Skip to content
Snippets Groups Projects
Select Git revision
6 results

osiv2-postfach

  • Clone with SSH
  • Clone with HTTPS
    • Name Last commit Last update
    .m2
    .mvn/wrapper
    scripts
    spec
    src
    .gitignore
    .gitlab-ci.yml
    LICENSE
    README.md
    lombok.config
    mvnw
    mvnw.cmd
    pom.xml
    sonar-project.properties
    README.md

    OSIv2-Postfach-Anbindung für OZG-Cloud-Nachrichten

    Anbindung des OSIv2-Postfachs für die OZG-Cloud.

    Client-Authentifizierung beim Servicekonto

    Die Client-Authentifizierung beim Authentication-Server (Servicekonto) erfolgt über den OAuth2-Client-Credentials-Flow (siehe RFC 6749, Sec. 1.3.4) mit client_id und client_secret in Verbindung mit einem Resource-URI-Parameter (siehe RFC 8707), der den Zugriff des Clients auf den Resource-Server (Postfach-Facade) einschränkt.

    Der Resource-Server liest die Resource-URI aus dem aud-Claim (siehe RFC 9068, Sec. 3 und ServicePortal-Dokumentation).

    Beispiel:

    curl -v --output auth_response.json \
     -H "Content-Type: application/x-www-form-urlencoded" \
     --data-urlencode "grant_type=client_credentials" \
     --data-urlencode "client_id=OZG-Kopfstelle" \
     --data-urlencode "client_secret=${SH_STAGE_CLIENT_SECRET}" \
     --data-urlencode "scope=default access_urn:dataport:osi:sh:stage:ozgkopfstelle" \
     --data-urlencode "resource=urn:dataport:osi:postfach:rz2:stage:sh" \
     https://idp.serviceportal-stage.schleswig-holstein.de/webidp2/connect/token

    Beobachtungen:

    • Mit einem ungültigen resource-Parameter kommt ein invalid_target-Fehler bei der Token-Erstellung.
    • Ohne resource-Parameter (d.h. ohne aud-Claim) kommt 401 Unauthorized von der Postfach-Facade.
    • Ohne default-Scope kommt ein invalid_target-Fehler bei der Token-Erstellung
    • Ohne access_urn:dataport:osi:sh:stage:ozgkopfstelle-Scope kommt ein Internal Server Error 500 von der Postfach-Facade.

    Impressum - Datenschutz - Barrierefreiheit