Token specificaties - 0.7.x

MedMij tokens

Inhoud en formaat van het MedMij access_token

AOF.TS.MAT.100.v1

Het MedMij access_token is een JWT, die bestaat uit een header, een payload en een signature, waarbij gebruik wordt gemaakt van JWS Compact Serialization.

AOF.TS.MAT.150.v1

De header van het token bevat de volgende attributen:

Claim	Vaste waarde	Toelichting
alg	RS256
typ	mat+JWT	"mat" is een afkorting voor MedMij access_token
kid	-	The identifier of the key-pair used to sign this JWT

AOF.TS.MAT.200.v1

Het access_token wordt op basis van RS256 (RSA Signature met SHA-256), digitaal ondertekend met de private key van de Autorisatie Server. De signature wordt geplaatst over de header en de payload.

AOF.TS.MAT.300.v1

Het access_token bevat de volgende payload:

Claim	Vaste waarde	Toelichting
jti	-	Unieke ID van het token
ver	1.0	De versie van de tokendefinitie die wordt gehanteerd
iss	-	HTTPS-URL van de Autorisatie Server voor deze versie van het MedMij afsprakenstelsel (interfaceversie)
exp	-	Gelijk aan de waarde van expires_in in het access token response bericht
scope	-	Gelijk aan de scope in het access token response bericht. Wanneer een access_token wordt gegenereerd t.b.v. een interne $is-allowed operation tussen Autorisatie Server en Resource Broker, dan wordt de scope gevuld met $is-allowed/ gevolgd door de scope in het access token response bericht Bijvoorbeeld: "$is-allowed/eenofanderezorgaanbieder~42"

AORTA tokens

Inhoud en formaat van het AORTA stelseltoken

AOF.TS.AST.100.v1

Het AORTA stelseltoken is een JWT, die bestaat uit een header, een payload en een signature, waarbij gebruik wordt gemaakt van JWS Compact Serialization.

AOF.TS.AST.150.v1

De header van het token bevat de volgende attributen:

Claim	Vaste waarde	Toelichting
alg	RS256
typ	aorta-st+JWT	"aorta-st" is een afkorting voor AORTA stelseltoken
x5c	-	De van toepassing zijnde keten van PKIX certificaten. Deze dient te worden gebruikt om de signature van het token te valideren.

AOF.TS.AST.200.v1

Het token wordt op basis van RS256 (RSA Signature met SHA-256), digitaal ondertekend met de private key van de AORTA Stelselnode. De signature wordt geplaatst over de header en de payload.

AOF.TS.AST.300.v3

Het token bevat de volgende payload:

Claim	Cardinaliteit	Vaste waarde	Toelichting
jti	1..1	-	Unieke ID van het token
ver	1..1	1.0	De versie van de tokendefinitie die wordt gehanteerd
iss	1..1	-	HTTPS-URL van de AORTA Stelselnode
server	0..n	-	Server object met subclaims. Eén object per server in het AORTA-stelsel.
server.role	1..1	-	String met de functionele rol van de server. Let op: een server met dezelfde rol kan met verschillende base-URL's meerdere keren voorkomen.
server.base	1..1	-	Base-URL van de server, bijv. https://<FQDN>/broker/fhir.

Onderstaande tabel toont welke servers zijn opgenomen in het token:

Role	Role-ID	Opgenomen in stelseltoken	Toelichting
as_za	100	ja	Autorisatie Server ZA
map	120	nee	Medisch Autorisatie Protocol Server
as_mm	150	ja	Autorisatie Server MedMij
rb_za_in	200	ja	Resource Broker ZA-in
rb_mm_in	250	ja	Resource Broker MedMij-in
rb_log	300	nee	Resource Broker LOG
rb_vnc	400	ja	Resource Broker VnC
rb_vwi	500	nee	Resource Broker VWI
rb_act	550	nee	Resource Broker Actualiteitsregister
rb_sds	600	nee	Resource Broker SDS
rb_apr	620	ja	Resource Broker APR
adds	640	ja	Adressering Server
tds	700	nee	Transformatiedienst Server

GBP-tokens

SAML DigiD token

Zie de IH Berichtauthenticatie met DigiD in de AORTA documentatie.

GBK-tokens

SAML PKIo Authenticatietoken

AOF.TS.PAT.100.v2

Het PKIo Authenticatietoken is een SAML Assertion en bevat de volgende elementen en attributen:

