OSIv2-Postfach-Anbindung für OZG-Cloud-Nachrichten

Anbindung des OSIv2-Postfachs für die OZG-Cloud.

Client-Authentifizierung beim Servicekonto

Die Client-Authentifizierung beim Authentication-Server (Servicekonto) erfolgt über den OAuth2-Client-Credentials-Flow (siehe RFC 6749, Sec. 1.3.4) mit client_id und client_secret in Verbindung mit einem Resource-URI-Parameter (siehe RFC 8707), der den Zugriff des Clients auf den Resource-Server (Postfach-Facade) einschränkt.

Der Resource-Server liest die Resource-URI aus dem aud-Claim (siehe RFC 9068, Sec. 3 und ServicePortal-Dokumentation).

Beispiel:

curl -v --output auth_response.json \
     -H "Content-Type: application/x-www-form-urlencoded" \
     --data-urlencode "grant_type=client_credentials" \
     --data-urlencode "client_id=OZG-Kopfstelle" \
     --data-urlencode "client_secret=${SH_STAGE_CLIENT_SECRET}" \
     --data-urlencode "scope=default access_urn:dataport:osi:sh:stage:ozgkopfstelle" \
     --data-urlencode "resource=urn:dataport:osi:postfach:rz2:stage:sh" \
     https://idp.serviceportal-stage.schleswig-holstein.de/webidp2/connect/token

Beobachtungen:

• Mit einem ungültigen resource-Parameter kommt ein invalid_target-Fehler bei der Token-Erstellung.
• Ohne resource-Parameter (d.h. ohne aud-Claim) kommt 401 Unauthorized von der Postfach-Facade.
• Ohne default-Scope kommt ein invalid_target-Fehler bei der Token-Erstellung
• Ohne access_urn:dataport:osi:sh:stage:ozgkopfstelle-Scope kommt ein Internal Server Error 500 von der Postfach-Facade.