Versions Compared

Version Old Version 9 New Version Current
Changes made by

Ibrahim Benyahya

Ibrahim Benyahya

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

...

...

...

...

...

Table of Contents
maxLevel2

Inleiding

Er zijn twee vormen van autoriseren:

...

  1. Bij de functies Verzamelen en Abonneren wordt hier de Toestemmingsverklaring afgegeven, waarmee de Dienstverlener aanbieder toestemming wordt gegeven gezondheidsgegevens naar de Dienstverlener persoon te zenden.
  2. Bij de functie Abonneren en Beheren toestemmingen kan ook een Beëindigingsverklaring worden afgegeven, waarmee de Persoon een abonnement stopt of de langdurige toestemming intrekt.
  3. Bij de functies Delen wordt hier de Bevestigingsverklaring afgegeven, waarmee de Dienstverlener aanbieder toestemming wordt gegeven gezondheidsgegevens van de Dienstverlener persoon te ontvangen.

Drawio
mVer2
simple0
zoom1
inComment0
custContentId1267237165
pageId244975179
diagramDisplayNameAutoriseren1.

...

Image Removed

drawio
lbox1
contentVer1
revision1
baseUrlhttps://vzvz.atlassian.net/wiki
diagramNameAutoriseren1.drawio
pCenter0
width2301
links
tbstyle
height710.5

Autoriseren zonder geldige langdurige toestemming

...

  • De Dienstverlener aanbieder ontvangt een verzoek tot autorisatie.
  • De Dienstverlener aanbieder presenteert de landingspagina
  • De Dienstverlener aanbieder laat de Persoon zich authenticeren bij de Dienstverlener authenticatie.
  • Nadat de persoon geauthenticeerd is, voert de Dienstverlener aanbieder optioneel de beschikbaarheidstoets of verplicht de ontvankelijkheidstoets uit en vraagt de Persoon om een toestemmings- of bevestigingsverklaring.
  • De Dienstverlener aanbieder logt die toestemming en geeft een autorisatie af aan de Dienstverlener persoon.

...

In onderstaande tabel staan de uitzonderingssituaties beschreven. Alle uitzonderingssituaties worden door de Dienstverlener aanbieder ontdekt. Om te voorkomen dat de Dienstverlener persoon informatie over het bestaan van behandelrelaties verkrijgt zonder dat daarvoor (al) toestemming is gegeven, moet het onderscheid tussen de uitzonderingen 1 en 2 niet te maken zijn door de Dienstverlener persoon.

nr.uitzonderingactievervolg
autoriseren 1

Dienstverlener aanbieder stelt op enig moment vast dat van Persoon bij Aanbieder geen gezondheidsinformatie voor die Gegevensdienst beschikbaar is.

Zie de toelichting op Beschikbaarheids- en ontvankelijkheidsvoorwaarde.

Dienstverlener aanbieder informeert de Persoon dat diens verzoek geen voortgang kan vinden en noemt daarbij behorende reden.


Allen stoppen de flow onmiddellijk na geïnformeerd te zijn over de uitzondering.
autoriseren 2De voorgelegde Toestemmingsverklaring wordt niet afgegeven.Dienstverlener aanbieder informeert DVP Server over deze uitzondering. DVP Server informeert Persoon dat diens verzoek geen voortgang kan vinden, maar laat de oorzaak daarvan helemaal in het midden.
autoriseren 3Dienstverlener aanbieder kan het antwoord op de toestemmingsvraag niet vaststellen.Dienstverlener aanbieder informeert Dienstverlener persoon over deze uitzondering. Dienstverlener persoon informeert daarop Persoon hierover.Allen stoppen de flow onmiddellijk na geïnformeerd te zijn over de uitzondering.

...

Verantwoordelijkheden inzake uitzonderingen op de happy flow zijn opgenomen bij de respectievelijke interface, waar de uitzonderingen bij de functies zijn genoemd.

Drawio
mVer2
simple0
zoom1
inComment0
custContentId1267433713
pageId244975179
diagramDisplayNameAutoriseren2.drawio
lbox1
contentVer1
revision1
baseUrlhttps://vzvz.atlassian.
Image Removed
net/wiki
diagramNameAutoriseren2.drawio
pCenter0
width1111
links
tbstyle
height1016

In elke voltrekking van de in het diagram beschreven flow is steeds sprake van één van elk van de bovenaan genoemde rollen.

...

