...
Direct Access Client voor referentiecomponenten die een request doen op een API van een andere referentiecomponent. Deze referentiecomponenten voldoen aan de gestelde eisen in het profiel:
Een verzoek aan het token endpoint wordt door de Client gedaan op basis van:Status colour Green title must
Private key jwt en met het grant_typeStatus colour Green title must client_credentialsen voor eenclient_id.
In het verzoek worden de scopes meegegeven van de resources die bevraagt gaan worden. Binnen Edu-V zijn de gegevensdiensten voorzien van specifieke scopes op basis van de vereiste uit het profiel voor protecting resources.Status colour Blue title SHOULD
De Client beschikt over een PKIoverheid certificaat met Client keys bestaande uit een publieke en een private key.Status colour Green title must
De publieke key wordt door de Client beschikbaar gesteld middels eenStatus colour Green title must jwks_uri.De private key wordt door de Client gehanteerd om in de
private_key_jwtflow deClient_jwtte signeren.De autorisatieserver kan met de publieke key vervolgens de
Client_jwtontcijferen. De publieke key verkrijgt de autorisatieserver via dejaksjwks_uri.
Een verzoek aan de resourceserver wordt gedaan met het token dat door de Autorisatieserver is uitgegeven aan de Client.Status colour Green title must
Autorisatieserver en resourceserver voor de referentiecomponenten die de API aanbieden en requests van Clients ontvangen. Deze referentiecomponenten voldoen aan de gestelde eisen in het profiel:
Client registration met een uniekeStatus colour Green title must client_idvoor iedere applicatie.
DeStatus colour Green title MUST client_idwordt bepaald door de leverancier die de autorisatieserver aanbiedt.Status colour Red title SHOULD NOT client_idis bij voorkeur niet gelijk aan het OIN. Het OIN wordt gehanteerd om de organisatie vast te stellen. Hetclient_idis gericht op de identificatie en de authenticatie van de applicatie van de leverancier.
Dynamic registration van clients hoeft niet ondersteund te worden.Status colour Purple title COULD
Het kunnen verwerken van een verzoek aan het token endpoint van de autorisatieserver en het teruggeven van een token response op basis van JWT Bearer Tokens.Status colour Green title must
Het token heeft een maximale levensduur van één uur. Op dit vlak zijn we strikter dan de voorgeschreven zes uur voor Direct Access Clients.Status colour Green title must
Het aanbieden van de discovery endpointsStatus colour Purple title COULD issuer,token_endpointenjwks_uri. Hetauthorization_endpointis niet verplicht. Ook op dit punt wijken we af van de specificatie.
De resource server voldoet aan de vereisten zoals gesteld in het protected resource profile.Status colour Green title must
De autorisatieserver verifieert of deStatus colour Green title must client_idvan de Client en de OIN uit het PKIoverheid certificaat overeenkomen met de gegevens in de eigen Clientregistratie.
De autorisatieserver verifieert de geldigheid, certificaateketen en de CRL voor het door de Client gehanteerde PKIoverheid certificaat.Status colour Green title must
...