*TX = TokenExchange
Afnemers vs. bronnen
Bij widgets (zoals de global header en footer), Dossierstatusinformatie (DOSIS) en Notificaties werken we met “afnemers”. Dat betekent dat u, als afnemer (klant), communiceert met de API die Digitaal Vlaanderen bouwt en documenteert.
Voor attesten en vergunningen werken we met “bronnen”. De bron is uw API die door Digitaal Vlaanderen wordt bevraagd. Hierbij voorziet Digitaal Vlaanderen richtlijnen en documentatie over hoe we de bron bevragen en aan welke vormvereisten die bron moet voldoen. Die richtlijnen bestaan uit 2 delen:
de specificaties voor uw API die dient al bron om attesten/vergunningen te ontsluiten in Mijn Burgerprofiel
de algemene specificaties voor alle REST API’s die als bron dienen om informatie te ontsluiten in Mijn Burgerprofiel
Op deze manier werken we op een gestandaardiseerde manier en weet u als klant aan welke vormvereisten uw API moet voldoen.
Eenvoudige flow
Gedetailleerde flow
*OIDC = Open IDConnect
**TX = TokenExchange: een toepassing kan namens een geauthenticeerde gebruiker het access token inruilen via een Token Exchange
Zie ook:
https://authenticatie.vlaanderen.be/docs/beveiligen-van-api/oauth-rest/rest-namens-gebruiker/rest-token-exchange/
STAP | HANDELING |
---|---|
1 | Gebruiker meldt zich aan op Mijn Burgerprofiel. De global header authenticeert de gebruiker via ACM (standaard Open IDConnect-flow). Indien nodig delegeert ACM de authenticatie naar FAS. |
2 | Mijn Burgerprofiel vraagt een OAuth TX token op bij ACM om de attesten op te halen. |
3 | Mijn Burgerprofiel voert een request uit naar de attesten-backend met het ACM OAuth TX Token (een lijst met attesten opvragen of een specifiek attest downloaden). |
4 | De attesten-backend valideert het ACM Oauth TX token. |
5 | De attesten-backend vraagt een nieuw OAuth TX token op bij ACM om naar de specifieke backend van de bron te gaan. Die bron wordt bepaald op basis van de “audience” (ACM Client-ID van de bron) |
6 | De attesten-backend voert het request uit naar de backend van de bron en gebruikt hiervoor het nieuwe ACM OAuth TX Token, dat een specifieke scope voor die bron heeft. |
7 | De backend van de bron valideert het ACM OAuth TX token bij ACM. Het antwoord op de vraag kan nu gestuurd worden. |
Voor integraties met het Rijksregister en DABS wordt er gebruik gemaakt van MAGDA. Dat betekent dat in de tabel hierboven, vanaf stap 5, via MAGDA naar het Rijksregister of DABS wordt gegaan.
Op dit moment wordt er gebruik gemaakt van MAGDA SOAP diensten. Deze maken geen gebruik van ACM OAuth, maar van mTLS met VoDCBaaS certificaten.