Skip to main content
Skip table of contents

AORTA-TWIIN Client Authentication Assertion

Inleiding

Feature

AORTA-TWIIN Client Authentication Assertion

Type

Subfeature

Versie

1.0.0

Systeemrolcode

-

Groep

Tokens

Gepubliceerd

Delta

Initiële versie.

Een JWT-based AORTA Client Authentication Assertion bestaat uit een header, een payload en een signature, waarbij gebruik wordt gemaakt van JWS Compact Serialization.

Een AORTA Client Authentication Assertion is een client_assertion die het AORTA GTK verzendt naar andere GTK’s, en specificeert NIET de wijze waarop andere GTK’s een client_assertion dienen te vullen die zij insturen naar het AORTA GTK.

Link naar specificatie van deze Assertion in Twiin:

Header

De header van de Assertion bevat de volgende attributen:

Claim

Vaste waarde

Toelichting

alg

ES512

typ

JWT

kid

-

The identifier of the key-pair used to sign this JWT

Signature

Het token wordt op basis van ES512 (Elliptic Curve Digital Signature Algorithm - ECDSA), digitaal ondertekend met de private key van de Autorisatie Server GTK. De signature wordt geplaatst over de header en de payload.

De private key die wordt gebruikt voor de signing dient, zoals wordt aanbevolen in NIST SP 800-57 sectie 5.2, een andere te zijn dan degene die wordt gebruikt voor de authenticatie bij het opzetten van TLS-verbindingen.

Payload

De payload van de Assertion is omschreven in onderstaande tabel.

Claim

Cardinaliteit

Vaste waarde

Toelichting

jti

1..1

-

Globaal uniek ID van deze Assertion. Aanbevolen wordt om een UUID te gebruiken.

iss

1..1

-

Bevat de HTTPS-URL van de autorisatieserver die het token heeft uitgegeven. Op deze manier kan automatisch de juiste metadata, met daarin de juiste endpoints, worden opgehaald.

iat

1..1

-

Bevat het tijdstip van uitgifte van dit token (aantal seconden sinds 1970-01-01T0:0:0Z gemeten in UTC).

exp

1..1

-

Wordt gevuld met de de expiration time van het AORTA access_token naar aanleiding waarvan deze Assertion wordt uitgegeven.

aud

1..1

-

De HTTPS-URL van de autorisatieserver (in het externe GTK) die deze Assertion gaat ontvangen in een Twiin token request.

sub

1..1

-

De FQDN van de client (RB GTK) die deze Assertion zal gaan verzenden in een Twinn token request.

ver

1..1

1.0

De versie van de Assertion definitie die wordt gehanteerd.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.