Netwerk
Op pagina Netwerk aanpassen:
Rollen
1. In het MedMij-netwerk functioneert:
- elke PGO Server, met inbegrip van zijn OAuth-rol, op één of meerdere PGO Nodes. Voor al diens frontchannel-verkeer gebruikt elke PGO Server één PGO Node, en wel met een hostname die voor die PGO Server voorkomt op de OAuth Client List.
- elke Authorization Server, met inbegrip van zijn OAuth-rol, op één of meer ZA Nodes;
- elke Resource Server, met inbegrip van zijn OAuth-rol, op één of meer ZA Nodes;
- elke Subscription Server, met inbegrip van zijn OAuth-rol, op één of meer ZA Nodes;
- elke Notification Client op één of meer ZA Nodes;
- elke Notification Server op één of meer PGO Nodes;
- precies één MedMij Stelselnode, waarop MedMij Registratie functioneert.
Toelichting
Voor de algemene uitgangspunten inzake de getalsverhoudingen tussen de rollen, zie de pagina Architectuur en technische specificaties.
De uitzondering daarop inzake het frontchannel-verkeer is noodzakelijk om de OAuth Client List te laten functioneren. Het is dus mogelijk voor een PGO Server om verschillende certificaten te hanteren voor frontchannel- en backchannel-verkeer, zolang op de OAuth Client List maar de hostname in het certificaat voor frontchannelverkeer voorkomt die tevens voorkomt in de redirect URI inzake OAuth. De OAuth Client List wordt gebruikt door de Authorization Server ten behoeve van de toestemmingsvraag (in UCI Verzamelen) en de bevestigingsvraag (in UCI Delen).
Er is precies één MedMij Stelselnode in het MedMij-netwerk. Zonder die MedMij Stelselnode is er geen MedMij-netwerk.
In lijn met keuzes op de Proces- en Informatielaag, treden in het zorgaanbiedersdomein alleen de ZA Nodes op in het MedMij-netwerk. Dat wil zeggen dat bijvoorbeeld achterliggende xIS'en niet over het MedMij-netwerk communiceren met de ZA Node. Dat verkeer is verborgen achter de ZA Node. Alle daarvoor benodigde routering wordt afgehandeld door de server-implementaties en speelt zich buiten het zicht van het MedMij Afsprakenstelsel af.
2. Op één
- PGO Node functioneert hetzij één PGO Server, hetzij één Notification Server, hetzij de combinatie van één PGO Server en één Notification Server.
- ZA Node functioneert hetzij één Authorization Server, hetzij één Resource Server, hetzij één Subscription Server, hetzij één Notification Client, hetzij een combinatie van voorgaande rollen.
Verantwoordelijkheden
14a. De Node die
- de TLS-client zou worden voert de in verantwoordelijkheid 13 bedoelde controle tegen de Whitelist uit voorafgaand aan de start van de TLS-handshake. Indien die controle niet kan worÂden uitgeÂvoerd of een negatief resultaat oplevert, wordt de TLS-handshake niet gestart.
- de TLS-server is, voert de in verantwoordelijkheid 13 bedoelde controle tegen de Whitelist geheel uit voordat enige volgende stap wordt gezet door OAuth AuthoriÂzation Server, OAuth Resource Server of Notification Server, volgens de specifiÂcaÂties van UCI Verzamelen, UCI Delen, UCI Abonneren en UCI Notificeren. Deze vereiste wordt volgordelijkheid genoemd. Indien de controÂle tegen de Whitelist niet kan worden uitgevoerd, of een negatief resultaat oplevert, wordt de procesgang onmiddellijk afÂgebroken en komt het niet tot een start van de uitÂvoering van die eerstvolgende stap. De conÂtrole tegen de Whitelist slaagt in dit geval dan en slechts dan als op de Whitelist tenminste een van de volgende namen uit het de door de TLS-client aangeÂboden certificaat voorkomen: deÂ
ComÂmon Name
 of een van de eventueleÂSubject AlternaÂtive Names
.