Επισκόπηση διαδικασιών ταυτοποίησης στο Spotnana

Δημιουργήθηκε από Ashish Chaudhary, Τροποποιήθηκε στις Sun, 5 Οκτ στο 11:22 ΠΜ ανά Ashish Chaudhary

Επισκόπηση ροών ταυτοποίησης Spotnana

ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ

Επισκόπηση ροών ταυτοποίησης Spotnana
- Βασικά στοιχεία
- Υποστηριζόμενες μέθοδοι ταυτοποίησης

Η Spotnana προσφέρει διάφορες μεθόδους ταυτοποίησης, ώστε οι συνεργάτες να μπορούν να διασφαλίσουν ασφαλή διασύνδεση με την πλατφόρμα μας. Σε αυτό το έγγραφο θα βρείτε μια συνοπτική παρουσίαση των διαθέσιμων μεθόδων ταυτοποίησης που υποστηρίζει η Spotnana, μαζί με αναλυτικές επεξηγήσεις για τη ροή κάθε διαδικασίας. Οι διαφορετικές ροές ταυτοποίησης που παρουσιάζονται εδώ δείχνουν πώς η Spotnana ταυτοποιεί και εξουσιοδοτεί τους χρήστες για να έχουν πρόσβαση σε προστατευμένους πόρους της εταιρείας τους (δηλαδή, τους πόρους που ανήκουν στην εταιρεία του χρήστη στην πλατφόρμα Spotnana).

Βασικά στοιχεία

Πριν ξεκινήσετε, καλό είναι να διαβάσετε τις παρακάτω βασικές έννοιες και ορισμούς που θα συναντήσετε σε αυτό το έγγραφο.

Spotnana UI(Διεπαφή Χρήστη Spotnana) Αναφέρεται στη διαδικτυακή εφαρμογή της Spotnana (δηλαδή το Online Booking Tool) ή στη φορητή εφαρμογή της Spotnana. Συγκεκριμένα, αφορά τη σελίδα εισόδου, η οποία ενεργοποιεί τη ροή ταυτοποίησης όταν ο χρήστης συνδέεται ή δημιουργεί νέο λογαριασμό.
Διακομιστής Spotnana Αναφέρεται στον διακομιστή υποδομής της Spotnana που χρησιμοποιείται για σκοπούς ταυτοποίησης (π.χ. έγκριση πρόσβασης χρήστη σε πόρους, ασφαλής αποθήκευση και επεξεργασία στοιχείων χρήστη).
Διεπαφή Χρήστη Συνεργάτη (Partner UI) (Διεπαφή Χρήστη Συνεργάτη) Η εφαρμογή που χρησιμοποιούν οι συνεργάτες για να έχουν πρόσβαση στην πλατφόρμα Spotnana (δηλαδή, το frontend τους). Για παράδειγμα, στην ταυτοποίηση μέσω iFrame, η πλατφόρμα Spotnana ενσωματώνεται στη διεπαφή του συνεργάτη και οι χρήστες αποκτούν πρόσβαση μέσω αυτής.
Διακομιστής Συνεργάτη Αναφέρεται σε έναν ή περισσότερους διακομιστές που χρησιμοποιούν οι συνεργάτες μας για να διασυνδεθούν με τη Spotnana.
Spotnana IdP (Πάροχος Ταυτότητας Spotnana) Αναφέρεται στην εσωτερική υπηρεσία της Spotnana για διαχείριση ταυτότητας και εξουσιοδότηση χρηστών.
IdP Συνεργάτη Εξωτερικοί πάροχοι ταυτότητας (IdP) που χρησιμοποιούν οι συνεργάτες, όπως οι Google και Azure.
OBT Το Online Booking Tool (OBT) της Spotnana, το οποίο είναι διαθέσιμο στη διεύθυνση https://app.spotnana.com/
Subject token Στην ταυτοποίηση μέσω iFrame (ή ανταλλαγής διακριτικού), το subject token αντιπροσωπεύει την ταυτότητα του χρήστη. Αυτό το διακριτικό χρησιμοποιείται για την αναζήτηση των στοιχείων του χρήστη και την εξουσιοδότησή του στην πλατφόρμα Spotnana.
Access token Ένα διαπιστευτήριο (OAuth) που χρησιμοποιεί μια εφαρμογή συνεργάτη για να αποκτήσει πρόσβαση σε προστατευμένους πόρους εκ μέρους του χρήστη. Πρόκειται για ένα προσωρινό κλειδί εξουσιοδότησης που επιτρέπει στις εφαρμογές να κάνουν αιτήματα API χωρίς να εκθέτουν τα στοιχεία του χρήστη.
Refresh token Ένα διαπιστευτήριο μεγάλης διάρκειας που χρησιμοποιείται για την απόκτηση νέων access tokens χωρίς να απαιτείται εκ νέου ταυτοποίηση του χρήστη. Συνήθως εκδίδεται μαζί με το access token κατά την πρώτη είσοδο.
Client credentials Τα στοιχεία που παρέχονται στους χρήστες που συνδέονται απευθείας με τα API της Spotnana (δηλαδή ένα μοναδικό clientId και clientSecret).
PID (Προσωπικός Αναγνωριστικός Αριθμός) Ένας μοναδικός αναγνωριστικός αριθμός που δημιουργείται για τον χρήστη. Ο PID χρησιμοποιείται για την ανάκτηση των στοιχείων του χρήστη από τον διακομιστή της Spotnana.
orgId Ένας μοναδικός αναγνωριστικός αριθμός που αποδίδεται από τη Spotnana στον οργανισμό του χρήστη.
tmcId Ένας μοναδικός αναγνωριστικός αριθμός που αποδίδεται από τη Spotnana σε μια Εταιρεία Διαχείρισης Ταξιδίων (TMC).

