From a5660ec0aa8fe37c78fe1f413ea8d419bc4357c9 Mon Sep 17 00:00:00 2001
From: Marco Holz <marco.holz@fitko.de>
Date: Wed, 23 Jun 2021 18:16:14 +0000
Subject: [PATCH] Kleinere Anpassungen im Onlineservice-Token

---
 .../Authentifizierung_von_antragssendenden_Systemen.md | 10 +++++-----
 1 file changed, 5 insertions(+), 5 deletions(-)

diff --git a/docs/Detailinformationen/Authentifizierung_von_antragssendenden_Systemen.md b/docs/Detailinformationen/Authentifizierung_von_antragssendenden_Systemen.md
index 0999ec94..c908381c 100644
--- a/docs/Detailinformationen/Authentifizierung_von_antragssendenden_Systemen.md
+++ b/docs/Detailinformationen/Authentifizierung_von_antragssendenden_Systemen.md
@@ -26,12 +26,12 @@ Im Payload des signierten Onlineservice-Token werden vom Authorisierungsdienst d
 | `iat`           | Unix Timestamp                          | Zeitpunkt, wann der Token vom Autorisierungsdienst ausgestellt wurde, als Unix Timestamp |
 | `exp`           | Unix Timestamp                          | Zeitpunkt, wann der Token abläuft, als Unix Timestamp (Token DARF max. 24 Stunden gültig sein; vgl. [BSI APP.3.1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs/06_APP_Anwendungen/APP_3_1_Webanwendungen_Edition_2020.pdf?__blob=publicationFile&v=1)) |
 | `iss` (Issuer)  | *URL des Authentifizierungsservers*     | Die URL des Authentifizierungsservers, der das Token ausgestellt hat. |
-| `sub` (Subject) | ID des Onlineservice                    | Wird bei der Anmeldung des Online-Antragsdienstes durch den Autorisierungsdienst festgelegt und dient zur Identifizierung des antragssendenden Systems |
+| `sub` (Subject) | ID des Onlineservice                    | Wird bei der Registrierung des Online-Antragsdienstes im Self-Service-Portal durch den Autorisierungsdienst festgelegt und dient zur Identifizierung des antragssendenden Systems |
 | `jti` (JWT ID)   | *UUID des Tokens*           | Eindeutige ID des ausgestellten Tokens. |
-| `scope`         | *Liste von Zustellberechtigungs-Scopes* | Eine Liste der Zustellberechtigungs-Scopes, für die der Token eine Übermittlung erlaubt, separiert mit Leerzeichen gemäß [RFC 6749, Abschnitt 3.3](https://datatracker.ietf.org/doc/html/rfc6749#section-3.3) |
+| `scope`         | *Liste von Zustellberechtigungs-Scopes* | Eine Liste der [Zustellberechtigungs-Scopes](Zustellberechtigungs-Scopes.md), für die der Token eine Übermittlung erlaubt, separiert mit Leerzeichen gemäß [RFC 6749, Abschnitt 3.3](https://datatracker.ietf.org/doc/html/rfc6749#section-3.3). Die jeweiligen Zustellberechtigungs-Scopes werden im Self-Service-Portal bei der Registrierung des API-Client festgelegt. |
 | `domains`       | *Liste von Domains*                     | Eine Liste der Domains, von denen der Onlineservice Anträge übermitteln kann, separiert mit Leerzeichen (Subdomains müssen explizit aufgeführt werden) |
 | `publicKey`     | *Public Key des Onlineservice*          | Der zum Schlüsselpaar des Online-Antragsservice gehörige Public Key, der dem Online-Antragsdienst bei der Registrierung im Self-Service-Portal zugeordnet wurde, im JSON Web Key-Format gemäß [RFC-7517](https://tools.ietf.org/html/rfc7517) |
-| `token_type`    | `onlineservice`                          | Gibt an, das es sich um einen Token für einen Onlineservice handelt |
+| `token_type`    | `sender`                          | Gibt an, das es sich um einen Token für ein antragssendendes System (typischerweise einen Onlineservice) handelt. |
 
 
 **Beispiel-Payload eines Onlineservice-Token**
@@ -51,7 +51,7 @@ Im Payload des signierten Onlineservice-Token werden vom Authorisierungsdienst d
     "alg": "PS512",
     "n": "...Public Key..."
   },
-  "token_type": "onlineservice"
+  "token_type": "sender"
 }
 ```
 
@@ -82,7 +82,7 @@ Im Payload des signierten Access Tokens MÃœSSEN mindestens die folgenden [standa
 | `iss` (Issuer)   | ID des Onlineservice        | Die ID des Onlineservice. Der angegebene Wert muss dem Feld `sub` des zugehörigen Onlineservice-Token entsprechen. |
 | `jti` (JWT ID)   | *UUID des Tokens*           | Eindeutige ID des ausgestellten Tokens. |
 | `aud` (Audience) | *URL der Zustelldienst-API* | Die URL der API des Zustelldienstes, für den der Token ausgestellt wurde, gemäß [RFC 7519, Abschnitt 4.1.3](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.3). |
-| `scope`          | Zustellberechtigungs-Scope  | Eingeschränkte Zustellberechtigung auf *eine* konkrete Destination-ID mit Präfix `destination:` (im Stile der Zustellberechtigungs-Scopes), für die der Token eine Antragseinreichung erlaubt. Der Zustellberechtigungs-Scope des zugehörigen Onlineservice-Token muss zur Antragseinreichung bei dieser Destination-ID berechtigen. |
+| `scope`          | Zustellberechtigungs-Scope  | Eingeschränkte [Zustellberechtigung](Zustellberechtigungs-Scopes.md) auf *eine* konkrete Destination-ID mit Präfix `destination:` (im Stile der Zustellberechtigungs-Scopes), für die der Token eine Antragseinreichung erlaubt. Der Zustellberechtigungs-Scope des zugehörigen Onlineservice-Token muss zur Antragseinreichung bei dieser Destination-ID berechtigen. |
 | `token_type`     | *siehe unten*               | Der Token-Typ gibt an, welche Funktion der ausgestellte Access Token erfüllt (siehe nächster Abschnitt). |
 
 
-- 
GitLab