Use cases voor: Rich Authorization request (RAR, rfc9396)

[sanderke]

Waarom (kort):

Autorisatie toepassen :

• Use case 1: Bij een step-up autorisatie specifieke transactie/context attributen meegeven (in plaats van scope, want scopes zijn bedoeld als vaste waarden: groeperingsmechanisme). Kunnen worden gebruikt in de consent en worden onderdeel van het token.
• Use case 2: Autorisatiedetail doorgeven aan de serverkant (Bijvoorbeeld voor Gemma zaakgericht werken, delegaties en andere vormen van RBAC/ABAC/PBAC) Token vertalen, zodat die meer (direct bruikbare) details voor een bepaalde back-end bevat.

Acceptatie criteria: Benodigede wijzigingen in het OAUth OIDC profile:

De volgende wijzigingen in het profiel aanbrengen

1. Rich Authorization request (RAR, rfc9396) Opnemen in NL GOV Oauth op verschillende plaatsen: (SHOULD)

   • [ ] Use cases Auth code step 3 consent,
   • [ ] Requests to the Authorization Endpoint,
   • [ ] discovery via rfc8414 (veel werk), introspection,
   • [ ] token exchange (nieuw),
   • [ ] Claims for Authorization Outside of Delegation Scenarios.
   • [ ] Protecting resources (bestaande herschrijven, veel werk,
   • [ ] Connections with Authorization Servers). (bestaande herschrijven, veel werk,

2. Opnemen in NL GOV OIDC op verschillende plaatsen

   • [ ] claims interoperability,
   • [ ] privacy considerations,
   • [ ] service intermediation,
   • [ ] other features.
   • [ ] representation en overall waar represents voorkomt zoals claims supported.

3. Overal waar scopes wordt genoemd ook authorization_details noemen

4. RAR toepassen bij uitbreiding token exchange

   • 60

[sanderke]

Veld represents is foutief gebruikt om een doel te bereiken waar RAR voor bestaat. Wijzigingen terugdraaien. Ergens mag verwijzing naar RAR geplaatst worden als alternatief voor scopes. Gebruik tekst: https://www.rfc-editor.org/rfc/rfc9396.html#section-1-1

[sanderke]

Dit issue ook opnemen:

• 49