Versions Compared

Old Version 20

changes.mady.by.user Koen Voermans

Saved on

compared with

New Version 21

changes.mady.by.user Koen Voermans

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

De wijze van identificeren, authenticeren en autoriseren is afhankelijk van de gegevenssoorten gegevensdiensten die Leverancier A wil gaan uitwisselen. Afhankelijk van de gegevensclassificatie voor de gegevenssoort het informatieobject zijn er additionele authenticatie en autorisatieregels van toepassing. Het betreft:

  • Status
    colourYellow
    titleVERTROUWELIJK
    van toepassing op uitwisseling van vertrouwelijke gegevensinformatieobjecten

  • Status
    colourBlue
    titleactivering
    van toepassing op uitwisseling van gegevens informatieobjecten waarbij Onderwijsorganisatie regie heeft op de uitwisseling

...

Stap

Toelichting

1.

Leverancier A wil een endpoint van Leverancier B gaan bevragen. De API Client van Leverancier A doet een authenticatierequest bij de Autorization Server van Leverancier B. de Aanvraag van een Token gaat middels de NL GOV OAuth 2.0 Client Credentials flow zodra

Status
colourYellow
titleVertrouwelijk
en/of
Status
colourBlue
titleactivering
van toepassing zijn.

Voor gegevensclassificatie I is deze stap optioneel. Er kan dan direct een verzoek worden gedaan op de resourceserver (vanaf stap 5) en zonder gebruik te maken van een Token.

2.

De Authorization Server van Leverancier B beoordeelt het token verzoek. Tevens wordt gecontroleerd of Leverancier A geautoriseerd is om voor de aangevraagde scope gegevens uit te wisselen.

3.

Indien deze correct zijn dan genereert de Authorization Server een Token voor Leverancier A.

4.

Het Token wordt door de Authorization Server van Leverancier A naar de Client van Leverancier B gestuurd.

5.

Leverancier A gebruikt het Token om een endpoint bij Leverancier B te bevragen.

Indien

Status
colourBlue
titleactivering
van toepassing is (classificatie II en IV) dan worden de volgende extra maatregelen getroffen:

  • In de request wordt verplicht de parameter edu_org_id opgenomen. Leverancier A wil gegevens gaan uitwisselen voor de opgegeven edu_org_id.

Voor gegevensclassificatie I is het niet verplicht om een token te gebruiken om een request te doen aan de resourceserver.

6.

Leverancier B controleert bij een API Request het Token en past hierbij een controle toe op:

  • Geldigheid van het Token

  • Beschikt de Client over de scopes die van toepassing zijn op het bevraagde endpoint

Deze stap kan overgeslagen worden voor gegevensclassificatie I.

7.

Indien

Status
colourBlue
titleactivering
van toepassing is (classificatie II en IV) dan worden de volgende extra maatregelen getroffen:

  • De Resource Server controleert of de gegevensuitwisseling van de gegevenssoort gegevensdienst voor de onderwijsorganisatie is geactiveerd.

  • Hiervoor maakt de Resource Server gebruik van de registratie van de actieve gegevensuitwisselingen van de referentiecomponent Consentmanagement.

  • De controle wordt toegepast op basis van:

    • Het Client Id (voor de referentiecomponent van Leverancier A) en eventueel het bijbehorende OIN van Leverancier A.

    • Het edu_org_id van de Onderwijsaanbieder opgenomen in de request door Leverancier A in stap 5).

    • De gegevenssoort gegevensdienst die van toepassing is op het endpoint dat bevraagd wordt door Leverancier A in het request.

  • In dit schema wordt de controle toegepast in de referentiecomponent Consentmanagement. Het is ook mogelijk dat deze controle wordt toegepast op de Resource Server zelf. Dat is een implementatiekeuze.

8.

Indien de controles succesvol zijn geeft Leverancier B toegang tot het endpoint en wordt aan het request voldaan. De response wordt gestuurd naar Leverancier A.

...