Architektur
Vorbild der «API-Integration» ist das Multibanking-Verfahren der Open-Banking-Plattform bLink von SIX: diese ermöglicht bereits heute die Verwaltung mehrerer Konten unterschiedlicher Banken über eine Plattform (d.h. aus einer E-Banking-Lösung heraus).
Vereinfachter Ablauf
- Eine versicherte Person loggt sich in das Portal des sog. Service Consumers ein.
- Dort werden ihm die möglichen Service Providers aufgelistet, welche die Funktionalität «API-Integration» zur Verfügung stellen.
- Nach der Auswahl des entsprechenden Providers wird die versicherte Person auf die Authentisierungs-Seite des Service Providers umgeleitet.
- Nach erfolgreicher Authentisierung landet die versicherte Person auf einer dedizierten Consent-Seite, auf welcher sie explizit bestätigen muss, dass sie den Service Consumer berechtigt, ihre Daten vom Service Provider abzurufen.
- Nach der Consent-Erteilung wird die versicherte Person auf die Ausgangsseite des Service Consumers zurückgeleitet. Ausgestattet mit einem OAuth-Authorisierungscode kann dieser nun die Vorsorgeberechnungsdaten abrufen und diese in zusammen mit seinen eigenen Daten in eine Gesamt-Vorsorgebetrachtung integrieren und präsentieren.
Voraussetzungen
Das Consent-Management-Verfahren basiert auf einem standardisierten OAuth 2.0 Token Exchange Flow. Dieser muss sowohl vom Service Consumer als auch vom Service Provider für ihre jeweiligen Zuständigkeiten unterstützt werden.
Das Vorgehen entspricht weitgehend dem Multibanking-Verfahren der Open-Banking-Plattform bLink von SIX.
Dieses Verfahren implementiert einen OAuth 2.0 Token Exchange Flow. Die Umsetzung desselben ist relativ anspruchsvoll, so dass am besten auf bestehende Drittkomponenten zurückgegriffen wird, welche OAuth. bereits unterstützen. Sogenannte CIAM-Lösungen (Customer Identity and Access Management) sind dazu geeignet. Ein Beispiel hierfür stellt die Lösung Keycloak dar.
Ablauf
Quelle:
