@@ -54,7 +54,18 @@ Reine Leistungsscopes werden nicht vergeben sondern sind immer mit einer Region
### Einschränkung: Region
Eine Einschränkung der Berechtigung für bestimmte Regionen erfolgt auf Basis des zwölfstelligen [Amtlichen Regionalschlüssels (ARS)](https://de.wikipedia.org/wiki/Amtlicher_Gemeindeschl%C3%BCssel#Regionalschl%C3%BCssel), vorangestellt mit `DE`.
Eine Einschränkung der Berechtigung für bestimmte Regionen erfolgt auf Basis des zwölfstelligen [Amtlichen Regionalschlüssels (ARS)](https://de.wikipedia.org/wiki/Amtlicher_Gemeindeschl%C3%BCssel#Regionalschl%C3%BCssel), vorangestellt mit `DE`:
```
1.-2. Stelle = DE
3.–4. Stelle = Kennzahl des Bundeslandes
5. Stelle = Kennzahl des Regierungsbezirks; wenn nicht vorhanden: 0
6.–8. Stelle = Kennzahl des Landkreises oder der kreisfreien Stadt
8.–11. Stelle = Verbandsschlüssel
12.–14. Stelle = Gemeindekennzahl
```
Es ist je möglich nur einen Teil des ARS anzugeben, z.B. nur `DE` + Bundesland + Regierungsbezirk.
Eine Liste der amtlichen Regionalschlüssel findet sich im [Gemeindeverzeichnis des Statistischen Bundesamtes](https://www.destatis.de/DE/Themen/Laender-Regionen/Regionales/Gemeindeverzeichnis/_inhalt.html) sowie im [XRepository](https://www.xrepository.de/details/urn:de:bund:destatis:bevoelkerungsstatistik:schluessel:rs).
**Hinweis**: Ohne zusätzliche Einschränkung auf eine Leistung ist ein Zustellberechtigungs-Scope für alle Leistungen in der angegebenen Region gültig.
...
...
@@ -104,12 +115,14 @@ send:region:DE081150000000
Um sendende Systeme zur Einreichung bei allen Zustellpunkten mit einer bestimmten Leistung zu berechtigen, ist eine Vergabe von Berechtigungen auf Basis von Leistungs-IDs möglich.
Ein Download des Leistungskatalogs mit allen LeiKa-Schlüsseln ist [über das FIM-Portal](https://fimportal.de/kataloge#download-leistungen) möglich.
**Beispiel**: Berechtigung für die LeiKa-Leistung "[Begutachung von abgeschleppten Fahrzeugen](https://fimportal.de/detail/L/99108008252000)":
**Beispiel**: Berechtigung für die LeiKa-Leistung "[Begutachung von abgeschleppten Fahrzeugen](https://fimportal.de/detail/L/99108008252000)" mit LeiKa-ID `99108008252000`:
Vor der LeiKa-ID muss also der Präfix `urn:de:fim:leika:leistung:` stehen.
**Hinweis**: Reine Leistungsscopes werden nicht vergeben sondern sind **immer** mit einer Region gekoppelt.
Um ein sendendes System zur Einreichung bei allen existierenden Zustellpunkten unabhängig der Leistung zu berechtigen wird der Schlüssel `send:region:DE` genutzt (siehe nächster Abschnitt).
Über die Kombination einer geographischen Zuordnung mit einer Leistung über das Plus-Symbol (`+`) ist eine Einschränkung auf Verwaltungsleistungen in einer bestimmten Region möglich.
Hierbei wird immer zuerst ("vor dem `+`") eine Einschränkung nach der Region und dann ("nach dem `+`") eine Einschränkung nach Leistung vorgenommen.
...
...
@@ -129,11 +142,19 @@ Hierbei wird immer zuerst ("vor dem `+`") eine Einschränkung nach der Region un
### Nutzung mehrerer Scopes im Scope Claim eines Access Tokens
Der `scope` Claim des Access Tokens kann mehrere Zustellberechtigungs-Scopes – separiert mit Leerzeichen gemäß [RFC 6749, Abschnitt 3.3](https://datatracker.ietf.org/doc/html/rfc6749#section-3.3) – enthalten.
Diese sind unabhängig voneinander zu betrachten.
Ein sendendes System ist zur Einreichung bei allen Zustellpunkten berechtigt, auf die mindestens einer der Zustellberechtigungs-Scopes zutrifft.
Diese sind unabhängig (`oder`-Verknüpfung) voneinander zu betrachten.
Die parallele Nutzung aller Berechtigungsvarianten (Region und Leistung+Region) ist möglich.
Das kann erfolgen, wenn z.B. zu einem Client mehrere unterschiedliche Berechtigungen hinterlegt sind oder ein Client bei der Tokenabfrage explizit bestimmte Scopes abfragt.
**Beispiel**: Ein Client hat die Scopes `send:region:DE12` hinterlegt und könnte somit an alle Zustellpunkte in Brandenburg (`12`) senden.
Die Token-Abfrage geschieht allerdings mit dem Scope eines Landkreises: `send:region:DE124412`.
Da sich dieser Landkreis innerhalb von Brandenburg befindet, erhält der Client einen Token mit dem Token des Landkreises.
Dies ist aus sicherheitsperspektive einreichungsspezifisch zu bevorzugen ("Prinzip der geringsten Privilegien").
Ein sendendes System ist daher zur Einreichung bei allen Zustellpunkten berechtigt, auf die mindestens einer der Scopes zutrifft.
**Beispiel**: Mit diesem Zustellberechtigungs-Scope kann ein sendendes System Einreichungen für alle Leistungen im Landkreis Böblingen, als auch die Leistung "[Begutachung von abgeschleppten Fahrzeugen](https://fimportal.de/detail/L/99108008252000)" im Bundesland Brandenburg vornehmen:
