Als PO wil ik een document van het kadaster waarin de eisen aan de toegangsbeveiliging en vereisten voor autorisatie zijn gedefinieerd

[melsk-r]

Originally created by CathyDingemanse (kadaster/BRK-bevragen#63):

...zodat deze geimplementeerd kunnen worden.

Definition of done

• Voor testfase wordt alleen API-key gebruikt
• Voor productie API-key in combinatie met PKI-certificaat
• Document waarin is vastgelegd wat de eisen aan de toegangsbeveiliging zijn en vereisen voor autorisatie zijn gedefinieerd
• Gecheckt is of de eisen niet in tegenspraak zijn of op korte termijn worden, met landelijke afspraken.

Deze userstory's zijn gerelateerd aan elkaar:
#21 (voor Den Haag),
#22 (voor Proces Five)
#25 (voor gemeente Amsterdam)
#26 (voor Vicrea)

#63 (document met beveiliging specificatie)

Project beslissing
#96

[melsk-r]

This comment originally might have been created by someone else.

N.a.v. call 17 apr.
Het gaat niet over het document maar over de beslissingen die zijn genomen.
Voorlopig in de projectfase wordt met API-keys gewerkt.
De uiteindelijk oplossing is: API-keys in combinatie met PKI-certificaat.

Domein architecten van Kadaster gaan hiermee akkoord op voorwaarde van 2 condities:

• Logius of de Landelijke API Strategie keuren dit niet af
• Cloud aanbesteding van Kadaster heeft geen last van deze beslissing

De voorgestelde combinatie is niet gebruikelijk. Volgens Lennart zijn er weinig API-portals die hieraan voldoen. Dat betekent maatwerk voor het Kadaster met een beheerlast.

Volgens Cathy gaat de Landelijke API strategie groep over autorisaties (en niet over authenticatie). Daarmee kunnen we verwachten dat deze groep dit niet gaan verbieden.

Lennart stelt dat met name Logius de standaarden in de praktijk vaststelt. Keuze van Logius wordt waarschijnlijk OAuth. Daarmee zitten we in 'limbo' en gaan we voorlopig door met API-key in combinatie met PKI-certicifaat.
Als een officiële groep dit toch in de toekomst gaat verbieden dan zal het Kadaster (maar ook de gemeente Den Haag) dat beleid volgen. Kans wordt erg klein geschat.

[melsk-r]

This comment originally might have been created by someone else.

Tijdens de sprintwissel van 24 apr is vastgesteld dat de beveiliging in een document moet worden vastgelegd.
De project beslissing #96 is volgens Lennard nog niet juist opgeschreven omdat er nog geen akkoord vanuit het Kadaster voor is

[melsk-r]

This comment originally might have been created by someone else.

Update call 1mei: De informatie wat in het document moet komen is volgens Marianne helemaal duidelijk. Het document moet nog worden opgeleverd door Lennart.