Interfaces Autorisatie Server GTK
Metadata Interface
Deze interface is slechts bedoeld voor gebruik door Twinn GTK’s, en kan niet (rechtstreeks) worden gebruikt door GBx-applicaties.
Feature | |
---|---|
Type | Service |
Versie | 1.0.0 |
Systeemrolcode | - |
Groep | GTK |
Gepubliceerd |
|
Delta | Initiële versie van feature. |
Use case | - |
Feature | Versie | Dependency | Aanbieder | Afnemer |
---|
Metadata
De metadata van de Autorisatie Server kan, conform RFC 8414, worden opgehaald op een well-known URL die kan worden geconstrueerd m.b.v. de <iss> claim uit het token (zie ook section-3.1 van RFC8414). De Authorization Server Metadata Response bevat de volgende attributen. Dit betekent dat bij een iss die gelijk is aan: https://FQDN/some-path-extension, de metadata kan worden verkregen bij: https://FQDN/.well-known/oauth-authorization-server/some-path-extension.
De metadata omvat de volgende attributen:
issuer
;token_endpoint
;jwks_uri
;response_types_supported
;signed_metadata
.
De response die wordt geretourneerd bevat daarnaast de volgende headers:
Cache-Control: must-revalidate, max-age=<max-age-metadata>
Pragma: no-cache
Een client mag verkregen metadata conform de Cache-Control
header directives, zoals beschreven in RFC 7234, cachen.
De waarde van max-age-metadata
is configureerbaar in de autorisatie server. Initiële waarde is 14400 seconden (4 uur).
Toelichting verkrijgen JWKS
Wanneer een uitgegeven token/assertion een iss attribuut bevat met waarde:
“https://zim.prf001.lsp.aorta-zorg.nl/asgtk/jwt”
Dan kan de metadata op de volgende wijze worden opgehaald:
GET https://zim.prf001.lsp.aorta-zorg.nl/.well-known/oauth-authorization-server/asgtk/jwt
De metadata bevat dan ondermeer een attribuut jwks_uri. Dit attribuut kan bijvoorbeeld de volgende waarde hebben:
“https://zim.prf001.lsp.aorta-zorg.nl/asgtk/jwks.json”
De JWKS kan dan op de volgende wijze worden opgehaald:
GET https://zim.prf001.lsp.aorta-zorg.nl/asgtk/jwks.json
Een server die de signature van een token/assertion wil controleren hoeft dus vooraf geen informatie te hebben over de publieke sleutel, of over een uri waarop een sleutel kan worden verkregen. De benodigde informatie komt mee via de iss claim van het betreffende token/assertion.
Voor servers die tokens/assertions willen controleren is het wel zaak om een registratie te hebben van iss URL’s die je vertrouwt, en van wie je tokens/assertions accepteert.
JWKS
De public key waarmee de digitale handtekening kan worden gecontroleerd wordt als een JWK beschikbaar gesteld. De URL waarop de JWK Set kan worden opgevraagd (jwks_uri
) maakt deel uit van de AS metadata response. Iedere JSON Web Key (JWK) in de set, die beschikbaar wordt gesteld op de jwks_uri
, bevat een kid
parameter. De juiste JWK in de JWK Set wordt gevonden o.b.v. de waarde van het kid
attribuut in de header van de ontvangen JWT.
De response die wordt geretourneerd na een HTTP GET op de jwks_uri
bevat naast de JWK Set de volgende headers:
Cache-Control: must-revalidate, max-age=<max-age-jwks>
Pragma: no-cache
Een client mag verkregen JWK's conform de Cache-Control
header directives, zoals beschreven in RFC 7234, cachen.
De waarde van max-age-jwks
is configureerbaar in de autorisatie server. Initiële waarde is 14400 seconden (4 uur).
De JWK bevat de volgende attributen, waar de definitie van de attributen kan worden gevonden in RFC 7517 en RFC 7518:
"kty":"EC"
"alg":"ES512"
"use":"sig"
"kid":"<the identifier of the key-pair used to sign this JWT>"
"crv":"P-521"
"x":"<the x coordinate for the Elliptic Curve point>"
"y":"<the y coordinate for the Elliptic Curve point>"
Aanvullende eisen
AOF-I.GEN.120.v1 - Gebruik van veilig Twiin netwerk
De interface wordt aangeboden op een veilig Twiin netwerk, zoals gespecificeerd in het Twiin afsprakenstelsel.
