publieke consultatie feedback 1-4

[mrtn78]

Client Profiles / Connection to the Authorization Server - consistentie

organisatie: Kennisnet

opmerking 1 van 4

1 Opmerking:

Bij paragraaf 2.1.3 staat tls_client_auth [RFC8705] als optie voor client authenticatie. Bij paragraaf 2.3.3 wordt voor authenticatie van direct access clients een X.509 certificaat genoemd. Verder staat er bij het volgende ‘iGOV-NL Additional content’ weer tls_client_auth [RFC8705] genoemd. De huidige teksten zijn technisch niet tegenstrijdig, maar er is naar onze mening een onnodige variatie in formulering gebruikt.

1 Voorstel:

Gebruik eenduidige tekst als het client authenticatie voor direct access clients betreft.

Voorgenomen Besluiten :

1. eerste blok additional content verwijderen uit par 2.1.3
2. In par 2.3.3 additional blokken content samenvoegen
3. “When using the JWT assertion, the assertion MUST use the claims as follows:” > is additional content
4. “iGov-NL : Additional content Direct access clients that are using the client credentials grant type and are not using OpenIDConnect are also allowed to use an X.509 certificate to authenticate with the authorization server's token endpoint. This flow is compatible with OAuth 2.0 due to section 2.3.2 of [rfc6749].” > opnemen in de use cases van versie 1.2 en niet als additionele toevoeging in par 2.3.3 opnemen

Toelichting:

Teksten NL GOV OAuth (werkversie 13 mei 2024):

[mrtn78]

Dit issue is besproken in het Technisch overleg OAuth van 09-07-2024 en verwerkt in pull request #56 Zie ook het verslag op https://github.com/Logius-standaarden/Overleg/tree/main/OAuth/2024-07-09