Υποστηριζόμενες μέθοδοι ταυτοποίησης

Οι παρακάτω μέθοδοι ταυτοποίησης υποστηρίζονται από τη Spotnana:

Ταυτοποίηση με κωδικό πρόσβασης
- Υφιστάμενος χρήστης
- Νέος χρήστης
Ταυτοποίηση μέσω IdP
Ταυτοποίηση μέσω API
Ταυτοποίηση μέσω iFrame
Ταυτοποίηση με κωδικό εξουσιοδότησης
Ταυτοποίηση μεταξύ μηχανών (M2M)

Ταυτοποίηση με κωδικό πρόσβασης

Όταν χρησιμοποιείται ταυτοποίηση με κωδικό πρόσβασης, το Spotnana UI (δηλαδή η σελίδα εισόδου ή εγγραφής στο OBT) ξεκινά και διαχειρίζεται τη διαδικασία ταυτοποίησης με τους διακομιστές της Spotnana. Αυτή η μέθοδος περιλαμβάνει δύο διαφορετικές ροές, ανάλογα με το αν ο χρήστης συνδέεται με υπάρχον προφίλ ή δημιουργεί νέο. Οι δύο αυτές ροές περιγράφονται αναλυτικά παρακάτω με διαγράμματα ακολουθίας.

Υφιστάμενος χρήστης

Το παρακάτω διάγραμμα ακολουθίας και τα βήματα εξηγούν πώς το Spotnana UI επικοινωνεί με τις υπηρεσίες υποδομής για να ταυτοποιήσει έναν υφιστάμενο χρήστη.

Σχήμα: Διάγραμμα ακολουθίας που δείχνει τη διαδικασία ταυτοποίησης με κωδικό πρόσβασης για υφιστάμενους χρήστες.