Element/@Attribuut	Cardinaliteit	Vaste waarde	Toelichting
@ID	1..1	-	Unieke identificatie van de Assertion
@Version	1..1	"2.0"	Gebruikte SAML versie
@IssueInstant	1..1	-	Tijdstip van uitgifte van de Assertion.
Issuer	1..1	-	AppID van de initiërende GBK-applicatie. Formaat: "urn:oid:2.16.840.1.113883.2.4.6.6.<applicatie-id>"
Issuer.@Format	1..1	"urn:oasis:names:tc:SAML:2.0:nameid-format:entity"
Subject.NameID	1..1	-	Bevat het serienummer van het certificaat, waarmee de Assertion is ondertekend. Formaat: "urn:cert:issuersn:CN=<common name>;<serienummer>" Zie ook: A Uniform Resource Name (URN) Namespace for Certificates.
Conditions.@NotBefore	1..1	-
Conditions.@NotOnOrAfter	1..1	-	Richtlijn voor het verschil tussen NotBefore en Boorwater is 5 minuten.
Conditions.AudienceRestriction.Audience	1..n	-	De volgende Audiences zijn altijd verplicht. De role van de Autorisatie Server ZA component, zoals benoemd in het AORTA Stelseltoken. Daarnaast verplicht bij interacties met een Resource Broker component: De role van de betreffende Resource Broker component, zoals benoemd in het AORTA Stelseltoken. Formaat: "urn:oid:2.16.840.1.113883.2.4.3.111.8.<role-id>"
AuthnStatement.@AuthnInstant	1..1	-	Tijdstip van authenticatie van de gebruiker (Subject).
AuthnStatement.AuthnContext.AuthnContextClassRef	1..1	"urn:oasis:names:tc:SAML:2.0:ac:classes:SmartcardPKI"
AttributeStatement	1..1		Zie onderstaande tabel.

AOF.TS.PAT.200.v4

In het AttributeStatement zijn de volgende Attributen opgenomen:

@Name	Cardinaliteit	Vaste waarde	Toelichting
@Name	Cardinaliteit	AttributeValue
"patientIdentifier"	0..1	-	ID van de patient. Verplicht bij patiëntgebonden interacties. Anders afwezig. Formaat (één van de volgende): "urn:oid:2.16.840.1.113883.2.4.6.3.<BSN>" "urn:oid:2.16.840.1.113883.2.4.3.111.4.<Hash van BSN>" "urn:oid:2.16.840.1.113883.2.4.3.111.6.<COA nummer>"
“messageIdRoot”	1..1	"2.16.840.1.113883.2.4.3.111.15.4"
“messageIdExt”	1..1	-	De waarde van het requestID dat zal worden meegestuurd in de AORTA-ID HTTP header.
“InteractionId”	1..1	-	Het interactie-id wordt als volgt samengesteld: "<type FHIR-interactie>:<FHIR resourcetype>:<contentVersion>:<request/response>" waarbij mogelijke type FHIR-interacties zijn gedefinieerd in de FHIR specificaties. OF "$<operation naam>:<contentVersion>:<request/response>"
“contextCodeSystem”	1..1	"2.16.840.1.113883.2.4.3.111.15.1"
“contextCode”	1..1	-	De contextcode die aanduidt binnen welke (zorg)toepassing de FHIR-interactie word geïnitieerd, bijv. "LOG", of "ACT/VWI".

AOF.TS.PAT.300.v1

De Assertion bevat ook een Signature die is geplaatst met met behulp van de PKIo pas van de GBK-medewerker.

AOF.TS.PAT.400.v1

Met het PKIo Authenticatietoken wordt aan de ontvanger bewezen dat een bepaalde persoon of organisatie instaat voor de authenticiteit van een gegeven bericht.

GBZ-tokens

Inhoud en formaat van het SAML AORTA transactietoken

AOF.TS.ATT.100.v3

Het AORTA transactietoken voor berichtauthenticatie is een SAML Assertion en bevat de volgende elementen en attributen:

Element/@Attribuut	Cardinaliteit	Vaste waarde	Toelichting
@ID	1..1	-	Unieke identificatie van de Assertion
@Version	1..1	"2.0"	Gebruikte SAML versie
@IssueInstant	1..1	-	Tijdstip van uitgifte van de Assertion.
Issuer	1..1	-	URA van de initiërende organisatie, d.w.z. de organisatie aan de start van de keten. Formaat: "urn:oid:2.16.528.1.1007.3.3.<URA>"
Issuer.@Format	1..1	"urn:oasis:names:tc:SAML:2.0:nameid-format:entity"
Subject.NameID	1..1	-	Bevat zowel de UZI van de geauthentiseerde zorgverlener/medewerker alsmede diens rolcode. Formaat: "<UZI-nummer>:<UZI-rolcode>" Wanneer de handtekening is geplaatst met een servercertificaat, dan moet dit veld worden leeggelaten.
Subject.SubjectConfirmation.@Method	1..1	"urn:oasis:names:tc:SAML:2.0:cm:holder-of-key"
Subject.SubjectConfirmation.SubjectConfirmationData.KeyInfo.X509Data	1..1	-	X.509 serial van de UZI-pas (zorgverlener of medewerker op naam) of van het servercertificaat waarmee de handtekening is geplaatst.
Conditions.@NotBefore	1..1	-
Conditions.@NotOnOrAfter	1..1	-	Mag maximaal 1 minuut na @NotBefore liggen.
Conditions.AudienceRestriction.Audience	1..n	-	De volgende Audiences zijn altijd verplicht. De role van de Autorisatie Server ZA component, zoals benoemd in het AORTA Stelseltoken. Daarnaast verplicht bij interacties met een andere zorgaanbieder: URA of appID van het Reagerend GBZ, afhankelijk van of een interactie is gericht aan een organisatie of aan een specifieke applicatie. Daarnaast verplicht bij interacties met een Resource Broker component: De role van de betreffende Resource Broker component, zoals benoemd in het AORTA Stelseltoken. Formaat: urn:oid:2.16.840.1.113883.2.4.6.6.<applicatie-id>", of "urn:oid:2.16.528.1.1007.3.3.<URA>", of "urn:oid:2.16.840.1.113883.2.4.3.111.8.<role-id>"
AuthnStatement.@AuthnInstant	1..1	-	Tijdstip van authenticatie van de gebruiker (Subject) of applicatie.
AuthnStatement.AuthnContext.AuthnContextClassRef	1..1	Ingeval van ondertekening met pas: "urn:oasis:names:tc:SAML:2.0:ac:classes:SmartcardPKI" Ingeval van ondertekening met servercertificaat: "urn:oasis:names:tc:SAML:2.0:ac:classes:X509"
AttributeStatement	1..1		Zie onderstaande tabel.

