...
Direct Access Client voor referentiecomponenten die een request doen op een API van een andere referentiecomponent. Deze referentiecomponenten voldoen aan de gestelde eisen in het profiel:
Een verzoek aan het token endpoint wordt door de Client gedaan op basis van:Status colour Green title must
Private key jwt en met het grant_typeStatus colour Green title must client_credentials
en voor eenclient_id
.
In het verzoek worden de scopes meegegeven van de resources die bevraagt gaan worden. Binnen Edu-V zijn de gegevensdiensten voorzien van specifieke scopes op basis van de vereiste uit het profiel voor protecting resources.Status colour Blue title SHOULD
De Client beschikt over een PKIoverheid certificaat met Client keys bestaande uit een publieke en een private key.Status colour Green title must
De publieke key wordt door de Client beschikbaar gesteld middels eenStatus colour Green title must jaksjwks_uri
.De private key wordt door de Client gehanteerd om in de
private_key_jwt
flow deClient_jwt
te signeren.De autorisatieserver kan met de publieke key vervolgens de
Client_jwt
ontcijferen. De publieke key verkrijgt de autorisatieserver via dejaks_uri
.
Een verzoek aan de resourceserver wordt gedaan met het token dat door de Autorisatieserver is uitgegeven aan de Client.Status colour Green title must
Autorisatieserver en resourceserver voor de referentiecomponenten die de API aanbieden en requests van Clients ontvangen. Deze referentiecomponenten voldoen aan de gestelde eisen in het profiel:
Client registration met een uniekeStatus colour Green title must client_id
voor iedere applicatie.
DeStatus colour Green title MUST client_id
wordt bepaald door de leverancier die de autorisatieserver aanbiedt.Status colour Red title SHOULD NOT client_id
is bij voorkeur niet gelijk aan het OIN. Het OIN wordt gehanteerd om de organisatie vast te stellen. Hetclient_id
is gericht op de identificatie en de authenticatie van de applicatie van de leverancier.
Dynamic registration van clients hoeft niet ondersteund te worden.Status colour Purple title COULD
Het kunnen verwerken van een verzoek aan het token endpoint van de autorisatieserver en het teruggeven van een token response op basis van JWT Bearer Tokens.Status colour Green title must
Het token heeft een maximale levensduur van één uur. Op dit vlak zijn we strikter dan de voorgeschreven zes uur voor Direct Access Clients.Status colour Green title must
Het aanbieden van de discovery endpointsStatus colour Purple title COULD issuer
,token_endpoint
enjwks_uri
. Hetauthorization_endpoint
is niet verplicht. Ook op dit punt wijken we af van de specificatie.
De resource server voldoet aan de vereisten zoals gesteld in het protected resource profile.Status colour Green title must
De autorisatieserver verifieert of deStatus colour Green title must client_id
van de Client en de OIN uit het PKIoverheid certificaat overeenkomen met de gegevens in de eigen Clientregistratie.
De autorisatieserver verifieert de geldigheid, certificaateketen en de CRL voor het door de Client gehanteerde PKIoverheid certificaat.Status colour Green title must
...
Stap | Toelichting | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1. | Leverancier A wil een endpoint van Leverancier B gaan bevragen. De API Client van Leverancier A gaat een tokenverzoek bij de Autorisatieserver van Leverancier B. de Aanvraag van een Token gaat middels de NL GOV OAuth 2.0 Client Credentials flow in de variant
De eerste stap is dat de Client een Voor gegevensclassificatie I is deze stap optioneel. Er kan dan direct een verzoek worden gedaan op de resourceserver (vanaf stap 11) en zonder gebruik te maken van een Token. | ||||||||||||
2. | Leverancier A doet een tokenverzoek bij de Autorisatieserver van Leverancier B en voor een Client met een | ||||||||||||
3. | De Autorisatieserver haalt in de eigen Clientregistratie gegevens op over de Client om het tokenverzoek te kunnen beoordelen. De volgende gegevens worden opgehaald:
| ||||||||||||
4. | De Autorisatieserver haalt de | ||||||||||||
5. | De Autorisatieserver ontcijfert de | ||||||||||||
6. | De Autorisatieserver beoordeelt het tokenverzoek van de Client voor de gevraagde | ||||||||||||
7. | De Autorisatieserver controleert of de Client staat geregistreerd bij | ||||||||||||
8. | De Autorisatieserver controleert het PKIoverheid certificaat:
| ||||||||||||
9. | Indien de validaties 5-8 allen succesvol zijn, dan genereert de Autorisatieserver een | ||||||||||||
10. | Het | ||||||||||||
De identificatie, authenticatie en de autorisatie op gegevensdiensten (scopes) is na stap 10 afgerond. De stappen 11-14 zijn vervolgens van toepassing op iedere interactie tussen de Client van Leverancier A en de Resourceserver van Leverancier B zo lang het Token geldig is. | |||||||||||||
11. | Leverancier A gebruikt het Voor gegevensclassificatie I is het niet verplicht om een token te gebruiken om een request te doen aan de resourceserver. | ||||||||||||
12. | Leverancier B controleert bij een API Request het
Deze stap kan overgeslagen worden voor gegevensclassificatie I. | ||||||||||||
13. | Indien
| ||||||||||||
14. | Indien de controles succesvol zijn geeft Leverancier B toegang tot het endpoint en wordt aan het request voldaan. De response wordt gestuurd naar Leverancier A. |
...