Skip to content
Snippets Groups Projects
Select Git revision
  • renovate/stoplight-spectral-6.x
  • main default protected
  • prototyping/process-support
  • 2288_BundID_instead_of_DeutschlandID
  • size-limits
  • release/1.2.1
  • release/1.2.0
  • beta7
  • beta6
  • beta5
  • encryption
  • 1.14.0
  • 1.13.0
  • 1.12.0
  • 1.11.0
  • 1.10.0
  • 1.9.0
  • 1.8.0
  • 1.7.0
  • 1.6.0
  • 1.5.0
  • 1.4.2
  • 1.4.1
  • 1.4.0
  • 1.3.0
  • 1.2.1
  • 1.2.0
  • 1.1.3
  • 1.1.2
  • 1.1.1
  • 1.1.0
31 results
Blame Permalink
subscriber.md 6.32 KiB

Authentifizierung von empfangenden Systemen

Die Authentifizierung von empfangenden Systemen erfolgt bei FIT-Connect auf Basis von OAuth 2.0 Client Credentials gemäß RFC 6749 und Access Tokens auf Basis von JSON Web Tokens gemäß RFC 7519. Zum Abruf von Anträgen müssen sich empfangende Systeme mit Hilfe von OAuth 2.0 Client-Credentials beim Autorisierungsdienst authentifizieren. Die hierfür nötigen Client erhalten Behörden und andere Abrufberechtigte, nach einer Anmeldung im Self-Service-Portal der FITKO. (TODO: link)

Zum Abruf von Anträgen müssen sich empfangende Systeme zunächst mithilfe der OAuth Client-Credentials beim OAuth-Server ein Berechtigungstoken (im Folgenden "Access Token") nach dem Standard JSON Web Token gemäß RFC 7519 abrufen. Dieser vom OAuth-Server signierte Token kann anschließend genutzt werden, um sich gegenüber der Antrags-API eines Zustelldienstes zu authentifizieren.

Für jede Destination müssen folgende Informationen im Self-Service-Portal bereitgestellt werden

Entweder:

Oder:

  • Name und Bezeichnung der angebotenen Leistungen, wenn diese nicht Teil des Leistungskataloges sind

Außerdem

  • Der Public Key zur Verschlüsselung der Antragsdaten
  • Der Public Key des empfangenden Systems zur Signaturprüfung
  • Callback-Endpunkte des empfangenden Systems
  • Referenzen zu allen von diesem Endpunkt unterstützen Schemas

Bei erfolgreicher Registrierung erhält die für den Zustellpunkt verantwortliche Behörde OAuth2-Zugangsdaten für den Authentifizierungstyp "Client-Credentials" (client_id und client_secret). Mit diesen kann sich das empfangende System beim Authentifizuerungsdienst authentifizieren und erhält einen Access Token im JSON Web Token-Format (JWT). Mit diesem Access Token ist anschließend ein Abruf der im Zustelldienst hinterlegten Anträge möglich.

JWT Konzept

Zugriff auf die Antrags-API mittels Access Token

Der Access Token für empfangende Systeme muss beim Zugriff auf die Antrags-API im Authorization-Header mit Bearer-Authentifizierungsschema gemäß RFC 6750 an den Zustelldienst übermittelt:

Beispiel

POST /applications HTTP/1.1
Host: api.zustelldienst-01.example.com
Authorization: Bearer ey...

Header des Access Tokens für empfangende Systeme

Im Header des Access Tokens für empfangende Systeme werden vom Autorisierungsdienst gemäß den Vorgaben aus RFC 7519 die folgende Header-Attribute gesetzt:

Feld Inhalt Erläuterung
typ JWT Es handelt sich um einen JSON Web Token (JWT).
alg PS512 Zur Signaturerstellung wird der Signaturalgorithmus RSASSA-PSS mit SHA-512 und MGF1 mit SHA-512 verwendet.

Beispiel