Jeder Knoten im RIS Synergy Netzwerk muss einen OAuth2-Server anbieten, der für die Bereitstellung von Access-Token verantwortlich ist (hier würde sich z.B. Keycloak anbieten). Der Zugriff auf API Endpoints wird mittels OAuth2-Server gesichert und durch Vergabe eines Access-Tokens ermöglicht. Die Vergabe der OAuth2-Scopes unterliegt jedem Knoten selbst. Die Authentifizierung innerhalb des RIS Synergy Netzwerks wird mittels Client Credentials Flow geregelt, d.h. als Grant-Type ist client_credentials zu implementieren.
Client Credentials Flow
- Der Client sendet eine Anfrage zur Authentifikation an den OAuth2 Token Endpoint mittels Übergabe von Client Credentials
- Nach erfolgreicher Validierung übergibt der OAuth2 Server ein Access Token an den Client
- Mit dem Access Token ist nun der Zugriff zu der API des Ressource Servers möglich
- Die API sendet die angeforderten Daten
Bilateraler Austausch von OAuth2-Zugangsdaten
Die Client Credentials (Client ID und Client Secret) müssen bilateral zwischen den Mitgliedern des RIS Synergy Netzwerks ausgetauscht werden. Hierbei sollte unbedingt auf einen sicheren Datenaustausch geachtet werden (z.B. Links mit Ablaufdatum, sichere Email mit end-to-end-encryption, etc.)