Wat is een serviceprovider (SP)?
In het domein van Identiteit en toegangsbeheer (Identity and access management, IAM) is een serviceprovider (SP) (of een relying party in de context van OpenID Connect (OIDC) ) een applicatie of dienst die vertrouwt op een Identiteitsprovider (Identity provider, IdP) voor authenticatie en autorisatie. Het is verantwoordelijk voor het leveren van diensten aan gebruikers en het handhaven van Toegangsbeheer (Access control) beleid op basis van de tokens uitgegeven door de identity provider.
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_IdP_SP_0' d='M183.609%2c45.222L203.266%2c41.018C222.922%2c36.815%2c262.234%2c28.407%2c291.719%2c26.002C321.203%2c23.597%2c340.859%2c27.195%2c359.86%2c30.672C378.86%2c34.149%2c397.205%2c37.507%2c406.377%2c39.185L415.55%2c40.864'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_IdP_SP_1' d='M183.609%2c64L203.266%2c64C222.922%2c64%2c262.234%2c64%2c291.719%2c64C321.203%2c64%2c340.859%2c64%2c359.849%2c64C378.839%2c64%2c397.161%2c64%2c406.323%2c64L415.484%2c64'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_IdP_SP_2' d='M183.609%2c82.778L203.266%2c86.982C222.922%2c91.185%2c262.234%2c99.593%2c291.719%2c101.998C321.203%2c104.403%2c340.859%2c100.805%2c359.86%2c97.328C378.86%2c93.851%2c397.205%2c90.493%2c406.377%2c88.815L415.55%2c87.136'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg transform='translate(301.546875%2c 20)' class='edgeLabel'%3e%3cg transform='translate(-86.71875%2c -12)' class='label'%3e%3cforeignObject height='24' width='173.4375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3cp%3eAuthenticeert gebruikers%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(301.546875%2c 64)' class='edgeLabel'%3e%3cg transform='translate(-56.03125%2c -12)' class='label'%3e%3cforeignObject height='24' width='112.0625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3cp%3eGeeft tokens uit%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(301.546875%2c 108)' class='edgeLabel'%3e%3cg transform='translate(-92.9375%2c -12)' class='label'%3e%3cforeignObject height='24' width='185.875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3cp%3eBiedt gebruikersinformatie%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(95.8046875%2c 64)' id='flowchart-IdP-0' class='node default'%3e%3crect height='54' width='175.609375' y='-27' x='-87.8046875' style='' class='basic label-container'/%3e%3cg transform='translate(-57.8046875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='115.609375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eIdentity Provider%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(541.96875%2c 64)' id='flowchart-SP-1' class='node default'%3e%3crect height='78' width='244.96875' y='-39' x='-122.484375' style='' class='basic label-container'/%3e%3cg transform='translate(-92.484375%2c -24)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='48' width='184.96875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eService Provider%3cbr /%3e(Application%2c Service%2c API)%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Standaarden voor serviceproviders
Er is geen strikte standaard voor serviceproviders, aangezien ze elke soort applicatie of dienst kunnen zijn die identiteitsbeheer vereist. Serviceproviders volgen echter vaak de standaarden die zijn vastgesteld door de identity provider waarop ze vertrouwen. Bijvoorbeeld, als de identity provider OpenID Connect (OIDC) ondersteunt, zal de serviceprovider doorgaans OIDC gebruiken voor authenticatie en autorisatie.
Architectuur van serviceproviders
De term “serviceprovider” specificeert geen bepaalde architectuur of implementatie. Meestal moeten serviceproviders geregistreerd zijn bij de identity provider om vertrouwen te vestigen en beveiligde communicatie mogelijk te maken. Het registratieproces omvat doorgaans het uitwisselen van metadata en client credentials.
In de context van OpenID Connect omvat de serviceprovider metadata bijvoorbeeld:
- Client ID: Een unieke identificator voor de serviceprovider.
- Client secret: Een gedeeld geheim dat wordt gebruikt om de serviceprovider te authenticeren.
- Redirect URIs : De URI’s waar de identity provider gebruikers na authenticatie en autorisatie naar terug zal leiden.
Zodra geregistreerd, kan de serviceprovider het Authenticatie (Authentication) proces starten door gebruikers naar de door de identity provider opgegeven endpoint te sturen.
Wanneer serviceproviders gebouwd zijn voor niet-interactieve use cases, worden ze vaak aangeduid als clients die Machine-tot-machine (machine-to-machine) communicatie vereisen.