Delegaties

Delegatie is het overdragen van een bevoegdheid, van de datarechthebbende, aan een ander die vervolgens die bevoegdheid kan gebruiken. Wanneer een datadienstaanbieder het in een datadienst mogelijk maakt voor een datarechthebbende om haar rechten te delegeren, moeten de door de datarechthebbende gedelegeerde rechten van tevoren zijn geregistreerd. Wanneer daarna een gedelegeerde datadienstgebruiker een datadienstverzoek verstuurt moet de datadienstaanbieder het delegatiebewijs krijgen of op basis van de ontvangen informatie zelf een autorisatiebesluit kunnen nemen. Het registeren van delegaties en het ophalen van delegatiebewijs is een onderdeel van het organiseren van autorisatie-informatie van een datadienst.

Registratie van delegaties

Gedelegeerde rechten kunnen op drie verschillende plekken geregistreerd worden. De meest geschikte optie voor het registreren van delegaties is afhankelijk van de situatie, en behoeftes van betrokken partijen. Bovendien brengen de drie opties verschillende implementatielasten mee voor verschillende rollen en verschillende interactiemodellen. De drie opties zijn:

  1. De datarechthebbende beheert zelf delegaties

  2. De datarechthebbende registreert haar delegaties bij de datadienstaanbieder

  3. De datarechthebbende registreert haar delegaties bij een onafhankelijk autorisatieregister

De datadienstaanbieder is verantwoordelijk voor het vaststellen waar delegaties geregistreerd kunnen worden in haar datadienst. De datarechthebbende heeft binnen de aangeboden opties keuze over waar ze haar delegaties geregistreerd.

DSGO.Basis: Als gedelegeerde datadienstgebruikers een datadienst kunnen afnemen MOETEN datadienstaanbieders in de datadienstspecificatie vaststellen waar delegaties geregistreerd mogen worden

DSGO.Basis: Als de datarechthebbende gebruik wil maken van de mogelijkheid om haar rechten te delegeren dan MOET de datarechthebbende binnen de opties aangeboden in een datadienst bepalen waar haar delegaties geregistreerd worden

De datarechthebbende beheert zelf delegaties

Wanneer de datarechthebbende haar delegaties zelf beheert moet de datarechthebbende elke gedelegeerde datadienstgebruiker toestemming geven voordat deze een datadienstverzoek kan sturen. Dit is geschikt bij datadiensten met zeer waardevolle data waar de datarechthebbende volledige controle over wil hebben.

DSGO.Basis: Als een datadienstaanbieder de mogelijkheid biedt voor de datarechthebbende om zelf haar delegaties te beheren dan MOET dit worden gedaan volgens het afsprakenstelsel

Interactiemodel

Om dit mogelijk te maken, moet de datarechthebbende een delegatiebewijs leveren aan de datadienstgebruikers aan wie zij haar rechten overdraagt. Daarvoor moet de datarechthebbende haar systemen zo inrichten dat ze haar eigen delegaties kan registreren en een delegatiebewijs kan leveren aan datadienstgebruikers die het aanvragen (zie het interactiemodel in het figuur hieronder). Dit heeft een implementatie implicatie voor de datarechthebbende en de datadienstgebruiker.

Het interactiemodel bij een datadienst wanneer de datarechthebbende zelf haar delegaties beheert

#

Acties

Omschrijving

1

Beheren delegaties

De datarechthebbende bepaalt zelf aan wie zij haar rechten overdraagt

2

Leveren delegatiebewijs

De datarechthebbende levert een delegatiebewijs aan de datadienstgebruikers aan wie ze haar rechten overdraagt middels een /delegation endpoint (zie /delegation)

3

Datadienst-verzoek

De gedelegeerde datadienstgebruiker voegt het delegatiebewijs toe in de datadienstverzoek als autorisatie-informatie

4

Datadienst-respons

De datadienstaanbieder valideert het ontvangen delegatiebewijs, en gebruikt deze informatie om te komen tot een autorisatiebesluit. Bij een positief autorisatiebesluit wordt de datadienst uitgevoerd

Het leveren van delegatiebewijs door een data rechthebbende wordt mogelijk gemaakt door het /delegation endpoint die geimplementeerd wordt door de datarechthebbende aan een datadienstgebruiker beschikbaar wordt gesteld. Een datadienstgebruiker kan dan delegatiebewijs opvragen bij de data rechthebbende voordat een succesvol datadienstverzoek bij de datadienstaanbieder kan plaatsvinden.