AOF.TS.ATT.200.v3

In het AttributeStatement zijn de volgende Attributen opgenomen:

@Name	Cardinaliteit	Vaste waarde	Toelichting
@Name	Cardinaliteit	AttributeValue
"patientIdentifier"	0..1	-	ID van de patient. Verplicht bij patiëntgebonden interacties. Anders afwezig. Formaat (één van de volgende): "urn:oid:2.16.840.1.113883.2.4.6.3.<BSN>" "urn:oid:2.16.840.1.113883.2.4.3.111.4.<Hash van BSN>" "urn:oid:2.16.840.1.113883.2.4.3.111.6.<COA nummer>"
“messageIdRoot”	1..1	"2.16.840.1.113883.2.4.3.111.15.4"
“messageIdExt”	1..1	-	De waarde van het requestID dat zal worden meegestuurd in de AORTA-ID HTTP header.
“InteractionId”	1..1	-	Het interactie-id wordt als volgt samengesteld: "<type FHIR-interactie>:<FHIR resourcetype>:<contentVersion>:<request/response>" waarbij mogelijke type FHIR-interacties zijn gedefinieerd in de FHIR specificaties. OF "$<operation naam>:<contentVersion>:<request/response>"
“contextCodeSystem”	1..1	"2.16.840.1.113883.2.4.3.111.15.1"
“contextCode”	1..1	-	De contextcode die aanduidt binnen welke (zorg)toepassing de FHIR-interactie word geïnitieerd, bijv. "BGZ", of "ACT/VWI".
“autorisatieregel/context”	0..1	-	URI waar de autorisatieregel/context gevonden kan worden waarbinnen het mandaat gegeven wordt. Moet aanwezig zijn indien gebruik gemaakt is van een mandaat. Lokaal is vastgelegd dat een bepaald mandaat daadwerkelijk door een mandaatverlener is toegekend aan een bepaald persoon/systeem.
“applicationID”	1..1	-	ApplicatieID van de Resource Client (GBZ-applicatie). Formaat: "urn:oid:2.16.840.1.113883.2.4.6.6.<applicatie-id>"

AOF.TS.ATT.300.v1

De Assertion bevat ook een Signature die is geplaatst met met behulp van de UZI pas van de zorgverlener (Z) of de UZI medewerkerpas (N) van de medewerker. De handtekening dient geplaatst te zijn met behulp van het authenticatie certificaat op de pas. In het kader van "vereenvoudig gebruik UZI-pas", mag de handtekening ook gezet worden met het servercertificaat (S) van de applicatie.

AOF.TS.ATT.400.v1

Met het transactietoken voor berichtauthenticatie wordt aan de ontvanger bewezen dat een bepaalde persoon of organisatie instaat voor de authenticiteit van een gegeven bericht. Wanneer hierbij gebruik is gemaakt van een verleend mandaat, dan bevat het token ook de URI van de van toepassing zijnde mandaatregel.

Inhoud en formaat van het SAML AORTA mandaattoken

AOF.TS.AMT.100.v2

Het AORTA mandaattoken is een SAML Assertion en bevat de volgende elementen en attributen:

Element/@Attribuut	Cardinaliteit	Vaste waarde	Toelichting
@ID	1..1	-	Unieke identificatie van de Assertion
@Version	1..1	"2.0"	Gebruikte SAML versie
@IssueInstant	1..1	-	Tijdstip van registratie van het mandaat.
Issuer	1..1	-	De zorgverlener die het mandaat afgeeft. Formaat: "<UZI-nummer>:<UZI-rolcode>"
Issuer.@Format	1..1	"urn:oasis:names:tc:SAML:2.0:nameid-format:entity"
Subject.NameID	1..1	-	De Organisatie (URA) waarbinnen het mandaat geldig is. Formaat: "urn:oid:2.16.528.1.1007.3.3.<URA>"
Subject.SubjectConfirmation.@Method	1..1	"urn:oasis:names:tc:SAML:2.0:cm:sender-vouches"
Conditions.@NotBefore	1..1	-
Conditions.@NotOnOrAfter	1..1	-
Conditions.AudienceRestriction.Audience	1..n	-	De volgende Audiences zijn verplicht. De role van de Autorisatie Server ZA component, zoals benoemd in het AORTA Stelseltoken. AppID van de Resource Client (GBZ-applicatie). Formaat: "urn:oid:2.16.840.1.113883.2.4.3.111.8.<role-id>"
AttributeStatement	1..1		Zie onderstaande tabel.

