Notities inloopuur
Woensdag 8/02/23
Agenda
-
Doornemen feedback van Den Bosch. Voornamelijk tekstueel maar ook de vraag waarom maar één Thrust Anchor -
Doornemen feedback van Rotterdam. -
Voorleggen delegation flow met tokens op basis van feedback afgelopen review -
Wat moeten we oppakken na Delegation? Policies? Logging? URL rewrites?
Acties:
-
Delen van de delegation flows met de community -
Bespreken delegation ontwerp opties met bron eigenaar
Woensdag 22/02/23
-
Doornemen feedback Geonovum (subject serial number -> peer id) -
Toelichten keuze tokens -
Doornemen hoe gaat NLX om met APIs waar clients worden geidentificeerd doormiddel van mTLS
Woensdag 08/03/23
-
Doornemen keuzes rondom logging
Woensdag 22/03/23
-
Bespreken feedback logging (https://commonground.gitlab.io/standards/fsc/logging/draft-fsc-logging-00.html) -
Laten zien REST + token flow
Woensdag 05/04/23
-
Informatie over delegatie opnemen in een JWT. Is dat een goed idee? FSC heeft deze informatie nodig om logrecords juist weg te schrijven. -
Client ID toevoegen TransactionLog die door de client gezet kan worden om log records te koppelen.
Woensdag 19/04/23
-
Keuze gemaakt om ECDSA algoritmes toe te voegen aan de standaard. De Probabilistic Signature Scheme hebben we niet opgenomen omdat deze ook niet worden ondersteund door gateways als Kong of Tyk. Is dat de juiste keuze? Het liefst ondersteunen wij zo min mogelijk algoritmes omdat dit de effort om technisch inoperabel te worden verkleint. -
JWKS endpoint gaan wij ondersteunen. Is het juist als wij voorschrijven dat dit enpoint aangeboden moet worden op /.well-known/jwks.json
? -
Test suite. Ons idee voorleggen. Een tool die de testen zelf uitvoert. De tool kan beschrijven welke scenarios de tool test. -
http status code 540 die nu gebruikt wordt voor NLX specifieke errors vervangen door iets anders. -
Public key fingerprint is DER, geen PEM.
Woensdag 03/05/23
-
JWKs endpoint opgenomen in de OAS -
De header Fsc-Error-Code toegevoegd -
Base64 URL encoding in plaats van string encoding -
Protocols opgenomen in Core. http/1.1 http/2.
Woensdag 17/05/23
-
Test suite toegevoegt -
In de standaard staat nu dat elke Manager de endpoints /peers en /services moet implementeren. Dus niet alleen de Directory. -
Public key fingerprint vervangen door certificate thumbprint in core.
Woensdag 31/05/23
-
JWKS met of zonder mTLS?
Woensdag 14/06/23
-
Een enkele certificate thumprint per Grant inplaats van meerdere -
Beschrijving van Peer name toegevoegd aan core en NL profiel -
Waarom geen OIDC ( #44 (comment 1426929449)) -
Waarom geen Dynamic Client Registration ( #44 (comment 1427589580)) -
Datum toevoegen aan handtekening
Woensdag 28/06/23
-
UUIDv8 gebruiken voor Txlog? -
Snakecase gebruiken in alle JSON objecten (OAS en signatures)
Woensdag 12/07/23
-
Gebruik Fsc-Grant header is niet meer verplicht voor de Outway. -
Volgens de standaard kon alleen de Outway een access token aanvragen. Dit is aangepast. Het enige wat nodig is om een access token aan te vragen is een certificaat met hetzelfde Peer ID als in de ServiceConnectionGrant
Woensdag 19/07/23
-
Manager Address uit PeerRegistrationGrant gehaald, /announce
endpoint toegevoegd
Woensdag 26/07/23
-
Manager Address uit PeerRegistrationGrant gehaald, /announce
endpoint toegevoegd -
Scheme en port nummmer toegevoegd -
Client credentials genoemd in het stukje 'obtaining access token' -
Gesprek gehad met Frank Terpstra en Heiko. Conclusie OpenID Connect niet relevant voor FSC omdat er geen user is. Misschien RFC 8693 wel relevant vanwege delegatie. -
Retry mechanisme wordt genoemd als een eis in de standaard, maar de details (periodes etc.) worden vastgelegd in het profiel.
Woensdag 09/08/23
-
Team op vakantie.
Woensdag 23/08/23
-
Voortgang referentie implementatie bespreken.
Woensdag 06/09/23
-
Conclusie onderzoek RFC Token Exchange bespreken. Zie #44 (comment 1533386174)
Woensdag 20/09/23
-
OIDC in Controller NL GOV Assurance Profile for OIDC Is dit profiel ook verplicht voor interne applicaties? Of alleen voor publieke omgevingen? Antwoord Martin: het is alleen verplicht bij 'het gebruik van federatieve authenticatiediensten'. Dat is bij ons niet aan de orde en dus niet verplicht om toe te passen.
Issue voor het NL profiel: #45
Woensdag 04/10/23
-
https://logius-standaarden.github.io/OAuth-NL-profiel/ -
feedback Den Bosch m.b.t het gebruik van certificaten om identiteit te bepalen.
Woensdag 18/10/23
-
Bespreken ontvangen feedback consultatie
Woensdag 1/11/23
-
Test suite uitgebreid met 3 extra tests, zie !131 (merged) -
APISIX demo door We Are FrankWe Are Frank is niet op komen dagen -
HTTP error codes die moeten worden gebruikt in combinatie met FSC error codes opgenomen in Core, zie !141 (merged) -
Feedback bespreken die we hebben gekregen op FSC NLX m.b.t de release policy. Max 2 major versies en 3 maanden support. Wij kregen feedback dat dit in strijd is met GIBIT die een minimum van 1 jaar support eist. Besproken met team Haven die zelf 3 maanden support bieden (en max 4 majors per jaar). Haven is bij veel grote gemeentes geimplementeerd (Utrecht, Amsterdam) en lopen niet tegen de 3 maanden eis aan. Daarnaast nemen zij de stelling aan dat gemeentes vaker moeten updaten. Eenmaal per jaar software updaten kan echt niet meer in 2023. -
Moet het inloopuur blijven bestaan in huidige vorm of worden aanpassingen op de standaard meegenomen tijdens de sprint review en wordt inloopuur gebruikt om vragen te stellen?
Edited by Ronald Koster