Βήμα	Ροή
Ένας υφιστάμενος χρήστης συνδέεται στο OBT ή στη φορητή εφαρμογή Spotnana χρησιμοποιώντας το email του.
1	Το Spotnana UI στέλνει αίτημα API στον διακομιστή Spotnana για να λάβει τις ρυθμίσεις ταυτοποίησης του χρήστη. Το αίτημα περιλαμβάνει τα διαπιστευτήρια εισόδου του χρήστη. Η απάντηση περιέχει τα `tmcId`, `orgId`και το `authProviderType`του χρήστη.
2	Το Spotnana UI στέλνει αίτημα API στο Spotnana IdP χρησιμοποιώντας το `clientId`, το email και τον κωδικό πρόσβασης. Το Spotnana IdP δημιουργεί νέο bearer token και το επιστρέφει στο Spotnana UI. Με αυτό το βήμα ολοκληρώνεται η ταυτοποίηση του χρήστη.
3	Αφού ο χρήστης ταυτοποιηθεί στο βήμα 2, όλα τα επόμενα αιτήματα API πρέπει να περιλαμβάνουν το bearer token, το `orgId`και το `tmcId` στα headers του αιτήματος. Το bearer token ελέγχεται σε όλα τα εισερχόμενα αιτήματα API και η απάντηση αποστέλλεται πίσω στο Spotnana UI.

Νέος χρήστης

Το παρακάτω διάγραμμα ακολουθίας και τα βήματα εξηγούν πώς το Spotnana UI επικοινωνεί με τις υπηρεσίες υποδομής για να ταυτοποιήσει έναν νέο χρήστη (ή έναν υφιστάμενο χρήστη που προσπαθεί να επαναφέρει τον κωδικό του).

Σχήμα: Διάγραμμα ακολουθίας που δείχνει τη διαδικασία ταυτοποίησης με κωδικό πρόσβασης για νέους χρήστες.

Βήμα	Ροή
Ένας νέος χρήστης εισάγει το email του στη σελίδα εισόδου του Spotnana OBT και επιλέγει Επόμενο.
1	Το Spotnana UI στέλνει αίτημα API στον διακομιστή Spotnana για να λάβει τις ρυθμίσεις ταυτοποίησης του χρήστη. Το αίτημα περιλαμβάνει τα διαπιστευτήρια εισόδου του χρήστη. Η απάντηση περιέχει τα `tmcId`, `orgId`και το `authProviderType`του χρήστη.
1 α	Ο χρήστης εισάγει νέο κωδικό πρόσβασης και επιλέγει Επόμενο.
2	Το Spotnana UI στέλνει αίτημα API στο Spotnana IdP για εγγραφή του χρήστη μαζί με το `clientId`, το email και τον νέο κωδικό πρόσβασης. Αφού καταχωρηθούν τα στοιχεία, αποστέλλεται ένας προσωρινός κωδικός (OTP) στο email του χρήστη.
3	Ο χρήστης εισάγει τον OTP στο Spotnana UI και επιλέγει Επιβεβαίωση. Το Spotnana UI στέλνει αίτημα στο Spotnana IdP για επιβεβαίωση του OTP και δημιουργία bearer token για είσοδο. Το bearer token δημιουργείται και επιστρέφεται στο Spotnana UI. Αυτό σημαίνει ότι ο χρήστης ταυτοποιήθηκε επιτυχώς και μπορεί να έχει πρόσβαση στην πλατφόρμα Spotnana με το bearer token.
4	Αφού ο χρήστης ταυτοποιηθεί στο βήμα 3, όλα τα επόμενα αιτήματα API πρέπει να περιλαμβάνουν το bearer token, το `orgId`και το `tmcId` στα headers του αιτήματος. Το bearer token ελέγχεται σε όλα τα εισερχόμενα αιτήματα API και η απάντηση αποστέλλεται πίσω στο Spotnana UI.

Ταυτοποίηση μέσω IdP

Η Spotnana υποστηρίζει ταυτοποίηση μέσω παρόχων ταυτότητας όπως Google, Azure και προσαρμοσμένων IdP με OpenID Connect ή SAML. Το παρακάτω διάγραμμα και τα βήματα εξηγούν τη ροή ταυτοποίησης μέσω IdP.

