Ga naar inhoud

Transportlaag

Gebruik FSC standaard

Het transport van de berichten verloopt volgens de FSC-standaard. De belangrijkste aspecten van deze standaard zijn:

  • Dubbelzijdig versleuteling van het transport (mTLS). NB: Dit vereist aan beide zijden van het transport certificaten die door alle betrokken partijen vertrouwd worden.

  • Gebruik van PKIo certificaten. Deze zijn aan te vragen bij door Logius geautoriseerde aanbieders.

  • De autorisatie van verbindingen wordt gedaan met een specifieke FSC-header: Fsc-Authorization. Hierin is een aantal componenten opgenomen die specifiek zijn voor FSC (o.a. de grant hash die in de transactielogging opgenomen wordt).
    Deze specifieke header geeft de ruimte om eventueel een extra autorisatie toe te voegen bijvoorbeeld op basis van een ingelogde gebruiker.

  • Berichten lopen via FSC-componenten "outway" van de afnemer (CBS) en "inway" van de gegevensleverancier met de API.

  • De "directory" van FSC waarin alle services van de gegevensleveranciers staan wordt beheerd door RINIS.

  • Geen gebruik van Diginetwerk - de betrokken organisaties zijn daar niet op aangesloten. Transport gaat via het “open” internet.

Inrichting koppelvlak

De inrichting van de transportlaag volgt de stappen die in de FSC standaard genoemd worden:

  • Ontwerp, bouw en implementatie van de API die beschikbaar gesteld gaat worden, conform de OAS3 beschrijving.

  • Keuze inrichting en implementatie van FSC componenten in de eigen omgeving. Hiervoor kan gebruik gemaakt worden van de documentatie en de referentie-implementatie van FSC.

Bij het inrichten en testen van de FSC componenten kan het helpen om aan te sluiten op de Demo groep van VNG-Realisatie. Hiervoor zijn geen PKIo certificaten nodig, maar kunnen "self-signed" certificaten gebruikt worden.

Directory

Er wordt gebruik gemaakt van de directory die RINIS beheert. Hier worden de services gepubliceerd, zodat CBS deze vindt en kan gebruiken. Om gebruik te maken van de directory moeten de volgende stappen doorlopen worden:

  • Aanmelden bij Acceptatie groep van RINIS en publiceren van acceptatie versie van de service. NB: hiervoor zijn geen PKIo certificaten nodig, maar kunnen "self-signed" certificaten gebruikt worden.

  • Testen van verbinding en service in overleg met CBS. Zij moeten een contract afsluiten met de gegevensleverancier via de FSC Manager, die de service in de directory opzoekt.

In deze stap kan de API ook inhoudelijk getest worden: worden de juiste gegevens in het juiste formaat beschikbaar gesteld?

  • Als de testen het gewenste resultaat leveren, aanmelden bij Productie groep van RINIS. NB: hiervoor is een PKIo certificaat nodig.

  • Publiceren van de productieversie van de service en afsluiten van een contract met de consumer (CBS).

Naamsconventie

Gebruik voor het publiceren van services een duidelijke naam, die de functie en afzender van de services bevat. De afspraak is als volgt:

  • Voor schuldhulpverleningsgegevens: DDAS-schuldhulpverlening-ophaal-[gegevensleverancier]
    [gegevensleverancier] is de naam van de leverancier van gegevens (om er zeker van te zijn dat dit tot een unieke naam leidt, is het verstandig dit met het programma DDAS af te stemmen)

  • Voor vroegsignaleringsgegevens: DDAS-vroegsignalering-ophaal-[gegevensleverancier]
    [gegevensleverancier] is de naam van de leverancier van gegevens (om er zeker van te zijn dat dit tot een unieke naam leidt, is het verstandig dit met het programma DDAS af te stemmen)

NB: het versienummer van de service zit niet in de naam, om te voorkomen dat er bij ieder nieuwe versie opnieuw een contract afgesloten moet worden. We gaan ervan uit dat met nieuwe versies er geen nieuwe functionaliteit of gegevens beschikbaar worden gesteld. Als dat wel gebeurt, moet er een nieuwe service met een andere naam gepubliceerd worden.
Als het versienummer verandert, stem dan wel met CBS af welke versie wanneer gebruikt moet worden en hoe de juiste versie aangeroepen moet worden!