AOF-I.GEN.150.v1 - Gebruik van HTTP
HTTP-requests en -responses op deze interface worden verzonden conform HTTP versie 1.1.
Alle HTTP-verkeer wordt verzonden binnen een TLS verbinding.
AOF-I.GEN.210.v1 - TLS verbindingen
TLS clients en TLS servers dienen tenminste TLS versie 1.3 te ondersteunen en mogen hierbij slechts gebruik maken van algoritmeselecties uit de categorie "Goed", zoals genoemd in bijlage C van de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS).
Bij het opzetten van een verbinding dient gebruik te worden gemaakt van de sterkste algoritmeselectie die door beide partijen wordt ondersteund.
Binnen TLS verbindingen dienen tijdelijke sleutels te worden toegepast, die elke 5 minuten worden ververst door middel van TLS Secure Renegotiation.
TLS verbindingen worden opgezet middels PKIo servercertificaten of, voor zorgaanbieders, m.b.v. UZI-servercertificaten.
AOF-I.GEN.250.v1 - Systeem Authenticatie (mTLS)
Indien uitwisseling plaatsvindt binnen TLS verbindingen, dan dient op deze interface gebruik te worden gemaakt van tweezijdige authenticatie (mutual TLS, mTLS), waarbij de TLS client en de TLS server zich wederzijds authenticeren.
TWIIN Assertion Interface
Deze interface is slechts bedoeld voor gebruik door VZVZ-componenten, en kan niet (rechtstreeks) worden gebruikt door GBx-applicaties.
Feature | |
---|---|
Type | Service |
Versie | 1.2.0 |
Systeemrolcode | - |
Groep | GTK |
Gepubliceerd |
|
Delta | Fix:
|
Use case |
Feature | Versie | Dependency | Aanbieder | Afnemer |
---|---|---|---|---|
1.2.0 | >=* | >=* | ||
1.2.0 | AORTA-ID HTTP Header | >=1.0.0 | >=1.0.0 | |
1.2.0 | >=* | - | ||
1.2.0 | >=1.0.0 | - | ||
1.2.0 | >=* | - | ||
1.2.0 | >=* | - |
Inhoud en formaat van een issueAssertionsRequest
Middels deze interface kunnen een Twiin client_assertion en een Twiin assertion worden verkregen op basis van een AORTA access_token.
Een issueAssertionsRequest wordt op de volgende wijze verzonden:
POST [base endpointadres]/issueAssertionsRequest/v1
Bij het verzenden van een issueAssertionsRequest dienen de volgende HTTP headers te worden meegezonden:
Feature | AORTA-ID HTTP Header |
---|---|
Type | Subfeature |
Versie | 1.0.0 |
Systeemrolcode | - |
Groep | HTTP Headers |
Gepubliceerd |
|
Delta | Initiële versie van feature. |
AORTA-ID: initialRequestID=<UUID conform RFC4122>; requestID=<UUID conform RFC4122>
Het initialRequestID attribuut bevat het ID van het allereerste request in de hele keten en dient te worden opgenomen in de logbestanden van alle partijen in de keten, zodat bij foutopsporing de verschillende logbestanden aan elkaar kunnen worden gerelateerd.
Het requestID is voor iedere request message uniek. In requests wordt deze gegenereerd door de client. Ook het requestID dient te worden opgenomen in de verschillende logbestanden, zodat altijd duidelijk is op welk bericht een log entry van toepassing is.