AOF.TS.AMT.200.v1

In het AttributeStatement zijn de volgende Attributen opgenomen:

@Name	Cardinaliteit	Vaste waarde	Toelichting
@Name	Cardinaliteit	AttributeValue
"autorisatieregel/context"	1..1	-	URI waar de autorisatieregel/context gevonden kan worden waarbinnen het mandaat gegeven wordt.

AOF.TS.AMT.300.v1

De Assertion bevat ook een Signature die is geplaatst met met behulp van de UZI pas van de zorgverlener (Z).

Met een mandaattoken wordt aan de ontvanger bewezen dat een bepaalde persoon (mandaatverlener) lokaal in een GBZ een door een URI geïdentificeerde mandaatregel heeft vastgelegd, die geldig is binnen deze organisatie.

Inhoud en formaat van het SAML AORTA inschrijftoken

AOF.TS.AIT.100.v3

Het AORTA inschrijftoken is een SAML Assertion en bevat de volgende elementen en attributen:

Element/@Attribuut	Cardinaliteit	Vaste waarde	Toelichting
@ID	1..1	-	Unieke identificatie van de Assertion
@Version	1..1	"2.0"	Gebruikte SAML versie
@IssueInstant	1..1	-	Tijdstip van uitgifte van de Assertion.
Issuer	1..1	-	URA van de organisatie die de BSN-validatie heeft uitgevoerd. Formaat: "urn:oid:2.16.528.1.1007.3.3.<URA>"
Issuer.@Format	1..1	"urn:oasis:names:tc:SAML:2.0:nameid-format:entity"
Subject.NameID	1..1	-	Bevat het gevalideerde patiënt ID. Formaat (één van de volgende): "urn:oid:2.16.840.1.113883.2.4.6.3.<BSN>" "urn:oid:2.16.840.1.113883.2.4.3.111.6.<COA nummer>"
Subject.SubjectConfirmation.@Method	1..1	"urn:oasis:names:tc:SAML:2.0:cm:sender-vouches"
Subject.SubjectConfirmation.SubjectConfirmationData.KeyInfo.X509Data	1..1	-	X.509 serial van de UZI-pas (zorgverlener of medewerker op naam) waarmee de handtekening is geplaatst.
Conditions.@NotBefore	1..1	-
Conditions.@NotOnOrAfter	1..1	-	Mag maximaal 1,5 jaar na @NotBefore liggen
Conditions.AudienceRestriction.Audience	1..n	-	De volgende Audiences zijn verplicht. De role van de Autorisatie Server ZA component, zoals benoemd in het AORTA Stelseltoken. AppID van de Resource Client (GBZ-applicatie). Formaat: "urn:oid:2.16.840.1.113883.2.4.6.6.<applicatie-id>", of "urn:oid:2.16.840.1.113883.2.4.3.111.8.<role-id>"
AuthnStatement.@AuthnInstant	1..1	-	Tijdstip van BSN validatie. Dit mag t.b.v. het werkproces ook de ‘timestamp’ zijn van het moment van aanmaken van het inschrijftoken.
AuthnStatement.AuthnContext.AuthnContextClassRef	1..1	"urn:oasis:names:tc:SAML:2.0:ac:classes:SmartcardPKI"
AttributeStatement	1..1		Zie onderstaande tabel.

AOF.TS.AIT.200.v1

In het AttributeStatement zijn de volgende Attributen opgenomen:

@Name

Cardinaliteit

AttributeValue

Vaste waarde

Toelichting

"Uitvoerder"

1..1

Het UZI-nummer van de zorgverlener of medewerker die het token heeft ondertekend.

Formaat: "urn:oid:2.16.528.1.1007.3.1.<UZI-nummer>"

AOF.TS.AIT.300.v1

De Assertion bevat ook een Signature die is geplaatst met met behulp van de UZI pas van de zorgverlener (Z) of de UZI medewerkerpas (N) van de medewerker.

Met een inschrijftoken wordt aan de ontvanger bewezen dat een bepaalde persoon, binnen een bepaalde organisatie, een bepaald BSN heeft gevalideerd.

