Interfaces AORTA Stelselnode
AORTA Stelsel Metadata Interface
Feature informatie
Feature | |
|---|---|
Type | Service |
Versie | 1.1.0 |
Systeemrolcode | stelsel-metadata:OIS:-:1 |
Groep | Adressering |
Gepubliceerd |
|
Delta | Ook ondersteunen AoF 0.7 endpoint voor verkrijgen stelseltoken. |
Use case | - |
Feature | Versie | Dependency | Aanbieder | Afnemer |
|---|---|---|---|---|
1.1.0 | >=* | >=* |
De metadata van de AORTA Stelsel Server kan worden opgehaald op een aorta-base-URL die door VZVZ-beheer rechtstreeks, via een veilig kanaal, met aangesloten partijen wordt gecommuniceerd.
De metadata is opgenomen in een AORTA Stelseltoken, en kan op de volgende wijze worden opgehaald:
GET [aorta-base-URL]/stelseltoken/metadata/v1
Totdat AoF 0.7 wordt uitgefaseerd, biedt de AORTA Stelselnode tijdelijk ook nog het endpoint, zoals beschreven in de AoF 0.7 specificaties.
De response bevat de volgende headers:
Content-Type: application/json; charset=utf-8Cache-Control: must-revalidate, max-age=<max-age-aorta-stelseltoken>Pragma: no-cache
Een client mag de verkregen response conform de Cache-Control header directives, zoals beschreven in RFC 7234, cachen.
De waarde van max-age-aorta-stelseltoken is configureerbaar in de AORTA Stelsel Server. Initiƫle waarde is 14400 seconden (4 uur).
De response bevat de volgende attributen:
signed_metadata
De aorta-base-URL is gelijk aan de DNS-naam van de productie ZIM. De productie ZIM URL (DNS-naam) wordt automatisch door DXC gecommuniceerd aan GBZ-beheerders na de afronding van een standaard service request voor een eerste aansluiting. Een dergelijk service request wordt door het VZVZ Service Informatie Centrum (SIC) ingediend bij DXC nadat alle vereisten voor een GBx-aansluiting in orde zijn bevonden.
Wanneer een AORTA Stelseltoken wordt verkregen, dan dienen de volgende controles te worden uitgevoerd:
Of het token is uitgegeven door een voor mij vertrouwde partij, vertrouwde issuers van het AORTA Stelseltoken worden out-of-band aan betrokken partijen gecommuniceerd.
Of het certificaat, waarmee de handtekening is geplaatst, toebehoort aan de issuer van het AORTA Stelseltoken.
De juistheid van de digitale handtekening (signature), inclusief de geldigheid van het certificaat waarmee de handtekening is geplaatst. Hierbij worden ook maatregelen genomen om bedreiging 2.1 uit RFC 8725 tegen te gaan.
Aanvullende eisen
AOF-I.GEN.110.v1 - Gebruik van veilig intern netwerk
De interface wordt aangeboden op een beveiligd besloten netwerk dat ter beschikking staat voor communicatie tussen componenten onderling, en tussen componenten en de ZIM.
AOF-I.GEN.100.v1 - Gebruik van GZN
De interface wordt aangeboden op AORTA-net, dus via een GZN.
AOF-I.GEN.150.v1 - Gebruik van HTTP
HTTP-requests en -responses op deze interface worden verzonden conform HTTP versie 1.1.
Alle HTTP-verkeer wordt verzonden binnen een TLS verbinding.
AOF-I.GEN.200.v1 - TLS verbindingen
TLS clients en TLS servers dienen tenminste TLS versie 1.2 te ondersteunen en mogen hierbij slechts gebruik maken van algoritmeselecties uit de categorie "Goed", zoals genoemd in bijlage C van de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS).
Bij het opzetten van een verbinding dient gebruik te worden gemaakt van de sterkste algoritmeselectie die door beide partijen wordt ondersteund. TLS clients en TLS servers maken bij voorkeur echter gebruik van een hogere TLS versie dan 1.2.
Binnen TLS verbindingen dienen tijdelijke sleutels te worden toegepast, die elke 5 minuten worden ververst door middel van TLS Secure Renegotiation.
TLS verbindingen worden opgezet middels PKIo servercertificaten of, voor zorgaanbieders, m.b.v. UZI-servercertificaten.
AOF-I.GEN.350.v1 - Systeem Authenticatie (mTLS of TLS)
Indien uitwisseling plaatsvindt binnen TLS verbindingen, dan dient op deze interface tenminste gebruik te worden gemaakt van eenzijdige authenticatie (TLS), waarbij de TLS server zich authenticeert bij de TLS client.
Op deze interface mag echter ook gebruik worden gemaakt van tweezijdige authenticatie (mutual TLS, mTLS), waarbij de TLS client en de TLS server zich wederzijds authenticeren.
Let op: deze interface wordt vooralsnog aangeboden op poort 8443, een andere poort dus dan de standaard 443 poort.
Op de standaard poort wordt voorlopig een mTLS variant van deze interface aangeboden.