AORTA-TWIIN Client Authentication Assertion
Inleiding
Feature | |
---|---|
Type | Subfeature |
Versie | 1.0.0 |
Systeemrolcode | - |
Groep | Tokens |
Gepubliceerd |
|
Delta | Initiële versie. |
Een JWT-based AORTA Client Authentication Assertion bestaat uit een header, een payload en een signature, waarbij gebruik wordt gemaakt van JWS Compact Serialization.
Een AORTA Client Authentication Assertion is een client_assertion die het AORTA GTK verzendt naar andere GTK’s, en specificeert NIET de wijze waarop andere GTK’s een client_assertion dienen te vullen die zij insturen naar het AORTA GTK.
Link naar specificatie van deze Assertion in Twiin:
Header
De header van de Assertion bevat de volgende attributen:
Claim | Vaste waarde | Toelichting |
---|---|---|
alg | ES512 | |
typ | JWT | |
kid | - | The identifier of the key-pair used to sign this JWT |
Signature
Het token wordt op basis van ES512 (Elliptic Curve Digital Signature Algorithm - ECDSA), digitaal ondertekend met de private key van de Autorisatie Server GTK. De signature wordt geplaatst over de header en de payload.
De private key die wordt gebruikt voor de signing dient, zoals wordt aanbevolen in NIST SP 800-57 sectie 5.2, een andere te zijn dan degene die wordt gebruikt voor de authenticatie bij het opzetten van TLS-verbindingen.
Payload
De payload van de Assertion is omschreven in onderstaande tabel.
Claim | Cardinaliteit | Vaste waarde | Toelichting |
---|---|---|---|
jti | 1..1 | - | Globaal uniek ID van deze Assertion. Aanbevolen wordt om een UUID te gebruiken. |
iss | 1..1 | - | Bevat de HTTPS-URL van de autorisatieserver die het token heeft uitgegeven. Op deze manier kan automatisch de juiste metadata, met daarin de juiste endpoints, worden opgehaald. |
iat | 1..1 | - | Bevat het tijdstip van uitgifte van dit token (aantal seconden sinds 1970-01-01T0:0:0Z gemeten in UTC). |
exp | 1..1 | - | Wordt gevuld met de de expiration time van het AORTA access_token naar aanleiding waarvan deze Assertion wordt uitgegeven. |
aud | 1..1 | - | De HTTPS-URL van de autorisatieserver (in het externe GTK) die deze Assertion gaat ontvangen in een Twiin token request. |
sub | 1..1 | - | De FQDN van de client (RB GTK) die deze Assertion zal gaan verzenden in een Twinn token request. |
ver | 1..1 | 1.0 | De versie van de Assertion definitie die wordt gehanteerd. |