Skip to end of metadata
Go to start of metadata

In deze use case, die een uitbreiding is op GUC7 Gebruiken eToegang als dienstafnemer (native apps), wordt de identiteit van de vertegenwoordigde dienstafnemer, de pseudo-identiteit van de gebruiker en de vertegenwoordigingsbevoegdheid van de gebruiker namens deze vertegenwoordigde dienstafnemer vastgesteld. De Herkenningsmakelaar geeft een nieuwe verklaring af aan de dienstverlener. Deze verklaring is samengesteld uit de verklaringen van de authenticatiedienst en het machtigingenregister. De gebruiker voert hiertoe de use cases GUC3 Aantonen identiteit en GUC4 Aantonen bevoegdheid uit. De gebruiker maakt gebruik van een native app om de dienst af te nemen. eIDAS-gebruikers kunnen geen gebruikmaken van Native apps, omdat de eIDAS-berichtenservice (EB) OAuth niet ondersteunt.

Deze use case is een uitbreiding op GUC7 Gebruiken eToegang als dienstafnemer (native apps) en wordt hieronder in een activity diagram weergegeven.

De verschillende acties voor use case GUC8 worden hier in meer detail beschreven. 

Nr.
Actie
Omschrijving

Initiële staat

De dienstafnemer laat zich voor het afnemen van een dienst vertegenwoordigen bij een dienstverlener die authenticatie van de dienstafnemer vereist. De gebruiker handelt als vertegenwoordiger en gebruikt hiervoor een native app, waarbij de Dienstverlener een geldig OAuth2 access token van de dienstafnemer vereist. Wanneer de gebruiker geen geldig OAuth2 access token kan presenteren, maar wel over een refresh token beschikt, wordt GUC9 Token refresh (native apps) uitgevoerd.

8.1Dienstverlener stelt vraag aan Herkenningsmakelaar

De dienstverlener stuurt de gebruiker door naar de Herkenningsmakelaar en stelt daarbij een vraag. Deze vraag bevat het identificerend kenmerk van zowel de betreffende dienstverlener als de betreffende dienst.

8.2

Uitvoeren GUC3 Aantonen identiteit

Het resultaat is dat de Herkenningsmakelaar een verklaring over de authenticatie van de gebruiker ontvangt met een intern pseudoniem.

8.3

Uitvoeren GUC4 Aantonen bevoegdheid

Het resultaat is dat de Herkenningsmakelaar een verklaring over de bevoegdheid van de gebruiker ontvangt. Indien het een ketenmachtiging betreft verifieert de Herkenningsmakelaar de hele keten alvorens deze te gebruiken in de volgende stap.

8.4

Herkenningsmakelaar beantwoordt vraag van dienstverlener met Authorization Grant

De Herkenningsmakelaar beantwoordt de vraag van de dienstverlener. Dit antwoord bevat een Authorization Grant waarmee een access token en optioneel refresh token kunnen worden aangevraagd.

8.5Token(s) AanvragenDe DV-app presenteert de verkregen authorization grant aan de HM met de vraag om een OAuth2 access token en optioneel refresh token te ontvangen.
8.6Vraag doorgeven De HM valideert de authorization grant en vraagt de AD om de token(s).
8.7 Token(s) afgeven De AD geeft bij positief gevolg een access en optioneel refresh token terug (als artifact referentie) aan de HM.
8.8 Token(s) doorgevenDe HM geeft het access token en optioneel refresh token door aan de DV-app. De DV-app kan het access token nu gebruiken voor toegang tot de Dienst bij de Dienstverlener.

Finale staat

De dienstafnemer is geauthenticeerd en de dienstverlener heeft daar de benodigde informatie over ontvangen. De dienstafname kan worden vervolgd ten behoeve van de vertegenwoordigde dienstafnemer. Informatie over de gebruiker en zijn bevoegdheid kan benut worden voor personalisatie, logging e.d.

ad actie 8.1: in detail beschreven in Interface specifications DV-HM native apps.

ad.actie 8.2: in detail beschreven in Interface specifications DV-HM native apps

ad actie 8.3: in detail beschreven in Interface specifications HM-MR native apps.

ad actie 8.4: in detail beschreven in Interface specifications DV-HM native apps.

ad actie 8.5: in detail beschreven in Interface specifications DV-HM native apps.

ad actie 8.6: in detail beschreven in Interface Specifications HM-AD native apps. 

ad actie 8.7: in detail beschreven in Interface Specifications HM-AD native apps.

ad actie 8.8: in detail beschreven in Interface specifications DV-HM native apps.


  • No labels