Handleiding goedkeuren bronorganisatie en publiceren stelsel
Auteur: Vorderingenoverzicht Rijk
Versie: 20260108
Inleiding
Deze handleiding gaat over het accepteren van een aanmelding van een nieuwe bronorganisatie en vervolgens het publiceren van een nieuw stelseldocument.
De handleiding behandeld alleen de kant van het stelselbeheer. Het installeren en configureren van de stelselbeheer componenten wordt hier niet behandeld. Zie daarvoor de pagina Aan de slag - stelselbeheerder
Als u als beheerder een actie moet uitvoeren, dan wordt deze opdracht voorafgegaan door het volgende symbool:
Voorwaarden
Voordat gestart kan worden met het aanmelden bij het stelsel moet aan de volgende voorwaarden zijn voldaan:
- Correct geïnstalleerde Stelsel Beheer (BK) componenten
- Correct geconfigureerde en via het internet bereikbare services.
- Een juist geconfigureerde externe HSM (Hardware Security Module) of de geïntegreerde (v)HSM.
❗️Let op: In deze handleiding wordt de geïntegreerde (v)HSM gebruikt. Een handleiding met een externe HSM volgt.
Organisatie Beheer schermen
Organisatiebeheer
Op het Organisatiebeheerscherm is een lijst te zien met organisaties die zijn aangemeld of een lopende aanmelding hebben.
Van elke aanmelding zijn de volgende gegevens te zien:
- Naam: Dit is de naam van de organisatie zoals bekend in het stelsel. Deze naam is door de organisatie zelf gekozen.
- OIN: Dit is de officiële OIN (Organisatie Identificatie Nummer) van de organisatie.
- Public Key: Dit is de publieke sleutel waarmee de organisatie zich heeft aangemeld.
- Discovery URL: Dit is de URL met JSON configuratie waarop de betreffende organisatie vindbaar is voor het Vorderingenoverzicht Rijk stelsel. Dit is door de Organisatie Beheer geconfigureerd.
- Status: Dit is de status van de aanmelding van de organisatie in het stelsel. Deze kent de volgende statussen:
Als een organisatie zich heeft aangemeld, maar deze is nog niet goedgekeurd.
Als de aanmelding is geaccepteerd, maar het stelsel nog niet is gepubliceerd.
Als de stelselbeheerder de organisate heeft goedgekeurd en gepubliceerd.
- Acties: Dit zijn de acties die de stelselbeheerder voor een organisatie kan uitvoeren. De volgende acties zijn beschikbaar (afhankelijk van de status):
Hiermee kan de stelselbeheerder de aanmelding goedkeuren
Hiermee kan de stelselbeheerder een lopende aanmelding verwijderen óf een actieve organisatie uit het stelsel verwijderen.
❗️LET OP: Om een organisatie definitief te verwijderen uit het stelsel, moet het stelsel ook opnieuw gepubliceerd worden.
Stelselbeheer
Op het Stelselbeheerscherm staan de gepubliceerde stelsels. Deze stelsels worden door de app gebruikt om te bepalen welke bronorganisaties kunnen worden benaderd. De volgende gegevens zijn te zien:
- Ondertekend stelsel: dit is de versleutelde versie van het stelsel. Deze gegevens kunnen ook gekopieerd worden naar het klembord met de knop
. - Signing key ID: De ID van sleutel waarmee het stelsel is ondertekend.
- Aanmaak datum: De datum waarop het stelsel is ondertekend.
- Vervaldatum: De datum waarop het stelsel zal of is vervallen.
Daaronder staan twee knoppen voor het ondertekenen van het stelsel. Deze worden verderop besproken.
Keysbeheer
Dit scherm geeft een overzicht van de sleutels in het stelsel. Hier kunnen root en signing keys worden aangemaakt.
De volgende gegevens zijn te zien:
- Key ID: Dit is het technische ID waarmee het sleutelpaar is opgeslagen.
Het Key ID kan naar het klembord gekopieerd worden door op het klembord icoon te klikken:
- Label: Dit is de eigen naam die de beheerder aan het sleutelpaar heeft gegeven.
Dit Label kan naar het klembord gekopieerd worden door op het klembord icoon te klikken:
- Type: Dit geeft het type van de specifieke sleutel aan. Er zijn twee types beschikbaar:
: Dit is de root key die gebruikt wordt voor het signen van signing keys.
: Dit is de signing key die gebruikt wordt voor het ondertekenen van het stelseldocument.
- Public key: Dit is het publieke deel van de betreffende sleutel.
De public key kan naar het klembord gekopieerd worden door op het klembord icoon te klikken:
- Aangemaakt op: De datum waarop het betreffende sleutelpaar is aangemaakt.
- Verloopt op: De datum waarop het betreffende sleutelpaar verloopt.
- Ingetrokken: Dit geeft de status aan van het sleutelpaar. Deze kent twee statussen:
: Het sleutelpaar is ingetrokken en daarmee niet meer geldig.
: Het sleutelpaar is niet ingetrokken en dus geldig.
- Acties: Met de knop
kan de sleutel worden ingetrokken
❗️LET OP: Het intrekken van sleutels heeft gevolgen voor de geldigheid van het stelsel en daarmee de werking van app. Als de signing key wordt ingetrokken, dan worden de stelseldocumenten die daarmee zijn ondertekend, ongeldig. Als de root key wordt ingetrokken, dan zijn alle signing keys die met die root key zijn ondertekend, niet meer geldig. En daarmee zijn dus ook alle bijbehorende stelseldocumenten ongeldig.