Content-Type: application/json; charset=utf-8
Het technische formaat van de HTTP body van een issueAssertionsRequest is:
{
"sourceTokenType": "",
"sourceToken": "",
"clientId": "",
"audience": "",
"authzBase": ""
}
Input parameters:
Name | Cardinality | Type | Toelichting |
sourceTokenType | 1..1 | String | Vaste waarde: “aorta-at+JWT”. |
sourceToken | 1..1 | Object | Een JWT-based AORTA access_token. |
clientId | 1..1 | String | De FQDN van de client (RB GTK) die deze Assertion zal gaan verzenden in een Twinn token request. |
audience | 1..1 | String | De HTTPS-URL van het externe GTK (authorization endpoint) die de assertion en client_assertion gaat ontvangen. |
authzBase | 0..1 | String | Wordt gevuld met een eventueel ontvangen authorization_base in een notificatie. Wordt gevuld wanneer een notification-Task is ontvangen, waarbij eerst een workflow-Task moet worden opgevraagd. Deze authzBase wordt slechts gebruikt indien het sourceToken geen _vrb._vrb_authz_base claim bevat. |
Inhoud en formaat van een issueAssertionsResponse
Bij het verzenden van een issueAssertionsResponse dienen de volgende HTTP headers te worden meegezonden:
Content-Type: application/json; charset=utf-8
Het technische formaat van de HTTP body van een issueAssertionsResponse is:
{
"clientAssertion": "",
"assertion": "",
"scope": ""
}
Output parameters:
Name | Cardinality | Type | Toelichting |
clientAssertion | 1..1 | Object | |
assertion | 0..1 | Object | Een AORTA-TWIIN Authorization Grant Assertion. Aanwezig indien de hiervoor benodigde attributen werden meegegeven in het sourceToken. |
scope | 0..1 | String | Slechts aanwezig indien een assertion wordt geretourneerd die geen authorization_base bevat. |
HTTP statuscodes
HTTP statuscodes die kunnen worden geretourneerd zijn opgenomen in onderstaande tabel.
Omdat bepaalde Confluence macro’s nog niet worden ondersteund in de publicatie omgeving, bevat de tabel, in de publicatieomgeving, ook informatie over de wijze waarop de betreffende interface wordt geïmplementeerd in de server component. De statuscodes die kunnen worden geretourneerd zijn opgenomen in de kolom “Uitkomst”. De overige informatie mag worden genegeerd.
Stap | Omschrijving | Uitkomst |
---|---|---|
1 | Het systeem ontvangt een verzoek en start de verwerking. | |
2 | Het systeem toetst of het verzoek voldoet aan de interface specificatie. | Ongeldig verzoek statuscode 400 Bad Request |
Het systeem genereert de vereiste response en gaat verder met de exit stap van de main flow. | ||
3 | Het systeem controleert de geldigheid van het ontvangen sourceToken:
| Ongeldig token statuscode 401 Unauthorized |
Het systeem genereert de vereiste response en gaat verder met de exit stap van de main flow. | ||
4 | Het systeem genereert, o.b.v. van de gegevens in het ontvangen sourceToken, een AORTA-TWIIN Client Authentication Assertion (client_assertion) en een AORTA-TWIIN Authorization Grant Assertion (assertion). Let op! Indien het verzoek een authzBase bevat, dan betreft een verzoek om direct na ontvangst van een notification-Task, assertions te generen t.b.v. het verkrijgen van een workflow-Task, en dient
| |
5 | Het systeem bepaalt op de volgende wijze of een scope attribuut moet worden opgenomen in de response: Indien de scope van het ontvangen AORTA access_token de string
bevat, dan moet als scope in de response worden opgenomen:
In overige gevallen wordt geen scope attribuut opgenomen in de response. In deze situaties dient het AORTA access_token een _vrb._vrb_authz_base claim te bevatten. Het systeem toetst dit. | AORTA access_token mist vereiste authorization_base statuscode 400 Bad Request |
6 <exit> | Het systeem retourneert een response naar de primaire actor. | Verwerking succesvol statuscode 200 OK |
Aanvullende eisen
AOF-I.GEN.110.v1 - Gebruik van veilig intern netwerk
De interface wordt aangeboden op een beveiligd besloten netwerk dat ter beschikking staat voor communicatie tussen componenten onderling, en tussen componenten en de ZIM.
AOF-I.GEN.150.v1 - Gebruik van HTTP
HTTP-requests en -responses op deze interface worden verzonden conform HTTP versie 1.1.
Alle HTTP-verkeer wordt verzonden binnen een TLS verbinding.
AOF-I.GEN.210.v1 - TLS verbindingen
TLS clients en TLS servers dienen tenminste TLS versie 1.3 te ondersteunen en mogen hierbij slechts gebruik maken van algoritmeselecties uit de categorie "Goed", zoals genoemd in bijlage C van de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS).
