KIK-Inzage Usecases integratie met OAuth2 Client Credentials, Signed JWT met PKI-o klant-certificaat
Scenario 1
- Service-intermediar is een IDP en beheert de PKIoverheid klanten (serviceafnemer)-certificaten.
- Serviceafnemer initieert de KIK-Inzage API aanroep.
Optie 1: Realisatie met OAuth2 Client Credentials met Signed JWT
Stappen realisatie:
- Serviceafnemer vraagt het JWT Token ondertekend met het PKI-o klantcertificaat van de IDP service.
- Service-Intermediair (IDP service) ondertekent de JWT tokens met de klant (serviceafnemer)-certificaten voor het Kadaster OAuth2 CC communicatie.
- Service afnemer vraagt een access token om Kadaster KIK-Inzage API te kunnen benaderen op basis van [clientID, JWT ondertekende token]. Het access token is 1 uur geldig.
- Serviceafnemer initieert de KIK-Inzage API aanroep en gebruikt het access-token van de Service-Intermediar.
- Service-intermediair publiceert een JWKS URI (service) zodat het Kadaster daarmee het Signed JWT kan verifiëren.
Optie 2: Realisatie met OAuth2 Client Credentials met Signed JWT
Stappen realisatie:
- Serviceafnemer vraagt het Kadaster-accesstoken om KIK-Inzage API te kunnen benaderen.
- Service-Intermediair (IDP service) ondertekent de JWT tokens met de klant (serviceafnemer)-certificaten voor het Kadaster OAuth2 CC communicatie.
- Service intermediair vraagt het Kadaster-accesstoken om de KIK-Inzage API te kunnen benaderen op basis van [clientID, JWT ondertekende token]. Het access token is 1 uur geldig.
- Serviceafnemer initieert de KIK-Inzage API aanroep en gebruikt het access-token van de Service-Intermediar.
- Service-intermediair publiceert een JWKS URI (service) zodat het Kadaster daarmee het Signed JWT kan verifiëren.
Scenario 2
- Serviceafnemer beheert eigen PKIoverheid certificaten.
- Service-Intermediair is gemachtigd om de serviceafnemer berichten veilig te versturen namens de eindklant (serviceafnemer) in de keten.
- ServiceIntermediar initieert de KIK-Inzage API aanroep.
Realisatie met OAuth2 Client Credentials met Signed JWT
Stappen realisatie:
- Serviceafnemer ondertekent met eigen PKIoverheid certificaat het JSON Web Token (JWT) voor de OAuth2 communicatie met de Kadaster KIK-Inzage API.
- Service intermediair vraagt een access token om de Kadaster KIK-Inzage API te kunnen benaderen op basis van [clientID, JWT ondertekende token]. Het access token is 1 uur geldig.
- Serviceafnemer of service-intermediair publiceert een JWKS URI voor het Kadaster om de Signed JWT’s de kunnen verifiëren.
- ServiceIntermediar initieert de KIK-Inzage API aanroep met het Kadaster access-token.
Scenario 3
- Serviceafnemer beheert eigen PKIoverheid certificaten.
- Service-Intermediair is gemachtigd om de serviceafnemer berichten veilig te versturen namens de eindklant in de keten.
- Serviceafnemer initieert de KIK-Inzage API aanroep.
Realisatie met OAuth2 Client Credentials met Signed JWT
Stappen realisatie:
- Serviceafnemer ondertekent met eigen PKIoverheid certificaat het JWT voor de OAuth2 communicatie met de Kadaster KIK-Inzage API.
- Service intermediair vraagt een access token om de Kadaster KIK-Inzage API te kunnen benaderen op basis van [clientID, JWT ondertekende token]. Het access token is 1 uur geldig.
- Serviceafnemer of service-intermediair publiceert een JWKS URI zodat het Kadaster daarmee het Signed JWT kan verifiëren.
Scenario 4: Realisatie met OAuth2 Client Credentials met Signed JWT
- Een IDP service beheert de PKIoverheid certificaten.
- Service-Intermediair is gemachtigd om de serviceafnemer berichten veilig te versturen namens de eindklant in de keten.
- Service-Intermediar initieert de KIK-Inzage API aanroep.
Stappen realisatie:
- IDP Signing Service ondertekent de JWT tokens met de klant (serviceafnemer)-certificaten voor het Kadaster OAuth2 CC communicatie.
- Service intermediair haalt het JWT ondertekend token van de IDP Service op.
- Service intermediair vraagt het Kadaster-accesstoken om de KIK-Inzage API te kunnen benaderen op basis van [clientID, JWT ondertekende token]. Het access token is 1 uur geldig.
- Service-Intermediar initieert de KIK-Inzage API aanroep met het access-token.
- IDP Signing Service publiceert een JWKS URI (service) zodat het Kadaster daarmee het Signed JWT kan verifiëren.