Architectuurscan OO API v4

Uit ROSA Wiki
Versie door Jvanes (overleg | bijdragen) op 4 feb 2021 om 11:28
Naar navigatie springen Naar zoeken springen


De architectuurscan is uitgevoerd op 18 januari 2021. Zie voor meer informatie, waaronder de adviezen die naar aanleiding van de scan door de Architectuurraad zijn uitgebracht, het adviesdeel en het [ bevindingendeel].

ROSA onderdeelBevindingen uit project: OO APIRelatie met ROSA (Groen: ROSA, geel: OO API)
Werkingsgebied
Onbepaald.png

Onbepaald - De OOAPI v4 heeft alleen betrekking op het Hoger Onderwijs werkingsgebied van de ROSA volgens de pitch, maar uit de vorige ROSA scan van 2018 blijkt dat dit werkingsgebied later mogelijk verbreed kan worden. Er wordt in de documentatie gesproken over onderwijsgegevens in het algemeen. (zie bijvoorbeeld: https://www.surf.nl/stimuleringsregeling-uitwisselen-van-onderwijsaanbod-data-weer-gestart)

Het is onbekend of het steeds de ambitie is het werkingsgebied uit te breiden.

Toepassingsgebied
Compliant.png

Compliant - Van inhoud van de verschillende onderdelen van de OOAPI v4. Specificatie valt af te leiden dat informatie gedeeld kan worden met raakvlak met de volgende ketenfuncties:
  • Onderwijsuitvoering;
  • Personeel en organisatie;
  • Onderwijshuisvesting;
  • Toetsen, examinering en oefening;

De OOAPI Specificatie bevat ook een datamodel en heeft daarom raakvlak met:

  • Informatieverwerking;
  • Informatiestandaardisatie;

De scope van de OOAPI omvat ook persoonsgegevens en daarom zijn ook verwachtingen rondom Identificatie en toegang en Informatiebeveiliging en privacy relevant.

Bovensectorale samenwerking
Onbepaald.png

Onbepaald - Volgens het pitch document is het werkingsgebied het HO, maar het wordt niet duidelijk uit de beschikbare documentatie of ambities om het werkingsgebied van de OOAPI te vergroten nog van kracht zijn.
IBP

In de vorige ROSA Scan uit 2018 werden 5 adviezen gegeven op het ontwerpgebied van IBP. Uit de beschikbare documentatie werd niet duidelijk Hoe deze adviezen zijn opgevolgd.

Volgens het artikel “Stimuleringsregeling Uitwisselen van onderwijsaanbod-data weer gestart” is SURF gestart met een pilot voorziening op basis van de OOAPI standaard, de OOAPI-gateway. Deze voorziening kan verzoeken gericht aan meerdere instellingen bundelen.

Ontwerpkader: Duidelijke eisen en verwachtingen: In de OOAPI specificatie v4 staan alleen maar GET endpoints, daarom zullen eisen en verwachtingen rondom integriteit van de data weinig raakvlak hebben met de OOAPI. Eisen en verwachtingen die te maken hebben met beschikbaarheid en vertrouwelijkheid zouden wel relevant zijn, want volgens de OOAPI website kan niet alle onderwijsdata publiek toegankelijk zijn (zie https://openonderwijsapi.nl/ kopje “samenwerken aan standaardisatie”). Voor afnemers en onderwijsinstellingen is het belangrijk om te weten welke gegevens publiek toegankelijk zijn. De gescande documenten bevatten geen duidelijke eisen en verwachtingen op het gebied van beschikbaarheid en vertrouwelijkheid van deze gegevens.

Nonconformant.png

Explain - Het IBP ROSA ontwerpkader over duidelijke eisen en verwachtingen richting de keten is onvoldoende gerealiseerd.

In de beschikbare documentatie worden geen duidelijke eisen en verwachtingen benoemd met betrekking tot beveiliging en vertrouwelijkheid van gegevens die met de OOAPI worden uitgewisseld.

IAA

Ontwerpkader: Voortbouwen op bestaande federaties:

Op de OOAPI website (Bron) wordt onder ‘Samen werken aan Standaardisatie’ aangegeven dat de OOAPI SURFconext ondersteunt. SURFconext levert authenticatie maar geen autorisatie. Het wordt uit de documentatie niet duidelijk wie de autorisatie verzorgt, en op basis waarvan.