Σχήμα: Διάγραμμα ακολουθίας που δείχνει τη ροή ταυτοποίησης μέσω IdP.

Βήμα	Ροή
Ο χρήστης συνδέεται στο OBT ή στη φορητή εφαρμογή Spotnana χρησιμοποιώντας το email του.
1	Το Spotnana UI στέλνει αίτημα API στον διακομιστή Spotnana για να λάβει τις ρυθμίσεις ταυτοποίησης του χρήστη. Το αίτημα περιλαμβάνει τα διαπιστευτήρια εισόδου του χρήστη. Η απάντηση περιέχει τα `tmcId`, `orgId`και το `authProviderType`του χρήστη.
2	Το Spotnana UI ανακατευθύνει το αίτημα στο Spotnana IdP.
3	Το Spotnana IdP ανακατευθύνει το αίτημα στον IdP του συνεργάτη. Έτσι ξεκινά η ταυτοποίηση μέσω IdP για τον χρήστη. Σημείωση: Σε κάθε ανακατεύθυνση, επιστρέφεται κωδικός κατάστασης 302 για να δηλωθεί ότι το αίτημα μεταφέρθηκε σε διαφορετική διεύθυνση.
4	Δημιουργείται σύνδεση μεταξύ του Spotnana IdP και του IdP του συνεργάτη, ώστε να διασφαλιστεί ότι ο χρήστης ταυτοποιείται από τον IdP του συνεργάτη. Σημείωση: Κατά τη σύνδεση αυτή, το Spotnana IdP αποστέλλει το `clientId` και το `clientSecret` ως δεδομένα τύπου form URL-encoded μέσω API στον IdP του συνεργάτη. Αν οι διακομιστές IdP δεν υποστηρίζουν αυτή τη μορφή, ο διακομιστής Spotnana μπορεί να λειτουργήσει ως διαμεσολαβητής και να μετατρέψει τα δεδομένα στη μορφή που απαιτεί ο IdP του συνεργάτη.
5	Ο IdP του συνεργάτη ταυτοποιεί επιτυχώς τον χρήστη. Σημείωση: Μετά από αυτό το βήμα, το προφίλ του χρήστη πρέπει να περάσει από έλεγχο του bearer token.
5 α	Μετά την επιτυχή ταυτοποίηση, η απάντηση από τον IdP του συνεργάτη αποστέλλεται στο Spotnana IdP.
5 β	Το Spotnana IdP δημιουργεί έναν μοναδικό κωδικό για το προφίλ του χρήστη και τον στέλνει στο Spotnana UI.
6	Το Spotnana UI στέλνει αίτημα API στο Spotnana IdP χρησιμοποιώντας το `clientID` και τον κωδικό που έλαβε στο βήμα 5(β). Το Spotnana IdP δημιουργεί νέο bearer token και το επιστρέφει στο Spotnana UI. Σημείωση: Η επιτυχής δημιουργία bearer token σημαίνει ότι ο χρήστης έχει ταυτοποιηθεί και μπορεί να έχει πρόσβαση στη Spotnana.
7	Αφού ο χρήστης ταυτοποιηθεί στο βήμα 6, όλα τα επόμενα αιτήματα API πρέπει να περιλαμβάνουν το bearer token, το `orgId`και το `tmcId` στα headers του αιτήματος. Το bearer token ελέγχεται σε όλα τα εισερχόμενα αιτήματα API και η απάντηση αποστέλλεται πίσω στο Spotnana UI.

Ταυτοποίηση μέσω API

Οι συνεργάτες που χρησιμοποιούν τα API της Spotnana για να συνδεθούν με την πλατφόρμα μπορούν να χρησιμοποιούν το endpoint ταυτοποίησης για να δημιουργούν bearer token για τους χρήστες τους. Το παρακάτω διάγραμμα δείχνει τη ροή ταυτοποίησης για κάθε συνεργάτη που χρησιμοποιεί αυτή τη μέθοδο.