Inhoud en formaat van het SAML AORTA consent_token

AOF.TS.ACT.100.v2

Het AORTA consent_token is een SAML Assertion en bevat de volgende elementen en attributen:

Element/@Attribuut	Cardinaliteit	Vaste waarde	Toelichting
@ID	1..1	-	Unieke identificatie van de Assertion
@Version	1..1	"2.0"	Gebruikte SAML versie
@IssueInstant	1..1	-	Tijdstip van uitgifte van de Assertion.
Issuer	1..1	-	URA van de organisatie die de Assertion uitgeeft. Dit is tevens de organisatie waar de patiënt de toestemming aan heeft gegeven. Formaat: "urn:oid:2.16.528.1.1007.3.3.<URA>"
Issuer.@Format	1..1	"urn:oasis:names:tc:SAML:2.0:nameid-format:entity"
Subject.NameID	0..1	-	Bevat zowel de UZI van de geauthentiseerde zorgverlener/medewerker alsmede diens rolcode. Formaat: "<UZI-nummer>:<UZI-rolcode>" Wanneer de handtekening is geplaatst met een servercertificaat, dan moet dit veld worden weggelaten. Let op: vanaf AoF 0.8 vervalt voor dit token de optie om een handtekening te plaatsen met de UZI pas.
Subject.SubjectConfirmation.@Method	1..1	"urn:oasis:names:tc:SAML:2.0:cm:sender-vouches"
Subject.SubjectConfirmation. SubjectConfirmationData.KeyInfo.X509Data	1..1	-	X.509 serial van de UZI-pas (zorgverlener of medewerker op naam) of van het servercertificaat waarmee de handtekening is geplaatst.
Conditions.@NotBefore	1..1	-	Wordt bepaald door de (zorg)toepassing.
Conditions.@NotOnOrAfter	1..1	-	Wordt bepaald door de (zorg)toepassing.
Conditions.AudienceRestriction.Audience	1..n	-	De volgende Audiences zijn verplicht. De role van de Autorisatie Server ZA component, zoals benoemd in het AORTA Stelseltoken. Formaat: "urn:oid:2.16.840.1.113883.2.4.3.111.8.<role-id>"
AuthnStatement.@AuthnInstant	1..1	-	Tijdstip van uitgifte van de Assertion.
AuthnStatement.AuthnContext.AuthnContextClassRef	1..1	Ingeval van ondertekening met pas: "urn:oasis:names:tc:SAML:2.0:ac:classes:SmartcardPKI" Ingeval van ondertekening met servercertificaat: "urn:oasis:names:tc:SAML:2.0:ac:classes:X509"
AttributeStatement	1..1		Zie onderstaande tabel.

AOF.TS.ACT.200.v3

In het AttributeStatement zijn de volgende Attributen opgenomen:

@Name	Cardinaliteit	Vaste waarde	Toelichting
@Name	Cardinaliteit	AttributeValue
"patientIdentifier"	1..1	-	Het ID van de patiënt, d.w.z. de persoon waarop de gegevens, waarvoor deze consent wordt verstrekt, betrekking hebben. Formaat (één van de volgende): "urn:oid:2.16.840.1.113883.2.4.6.3.<BSN>" "urn:oid:2.16.840.1.113883.2.4.3.111.4.<Hash van BSN>" "urn:oid:2.16.840.1.113883.2.4.3.111.6.<COA nummer>"
“contextCodeSystem”	1..1	"2.16.840.1.113883.2.4.3.111.15.1"
“contextCode”	1..1	-	De contextcode die aanduidt welke set van gegevens beschikbaar mag worden gesteld bijv. "BGZ".
“clientID”	1..1	-	URA van het GBZ aan wie de Assertion wordt toegezonden om te gebruiken in een daaropvolgende pull-interactie. Formaat: "urn:oid:2.16.528.1.1007.3.3.<URA>"

AOF.TS.ACT.300.v1

De Assertion bevat ook een Signature die is geplaatst met met behulp van de UZI pas van de zorgverlener (Z) of de UZI medewerkerpas (N) van de medewerker. De handtekening dient geplaatst te zijn met behulp van het authenticatie certificaat op de pas. In het kader van "vereenvoudig gebruik UZI-pas", mag de handtekening ook gezet worden met het servercertificaat (S) van de applicatie. Let op: vanaf AoF 0.8 vervalt voor dit token de optie om een handtekening te plaatsen met de UZI pas.

Met een consent_token wordt aan de ontvanger bewezen dat een bepaalde persoon, binnen een bepaalde organisatie, (veronderstelde) toestemming heeft gekregen van een patiënt om bepaalde gegevens beschikbaar te stellen voor opvraag door een andere zorgaanbieder.

Inhoud en formaat van het AORTA access_token

AOF.TS.AAT.100.v1

Het JWT-based AORTA access_token bestaat uit een header, een payload en een signature, waarbij gebruik wordt gemaakt van JWS Compact Serialization.

AOF.TS.AAT.200.v2

De header van het token bevat de volgende attributen:

Claim	Vaste waarde	Toelichting
alg	RS256
typ	aorta-at+JWT	"aorta-at" is een afkorting voor AORTA access_token.
kid	-	The identifier of the key-pair used to sign this JWT

AOF.TS.AAT.300.v1

Het token wordt op basis van RS256 (RSA Signature met SHA-256), digitaal ondertekend met de private key van de Autorisatie Server. De signature wordt geplaatst over de header en de payload.

