Ga naar hoofdinhoud

Handleiding aanmelden bij stelsel

Logo bk management

Auteur: Vorderingenoverzicht Rijk

Versie: 20251202

Inleiding

Deze handleiding gaat over het als bronorganisatie aanmelden bij het stelsel van Vorderingenoverzicht Rijk.

De handleiding behandeld alleen de kant van het Bronorganisatie Beheer. Het installeren en configureren van de Bronorganisatie Beheer componenten wordt hier niet behandeld. Zie daarvoor de pagina Aan de slag - bronorganisatie

Als u als beheerder een actie moet uitvoeren, dan wordt deze opdracht voorafgegaan door het volgende symbool:Actie icoon

Voorwaarden

Voordat gestart kan worden met het aanmelden bij het stelsel moet aan de volgende voorwaarden zijn voldaan:

  • Correct geïnstalleerde Bronorganisatie Beheer (BK) componenten
  • Correct geconfigureerde en via het internet bereikbare services. Dit is vastgelegd in https://<url>/.well-known/bk-configuration.json
  • Een juist geconfigureerde externe HSM (Hardware Security Module) of de geïntegreerde (v)HSM.

❗️Let op: In deze handleiding wordt de geïntegreerde (v)HSM gebruikt. Een handleiding met een externe HSM volgt.

Bronorganisatie Beheer schermen

Organisatiebeheer

Het organisatiebeheerscherm geeft informatie over de status van de organisatie in het stelsel. Daarnaast kan hier het aanmelden bij het stelsel gestart worden.

Organisatiebeheerscherm

Op het Organisatiebeheerscherm is een lijst te zien met stelsel aanmeldingen en de daarbij behorende status. Initieel is deze leeg. Van elke aanmelding zijn de volgende gegevens te zien:

  • Naam: Dit is de naam van de organisatie zoals bekend in het stelsel. Deze is bij het inrichten van de componenten geconfigureerd. Zie hier: https://vorijk.nl/docs/aan-de-slag/bronorganisatie/docker#bk-management-process
  • OIN: Dit is de officiële OIN (Organisatie Identificatie Nummer) van de organisatie.
  • Discovery URL: Dit is de URL met JSON configuratie waarop de organisatie vindbaar is voor het Vorderingenoverzicht Rijk stelsel. Dit is bij het inrichten van de Bronorganisatie Beheer componenten geconfigureerd.
  • Stelselstatus: Dit is de status van de aanmelding van de organisatie in het stelsel.
  • Acties: Dit zijn de beschikbare acties voor de betreffende aanmelding.

❗️LET OP: Initieel is deze lijst leeg.

Keysbeheer

Het scherm Keysbeheer geeft een lijst van organisatie sleutels weer met een status en een mogelijkheid om een organisatie sleutelpaar in te trekken. Ook kan op dit scherm een nieuw organisatie sleutelpaar aangemaakt worden.

Bronorganisatie key management scherm

In de lijst met organisatie sleutels staan de volgende gegevens te zien:

  • Key ID: Dit is de technische ID waarmee het sleutelpaar is opgeslagen. Het Key ID kan naar het klembord gekopieerd worden door op het klembord icoon te klikken: Clipboard icon

  • Label: Dit is de eigen naam die de beheerder aan het sleutelpaar heeft gegeven. Dit Label kan naar het klembord gekopieerd worden door op het klembord icoon te klikken: Clipboard icon

  • Public key: Dit is de publieke sleutel van de organisatie. Deze Public key kan naar het klembord gekopieerd worden door op het klembord icoon te klikken: Clipboard icon

  • Aangemaakt op: datum waarop het sleutelpaar is aangemaakt.

  • Verloopt op: Datum waarop het sleutelpaar verloopt.

  • Ingetrokken: Geeft de status aan van het sleutelpaar.

    • Nee icoon: sleutelpaar is geldig.
    • Ja icoon: sleutelpaar is ingetrokken en niet meer geldig.

  • Acties: Dit zijn de beschikbare acties voor het betreffende sleutelpaar.

❗️LET OP: Initieel is deze lijst leeg.

Over

Op het scherm Over staat de versie informatie van de Bronorganisatiebeheerapplicatie.

Over scherm

Stappen voor aanmelden van organisatie bij stelsel

Stap 1: Keysbeheer

Als eerste moet de organisatie een organisatie sleutelpaar (public en private key) aanmaken. De privé sleutel wordt in de HSM opgeslagen en verlaat die plek nooit. De publieke organisatie sleutel wordt vervolgens gebruikt voor het ondertekenen van het aanmeldingsverzoek.

Ook wordt deze publieke organisatie sleutel meegestuurd in in het aanmeldingsverzoek en in het stelsel vastgelegd, zodat veilig met de organisatie gecommuniceerd kan worden. De app van de burger krijgt deze publieke organisatie sleutel ook, zodat ook de burger er zeker van is dat de informatie echt van de betreffende bronorganisatie afkomstig is.

Het Keysbeheer is te vinden in het menu aan de linkerkant van het Bronorganisatie Beheer scherm:

Keysbeheer scherm

Stap 1a: Sleutelpaar aanmaken

Actie icoon Klik op het blok Geïntegreerde HSM om een sleutel aan te maken:

vHSM button Er wordt direct een nieuw sleutelpaar aangemaakt en opgeslagen in de (v)HSM, maar deze wordt nog niet opgeslagen in bk-management!

Stap 1b: Gegevens nieuwe sleutelpaar controleren en aanvullen

In het volgende scherm wordt de informatie van het nieuwe sleutelpaar getoond.

