Naar ons idee zijn de eisen ten aanzien van authenticatie en autorisatie zodanig opgesteld dat problemen ontstaan bij het doorgeven van de identiteit van de ingelogde gebruiker in de koppeling tussen het Zaaksysteem en het DMS. In bijgaand document heb ik de geconstateerde problemen beschreven met een voorstel voor aanpassing van de specificaties op dit punt. Ik ben benieuwd hoe de werkgroepleden dit zien.
ma, 28-07-2014 - 16.00u
#1
Identificatie in de koppeling van Zaaksysteem en DMS
Een interessant onderwerp om over na te denken. Ik heb nog wel een vraag over de analyse, om de analyse beter te kunnen begrijpen, alvorens ik inhoudelijk op het geheel reageer. Op basis waarvan kom je tot de volgende passage: "... authenticatie op basis van het WS-Security Username Token Profile 1.1 moet worden toegepast. Deze standaard is echter niet bedoeld voor identificatie van applicaties maar van gebruikers."? Als ik kijk naar de specificatie van die standaard (http://docs.oasis-open.org/wss/v1.1/wss-v1.1-spec-os-UsernameTokenProfil...), staat daar het volgende in de inleiding: "91 This document describes how to use the UsernameToken with the WSS: SOAP Message 92 Security specification [WSS]. More specifically, it describes how a web service consumer can 93 supply a UsernameToken as a means of identifying the requestor by “username”, and optionally 94 using a password (or shared secret, or password equivalent) to authenticate that identity to the 95 web service producer." Hier staat naar mijn mening niets over het identificeren van individuele gebruikers, maar over de web service consumer (dat kan dus ook de applicatie zijn). Ik denk op basis daarvan dat het flexibel is om dit binnen de standaard in te zetten. Ik ben geïnteresseerd wat de achterliggende gedachte is, omdat deze de basis lijkt te zijn van een flink deel van de redenatie in het vervolg van het document. (Item geregistreerd als ZDS-40)
Zoals ik de betreffende passage lees staat daar dat de web service consumer een usernametoken kan meegeven om daarmee de gebruiker te identificeren. Volgens mij moet de term 'requestor' hier worden geinterpreteerd als gebruiker en niet als applicatie. De applicatie is immers de consumer en niet de requestor. En de identificatie vindt plaats op basis van de username en dat is per definitie niet de naam van de applicatie. We kunnen uiteraard wel werken met een systeemaccount maar dat is hier volgens mij niet de bedoeling. Bovendien hebben we, om het mechanisme van in- en uitchecken goed te laten functioneren, juist wel de identiteit van de individuele gebruiker nodig en niet de identiteit van de applicatie.