Samenvatting
| Waarom is deze RFC nodig? | Deze RFC is nodig om de kern van het afsprakenstelsel zo veel mogelijk generiek van toepassing te kunnen laten zijn voor verschillende domeinen naast het zorgaanbiederdomein. Ook is deze RFC nodig om meer duidelijkheid te scheppen aan deelnemers over de juiste afhandeling van uitzonderingsituaties door OAuth Resource Servers. De RFC betreft daarom zowel de resource interface als de subscription interface. Het MedMij afsprakenstelsel hanteert RFC6749 als generieke basis voor OAuth. In RFC6749 wordt ondermeer verwezen naar RFC6750 voor de wijze waarop access tokens dienen te worden gebruikt op bij de OAuth resource server en voor de juiste afhandeling hiervan door de OAuth resource server. RFC0041 verheldert de relatie tussen RFC6749 en RFC6750, met name voor wat betreft de omgang met uitzonderingen. |
|---|---|
| Oplossingsrichting | In de interfaces specificaties van het MedMij Afsprakenstelsel, inclusief de uitzonderingen, dienen geen elementen uit domeinspecifieke standaarden te worden opgenomen. De koppeling van de generieke eisen uit het afsprakenstelsel aan een domein moet volledig plaatsvinden binnen de informatiestandaard van het betreffende domein. Verheldering van de juiste toepassing van de OAuth standaard in uitzonderingssituaties. Benoemen dat specificaties van de resource interface in het afsprakenstelsel prevaleren boven specificaties in de informatiestandaard. |
| Aanpassing van | De tabel met uitzonderingen van de resource interface en van de subscription interface. |
| Impact op rollen | DVP (waarschijnlijkmogelijk, wanneer in bepaalde foutsituaties was gerekend op een andere response) Uitzondering subscription interface 1, zoals beschreven in versie 1.3.0 van het afsprakenstelsel, wordt in deze RFC wel gewijzigd. DVP's en DVZA's die zijn geaccepteerd voor abonneren & notificeren dienen hun implementaties hier dus mogelijk zeker op aan te passen. |
| Impact op beheer | Geen. |
| Impact op RnA | Geen. |
| Impact op Acceptatie | Vereist mogelijk aanscherpingen in acceptatiescripts. |
| Gerelateerd aan (Andere RFCs, PIM issues) | AF-1202 |
| Eigenaar | |
| Implementatietermijn | Release 1.4.0 |
| Motivatie verkorte RFC procedure (patch) |
...
Nummer | Implementeert uitzondering | Uitzondering | Actie | Melding | Vervolg |
|---|---|---|---|---|---|
| Subscription interface 1 | UC Abonneren 6 | Het subscription request bevat geen access_token. | Subscription Server informeert PGO Server over deze uitzondering. | Een Status-Code 401 conform HTTP specificatie. In deze situatie retourneert de Subscription Server uitdrukkelijk géén nadere informatie over de opgetreden uitzondering. | PGO Server informeert daarop Zorggebruiker over deze uitzondering. Na afhandeling van de in deze tabel benoemde informatiestappen, stoppen allen de onmiddellijk met de flow. |
| Subscription interface 2 | De Subscription Server detecteert dat het meegezonden access_token is verlopen of om een andere reden niet geldig is. | Een Status-Code 401 conform HTTP specificatie en een WWW-Authenticate HTTP response header met als auth-scheme "Bearer" en een error attribuut met waarde "invalid_token". conform RFC 6750. | |||
| Subscription interface 3 | De Subscription Server detecteert dat de scope die is verbonden aan het meegezonden access_token niet toereikend voor de uitvoering van het subscription request. | Een Status-Code 403 conform HTTP specificatie en een WWW-Authenticate HTTP response header met als auth-scheme "Bearer" en een error attribuut met waarde "insufficient_scope". conform RFC 6750. | |||
| Subscription interface 4 | Het subscription request mist een vereiste (header) parameter, bevat een niet-ondersteunde (header) parameter of parameterwaarde, gebruikt meer dan één methode voor het doorgeven van een access_token, of is op een andere wijze misvormd. | Een Status-Code 400 conform HTTP specificatie en een WWW-Authenticate HTTP response header met als auth-scheme "Bearer" en een error attribuut met waarde "invalid_request". conform RFC 6750. | |||
| Subscription interface 5 | De Subscription Server detecteert dat niet kan worden voldaan aan de beschikbaarheidsvoorwaarde. Zie ook de toelichting op Beschikbaarheids- en ontvankelijkheidsvoorwaarde. | Een Status-Code 403 conform HTTP specificatie en een Het vereiste error attribuut is bewust in lijn gebracht met het gedrag van de Authorization Server bij deze uitzonderingssituatie. | |||
| Subscription interface 6 | Subscription Server ontvangt een correct verzoek dat op basis van door de Zorgaanbieder ingesteld beleid geweigerd wordt. | Een Status-Code 422 "Aanvraag kan niet verwerkt worden" conform HTTP specificatie. | |||
| Subscription interface 7 | Subscription Server ontvangt een correct verzoek dat echter verwijst naar een niet bestaand Abonnement (subscription-id). | Een Status-Code 404 "Niet gevonden" conform HTTP specificatie. | |||
| Subscription interface 8 | Subscription Server kan in de request niet, niet geheel of niet tijdig voorzien, om redenen anders dan in bovengenoemde uitzonderingen. | Een toepasselijke Status-Code conform HTTP specificatie. |
...