Document toolboxDocument toolbox

Netwerk

Owned by Ron van Holland (Unlicensed)
Last updated: Dec 17, 2019
2 min read

Op pagina Netwerk aanpassen:

Rollen

1. In het MedMij-netwerk functioneert:

  • elke PGO Server, met inbegrip van zijn OAuth-rol, op één of meerdere PGO Nodes. Voor al diens frontchannel-verkeer gebruikt elke PGO Server één PGO Node, en wel met een hostname die voor die PGO Server voorkomt op de OAuth Client List.
  • elke Authorization Server, met inbegrip van zijn OAuth-rol, op één of meer ZA Nodes;
  • elke Resource Server, met inbegrip van zijn OAuth-rol, op één of meer ZA Nodes;
  • elke Subscription Server, met inbegrip van zijn OAuth-rol, op één of meer ZA Nodes;
  • elke Notification Client op één of meer ZA Nodes;
  • elke Notification Server op één of meer PGO Nodes;
  • precies één MedMij Stelselnode, waarop MedMij Registratie functioneert.

Toelichting

Voor de algemene uitgangspunten inzake de getalsverhoudingen tussen de rollen, zie de pagina Architectuur en technische specificaties.

De uitzondering daarop inzake het frontchannel-verkeer is noodzakelijk om de OAuth Client List te laten functioneren. Het is dus mogelijk voor een PGO Server om verschillende certificaten te hanteren voor frontchannel- en backchannel-verkeer, zolang op de OAuth Client List maar de hostname in het certificaat voor frontchannelverkeer voorkomt die tevens voorkomt in de redirect URI inzake OAuth. De OAuth Client List wordt gebruikt door de Authorization Server ten behoeve van de toestemmingsvraag (in UCI Verzamelen) en de bevestigingsvraag (in UCI Delen).

Er is precies één MedMij Stelselnode in het MedMij-netwerk. Zonder die MedMij Stelselnode is er geen MedMij-netwerk.

In lijn met keuzes op de Proces- en Informatielaag, treden in het zorgaanbiedersdomein alleen de ZA Nodes op in het MedMij-netwerk. Dat wil zeggen dat bijvoorbeeld achterliggende xIS'en niet over het MedMij-netwerk communiceren met de ZA Node. Dat verkeer is verborgen achter de ZA Node. Alle daarvoor benodigde routering wordt afgehandeld door de server-implementaties en speelt zich buiten het zicht van het MedMij Afsprakenstelsel af.

2. Op één

  • PGO Node functioneert hetzij één PGO Server, hetzij één Notification Server, hetzij de combinatie van één PGO Server en één Notification Server.
  • ZA Node functioneert hetzij één Authorization Server, hetzij één Resource Server, hetzij één Subscription Server, hetzij één Notification Client, hetzij een combinatie van voorgaande rollen.

Verantwoordelijkheden

14a. De Node die

  • de TLS-client zou worden voert de in verantwoordelijkheid 13 bedoelde controle tegen de Whitelist uit voorafgaand aan de start van de TLS-handshake. Indien die controle niet kan wor­den uitge­voerd of een negatief resultaat oplevert, wordt de TLS-handshake niet gestart.
  • de TLS-server is, voert de in verantwoordelijkheid 13 bedoelde controle tegen de Whitelist geheel uit voordat enige volgende stap wordt gezet door OAuth Authori­zation Server, OAuth Resource Server of Notification Server, volgens de specifi­ca­ties van UCI Verzamelen, UCI Delen, UCI Abonneren en UCI Notificeren. Deze vereiste wordt volgordelijkheid genoemd. Indien de contro­le tegen de Whitelist niet kan worden uitgevoerd, of een negatief resultaat oplevert, wordt de procesgang onmiddellijk af­gebroken en komt het niet tot een start van de uit­voering van die eerstvolgende stap. De con­trole tegen de Whitelist slaagt in dit geval dan en slechts dan als op de Whitelist tenminste een van de volgende namen uit het de door de TLS-client aange­boden certificaat voorkomen: de Com­mon Name of een van de eventuele Subject Alterna­tive Names.