Σχήμα: Διάγραμμα ακολουθίας που παρουσιάζει τη διαδικασία ταυτοποίησης μέσω API.

Βήμα Ροή

Βήμα	Ροή
1	Ο χρήστης API πραγματοποιεί μια κλήση POST στο endpoint `get-auth-token(clientId,clientSecret)` του διακομιστή Spotnana για να δημιουργήσει και να λάβει προσωρινό bearer token. Παράδειγμα εντολής cURL για το endpoint `get-auth-token` : curl -i -X POST \ https://api.spotnana.com/get-auth-token \ -H 'Content-Type: application/json' \ -d '{ "clientId": "sample-apiuser@tmcorg.com", "clientSecret": "<password>" }' Σημείωση: Αντικαταστήστε τα `clientId` και `clientSecret` με τα στοιχεία που έχετε λάβει από τη Spotnana.
2	Ο διακομιστής Spotnana καλεί τη μέθοδο `getToken(clientId,clientSecret)` στο Spotnana IdP, η οποία δημιουργεί προσωρινό `bearerToken` και το επιστρέφει στον διακομιστή Spotnana. Ο διακομιστής Spotnana στέλνει αυτό το bearer token ως απάντηση JSON στον χρήστη API.

Ο χρήστης API πραγματοποιεί μια κλήση POST στο endpoint get-auth-token(clientId,clientSecret) του διακομιστή Spotnana για να δημιουργήσει και να λάβει προσωρινό bearer token.

Παράδειγμα εντολής cURL για το endpoint get-auth-token :

curl -i -X POST \
https://api.spotnana.com/get-auth-token \
-H 'Content-Type: application/json' \
-d '{
  "clientId": "sample-apiuser@tmcorg.com",
  "clientSecret": "<password>"
}'

Σημείωση: Αντικαταστήστε τα clientId και clientSecret με τα στοιχεία που έχετε λάβει από τη Spotnana.

Ο διακομιστής Spotnana καλεί τη μέθοδο getToken(clientId,clientSecret) στο Spotnana IdP, η οποία δημιουργεί προσωρινό bearerToken και το επιστρέφει στον διακομιστή Spotnana.
Ο διακομιστής Spotnana στέλνει αυτό το bearer token ως απάντηση JSON στον χρήστη API.

Αφού ο χρήστης API λάβει το bearer token, όλα τα επόμενα αιτήματα προς τα API της Spotnana (π.χ. Trip APIs) πρέπει να περιλαμβάνουν το bearer token στα headers για εξουσιοδότηση.

Σημείωση: Το endpoint get-auth-token(clientId, clientSecret) έχει όριο 100 κλήσεων API ανά 5 λεπτά.

Ταυτοποίηση μέσω iFrame

Η λύση iFrame ή ενσωματωμένη λύση εφαρμόζεται όταν οι συνεργάτες ενσωματώνουν το Spotnana UI στη διεπαφή τους, ώστε οι χρήστες να έχουν πρόσβαση στη Spotnana μέσω του περιβάλλοντος του συνεργάτη. Σε αυτή τη ρύθμιση, η ταυτοποίηση του χρήστη γίνεται μέσω ανταλλαγής διακριτικών (token) μεταξύ των συστημάτων του συνεργάτη και της Spotnana.

Σημείωση: Στην ταυτοποίηση μέσω iFrame, ο χρήστης που συνδέεται θα αναφέρεται ως caller. Αυτό γίνεται για να καλύπτονται περιπτώσεις όπου ένας χρήστης API/μηχανής συνδέεται και ζητά access token για άλλον χρήστη. Ο χρήστης αυτός μπορεί να χρησιμοποιεί διαπιστευτήρια διαχειριστή TMC για άμεση σύνδεση με τον διακομιστή Spotnana. Για τον λόγο αυτό, χρησιμοποιούμε τον όρο caller ως γενικό όρο, που μπορεί να αναφέρεται είτε σε χρήστη που συνδέεται στο προφίλ του είτε σε API/μηχανή που ζητά access token για άλλον χρήστη.

