Autorisatiebesluit nemen
Een (potentiële) datadienstgebruiker doet een datadienstverzoek bij een datadienstaanbieder. Dit verzoek wordt door de datadienstaanbieder getoetst aan het autorisatiebeleid, als autorisatiebesluit, om te controleren of de datadienstgebruiker toegang krijgt tot de datadienst. De manier waarop deze toets plaatsvindt, is afhankelijk van de specifieke datadienst autorisatiebeleid en de voorbereiding die hiervoor is getroffen.
In de figuur hieronder wordt het interactiemodel weergegeven hoe een autorisatiebesluit tot stand komt.
1. Datadienstverzoek
De datadienstgebruiker dient een verzoek tot het gebruik van een datadienst in bij de datadienstaanbieder. Het datadienstverzoek is niet gedefinieerd in het afsprakenstelsel, omdat dit afhankelijk is van de datadienst zelf (zie deze pagina voor een voorbeeld datadienst). Het datadienstverzoek kan informatie bevatten die van belang is voor het autorisatiebesluit.
2. Informatie voorbereiden
De datadienstaanbieder haalt informatie op uit het datadienstverzoek, en eventueel extra informatie die voor het datadienstverzoek is georganiseerd die nodig is bij het komen tot een autorisatiebesluit. De nodige informatie is afhankelijk van het autorisatiebeleid en de getroffen voorbereidingen. Afhankelijk van de datadienst kan dit informatie bevatten over (o.a.) kwalificaties en eigenschappen, delegatie of een access token.
3. Autorisatiebesluit
Om een autorisatiebesluit te nemen zou de datadienstaanbieder de informatie betreffend het datadienstverzoek moeten houden tegen het opgestelde autorisatiebeleid. De datadienstaanbieder is verantwoordelijk om de juiste informatie te controleren bij het nemen van een autorisatiebesluit. Er kunnen redenen ontstaan voor het afwijken van autorisatiebeleid, zelfs wanneer alle nodige autorisatie-informatie correct is voorbereid, bijvoorbeeld het gebruik van een blacklist. In een geval waar dit voorkomt, is het de verwachting dat de datadienstaanbieder haar besluit kan onderbouwen en communiceren aan de datadienstaanbieder indien nodig.
Datadienstaanbieders ZOUDEN MOETEN handelen naar haar autorisatiebeleid
4. Datadienstrespons
Afhankelijk van het autorisatiebesluit voert de datadienstaanbieder een response uit en wordt dit gecommuniceerd met de datadienstgebruiker via de methode zoals gespecificeerd in de datadienst.