อนุญาตให้เฉพาะบางผู้ใช้บริการ API หรือ เฉพาะ IP Address, Domain หรือ กลุ่มผู้ใช้บริการเท่านั้นที่เรียกใช้ API ได้
ป้องกันไม่ให้มีการโจมตี API จากผู้ใช้งานที่ไม่พึงประสงค์ ก่อนที่คำขอไปถึงยัง ระบบสารสนเทศที่ให้บริการ API
กำหนดจำนวนการเรียกใช้ API เพื่อป้องกันการโจมตีจากผู้ใช้บริการที่ไม่พึงประสงค์และลดโหลดของระบบสารสนเทศที่ให้บริการ API
สุดท้ายคือ ต้องทำการลงทะเบียน API พร้อมสร้างคู่มือการเรียกใช้งาน API ไว้ที่ Service Catalog ของ TGIX Service Operation Center (SOC) ซึ่งดูแลโดยผู้ให้บริการ TGIX Platform
สถาปัตยกรรมในส่วน “ผู้ใช้บริการข้อมูล”
ว่าด้วยเรื่อง สถาปัตยกรรมของส่วนผู้ใช้บริการข้อมูล ระบบสารสนเทศของหน่วยงานที่ใช้บริการ API ต้องพัฒนาแอปพลิเคชันเรียกใช้ข้อมูลแบบ REST API Client โดยมีข้อกำหนดตามมาตรฐานเช่นเดียวกับผู้ให้บริการข้อมูล และต้องทำข้อตกลงการใช้บริการ API (API Service Agreement) กับผู้ให้บริการ API ที่ TGIX Service Operation Center (SOC)
Service Operation Center (SOC) คือ ระบบอำนวยการกลางการเชื่อมโยงและแลกเปลี่ยนข้อมูล ทำหน้าที่ในการจัดการและกำกับดูแลให้การเชื่อมโยงและแลกเปลี่ยนข้อมูลภาครัฐให้เป็นไปตามมาตรฐาน TGIX มีบริการย่อย ดังต่อไปนี้
บริการรายชื่อของ API (Service Catalog) เกิดจากผู้ให้บริการมาลงทะเบียนข้อมูล API และ Endpoint URL ไว้และอนุญาตให้สมาชิกในกลุ่ม TGIX ค้นหาเพื่อเรียกดูรายชื่อของ API ได้
บริการจัดทำข้อตกลง (Service Agreement) หรือสัญญา (Service Contract) ระหว่างผู้ให้บริการข้อมูลและผู้ใช้บริการข้อมูลเกี่ยวกับการใช้งาน API
การยืนยันตัวตนด้วยมาตรฐาน Open ID Connect เป็นมาตรฐานที่ทำงานร่วมกับมาตรฐาน OAuth 2.0
การควบคุมสิทธิในการเข้าถึง ข้อกำหนดในส่วนนี้มีจุดประสงค์เพื่อให้ผู้ให้บริการมั่นใจว่า ระบบหรือบุคคลที่จะเข้าถึง API ได้นั้นเป็นผู้ที่ได้รับอนุญาตเท่านั้น โดยหลังจากผู้ให้บริการตรวจสอบว่าผู้ใช้บริการยืนยันตัวตนผ่านแล้ว จึงตรวจสอบต่อไปว่าผู้ใช้บริการมีรายชื่ออยู่ใน API User Account Service และได้ลงทะเบียนใช้บริการ API ที่ร้องขอไว้ ผ่านระบบพิสูจน์และยืนยันตัวตน (Identity Provider) บน TGIX เป็นที่เรียบร้อย เมื่อยืนยันว่าผู้ใช้บริการมีสิทธิในการเข้าถึง API นั้นๆ แล้วจึงทำการอนุญาตและส่งบริการ API กลับไปยังผู้ขอใช้บริการ
การบริหารจัดการบัญชีการใช้งาน เป็นข้อกำหนดแนวทางปฏิบัติให้มีความปลอดภัยทั้งระหว่างการจัดเก็บและการรับส่งข้อมูลสำหรับทั้งผู้ให้บริการ ผู้ใช้บริการ และหน่วยงานผู้บริการ TGIX Platform โดยแบ่งออกเป็น 3 กลุ่ม ตามประเภทของการยืนยันตัวตน คือ บัญชีใช้งานประเภท API Key ใช้สำหรับการยืนยันตัวตนด้วย API Key บัญชีใช้งาน Identity Provider ที่รองรับมาตรฐาน OAuth 2.0 และบัญชีใช้งาน Identity Provider ที่รองรับมาตรฐาน Open ID Connect
รูปแบบข้อมูล คือ โครงสร้างการรับส่งข้อมูลระหว่างผู้ใช้บริการ API และผู้ให้บริการ API ซึ่งกำหนดให้ใช้เป็นโครงสร้าง TGIX JSON Data Format ตามมาตรฐาน TGIX
จากนั้นแอปพลิเคชันหน่วยงาน A จะส่งคำร้องขอใช้บริการไปยังหน่วยงาน B ซึ่งเป็นผู้ให้บริการ หน่วยงาน B ทำการตรวจสอบการยืนยันตัวตนและสิทธิการเข้าถึงและการใช้บริการ API ของหน่วยงาน A (ข้อกำหนดด้านการยืนยันตัวตน การควบคุมสิทธิ และบัญชีการใช้งาน) ผ่านระบบระบบพิสูจน์และยืนยันตัวตน (Identity Provider) ของ TGIX และตรวจสอบว่ามีลายเซ็นดิจิทัลแนบมาพร้อมเข้ารหัสข้อมูล (ข้อกำหนดด้านความน่าเชื่อถือและความมั่นคงปลอดภัย) เมื่อข้อมูลถูกต้อง หน่วยงาน B จึงอนุญาตและส่งข้อมูลที่แอปพลิเคชันหน่วยงาน A ร้องขอมากลับไปยังหน่วยงาน A ซึ่งจะได้รับสิทธิในการเข้าถึงข้อมูล และสิทธิที่ได้นี้จะใช้งานได้ภายในระยะเวลาที่กำหนด (Session) พร้อมลงบันทึกการใช้งานของแอปพลิเคชันจากหน่วยงาน A ไว้ในระบบ (ข้อกำหนดด้านการตรวจสอบระบบและการลงบันทึกล็อก)
สำหรับหน่วยงานภาครัฐใดที่ต้องการเชื่อมโยงแลกเปลี่ยนหรือให้บริการข้อมูลในรูปแบบมาตรฐาน TGIX ต้องปรับแต่งคุณสมบัติในส่วนของ API ในส่วนการให้บริการหรือการเรียกใช้งานของหน่วยงานให้เป็นรูปแบบตามข้อกำหนดทั้ง 5 ด้านดังกล่าว