Samenvatting
Alle Service Providers die een SAML-koppeling gebruiken op het Acceptatie-platform van govConext , moeten de govConext SAML metadata updaten vóór 25 augustus 2025. Wanneer deze niet tijdig ingelezen wordt, zal inloggen via govConext ACCEPTATIE niet slagen na die tijd.
Als u als SP alleen OpenID Connect RP's in gebruik hebt, hoeft u niets te doen.
IdP’s hoeven niets te doen.
GovConext stapt over op een nieuwe SAML signing key. Alle serviceproviders die SAML gebruiken moeten hun configuratie aanpassen en de nieuwe sleutel gebruiken vóór 25 augustus 2025. De oude sleutel wordt daarna verwijderd. Tot die tijd kan de oude sleutel gebruikt worden.
De nieuwe SAML signing key wordt gepubliceerd samen met een nieuwe single-sign-on URL, deze zijn onlosmakelijk verbonden en dienen tegelijk bijgewerkt te worden. Ze zijn beide te vinden in de govConext ACCEPTATIE SAML-metadata voor SP's. De nieuwe metadata is beschikbaar vanaf 25 juli 2025. De nieuwe key is ook rechtstreeks te vinden in de ‘location’ tag, die verwijst naar: https://engine.acc.govconext.nl/authentication/idp/metadata/key:20250725. Deze wijziging kan eenvoudig en zonder significante downtime worden doorgevoerd in de meeste SP-software.
De govConext SAML-metadata heeft ook een ondertekende versie. De sleutel die wordt gebruikt voor de ondertekening wordt vervangen, evenals de URL van de ondertekende metadata. SP's die de govConext-metadata gebruiken om hun configuratie periodiek en automatisch bij te werken en deze handtekening te verifiëren, moeten ook het certificaat vervangen dat wordt gebruikt om de metadata te valideren, en ze moeten de nieuwe URL's gebruiken. Het metadata-ondertekeningscertificaat en het CA-certificaat (Certificaatautoriteit voor metadata) dat je kunt gebruiken om onze handtekening te valideren, zijn te vinden op govConext ACCEPTATIE — Metadata & Certificates.
Wij raden overigens aan om voor SP-koppelingen OIDC te gebruiken. Verzoek tot omzetten van de koppeling naar OIDC kan via tech@govroam.nl worden ingediend.
Identity providers hoeven niets te doen.
Resume
Service Providers that use SAML to connect with the Acceptance platform of govConext must update the govConext ACCEPTANCE SAML metadata before August 25, 2025. Failing to do so will break the SAML login.
If you as an SP only have OpenID Connect RP's in use, this does not apply to you.
If you are an IdP, this does not apply to you.
GovConext is transitioning to a new SAML signing key. All service providers that use SAML must update their configuration and use the new key by August 25, 2025. The old key will then be removed. Until that time, the old key can be used.
The new SAML signing key is published along with a corresponding SingleSignOn-location - you need to update both at the same time. They can be found in the govConext ACCEPTATIE SAML-metadata voor SP's. The new metadata will be available from the 25th of July 2025 onward. This change can be implemented with ease and without significant downtime in most SP software.
The govConext SAML metadata also has a signed version. The key used for signing is replaced as well as the URL of the signed metadata. SP's that use the govConext metadata to periodically and automatically update their configuration and verify this signature must also replace the certificate used to validate the metadata must use the new URL's. The metadata signing certificate and the CA certificate, or metadata Certificate Authority certificate, you can use to validate our signature can be found on govConext ACCEPTATIE — Metadata & Certificates.
We strongly advice to use OIDC for SP connections. A request to replace a SAML connection by OIDC can be sent to tech@govroam.nl.
Identity providers don't have to do anything.