Bij het opzetten van een verbinding dient gebruik te worden gemaakt van de sterkste algoritmeselectie die door beide partijen wordt ondersteund.
Binnen TLS verbindingen dienen tijdelijke sleutels te worden toegepast, die elke 5 minuten worden ververst door middel van TLS Secure Renegotiation.
TLS verbindingen worden opgezet middels PKIo servercertificaten of, voor zorgaanbieders, m.b.v. UZI-servercertificaten.
AOF-I.GEN.250.v1 - Systeem Authenticatie (mTLS)
Indien uitwisseling plaatsvindt binnen TLS verbindingen, dan dient op deze interface gebruik te worden gemaakt van tweezijdige authenticatie (mutual TLS, mTLS), waarbij de TLS client en de TLS server zich wederzijds authenticeren.
TWIIN Token Interface
Deze interface is slechts bedoeld voor gebruik door Twinn GTK’s, en kan niet (rechtstreeks) worden gebruikt door GBx-applicaties.
Feature | |
---|---|
Type | Service |
Versie | 1.1.3 |
Systeemrolcode | - |
Groep | GTK |
Gepubliceerd |
|
Delta | Fix:
|
Use case |
Feature | Versie | Dependency | Aanbieder | Afnemer |
---|---|---|---|---|
1.1.3 | >=* | - | ||
1.1.3 | >2.* | - | ||
1.1.3 | >=* | - |
De TWIIN Token Interface is gespecificeerd in het TWIIN afsprakenstelsel:
Deze interface is gebaseerd op het Assertion Framework for OAuth 2.0 Client Authentication and Authorization Grants, en specifiek hierbinnen op het JSON Web Token (JWT) Profile for OAuth 2.0 Client Authentication and Authorization Grants.
Let op. Voorlopig gelden een aantal specifieke afspraken m.b.t. inkomende client_assertions en assertions.
Afspraken m.b.t. client_assertion:
Een client_assertion die we ontvangen is gesigned o.b.v. ES512.
Afspraken m.b.t. assertion:
Een assertion die we ontvangen is gesigned o.b.v. ES512.
Het sub attribuut en het authorizer attribuut zijn gevuld met een URA in formaat "http://fhir.nl/fhir/NamingSystem/ura|<URA>".
Het user_role attribuut hanteert, indien gevuld, formaat "urn:oid:2.16.840.1.113883.2.4.15.111.<UZI-rolcode>", of "http://fhir.nl/fhir/NamingSystem/uzi-rolcode|<UZI-rolcode>”
Een tokenRequest wordt op de volgende wijze verzonden:
POST [base endpointadres]/token/v1
Aanvullende eisen
AOF-I.GEN.120.v1 - Gebruik van veilig Twiin netwerk
De interface wordt aangeboden op een veilig Twiin netwerk, zoals gespecificeerd in het Twiin afsprakenstelsel.
AOF-I.GEN.150.v1 - Gebruik van HTTP
HTTP-requests en -responses op deze interface worden verzonden conform HTTP versie 1.1.
Alle HTTP-verkeer wordt verzonden binnen een TLS verbinding.
AOF-I.GEN.210.v1 - TLS verbindingen
TLS clients en TLS servers dienen tenminste TLS versie 1.3 te ondersteunen en mogen hierbij slechts gebruik maken van algoritmeselecties uit de categorie "Goed", zoals genoemd in bijlage C van de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS).
Bij het opzetten van een verbinding dient gebruik te worden gemaakt van de sterkste algoritmeselectie die door beide partijen wordt ondersteund.
Binnen TLS verbindingen dienen tijdelijke sleutels te worden toegepast, die elke 5 minuten worden ververst door middel van TLS Secure Renegotiation.
TLS verbindingen worden opgezet middels PKIo servercertificaten of, voor zorgaanbieders, m.b.v. UZI-servercertificaten.
AOF-I.GEN.250.v1 - Systeem Authenticatie (mTLS)
Indien uitwisseling plaatsvindt binnen TLS verbindingen, dan dient op deze interface gebruik te worden gemaakt van tweezijdige authenticatie (mutual TLS, mTLS), waarbij de TLS client en de TLS server zich wederzijds authenticeren.