Authenticatiemiddelen

Bij het Authenticatie Request kan men optioneel de parameter “acr_values” meegeven, met daarbij een (door een spatie gescheiden) lijst van URN’s van authenticatiemiddelen: de mogelijke URN’s staan vermeld in het integratiedossier.

Voorbeeld:

GET /op/v1/auth?
  client_id=28358814-5c20-4c13-bbff-db5dd8c4ae93&
  redirect_uri=https%3A%2F%2Fmijntoepassing.vlaanderen.be%2Fcallback&
  response_type=code&
  acr_values=urn:be:vlaanderen:authmech:eid%20urn:be:vlaanderen:authmech:csamtotp HTTP/1.1
Host: authenticatie.vlaanderen.be

De ACM IDP zal een deelverzameling maken van de voorgedefinieerde authenticatiemiddelen en diegenen die hier aangevraagd worden: de gebruiker krijgt bij de authenticatie enkel keuze uit die authenticatiemiddelen.

In het geval er acr_values bij het Authenticatie Request meegestuurd werden, zal de ACM IDP het gekozen authenticatiemiddel vermelden in de “acr” paramter van het ID-token.

Het wordt niet aanbevolen om alle authenticatiemiddelen die in het integratiedossier toegelaten worden ook nog bijkomend te definiëren als acr_values: dat kent zeer weinig voordelen, maar heeft wel als nadeel dat er bij iedere wijzigiging van de toegelaten authenticatiemiddelen (eentje toevoegen, verwijderen of wijziging van URN) er ook wijzigingen in de toepassing vereist zijn.

Voorbeeld:

{
  "acr": "urn:be:vlaanderen:authmech:eid",
  "at_hash": "FE31bSRE8Z2d3ruUO1Xs5A",
  "aud": "28358814-5c20-4c13-bbff-db5dd8c4ae93",
  "azp": "28358814-5c20-4c13-bbff-db5dd8c4ae93",
  "exp": 1593042764,
  "family_name": "Doe",
  "given_name": "John",
  "iat": 1593039164,
  "iss": "https://authenticatie.vlaanderen.be/op",
  "kid": "_FIQEIeaLQ3AQMWrq022gh17MHjkIYHMWowGj5LxHTo",
  "sub": "2365621db15c6e2846ca71a1f2774e79fg28c487",
  "vo_doelgroepcode": "EA",
  "vo_id": "a5720746-4c9e-48a8-9aa0-7ab456648487"
}