21-09-2023: SAML en OpenID.NLGov zijn gezamenlijk verplicht ('Pas toe of leg uit'-verplichting) aan de overheid. De 'Pas toe of leg uit'-verplichting van SAML en OpenID.NLGov is overgegaan naar Authenticatie-standaarden (OpenID.NLGov en SAML) op de 'Pas toe of leg uit'-lijst. Authenticatie-standaarden (OpenID.NLGov en SAML) vervangt de afzonderlijke registraties van SAML, NL GOV AP OIDC en OIDC op de lijst open standaarden.

SAML

Inhoudsopgave

Status

Lijst status ‘Verplicht ('Pas toe of leg uit’)' betekent dat de standaard verplicht moet worden uitgevraagd en toegepast volgens de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten. ‘Aanbevolen’ betekent dat dit een gangbare of opkomende standaard is waarvan het Forum Standaardisatie het gebruik aanbeveelt. ‘In behandeling’ betekent dat de standaard wordt getoetst voor opname op een van de lijsten. ‘Archief’ betekent dat de standaard in het verleden op de lijst heeft gestaan of in behandeling is geweest en nu niet (meer) verplicht of aanbevolen wordt.	Archief
Functioneel toepassingsgebied Beschrijft de toepassing(en) waarvoor het gebruik van de standaard verplicht is of aanbevolen wordt (afhankelijk van de lijststatus).	SAML moet worden toegepast op de uitwisseling van authenticatie- en autorisatiegegevens om gebruikers na eenmalig inloggen toegang te geven tot meerdere diensten.
Organisatorisch werkingsgebied Benoemt de organisaties waarvoor de verplichting geldt.	Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
Europese status ‘Ja’ betekent dat de standaard is erkend door het Multi Stakeholder Platform on ICT Standardisation van de Europese Commissie.	Nee

Nut en werking

Typering	Authenticatie en autorisatie
Nut	Security Assertion Markup Language (SAML) is een standaard voor het veilig uitwisselen van authenticatie- en autorisatiegegevens van gebruikers tussen verschillende organisaties. SAML maakt het mogelijk om op een veilige manier via het internet toegang te krijgen tot diensten van verschillende organisaties, zonder dat je per dienst eigen inloggegevens nodig hebt, of bij elke dienst apart moet inloggen. SAML wordt gebruik bij onder andere DigiD machtigen en eHerkenning.
Werking	Bij SAML spelen drie partijen een rol: de ‘gebruiker’, de ‘Identity Provider (IdP)’ en de ‘Service Provider (SP)’. De IdP regelt het authenticatieproces van de gebruiker en kan na succesvolle authenticatie aan de SP gegevens verstrekken over de identiteit, attributen en rechten van een gebruiker.
Domein	Veilig internet
Relatie met andere standaarden	HTTPS en HSTS
Relatie met andere standaarden	XML
Relatie met andere standaarden	TLS
Relatie met andere standaarden	X509
Trefwoorden	Informatiebeveiliging Internet

Detailinformatie

Volledige naam	Security Assertion Markup Language
Versie	2.0
Specificatiedocument	SAML Specifications
Beheerorganisatie	OASIS

Toepassing

Community Organisaties waarbij men terecht kan voor adoptieondersteuning, best practices, use cases en/of nadere informatie over de standaard.	Kantara eGovernment SAML 2.0 Implementation Profile SAML V2.0 Interoperability Deployment Profile V1.0
Hulpmiddelen Vrij beschikbare hulpmiddelen en software die de adoptie van de standaard ondersteunen. Dit kunnen zijn: referentie-implementaties, open source libraries, test tools, e.d.	SAML tracer Firefox Plugin

Toetsingsinformatie

Toelichting bij opname	SAML staat al geruime tijd op de 'Pas toe of leg uit'-lijst en wordt nog actief gebruikt bij Nederlandse overheden. Voor single sign-on toepassingen wordt ook OpenID Connect (OID) steeds vaker gebruikt. Hoewel OpenID Connect nog geen 'Pas toe of leg uit'-status heeft, wordt de opkomst van deze standaard erkend. Het ligt in de verwachting dat SAML en OpenID Connect de komende tijd naast elkaar gebruikt zullen worden en dat OpenID Connect zal worden aangemeld voor de 'Pas toe of leg uit'-lijst. Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis.
Adoptieadviezen De formele adoptieadviezen die het Forum Standaardisatie meegeeft bij plaatsing van de standaard op de 'Pas toe of leg uit'-lijst of lijst aanbevolen standaarden.	Adviezen over SAML die in opdracht van het Forum Standaardisatie zijn uitgebracht Expertadvies adoptie SAML 2.0 (3 april 2014) Evaluatie SAML 2.0 (29 januari 2018) Oplegnotitie Forum Standaardisatie Evaluatie SAML 2.0 (14 maart 2018) Advisering van het Forum Standaardisatie aan eID over SAML Adviesrol Forum Standaardisatie bij eID-stelsel (5 februari 2013) Invulling adviesrol Forum Standaardisatie t.b.v. eID-stelsel NL (29 maart 2013) Reactie op 'Ontwerp op hoofdlijnen van de werking van het eID Stelsel NL' (22 augustus 2013) Review Uniforme Set van Eisen - eID (14 juni 2017) Routeringsvoorziening en OIDC koppelvlak (7 november 2018)
Uitstekend beheer ‘Ja’ betekent dat een nieuwe versie van de standaard na aanmelding op de lijst wordt overgenomen zonder aanvullende toetsing door het Forum Standaardisatie. ‘Nee’ betekent dat een nieuwe versie van de standaard na aanmelding eerst door het Forum Standaardisatie wordt getoetst voordat de huidige versie op de lijst door de nieuwe versie kan worden vervangen.	Nee
Toelichting	FS19-04-05C2_notitie_SAML_aan_Forum.pdf PDF Document \| 114 KB
Expertadvies	FS_49-04-05A_Expertadvies_adoptie_SAML.pdf PDF Document \| 690.61 KB
Consultatie	OS_Consultatiedocument_SAML.pdf PDF Document \| 206.65 KB
Aanmelding	OS_SAML-aanmelding.pdf PDF Document \| 91.8 KB
Consultatie	OS_verzameld_commentaar_SAML.pdf PDF Document \| 246.6 KB
Datum van aanmelding Datum waarop een organisatie de standaard heeft aangemeld voor verplichten aan de overheid ('Pas toe of leg uit') of aanbevelen aan de overheid door plaatsing op een van de lijsten. Als een standaard voldoet aan de criteria om in behandeling genomen te worden, vindt een toetsingsprocedure plaats. Deze duurt ongeveer zeven maanden.	31-03-2009
Datum van besluit Datum waarop het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) of een van zijn voorgangers heeft besloten de standaard op de lijst te plaatsen.	20-05-2009

Standaard Samenwerken