AOF.TS.AAT.400.v6

De payload van het token is omschreven in onderstaande tabel.

Claim	Cardinaliteit	Vaste waarde	Toelichting
jti	1..1	-	jti bevat een globaal uniek ID van het betreffende token. Aanbevolen wordt om een UUID te gebruiken.
iat	1..1	-	iat bevat het tijdstip van uitgifte van dit token (aantal seconden sinds 1970-01-01T0:0:0Z gemeten in UTC).
iss	1..1	-	iss bevat de HTTPS-URL van de autorisatieserver die het token heeft uitgegeven. Op deze manier kan automatisch de juiste metadata, met daarin de juiste endpoints, worden opgehaald.
sub	1..1	-	Formaat: "<id-systeem>\|<id>" Het ID van de gebruiker, of van een systeem, die uitgifte van dit access_token legitimeert. De claim kan bevatten: Het BSN van de persoon die een interactie initieert m.b.t. haar eigen gegevens, of die een ander persoon hiertoe heeft gemachtigd - sub bevat dan de string "http://fhir.nl/fhir/NamingSystem/bsn\|<bsn>" Het UZI-nummer van een zorgverlener - sub bevat dan de string "http://fhir.nl/fhir/NamingSystem/uzi-nr-pers\|<UZI-nummer>" Het appID van het systeem (indien het request zonder tussenkomst van een gebruiker is ingestuurd) - sub bevat dan de string "http://fhir.nl/fhir/NamingSystem/aorta-app-id\|<app-id>"
role	0..1	-	Formaat: "<codesysteem>\|<rolcode>" De rolcode van de gebruiker die uitgifte van dit access_token legitimeert. De claim kan bevatten: De rolcode die hoort bij een persoon, ofwel "http://fhir.nl/fhir/NamingSystem/aorta-rolcode\|P" De UZI-rolcode van een zorgverlener, ofwel "http://fhir.nl/fhir/NamingSystem/uzi-rolcode\|<UZI-rolcode>" Verplicht indien de sub claim is gevuld met een ID van een persoon.
act	0..1	-	De act claim bevat een aantal subclaims en wordt opgenomen wanneer iets of iemand handelt namens een ander persoon. Zie ook RFC 8693 voor voorbeelden.
act.sub	1..1	-	Formaat: "<id-systeem>\|<id>" Het ID van de gebruiker of van het systeem die handelt namens de persoon, die is opgenomen in de sub claim. De claim kan bevatten: Het BSN van een gemachtigd persoon die gegevens van een ander persoon opvraagt - sub bevat dan de string "http://fhir.nl/fhir/NamingSystem/bsn\|<bsn>" Het UZI-nummer van een zorgverlener of van een medewerker van een zorginstelling - sub bevat dan de string "http://fhir.nl/fhir/NamingSystem/uzi-nr-pers\|<UZI-nummer>" Het appID van het systeem (indien het request zonder tussenkomst van een gebruiker is ingestuurd) - sub bevat dan de string "http://fhir.nl/fhir/NamingSystem/aorta-app-id\|<app-id>"
acr	1..1	-	De Authentication Context Class Reference. Geeft informatie over het niveau waarop de sub van het token is geauthenticeerd. Mogelijke waarden, zoals gespecificeerd binnen SAML zijn: "urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport" (bijvoorbeeld DigiD-basis) "urn:oasis:names:tc:SAML:2.0:ac:classes:MobileTwoFactorContract" (bijvoorbeeld DigiD-midden) "urn:oasis:names:tc:SAML:2.0:ac:classes:Smartcard" (bijvoorbeeld DigiD-substantieel) "urn:oasis:names:tc:SAML:2.0:ac:classes:SmartcardPKI" (bijvoorbeeld UZI-pas of DigiD-hoog) "urn:oasis:names:tc:SAML:2.0:ac:classes:X509" (servercertificaat)
attest	1..1	-	Informatie over op welke grondslag of grondslagen dit token is gebaseerd. Het betreft een door spatie gescheiden set van strings. Mogelijk waarden: "MAP" - het Medisch Autorisatie Protocol is toegepast. "TR"- toestemming van patiënt is vastgelegd in een toegelaten toestemmingsregister. "MedMij" - het token is uitgeven n.a.v. een conform MedMij afgegeven toestemmingsverklaring. "BRON" - toestemming is, door de patiënt of diens vertegenwoordiger, vastgelegd bij de bronhoudende zorgaanbieder zelf, en is daarom nog niet getoetst. "CNST" - toestemming mag door de bronhoudende zorgaanbieder worden verondersteld te zijn verkregen, bijvoorbeeld t.b.v. een verwijzing van de patiënt - deze is vastgelegd in een consent_token, en het juiste gebruik van dit token voor het ontvangen request is reeds getoetst. "LOG" - specifieke autorisatieregels m.b.t. de toegangslog zijn toegepast. "ACT/VWI" - specifieke autorisatieregels m.b.t. toegang tot ACT/VWI-entries zijn toegepast. Een voorbeeld van een attest claim is "MAP TR", waarmee dan wordt aangeduid dat het MAP is getoetst en dat toestemming is vastgelegd en getoetst in een toegelaten toestemmingsregister.
nbf	1..1	-	nbf bevat het tijdstip van uitgifte van dit token (aantal seconden sinds 1970-01-01T0:0:0Z gemeten in UTC).
exp	1..1	-	Wordt gevuld met de expiration time van het MedMij access_token of met de expiration time van het AORTA transactietoken naar aanleiding waarvan dit AORTA access_token wordt uitgegeven.