Το παρακάτω διάγραμμα ακολουθίας δείχνει πώς γίνεται η ροή ταυτοποίησης μέσω ανταλλαγής διακριτικών μεταξύ Spotnana και διακομιστών συνεργάτη.

Σχήμα: Διάγραμμα ακολουθίας που δείχνει την ταυτοποίηση μέσω iFrame με ανταλλαγή διακριτικών.

Βήμα	Ροή
Ο caller συνδέεται μέσω του Partner UI.
1	Το Partner UI εμφανίζει το Spotnana UI μέσω iFrame.
2	Το Spotnana UI στέλνει αίτημα προς το Partner UI μέσω post message για να λάβει διακριτικά. Το αίτημα έχει τύπο `type=TOKEN_EXCHANGE_REQUEST`.
3	Το Partner UI στέλνει αίτημα API στον διακομιστή συνεργάτη για να λάβει το OAuth token, ξεκινώντας τα επόμενα βήματα της ροής ταυτοποίησης.
3 α	Ο διακομιστής συνεργάτη καλεί τον διακομιστή Spotnana χρησιμοποιώντας τα διαπιστευτήρια του χρήστη και το subject token ως παραμέτρους. Ο διακομιστής Spotnana ελέγχει αν το αίτημα προέρχεται από API/μηχανή.
3 β	Ο διακομιστής Spotnana καλεί τον διακομιστή συνεργάτη για να λάβει το email του subject (δηλαδή του caller). Το email ανακτάται και επιστρέφεται στον διακομιστή Spotnana, ώστε να γίνει ταυτοποίηση του χρήστη.
3 γ	Η απάντηση στο αίτημα API του βήματος 1 αποστέλλεται από τον διακομιστή Spotnana στον διακομιστή συνεργάτη και περιέχει το access token και το refresh token. Αυτά τα στοιχεία προωθούνται στη συνέχεια στο Partner UI.
4	Το Partner UI στέλνει το διακριτικό στο Spotnana UI μέσω post message με τύπο `type=TOKEN_EXCHANGE_RESPONSE.`
5	Το Spotnana UI στέλνει αίτημα API στον διακομιστή Spotnana για να δημιουργήσει και να λάβει νέο bearer token. Το bearer token δημιουργείται από τον διακομιστή Spotnana και επιστρέφεται στο Spotnana UI. Σημείωση: Η επιτυχής δημιουργία bearer token σημαίνει ότι ο χρήστης έχει ταυτοποιηθεί και μπορεί να έχει πρόσβαση στη Spotnana.
6	Αφού ο χρήστης ταυτοποιηθεί στο βήμα 3, όλα τα επόμενα αιτήματα API πρέπει να περιλαμβάνουν το bearer token, το `orgId`και το `tmcId` στα headers του αιτήματος. Το bearer token ελέγχεται σε όλα τα εισερχόμενα αιτήματα API και η απάντηση αποστέλλεται πίσω στο Spotnana UI.

Ταυτοποίηση με κωδικό εξουσιοδότησης

Το παρακάτω διάγραμμα ακολουθίας δείχνει πώς γίνεται η ροή ταυτοποίησης με χρήση κωδικού εξουσιοδότησης.

Σχήμα: Διάγραμμα ακολουθίας που δείχνει την ταυτοποίηση με χρήση κωδικού εξουσιοδότησης.