Scherm key aanmaken

  1. Public key: Hier staat de nieuwe organisatie publieke sleutel die bij het sleutelpaar hoort. De privé sleutel wordt (na opslaan) bewaard in de (v)HSM.
  2. ID: Dit is de door het systeem gegenereerde ID van het nieuwe sleutelpaar. Dit ID kan gewijzigd worden, maar dit wordt afgeraden.
  3. Ingangsdatum: De ingangsdatum van het nieuwe sleutelpaar.
  4. Einddatum: Hier staat de datum waarop het sleutelpaar verloopt en zijn geldigheid verliest. Deze staat standaard op 1 jaar. Deze kan gewijzigd worden als er gekozen wordt om het sleutelpaar korter of langer geldig te laten zijn.
  5. Label: Dit is het label waarmee de sleutel eenvoudig herkent kan worden in de schermen waar de sleutel gebruikt moet worden. Deze moet door de beheerder ingevuld worden.

Actie icoon Optioneel: pas de einddatum aan voor een kortere of langere geldigheid dan 1 jaar.

Actie icoon Vul het Label in om het nieuwe sleutelpaar een herkenbare naam te geven.

Stap 1c: Sleutelpaar opslaan

Actie icoon Sla het nieuwe organisatie sleutelpaar op door op Opslaan te klikken.

Key save scherm

Linksonder staat dat het sleutelpaar succesvol is opgeslagen. In de tabel met sleutels is de nieuwe organisatie sleutel toegevoegd.

❗️NB: Het scherm met het nieuwe organisatie sleutelpaar blijft geopend. Dit is een bekend issue.

Stap 2: Aanmeld verzoek aanmaken en ondertekenen

Voor de volgende stap, het ondertekenen van het aanmeld verzoek, moet het scherm Organisatiebeheer geopend worden:

Organisatiebeheerscherm

Stap 2a: Nieuw registratie verzoek aanmaken

Actie icoonKlik op het blok Geintegreerde HSM om een nieuw aanmeld verzoek aan te maken: vHSM button

Stap 2b: Sleutel voor ondertekening verzoek kiezen

Het aangemaakt verzoek is in het scherm zichtbaar:

Scherm ondertekenen verzoek

  1. Verzoek: hier staat het aanmeld verzoek met daarin de noodzakelijke gegevens waaronder de URL voor de service configuratie. Wat nog ontbreekt is de publieke sleutel (daar staat nu null).

  2. Organisatie Key ID: hier moet de juiste sleutel gekozen worden voor het ondertekenen van het verzoek: Selectie sleutel drop down

    Eventuele ingetrokken sleutels worden hier ook getoond. ❗️NB: Op dit moment wordt alleen de ID getoond. Dit is een bekend issue.

    Actie icoon Kies hier de juiste sleutel voor het ondertekenen van het verzoek.

  3. De publieke sleutel van het geselecteerde organisatie sleutelpaar wordt getoond: Sleutels geselecteerd

Stap 2c: Registratie verzoek ondertekenen

Actie icoonDruk op de knop Onderteken Organisatie om het registratieverzoek te ondertekenen met de geselecteerde organisatie sleutel.

Er wordt om een bevestiging gevraagd:

Bevestiging ondertekening

Actie icoon Bevestig het ondertekenen.

Stap 2d: Registratie verzoek opgeslagen

Het scherm voor de tweede stap van de ondertekening wordt getoond.

Aanmeldverzoek opgeslagen

Linksonder wordt aangegeven dat de organisatie succesvol is ondertekend. En in de organisatietabel is de Stelsel status te zien dat de nieuwe organisatie nog niet is aangemeld.

Verder zijn de volgende velden te zien:

  1. Verzoek: hier staat het aanmeld verzoek met daarin de noodzakelijke gegevens waaronder de URL voor de service configuratie. ❗️NB: in het verzoek wordt de publieke sleutel nog niet getoond. Dit is een bekend issue.
  2. Versleutelde verzoek: Het ondertekende en versleutelde verzoek staat in het tweede veld.
  3. ID geselecteerde sleutel: Het ID van de gebruikte organisatie sleutel wordt getoond.

Stap 2e: Registratie verzoek versturen

Actie icoonKlik hier op de knop Registreer rechtsonder in het scherm om het registratieverzoek naar het stelsel te sturen.

Er wordt om een bevestiging gevraagd:

Bevestigen registratie aanmelding

Actie icoon Bevestig het registreren.

Stap 2f: Registratie verstuurd

Als het verzoek succesvol is verstuurd, dan wordt rechtsonder gemeld:

Registratie verstuurd

Stap 3: Controleren status

Actie icoonControleer de status door op Controleren te klikken of het scherm te verversen.

Als het versturen van de aanmelding succesvol is geweest, dan staat de status op Aangemeld:

Scherm met status aangemeld

Goedkeuringsproces aanmelding bronorganisatie

Het is nu aan de stelselbeheerder om het verzoek goed te keuren en het stelsel met de nieuwe organisatie te publiceren.

Dit proces zal vanuit de stelselbeheerder in samenwerking met de bronorganisatie moeten plaatsvinden. De stelselbeheerder zal willen controleren of de organisatie die zich heeft aangemeld ook daadwerkelijk de organisatie is die zij zegt te zijn. Een van de controles is of de publieke sleutel van de bronorganisatie overeenkomt met de publieke sleutel in het aanmeldbericht. Deze public key is te vinden in Keysbeheer in de UI.

Als de stelselbeheerder de aanmelding goedkeurt, dan gaat de stelselstatus naar Geaccepteerd:

Scherm met status geaccepteerd

Daarna publiceert de stelselbeheerder het stelseldocument inclusief de nieuwe organisatie. Op dat moment gaat de status naar Gepubliceerd:

Scherm met status gepubliceerd

Vanaf nu neemt deze organisatie deel aan het stelsel.