aud	1..1	-	Indien het token is bedoeld om een FHIR-interactie te initiëren bij een GBx-server: De aud van het token bevat het appID en de FQDN van de GBx-applicatie, die deze interactie gaat ontvangen. Formaat: ["<appID>", "<FQDN>"]. Een appID heeft het formaat: "urn:oid:2.16.840.1.113883.2.4.6.6.<applicatie-id>". Aan iedere GBx-applicatie die is aangesloten op AORTA wordt een eigen <applicatie-id> toegekend. Indien het token is bedoeld om een FHIR-interactie te initiëren bij een Resource Broker component: De aud bevat de "<role van betreffende Resource Broker component>". Formaat van een role: "urn:oid:2.16.840.1.113883.2.4.3.111.8.<role-id>". Roles zijn gespecificeerd in het AORTA Stelseltoken.
scope	1..1	-	Voor de juiste vulling zie tekst onder deze tabel.
patient	0..1	-	Het ID van de patiënt, d.w.z. de persoon waarop de gegevens, die worden uitgewisseld, betrekking hebben. Verplicht gevuld bij patiëntgebonden interacties. Formaat (één van de volgende): "urn:oid:2.16.840.1.113883.2.4.6.3.<BSN>" OF "http://fhir.nl/fhir/NamingSystem/bsn\|<bsn>" "urn:oid:2.16.840.1.113883.2.4.3.111.4.<Hash van BSN>" "urn:oid:2.16.840.1.113883.2.4.3.111.6.<COA nummer>"
client_id	1..1	-	Dit attribuut bevat informatie over de partij die als resource client mag optreden en daarvoor dit token mag gebruiken. Indien een interactie, door RB VnC wordt geïnitieerd bij een Resource Server (GBZ-applicatie): client_id bevat de role van RB VnC, zoals gespecificeerd in het AORTA Stelseltoken. Indien een interactie, door een Resource Client (GBx-applicatie) via RB ZA-in wordt geïnitieerd bij een Resource Broker component (bijv. RB ACT): client_id bevat de role van RB ZA-in, zoals gespecificeerd in het AORTA Stelseltoken. Formaat van een role: "urn:oid:2.16.840.1.113883.2.4.3.111.8.<role-id>". Roles zijn gespecificeerd in het AORTA Stelseltoken.
_vrb	0..1	-	De _vrb claim bevat, in een aantal subclaims, VZVZ Resource Broker specifieke informatie over de afhandeling van interacties. Een resource server (GBZ-applicatie) mag deze claim desgewenst negeren. Deze claim is slechts aanwezig wanneer een interactie, via RB VnC, wordt geïnitieerd bij een resource server.
_vrb. _vrb_aud	1..1	-	Formaat: ["<role>", "<role>"] De role van alle Resource Broker componenten, die dit token in de keten tussen Resource Client en de uiteindelijke bestemming, mogen verwerken. Wanneer de uiteindelijke bestemming een Resource Broker component is, dan wordt deze component zelf niet opgenomen in de _vrb_aud claim, maar in de aud claim. Wanneer een interactie door RB VnC wordt geïnitieerd bij een resource server (GBZ-applicatie), dan bevat de _vrb_aud claim de role van RB ZA-in en die van RB VnC. Wanneer een interactie door RB ZA-in wordt geïnitieerd bij een andere Resource Broker component (bijv. RB ACT) dan bevat de _vrb_aud claim het role van de Resource Broker ZA-in component. Formaat van een role: "urn:oid:2.16.840.1.113883.2.4.3.111.8.<role-id>". Roles zijn gespecificeerd in het AORTA Stelseltoken.
_vrb. _vrb_client_id	1..1	-	Indien een interactie, door een Resource Client (GBx-applicatie) via RB ZA-in en RB VnC wordt geïnitieerd bij een Resource Server (GBZ-applicatie): _vrb_client_id bevat de role van RB ZA-in en de FQDN + appID van de Resource Client. Formaat: ["<role>", "<appID>", "<FQDN>"]. Indien een interactie, door een Resource Client (GBx-applicatie) via RB ZA-in wordt geïnitieerd bij een Resource Broker component (bijv. RB ACT): _vrb_client_id bevat de FQDN + appID van de Resource Client. Formaat: ["<appID>", "<FQDN>"]. Indien een interactie, door RB MedMij-in, via RB VnC wordt geïnitieerd bij een Resource Server (GBZ-applicatie): _vrb_client_id bevat de role van RB MedMij-in. Formaat van een appID: "urn:oid:2.16.840.1.113883.2.4.6.6.<applicatie-id>". Formaat van een role: "urn:oid:2.16.840.1.113883.2.4.3.111.8.<role-id>". Roles zijn gespecificeerd in het AORTA Stelseltoken.
_vrb. _vrb_ion	1..1	-	Een kenmerk van de organisatie die die het request heeft geïniteerd (de "initiating organisation name"). In de MedMij use case gaat het om de OAuthclientOrganisatienaam (naam van het PGO), zoals opgenomen in de MedMij OCL. In de ZA-ZA use case gaat het om de URA (formaat: "urn:oid:2.16.528.1.1007.3.3.<URA>").
_vrb. _vrb_ter_scope	1..1	-	De waarde van de scope parameter, zoals geretourneerd in het token exchange response. Indien van toepassing, dan bevat deze scope, per interactie, ook het van toepassing zijnde transformation-id.
_vrb. _vrb_consent_id	0..1		Het ID kenmerk van het AORTA consent_token op basis waarvan dit AORTA access_token is uitgegeven. Slechts gevuld indien de attest claim de waarde "CNST" bevat.
ver	1..1	2.0	De versie van de tokendefinitie die wordt gehanteerd.

