+31 (0)20 716 3866 +31 (0)85 888 11 33 info@enable-u.com
Digid Eo Rgb 300px

OAuth en de overheid

Frank Terpstra, Senior Integratieconsultant bij Enable-U, over SAML vs OAuth in de overheid

Wel eens in een app met DigiD of E-Herkenning ingelogd op een telefoon of tablet?

‘Het is helemaal niet vreemd als je nee antwoordt op deze vraag. Sterker nog; ik zou het heel graag van je horen als je dit wel is overkomen. DigiD en e-Herkenning zijn namelijk gebaseerd op SAML voor authenticatie. Een zeer geschikt middel voor webbrowsers, maar niet heel geschikt voor apps op mobiele devices. SAML wordt dan ook vrijwel nooit ingezet in apps voor telefoons en tablets. Toch gebruiken steeds meer mensen hun telefoon en tablet voor allerlei zaken waar ze 5 en zeker 10 jaar geleden nog hun PC voor gebruikten.’

Overheid als platform

‘Het is gek dat de overheid hier maar langzaam in mee gaat. We verwachten als burgers van de overheid dat hij met zijn tijd mee gaat en dat betekent ook dat de website niet meer het enige kanaal is voor dienstverlening naar burgers. Je verwacht dat de overheid ook apps op mobiele devices, the internet of things (smart cities) en leuke mashups met andere (niet overheids)diensten mogelijk maakt. Daarvoor moet de overheid meer als een platform (zoals Google, Linkedin, Facebook, Twitter etc..) gaan gedragen. Daarbij hoort ook het ondersteunen van de authenticatiemethoden die platforms toepassen. De belangrijkste daarvan is OAuth.’

OAuth eerder afgewezen als overheidsstandaard

‘In het verleden is Oauth al eens voorgedragen als overheidsstandaard, maar werd toen afgewezen. De reden hiervoor was dat OAuth, zo dacht men, alleen voor social media zou zijn en daar hoeft de overheid toch niets mee. Een redenering die twee foute aannamen bevat; natuurlijk moet de overheid wel iets met social media en bovendien wordt Oauth veel breder toegepast dan dat.

Inmiddels zie je Oauth voorzichtig in architecturen van de overheid terugkomen (bijvoorbeeld de Omgevingswet) en is Oauth gelukkig opnieuw voorgedragen als standaard.’

OAuth voor de stap van webservices naar API’s

‘Dit biedt mogelijkheden voor overheden om meer burgers en bedrijven te gaan bereiken. Met OAuth kunnen overheden namelijk hun functionaliteit niet alleen via een website aanbieden, maar ook als API over vele soorten (mobiele) kanalen. Het is ondoenlijk voor de overheid om alle kanalen volledig zelf te bedienen en beheren, maar als je een goede API hebt en deze beveiligd met OAuth kan je veel functionaliteit door derden laten oplossen. Dit verlaagt de druk op de IT afdeling van bijvoorbeeld een gemeente, terwijl innoveren makkelijker wordt dan ooit. Door als overheid een platform beschikbaar te stellen aan (externe) app developers kunnen nieuwe innovatieve toepassingen ontwikkelt worden, die je als overheid nooit had kunnen voorzien.

We zijn als Enable-U ook op deze toekomst voorbereid. Enable-U2secure biedt ondersteuning voor OAuth en ook voor het snel en efficiënt aanbieden van API’s aan interne en externe ontwikkelaars hebben wij oplossingen klaar staan.’