  1. De User Agent stuurt een authorization request naar de Authorization Server

  2. De Authorization Server presenteert hierop de landingspagina aan de Persoon.

  3. Daarop begint de Authorization Server de OAuth-flow (in zijn rol als OAuth Authorization Server) door een sessie te creëren.
  4. Dan start de Authorization Server (nu in de rol van Authentication Client) de authenticatieflow.
  5. Na de authenticatieflow valideert de Authorization Server de identificerende gegevens en breekt het (vroegste) moment aan waarop of
    1. de Authorization Server ervoor instaat dat de Aanbieder voor de betreffende Gegevensdienst(en) überhaupt gezondheidsinformatie van die Persoon beschikbaar heeft, of anders de happy flow afbreekt. Op dit moment is de beschikbaarheidstoets optioneel voor de functie verzamelen, omdat later in het proces dezelfde toets verplicht uitgevoerd moet worden.
    2. de Authorization Server ervoor instaat dat voor de betreffende Gegevensdienst de Aanbieder ontvankelijk is voor de gezondheidsgegevens van de betreffende Persoon. Is dat zo, dan verstuurt de Authorization Server het access-token naar de DVP Server. Is dat niet zo, dan breekt de Authorization Server de happy flow af en stuurt zij geen access-token naar de DVP ServerOp dit moment is de ontvankelijkheidstoets verplicht.
  6. Indien de Aanbieder kan instaan voor de beschikbaarheid van tenminste één Gegevensdienst of kan instaan dat de Aanbieder voor de betreffende Gegevensdienst überhaupt gezondheidsinformatie van die Persoon wenst te ontvangen, dan presenteert de Authorization Server via de User Agent aan Persoon in een Toestemmingsverklaring, de vraag of Persoon de Aanbieder toestaat de gevraagde persoonlijke gezondheidsinformatie uit te wisselen met de DVP Server (als OAuth Client).
  7. Bij akkoord logt de Authorization Server dit als toestemming, genereert een authorization-code en stuurt dit als ophaalbewijs, door middel van een User Agent redirect met de in het authorization request ontvangen redirect_uri, naar de DVP Server. De Authorization Server stuurt daarbij de local state-informatie mee die hij in het authorization request van de DVP Server heeft gekregen. Laatstgenoemde herkent daaraan het verzoek waarmee hij de authorization-code moet associëren.
  8. De DVP Server vat niet alleen deze authorization-code op als ophaalbewijs, maar leidt er ook uit af dat de toestemming is gegeven en logt het verkrijgen van het ophaalbewijs.
  9. Met dit ophaalbewijs wendt de DVP Server zich weer tot de Authorization Server, maar nu zonder tussenkomst van de User Agent, voor een access-token.
  10. De Authorization Server valideert de authorization-code. Nu is het vroegste moment dat de verplichte beschikbaarheidstoets uitgevoerd kan worden. De andere optie is het uitvoeren van de beschikbaarheidstoets op het resource endpoint. Eén van deze twee momenten is verplicht.
  11. Daarop genereert de Authorization Server een access-token (en indien de Persoon langdurige toestemming geeft ook een referesh-token) en stuurt deze naar de DVP Server.

...

Verantwoordelijkheden inzake uitzonderingen op de happy flow zijn opgenomen bij de respectievelijke interface, waar de uitzonderingen bij de functies zijn genoemd.Image Removed

Drawio
mVer2
simple0
zoom1
inComment0
custContentId1266778404
pageId244975179
diagramDisplayNameAutoriseren3.drawio
lbox1
contentVer1
revision1
baseUrlhttps://vzvz.atlassian.net/wiki
diagramNameAutoriseren3.drawio
pCenter0
width861
links
tbstyle
height321

In elke voltrekking van de in het diagram beschreven flow is steeds sprake van één van elk van de bovenaan genoemde rollen.

De flow kent de volgende stappen:

  1. De User Agent De DVP Server stuurt een refresh-token naar de Authorization Server. 
  2. Daarop begint de Authorization Server de OAuth-flow (in zijn rol als OAuth Authorization Server) door een sessie te creëren.
  3. Dan controleert de Authorization Server het refresh-token
  4. Hierna breekt het verplichte moment aan waarop of de Authorization Server ervoor instaat dat de Aanbieder voor de betreffende Gegevensdienst(en) überhaupt gezondheidsinformatie van die Persoon beschikbaar heeft, of anders de happy flow afbreekt. Zie ook de beschrijving over de beschikbaarheidstoets.
  5. Indien de Aanbieder kan instaan voor de beschikbaarheid van tenminste één Gegevensdienst, genereert de Authorization Server een access-token en een nieuw refresh-token en stuurt deze naar de DVP Server.