Per capsulam beslut av SFTI Beredningsgrupp
Autentisering vid API för köparens kontroll av leverantörens artikelstatus.
Åtgärd
Beredningsgruppen beslutade att rekommendera att SFTI styrgrupp fastställer specifikationen för SFTI Item Availability Check API version 1.1 och SFTI API Authentication version 1.0 som SFTI.
Ansvarig/Kontakt
Kerstin Wiss Holmdahl för vidare till SFTI Styrgrupp.
SFTI Beredningsgrupp beslutade den 20 oktober 2020 att rekommendera SFTI styrgrupp att fastställa specifikationen av SFTI Item Availability Check Service version 1.0 som SFTI rekommendation. Beredningsgruppen önskade samtidigt att SFTI arbetsgrupp för API som fortsättningsaktivitet utvärderar en kompletterande metod för autentisering med högre säkerhet vid API-anrop.
SFTI styrgrupp fastställde SFTI Item Availability Check Service version 1.0 som SFTI rekommendation den 27 oktober 2020.
Arbete fortsatte inom SFTI arbetsgrupp för API i syfte att utvärderar en kompletterande metod för autentisering med högre säkerhet vid API-anrop.
Vid beredningsgruppens möte den 17 februari 2021 presenterades status i arbetsgruppen för API gruppen för kontroll av leverantörens artikelstatus och metoderna för autentiseringslösningar. De lösningar som diskuterades var Basic authentification och OAuth. Den senare lösningen var den som gruppen enades om att använda, för att kunna vidhålla en hög säkerhet vid API-anrop. Att införa OAuth autentisering skulle inte innebär någon betydande försening av implementeringen av själva API specifikationen i olika lösningar. Lösningar baserade på denna beräknas kunna var på plats efter sommaren 2021 förutsatt att det finns en specifikation för OAuth framtagen.
Arbete skulle därför göras under våren inom SFTI för att ta fram specifikation för tillämpning av OAuth vid API anrop.
Inför beredningsgruppens möte den 5 maj sändes specifikation för SFTI Item Availability Check API 1.1 och SFTI API Authentication 1.0_utkast ut för beslut.
SFTI API Authentication 1.0 är den nya, säkrare lösningen för autentisering vid användning av SFTIs API för kontroll av artikelstatus/- tillgänglighet. Autentiseringslösningen har lyfts ur tidigare specifikationen för SFTI Item Availability Check API. Den tidigare autentiseringens byggde på Basic authentification vilken nu har ersatts av den säkrare autentiseringslösningen OAuth. Att man nu även lyft ur autentiseringen möjliggör att den i framtiden kan användas separat vid nya framtagna API lösningar.
Vid beredningsgruppens möte den 5 maj riktades fråga om kravet på Full Check i specifikationen SFTI Item Availability Check API 1.1. I den nuvarande versionen av SFTI Item Availability Check Service finns två varianter av frågan - Simple Check och Full Check. För att avgöra vilken typ av fråga det gäller måste mottagaren (leverantören) kontrollera om två fält (Quantity and Requested delivery period) finns med eller inte i förfrågan. Om dessa är ifyllda är frågan en Full Check, annars Simple Check.
Frågan gäller därför om leverantör ska kunna ha möjlighet att bara stödja Simple Check. Specifikationen har inte något tydligt sätt att indikera vilken variant av frågan man ställer samt hur leverantören ska agera om man får en fråga man inte kan svara på.
Det bedömdes vid mötet att denna fråga behöver utredas men att ett beslut kring det skulle kunna fattas på handlingarna (per capsulam).
Beredningsgruppen beslutade därför vid mötet den 5 maj att det skulle utredas hur hanteringen av de två varianterna, Simple Check respektive Full Check ska göras. Förslag till hur detta kan lösas sänds ut till beredningsgruppen för per capsulam beslut som sedan kan ligga till grund för styrgruppens beslut om specifikationen för SFTI Item Availability Check API och SFTI API Authentication.
Hanteringen av hur hanteringen av de två varianterna, Simple check respektive Full check ska göras har nu utretts efter möten i arbetsgruppen.
Arbetsgruppen har bedömt att befintlig version ska kompletteras, se versionen ”SFTI Item Availability Check API 1.1_utkast ”. I arbetsgruppen finns företrädare för offentliga köpare, leverantörer samt systemleverantörerna på köparsidan, CGI, Unit4 samt Visma.
Den kompletterade versionen av specifikationen är sedan utsänd för granskning dels av arbetsgruppen ytterligare en omgång, dels av beredningsgruppen. Sista dag för att inkomma med synpunkter var den 18 juni.
Synpunkter eller frågor avseende den nya versionen av SFTI Item Availability Check API 1.1 har inte inkommit.
Beredningsgruppen har därför tillskrivits med fråga om rekommendation att fastställa specifikationerna ifråga som SFTI och svar har erhållits från ledamöter med bifall till frågan.
Med ledning av arbetsgruppens utarbetade förslag, remissomgång till beredningsgruppen och därefter uttrycklig fråga till beredningsgruppen samt tidigare handläggning i beredningsgruppen med inriktning att per capsulam beslut är tillräckligt finns nu underlag för beslut av beredningsgruppen.
Beslut
Beredningsgruppen beslutar att rekommendera styrgruppen att fastställa specifikationen av SFTI Item Availability Check Service version 1.1 och SFTI API Authentication 1.0 som SFTI-rekommendation.
Ulrika Steidler
Ordförande
Kerstin Wiss Holmdahl
Sekreterare