Zugriff für den Support auf die Event Logs sicherstellen

User Story

Als FIT-Connect Support

  • möchte ich auf Event-Logs aller Submissions und Replies zugreifen
  • um angemessenen Support gewährleisten zu können

Why

Mit der BiDiKo wurde eingeführt, dass der Zustelldienst die Client ID des sendenden Clients notiert. In diesem Zuge wurde auch der Zugriff auf das Event Log auf den Client beschränkt, der die Submission gesendet hat. Der Support benötigt jedoch Zugriff auf alle Event Logs.

Links, Notes, Remarks

Current behavior:

Wenn ich das Event Log mit einem Sender-Client abrufe, bekomme ich einen HTTP 403 Forbidden.

Schritte zum Reproduzieren:

  1. Access Token mit einem Sender Client holen
  2. Event Log eines Cases abrufen, der nicht von diesem Sender Client versendet wurde
  3. Fehler 403 Forbidden

Contact persons including contact details:

Approach/Solution:

Es gibt verschiedene Lösungsmöglichkeiten:

  1. Zugriff auf das Event Log (GET /v1/cases/{caseId}/events) public machen. Für den Zugriff muss bereits die Case-ID bekannt sein und die präsentierten Informationen sind sehr begrenzt. wurde verworfen
  2. Alten Stand wiederherstellen, dass alle Sender-Clients zugreifen dürfen. sollte kein deutlich kleinerer Aufwand zu 3 sein, 3 wäre aber sauberer
  3. Privilegierter Zugriff für den Support: Der Support erhält Clients mit einem "read all" Scope, der zum Abruf aller Event Logs berechtigt.

Acceptance criteria

  1. Für die Supportkollegen ist ein entsprechender Scope festgelegt und deren Usern zugeordnet (ggf. im ersten Schritt über einen technischen User)
  2. EventLog kann für alle Cases (Submissions & Replies) von den Support User abgefragt werden
  3. Für alle anderen User & Endpunkte bleibt die Einschränkung auf den jeweiligen Sender/Subscriber erhalten.
  4. Alle Zugriffe auf das Event Log werden serverseitig geloggt (keine SETs). Der Log-Eintrag enthält dabei mind. die Client-ID des zugreifenden Clients.
  5. Doku-Anpassung der SubmissionAPI hins. des veränderten OAuth-Scopes

Implementation plan (to be completed by the developer)

Follow-Up

  • Saubere Verwaltung im SSP der technischen User
Edited by Hendrik Kamp