Over
Op het scherm Over staat de versie informatie van de Stelselbeheerapplicatie.
Stap 1: nieuwe aanmelding verzoek van bronorganisatie
Als een bronorganisatie zich aanmeldt bij het stelsel, dan wordt er een bericht naar het stelselbeheer gestuurd. Deze aanmelding is zichtbaar in het scherm Organisatiebeheer.
De aanmelding heeft op dat moment de status "In afwachting."
Voordat de aanmelding goedgekeurd kan worden, moeten er een aantal zaken worden gecontroleerd.
Stap 2: Controleren Discovery URL
Het controleren van de Discovery URL kan via een browser worden gedaan. Het moet in ieder geval via een open internet verbinding lopen.
Klik op het klembord icoon om de door de bronorganisatie opgegeven URL te kopiëren naar het klembord.
Plak de URL in een met het internet verbonden browser.
Als de browser het JSON bestand kan openen, dan is de URL correct. Bijvoorbeeld:
Als de browser het bestand niet kan vinden (en dus een foutmelding toont), dan moet er met de bronorganisatie worden afgestemd wat de oorzaak is.
- De bronorganisatie kan een fout gemaakt hebben bij het configureren. In dat geval moet de aanmelding waarschijnlijk worden afgekeurd.
- De bronorganisatie heeft bewust de JSON nog niet online staan. In dat geval moet met de bronorganisatie worden afgestemd wat de planning is. Het stelsel kan niet worden gepubliceerd als deze URL niet bereikbaar is. Dat levert een fout op in de app.
Stap 3: Controleren Publieke sleutel
Om te voorkomen dat er ongeldige aanmeldingen worden gedaan, is het belangrijk om ook de publieke sleutel van de bronorganisatie te controleren. Hiervoor moet contact worden opgenomen met een van te voren aangedragen contactpersoon bij de bronorganisatie.
Klik op de drie puntjes (
) achter de juiste verborgen public key om de opties voor de publieke sleutel te openen. Er zijn twee opties zichtbaar:
-
: met "tonen" wordt de hash (SHA256) van de publieke sleutel getoond. -
: met "kopiëren" wordt de publieke sleutel naar het klembord gekopieerd.
Klik op het tonen icoon () en de hash wordt getoond:
Vraag de vertegenwoordiger van de bronorganisatie de totale hash van hun publieke sleutel op te lezen en controleer deze met de zichtbare hash.
Als de hash gelijk is, dan kan de aanvraag goedgekeurd worden.
Als de hash ongelijk is, dan is er mogelijk sprake van een "man in the middle" aanval of een valse aanmelding. In dit geval moet de aanmelding worden afgekeurd!
Stap 4: Goedkeuren van aanmelding
Als de controles in stap 2 en 3 positief zijn uitgevallen, dan kan de aanmelding goedgekeurd worden.
Klik op het groene vinkje () om de aanmelding goed te keuren.
Als de aanmelding is goedgekeurd, dan verschijnt onderin het scherm een melding:
De status van de aanmelding gaat nu naar "Geaccepteerd":
Stap 4b (optioneel): Afkeuren van aanmelding
Als 1 of beide controles in stap 2 en 3 negatief zijn uitgevallen, dan moet de aanmelding afgekeurd worden.
❗️LET OP: Bij het afkeuren wordt de aanmelding ook verwijderd! Het onterecht afkeuren van de aanmelding betekent dat de bronorganisatie zich opnieuw moet aanmelden.
Klik op de rode afvalemmer () om de aanmelding af te keuren en te verwijderen.
Stap 5: Stelsel publiceren
Als er nieuwe organisaties zijn goedgekeurd, dan zijn deze nog niet automatisch onderdeel van het stelsel. Daarvoor moet eerst het stelsel worden gepubliceerd.
❗️LET OP: Het verwijderen van organisaties uit het stelsel is ook pas bekend bij de app als er nieuw stelsel is gepubliceerd.
Open het scherm voor stelselbeheer:
Stap 5a: Nieuw stelsel document
Klik op de knop Geïntegreerde HSM om te starten met het aanmaken van een nieuw stelseldocument:
Het volgende scherm wordt getoond:
- Stelseldocument: Dit is het stelseldocument wat ondertekend moet worden.
- Signing key: Hier kan de signing key gekozen worden voor het ondertekenen van het stelseldocument.
Stap 5b: Onderteken stelseldocument
Kies de juiste signing key bij 2.
Onderteken het stelseldocument door op Onderteken stelsel te klikken. Er wordt nog om een bevestiging gevraagd.
Linksonder staat een bevestiging dat het stelseldocument succesvol is ondertekend.
Stap 5c: Sla het nieuwe stelseldocument op
Kies voor de blauwe knop Opslaan. Er wordt nog om een bevestiging gevraagd.
Linksonder staat een bevestiging dat het stelseldocument succesvol is opgeslagen. Het nieuwe stelseldocument staat in de lijst van stelsels (mogelijk is het nodig om de pagina te verversen). De sortering van de lijst is van oud (boven) naar nieuw (onder).
Stap 5d: Stelseldocument is gepubliceerd
Hiermee is het stelseldocument ook gepubliceerd en beschikbaar voor de app. Als het scherm Organisatiebeheer nu geopend wordt, dan is de status voor de nieuwe bronorganisatie van "Geaccepteerd" naar "Gepubliceerd" gegaan: Ook de bronorganisatie zelf kan dit nu zien.
Vanaf nu nemen alle bronorganisaties die op geaccepteerd stonden deel aan het stelsel. Organisaties die waren verwijderd, zijn nu niet meer beschikbaar.