Onbepaald.png

Onbepaald - Zoals te lezen onder het kopje “SAMEN WERKEN AAN STANDAARDISATIE” op de OOAPI website, kan gebruik worden gemaakt van SURFConext voor authenticatie. De richtlijnen voor autorisatie bij de OOAPI zijn niet terug te vinden in beschikbare documentatie en daarom onbepaald.
Gegevensuitwisseling in de keten

Ontwerpkader: Gebruik Edukoppeling voor vertrouwelijke gegevensuitwisseling:

Uit de documentatie wordt niet duidelijk of de OO API in lijn is met Edukoppeling. Wel implementeert v4 de API de nederlandse API strategie. (Bron: Change logs op GitHub) Het Edukoppeling REST profiel is een profiel op basis van de Nederlandse API strategie. Het is onduidelijk in hoeverre hierop wordt aangesloten.

Ontwerpkader: Semantiek in berichtuitwisseling is traceerbaar:

Definities zijn toegevoegd aan v4. van de OOAPI specificatie. In het artikel over de stimuleringsregeling wordt gesproken over betere aansluiting op ontwikkelingen van RIO voor het HO. Daarnaast zijn er ook raakvlakken met HOVI. Het is onduidelijk in hoeverre de (gegevens)definities onderling zijn afgestemd of (bewust) afwijken.

Nonconformant.png

Explain - De semantiek van begrippen binnen de OOAPI specificatie is niet traceerbaar naar andere begrippenkaders binnen de onderwijsketen.

Het is onbepaald in hoeverre de OOAPI in lijn is met het Edukoppeling REST profiel.

Governance

Bewaak relaties met andere afspraken:

Uit de beschikbare documentatie wordt niet duidelijk hoe relaties worden bewaakt met andere afspraken zoals RIO en de HOVI.

Breng groepen belanghebbende in kaart:

In de beschikbare documentatie staat niet omschreven welke groepen belanghebbende er bestaan bij de OOAPI.

Onbepaald.png

Onbepaald - Uit de beschikbare documentatie wordt niet duidelijk hoe relaties worden bewaakt met andere overlappende afspraken zoals RIO en de HOVI.

Er wordt wel gesproken over afstemming met RIO voor HO in het artikel over de stimuleringsregeling (Zie bron; onder kopje “Open Onderwijs API – de standaard voor het open delen van onderwijsdata”).

Ketenprocessen
Onbepaald.png

Onbepaald - De OOAPI specificatie maakt niet expliciet welke ketenprocessen door de OOAPI bediend moeten kunnen worden, in het bijzonder of er alleen sprake is van ontsluiting-/inzageprocessen (richting apps) of dat het gebruik van de OOAPI ook beoogd wordt voor administratieve processen (e.g., uitwisseling van gegevens tussen toetssysteem en SIS, etc.)
Zeggenschappen en gegevenssoorten
Onbepaald.png

Onbepaald - De zeggenschappen die partijen hebben ten aanzien van gegevens die via de OOAPI worden ontsloten, zijn niet uitgewerkt.
Bouwstenen en voorzieningen
Onbepaald.png

Onbepaald - De OOAPI is een API specificatie voor gegevensuitwisseling tussen verschillende systemen. De API wordt gerealiseerd door een (pilot) OOAPI Gateway die door SURF wordt gerealiseerd en die OOAPI-verzoeken gericht aan meerdere instellingen kan bundelen.

Er is een relatie tussen informatie die wordt ontsloten door middel van de OOAPI, informatie die vastgelegd wordt in de RIO registratie, en informatie die in de HOVI database is opgenomen. De inhoudelijke en technische samenhang tussen deze systemen is uit de documentatie onbekend.

Beheer en (door)ontwikkeling

Uit de beschikbare documentatie werd niet duidelijk wat er met adviezen uit de ROSA scan van 2018 is gedaan.

N.v.t. -


De afspraak beschrijft het data-formaat, semantiek en syntax waaraan voldaan dient te worden zodat onderwijsinstellingen informatie beschikbaar kunnen stellen aan externen: dit betreft: persoonsgegevens, faculteitsgegevens, onderwijsafdelingen, onderwijsplannen, cursusgroepen, cursussen, cursusresultaten, toets resultaten, gebouwen, ruimtes, roostergegevens, nieuwskanalen en nieuwsitems. Ontwikkelaars integreren deze data vervolgens in nieuwe applicaties.