MMOS-260, SR-Controle van door DVP ondersteunde gegevensdiensten bij uitgeven van access-tokens

Omschrijving Changelog, met daarin: Titel Jira ticket Naam te wijzigen pagina Korte omschrijving v.d. aanpassing in voltooid verleden tijd.	Controle van door DVP ondersteunde gegevensdiensten bij uitgeven van access-tokens Gewijzigde pagina’s: Authorization interface Token interface Eerder werd op de authorization interface gecontroleerd of de gegevensdiensten die in de scope stonden ook op de OCL aanwezig waren. Doordat de gegevensdiensten niet langer worden opgenomen in de scope was het niet mogelijk deze te verifiëren aan de OCL. Met deze wijziging is deze verificatie verplichting uit de authorization interface gehaald en in andere vorm opgenomen in de token interface.
Impact op:	DVP DVA Geen van beiden
Te informeren Stakeholders	Acceptatie R&A beheer Regie CCDA Security Relatiebeheer Communicatie MM Loket Stichting MM
Moeten afbeeldingen/mockups aangepast worden?	Ja Nee
Aan te passen versies afsprakenstelsel	Versie 2
Classificatie	Patch Minor Major
Implementatie Termijn	Volgende release
Gerelateerde tickets (o.a. ticket van deze ticket)	MMOS-260
Status	Staat klaar voor release in afsprakenstelsel Verwerkt in afsprakenstelsel

Uitwerking

Zet bij de locatie (en indien van toepassing bij de “In te voegen links (optioneel)”) de link naar de confluence space (bijv. MedMij Afsprakenstelsel 2), zet hier niet de link naar scroll view pagina. Is het een tabel benoem dan bij de locatie ook de rij.

Kopieer voor de oude en de nieuwe tekst ook de regel voor en na de aan te passen zin.

In de kolom “Oude tekst”, maak de verwijderde of gewijzigde stukken rood en ~~streep~~ ze door
In de kolom “Nieuwe tekst”, geef de nieuwe stukken hebben deze blauwige/groenige kleur.

Wil je een link toevoegen maak het woord paars in de kolom “Nieuwe tekst” en zet de link in de kolom “In te voegen links (optioneel)”.

Door te voeren wijzigingen

Locatie

Authorization interface

Oude tekst

5

Vervolgens verifieert de Authorization Server dat:

bij de functie Verzamelen:
- zij namens deze Aanbieder, voor de gehanteerde Interfaceversie, Gegevensdienst(en) ontsluit, in overeenstemming met de gepubliceerde Aanbiederslijst;
bij de functie Delen:
- ~~alle~~ gevraagde GegevensdienstId's ~~voorkomen~~ op de OAuth Client List, bij de betreffende client_id en voor de gehanteerde Interfaceversie;
- ~~indien in de scope meerdere GegevensdienstId's zijn opgenomen~~:
  - ~~alle~~ Gegevensdiensten betrekking ~~hebben~~ op de functie Delen;
  - de hostnames van de AuthorizationEndpoints, waarop de Gegevensdiensten ~~worden~~ aangeboden, met elkaar overeenkomen;
  - de hostnames van de TokenEndpoints, waarop de Gegevensdiensten ~~worden~~ aangeboden, met elkaar overeenkomen.

Als een van deze verificaties niet slaagt dan behandelt de Authorization Server dit als uitzondering 1b volgens verantwoordelijkheid core.authint.207.

Toelichting

Zo voorkomt de Authorization Server dat gevolg wordt gegeven aan een verzoek dat blijkens de OAuth Client List of Aanbiederslijst niet is toegestaan.

core.authint.203

Nieuwe tekst

5

Vervolgens verifieert de Authorization Server dat:

bij de functie Verzamelen
- zij namens deze Aanbieder, voor de gehanteerde Interfaceversie, Gegevensdienst(en) ontsluit, in overeenstemming met de gepubliceerde Aanbiederslijst;
bij de functie Delen:
- de gevraagde GegevensdienstId voor komt op de OAuth Client List, bij de betreffende client_id en voor de gehanteerde Interfaceversie;
- de Gegevensdienst betrekking heeft op de functie Delen;
- de hostnames van de AuthorizationEndpoints, waarop de Gegevensdienst wordt aangeboden, met elkaar overeenkomen;
- de hostnames van de TokenEndpoints, waarop de Gegevensdienst wordt aangeboden, met elkaar overeenkomen.

Als een van deze verificaties niet slaagt, dan behandelt de Authorization Server dit als uitzondering 1b volgens verantwoordelijkheid core.authint.207.

Toelichting

Zo voorkomt de Authorization Server dat gevolg wordt gegeven aan een verzoek dat blijkens de OAuth Client List of Aanbiederslijst niet is toegestaan.

core.authint.203

Locatie

Token interface

Oude tekst

Nieuwe tekst

Toevoegen tussen core.tknint.201 en core.tknint.202.

4

Voor het bepalen van de scope van het access-token verifieert de Authorization Server:

welke gegevensdiensten de Dienstverlener aanbieder namens deze Aanbieder ontsluit, in overeenstemming met de laatst gepubliceerde Aanbiederslijst;
voor welke door de Dienstverlener aanbieder ontsloten gegevensdienst de Dienstverlener persoon gekwalificeerd is, in overeenstemming met de laatst gepubliceerde OAuth Client List;
of de gegevensdiensten:
- betrekking hebben op de functie Verzamelen;
- de hostnames van de AuthorizationEndpoints, waarop de Gegevensdiensten worden aangeboden, met elkaar overeenkomen;
- de hostnames van de TokenEndpoints, waarop de Gegevensdiensten worden aangeboden, met elkaar overeenkomen.
of de Aanbieder daadwerkelijk gegevens beschikbaar heeft (beschikbaarheidstoets) voor de Persoon betreffende de gegevensdiensten.

Als een verificatie niet slaagt, wordt een gegevensdienst niet toegevoegd aan de scope van het access-token.

Toelichting

Voorbeeld:

De Dienstverlener aanbieder ontsluit namens de Aanbieder gegevensdiensten 31, 46, 50, 53, 58, 61, 62 en 65;
De Dienstverlener persoon is gekwalificeerd voor gegevensdiensten 46, 50, 53, 58, 61, 62 en 65;
Gegevendienst 62 heeft betrekking op de functie Delen en valt af;
De hostnames voor gegevendienst 65 wijken af, waardoor ook deze afvalt;
De Aanbieder heeft geen gegevens beschikbaar voor gegevensdienst 46, ook deze valt af.

Resultaat: scope = “50 53 58 61”

Door deze controles voorkomt de Authorization Server dat de scope van het access-token gegevensdiensten bevat die niet uitgewisseld kunnen of mogen worden.

core.tknint.210

Review

Zijn de volgende acties uitgevoerd?

Alle rijen in de tabel zijn ingevuld
Er staan geen taal- en spelfouten in de aanpassingen
De juiste locatie is ingevoerd
(Indien van toepassing) de link(s) is/zijn correct toegevoegd
(Indien van toepassing) de vereiste afbeeldingen zijn aangepast