app installeren voor meldingen, verstoringen, updates en ontwikkelingen.

Lees wat u van ons kunt verwachten en wat uw plichten zijn onder het kopje 'Wie doet wat' op onze website.

Stap 7: DigiD Beveiligingsassessment

Binnen twee maanden na aansluiting op DigiD Machtigen moet uw online dienst voldoen aan de beveiligingsnormen van het NCSC. Dit wordt getoetst met een DigiD Beveiligingsassessment van de dienst achter DigiD. Bijvoorbeeld een online paspoortaanvraag en niet de DigiD Machtigen aansluiting zelf. Laat dit assessment uitvoeren door uw ICT-leverancier of een andere bevoegde instantie en lever het rapport aan bij Logius via het contactformulier. Vermeld dat het om DigiD gaat en voeg het rapport als bijlage toe. Houd er rekening mee dat dit assessment jaarlijks verplicht is.

Vragen of suggesties?

Logius helpt u bij het aansluiten op DigiD Machtigen Heeft u vragen of hulp nodig? Neem dan contact op via het contactformulier. Vermeld dat u hulp bij het aansluiten op een dienst wilt en dat het om DigiD gaat. U kunt via dit formulier ook suggesties en tips doorgeven om het aansluitproces te verbeteren.

Start uw aanvraag

Wilt u uw organisatie ook aansluiten op DigiD Machtigen?

Vul het dienstgegevensformulier in
Vul het aansluitformulier in