Hægt er að fara margar leiðir til að aðgangsstýra vefþjónustum en það fer aðallega eftir því hvernig kerfi munu kalla í vefþjónustuna og eðli gagnanna sem vefþjónustan vinnur með.

• Ef vefþjónustan þarf aðeins kerfisauðkenningu (e. machine to machine) þá er Straumurinn mjög góð lausn. Ef Straumurinn er eina aðgangsstýring vefþjónustunnar þá ættu samskipti að vera dulkóðuð endanna á milli með HTTPS og gagnkvæmri auðkenningu (mTLS)

• Annar valmöguleiki er að útfæra kerfisauðkenningu með aðgangslyklum (e. access tokens). Fyrirspurnarkerfið kallar í miðlægan auðkenningarþjón með kerfisauðkenningu (client credentials) og fær aðgangslykil sem hann sendir með fyrirspurnum á vefþjónustuna. Auðkenningarþjónn Ísland.is styður meðal annars kerfisauðkenningar.

• Ef vefþjónustan á einnig að auðkenna endanotendur, t.d. til að stýra aðgang að viðkvæmum upplýsingum, þá er best að nota aðgangslykla frá auðkenningarþjón Ísland.is. Hægt að rekja þannig fyrirspurnir niður á endanotendur sem eru sannanlega auðkenndir með rafrænum skilríkjum. Eins býður þessi aðgangsstýring upp á umboð (foreldra, prókúruhafa o.s.frv.) og aðgangsheimildir (e. consent).

Við mælum með því að notast bæði við aðgangslykla og Strauminn.

Aðgangur að gögnum

Til að fá aðgang að vefþjónustum í Straumnum þarf að hafa samband við ábyrgðaraðila vefþjónustunnar.

Aðgangi að vefþjónustum er stýrt í gegnum stjórnborð Straumsins en ábyrgðaraðili vefþjónustunnar sér um að veita stofnunum og fyrirtækjum aðgang að þeim. Til að fá aðgang að vefþjónustu í gegnum Strauminn þurfa báðir aðilar að vera með X-road öryggisþjón. Þetta á bæði við um þann sem á vefþjónustuna og þann sem nýtir sér hana.