Skip to main content
Skip table of contents

AORTA-TWIIN Authorization Grant Assertion

Inleiding

Feature

AORTA-TWIIN Authorization Grant Assertion

Type

Subfeature

Versie

1.0.1

Systeemrolcode

-

Groep

Tokens

Gepubliceerd

Delta

Specifieke afspraken voor Twiin projectathon:

  • URA in sub en in authorizer vullen in FHIR-formaat.

  • BSN in patient vullen in urn:oid formaat.

Een JWT-based AORTA Authorization Grant Assertion bestaat uit een header, een payload en een signature, waarbij gebruik wordt gemaakt van JWS Compact Serialization.

Link naar specificatie van deze Assertion in Twiin:

Header

De header van de Assertion bevat de volgende attributen:

Claim

Vaste waarde

Toelichting

alg

ES512

typ

JWT

kid

-

The identifier of the key-pair used to sign this JWT

Signature

Het token wordt op basis van ES512 (Elliptic Curve Digital Signature Algorithm - ECDSA), digitaal ondertekend met de private key van de Autorisatie Server GTK. De signature wordt geplaatst over de header en de payload.

De private key die wordt gebruikt voor de signing dient, zoals wordt aanbevolen in NIST SP 800-57 sectie 5.2, een andere te zijn dan degene die wordt gebruikt voor de authenticatie bij het opzetten van TLS-verbindingen.

Payload

De payload van de Assertion is omschreven in onderstaande tabel.

Claim

Cardinaliteit

Vaste waarde

Toelichting

jti

1..1

-

Globaal uniek ID van deze Assertion. Aanbevolen wordt om een UUID te gebruiken.

iss

1..1

-

Bevat de HTTPS-URL van de autorisatieserver die het token heeft uitgegeven. Op deze manier kan automatisch de juiste metadata, met daarin de juiste endpoints, worden opgehaald.

iat

1..1

-

Bevat het tijdstip van uitgifte van dit token (aantal seconden sinds 1970-01-01T0:0:0Z gemeten in UTC).

exp

1..1

-

Wordt gevuld met de de expiration time van het AORTA access_token naar aanleiding waarvan deze Assertion wordt uitgegeven.

aud

1..1

-

De HTTPS-URL van de autorisatieserver (in het externe GTK) die deze Assertion gaat ontvangen in een Twiin token request.

sub

1..1

-

Wordt gevuld met het URA van de initiƫrende zorgaanbieder.

Het juiste URA is opgenomen in de _vrb._vrb_ion claim van het AORTA access_token naar aanleiding waarvan deze Assertion wordt uitgegeven. Wanneer een assertion wordt gemaakt voor RB GTK, om een workflow-Task op te halen, dan wordt echter de aud claim van het AORTA access token gebruikt.

Formaat van een URA:

  • "http://fhir.nl/fhir/NamingSystem/ura|<URA>"

user_id

1..1

-

Wordt gevuld met het UZI-nummer van de verantwoordelijke gebruiker.

Dit UZI-nummer is opgenomen in de sub claim van het AORTA access_token naar aanleiding waarvan deze Assertion wordt uitgegeven.

Formaat van een UZI-nummer:

  • "urn:oid:2.16.528.1.1007.3.1.<UZI-nummer>", of

  • "http://fhir.nl/fhir/NamingSystem/uzi-nr-pers|<UZI-nummer>"

user_role

1..1

-

Wordt gevuld met de UZI-rolcode van de verantwoordelijke gebruiker.

Dit UZI-rolcode is opgenomen in de role claim van het AORTA access_token naar aanleiding waarvan deze Assertion wordt uitgegeven.

Formaat van een UZI-rolcode:

  • "urn:oid:2.16.840.1.113883.2.4.15.111.<UZI-rolcode>", of

  • "http://fhir.nl/fhir/NamingSystem/uzi-rolcode|<UZI-rolcode>"

authorizer

1..1

-

Wordt gevuld met het URA van de ontvangende zorgaanbieder.

Het juiste URA is opgenomen in de aud claim van het AORTA access_token naar aanleiding waarvan deze Assertion wordt uitgegeven. Wanneer een assertion wordt gemaakt voor RB GTK, om een workflow-Task op te halen, dan wordt echter de _vrb._vrb_ion claim van het AORTA access token gebruikt.

Formaat van een URA:

  • "http://fhir.nl/fhir/NamingSystem/ura|<URA>"

authorization_base

0..1

-

Wordt gevuld met een eventueel ontvangen authorization_base in een notificatie.

Indien van toepassing, dan is een dergelijke authorization_base opgenomen in de _vrb._vrb_authz_base claim van het AORTA access_token naar aanleiding waarvan deze Assertion wordt uitgegeven.

patient

1..1

-

Wordt gevuld met de ID (burgerservicenummer) van de patient waarop de interactie betrekking heeft.

Het juiste ID is opgenomen in de patient claim van het AORTA access_token naar aanleiding waarvan deze Assertion wordt uitgegeven.

Formaat van een burgerservicenummer:

  • "urn:oid:2.16.840.1.113883.2.4.6.3.<BSN>"

ver

1..1

1.0

De versie van de Assertion definitie die wordt gehanteerd.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.