AOF.TS.AAT.500.v4

De scope claim van het token wordt als volgt gevuld, waarbij verschillende scope-onderdelen door een spatie van elkaar worden gescheiden:

Gegevensdienst / Interactie	Vulling van scope	Toevoeging op scope bij interactie vanuit MedMij	Toevoeging op scope bij interactie vanuit AORTA
Verzamelen Afspraken 2.0	patient/Appointment.read	medmij.gegevensdienst.47	nog niet beschikbaar
Verzamelen Basisgegevens zorg 3.0	patient/Patient.read patient/Practitioner.read patient/PractitionerRole.read patient/Coverage.read patient/Consent.read patient/RelatedPerson.read patient/DocumentReference.read patient/Binary.read patient/Condition.read patient/Observation.read patient/Specimen.read patient/NutritionOrder.read patient/Flag.read patient/AllergyIntolerance.read patient/MedicationStatement.read patient/MedicationRequest.read patient/MedicationDispense.read patient/Medication.read patient/DeviceUseStatement.read patient/Immunization.read patient/Procedure.read patient/Encounter.read patient/ProcedureRequest.read patient/ImmunizationRecommendation.read patient/DeviceRequest.read patient/Device.read patient/Appointment.read patient/Organization.read	medmij.gegevensdienst.48	aorta.contextcode.BGZ
Verzamelen Huisartsgegevens 2.0	patient/Patient.read patient/Practitioner.read patient/Organization.read patient/Observation.read patient/AllergyIntolerance.read patient/MedicationRequest.read patient/Composition.read patient/Encounter.read patient/EpisodeOfCare.read	medmij.gegevensdienst.49	nog niet beschikbaar
Verzamelen Basisgegevens GGZ 2.0	patient/Patient.read patient/Coverage.read patient/Consent.read patient/Condition.read patient/Observation.read patient/CarePlan.read patient/Procedure.read patient/DiagnosticReport.read patient/CareTeam.read	medmij.gegevensdienst.50	nog niet beschikbaar
Verzamelen Documenten 3.0	patient/DocumentManifest.read patient/DocumentReference.read patient/Binary.read	medmij.gegevensdienst.51	nog niet beschikbaar
Delen Meetwaarden vitale functies 2.0	patient/Observation.write	medmij.gegevensdienst.53	nog niet beschikbaar
Verzamelen Meetwaarden vitale functies 2.0	patient/Observation.read	medmij.gegevensdienst.52	nog niet beschikbaar
Verzamelen verwijzingen naar vragenlijsten 2.0	patient/Task.read	medmij.gegevensdienst.59	nog niet beschikbaar
Delen antwoorden op vragenlijsten 2.0	patient/Task.write patient/QuestionnaireResponse.write	medmij.gegevensdienst.60	nog niet beschikbaar
Delen BgZ-wijzigingsverzoek 1.0	patient/Communication.write	medmij.gegevensdienst.62	n.v.t.
$is-allowed	patient$is-allowed	-	n.v.t.
Interacties m.b.t. het actualiteitsregister en de verwijsindex	patient/DocumentManifest.write of patient/DocumentManifest.read of patient$delete-dossier	n.v.t.	-
Interacties m.b.t. de toegangslog (RB-logging)	patient/AuditEvent.read	n.v.t.	-
Patiëntgebonden workflow interacties	patient/Task.write	-	-

Met een access_token wordt aan de ontvanger bewezen dat aan een gegeven subject bepaalde toegangsrechten zijn verstrekt.