De datarechthebbende registreert haar delegaties bij de datadienstaanbieder

Wanneer delegaties geregistreerd zijn bij de datadienstaanbieder bepaalt en deelt de datarechthebbende de delegatieregels met de datadienstaanbieder op basis waarvan de datadienstaanbieder autonoom een gedelegeerde datadienstgebruiker toestemming kan geven. Dit is geschikt in het geval de datadienstaanbieder over de software beschikt welke technische integratie mogelijk maakt tussen de datarechthebbende en de datadienstaanbieder.

Interactiemodel

In het geval de datadienstaanbieder delegaties beheert moet zij bij ieder datadienstverzoek in staat zijn de informatie in dat verzoek te toetsen tegen de delegatieregels van de datarechthebbende om op basis daarvan een besluit te nemen. Hiervoor moet de datadienstaanbieder haar systemen en/of processen zo inrichten dat een datarechthebbende haar delegatieregels kan registeren, en deze worden getoetst bij elk datadienstverzoek (zie het interactiemodel in het figuur hieronder). Dit heeft een implementatie implicatie voor de datadienstaanbieder.

Het interactiemodel bij een datadienst wanneer delegaties geregistreerd zijn de datadienstaanbieder

#

Acties

Omschrijving

1

Registreren delegatieregels

De datarechthebbende registreert haar delegatieregels bij de datadienstaanbieder

2

Datadienst-verzoek

De gedelegeerde datadienstgebruiker stuurt een datadienstverzoek met daarin autorisatie-informatie die getoetst kan worden tegen de delegatieregels

3

Toetsing delegatieregels

De datadienstaanbieder toetst de autorisatie-informatie in het datadienstverzoek tegen de delegatieregels en neemt op basis daarvan een autorisatiebesluit

4

Datadienst-respons

Bij een positief autorisatiebesluit wordt de datadienst uitgevoerd

De datarechthebbende registreert haar delegaties bij een onafhankelijk autorisatieregister

Wanneer de datarechthebbende haar delegaties registreert bij een autorisatieregister vraagt de datadienstaanbieder bij een datadienstverzoek van een gedelegeerde datadienstgebruiker het delegatiebewijs op bij het autorisatieregister. Dit is geschikt in het geval waar schaalbaarheid belangrijk is. Een autorisatieregister kan het beheer van een groot aantal delegaties op haar nemen.

Interactiemodel

Als de datarechthebbende haar delegaties geregistreerd bij een autorisatieregister moet de datadienstgebruiker voor het versturen van een datadienstverzoek delegatiebewijs ophalen bij het autorisatie register. De datadienstgebruiker moet daarvoor een koppeling ontwikkelen die aansluit op de systemen van het autorisatieregister (zie het interactiemodel in het figuur hieronder). Dit heeft een implementatie implicatie voor de datarechthebbende en datadienstaanbieder.

#

Acties

Omschrijving

1

Registreren delegaties

De datarechthebbende registreert haar delegatieregels bij een autorisatieregister

2

Opvragen delegatiebewijs

Het autorisatieregister levert een delegatiebewijs aan de datadienstgebruikers aan wie de rechten van de datarechthebbende zijn overgedragent middels een /delegation endpoint (zie /delegation)

3

Datadienst-verzoek

De gedelegeerde datadienstgebruiker voegt het delegatiebewijs toe in de datadienstverzoek als autorisatie-informatie

4

Datadienst-respons

De datadienstaanbieder valideert het ontvangen delegatiebewijs, en gebruikt deze informatie om te komen tot een autorisatiebesluit. Bij een positief autorisatiebesluit wordt de datadienst uitgevoerd

Het leveren van delegatiebewijs door een autorisatieregister wordt mogelijk gemaakt door het /delegation endpoint die geimplementeerd wordt door de autorisatieregister aan een datadienstgebruiker beschikbaar wordt gesteld. Een datadienstgebruiker kan dan delegatiebewijs opvragen bij de autorisatieregister voordat een succesvol datadienstverzoek bij de datadienstaanbieder kan plaatsvinden.