Βήμα	Ροή
1	Το Partner UI καλεί τον διακομιστή συνεργάτη για να λάβει τον κωδικό εξουσιοδότησης για τον caller που συνδέεται. Ο κωδικός εξουσιοδότησης επιστρέφεται στο Partner UI.
2	Το Partner UI στέλνει αίτημα στο Spotnana UI χρησιμοποιώντας προσαρμοσμένο redirect URL που περιέχει τα `tmcId` και `authCode` ως παραμέτρους.
3	Το Spotnana UI πραγματοποιεί κλήση POST API στον διακομιστή Spotnana χρησιμοποιώντας το endpoint `v2/auth/token/companies/<tmcId>(authCode)` .
3 α	Ο διακομιστής Spotnana στέλνει αίτημα στον διακομιστή συνεργάτη για να λάβει το `pid` του χρήστη με χρήση του auth code. Το `pid` του χρήστη ανακτάται και αποστέλλεται στον διακομιστή Spotnana.
3 β	Το access token και το refresh token δημιουργούνται από τον διακομιστή Spotnana και αποστέλλονται στο Spotnana UI.
4	Το Spotnana UI στέλνει αίτημα στον διακομιστή Spotnana χρησιμοποιώντας το access token και το refresh token για να δημιουργήσει και να λάβει bearer token για πρόσβαση. Το bearer token δημιουργείται και αποστέλλεται στο Spotnana UI. Σημείωση: Η επιτυχής δημιουργία bearer token σημαίνει ότι ο χρήστης έχει ταυτοποιηθεί και μπορεί να έχει πρόσβαση στη Spotnana.
5	Αφού ο χρήστης ταυτοποιηθεί στο βήμα 4, όλα τα επόμενα αιτήματα API πρέπει να περιλαμβάνουν το bearer token, το `orgId`και το `tmcId` στα headers του αιτήματος. Το bearer token ελέγχεται σε όλα τα εισερχόμενα αιτήματα API και η απάντηση αποστέλλεται πίσω στο Spotnana UI.

Σημείωση: Αυτή η ροή ταυτοποίησης δεν μπορεί να χρησιμοποιηθεί σε περιπτώσεις όπου ο διαχειριστής TMC επιτρέπει σε περισσότερους από έναν χρήστες να συνδέονται με το ίδιο email.

Ταυτοποίηση μεταξύ μηχανών (M2M)

Η μέθοδος ταυτοποίησης M2M είναι κατάλληλη όταν η ροή απαιτεί η εφαρμογή-πελάτης να προσπελάσει μια εξωτερική διεύθυνση (callback URL) για να δημιουργήσει το accessToken του χρήστη. Το παρακάτω διάγραμμα δείχνει τη ροή ταυτοποίησης M2M.

Σχήμα: Διάγραμμα ακολουθίας που δείχνει τη ροή ταυτοποίησης M2M.

Βήμα	Ροή
Τα δημόσια κλειδιά όλων των εφαρμογών που συμμετέχουν στη διαδικασία ταυτοποίησης συγχρονίζονται μεταξύ του διακομιστή Spotnana και του Spotnana IdP. Αυτά τα κλειδιά θα χρησιμοποιηθούν αργότερα για την επαλήθευση του access token κατά τη ροή ταυτοποίησης.
1	Ο διακομιστής συνεργάτη στέλνει αίτημα API στο `/oauth2/token(clientId,clientSecret)` του Spotnana IdP για να δημιουργήσει bearer token. Το νέο bearer token επιστρέφεται στον διακομιστή συνεργάτη.
2	Ο διακομιστής συνεργάτη στέλνει αίτημα API σε εξωτερική διεύθυνση (callback URL) για να δημιουργήσει access token για τον χρήστη. Το access token δημιουργείται και αποστέλλεται στον διακομιστή Spotnana.
3	Ο διακομιστής Spotnana επαληθεύει την υπογραφή του access token χρησιμοποιώντας τα δημόσια κλειδιά που συγχρονίστηκαν προηγουμένως. Ελέγχει επίσης το `claim_id` για να επιβεβαιώσει την ταυτότητα του συνεργάτη. Το access token αποστέλλεται στον διακομιστή συνεργάτη για να γίνει ταυτοποίηση του χρήστη.