SAML AORTA transactietoken

SAML AORTA transactietoken

2.0.0

SAML AORTA transactietoken

Subfeature

2.0.0

Tokens

19 Oct 2023

Initiële versie van feature.

@ID

1..1

-

Unieke identificatie van de Assertion

@Version

1..1

"2.0"

Gebruikte SAML versie

@IssueInstant

1..1

-

Tijdstip van uitgifte van de Assertion.

Issuer

1..1

-

URA van de initiërende organisatie, d.w.z. de organisatie aan de start van de keten.

Formaat van een URA:

• "urn:oid:2.16.528.1.1007.3.3.<URA>", of

• "urn:IIroot:"2.16.528.1.1007.3.3":IIext:"<URA>"

Issuer.@Format

1..1

"urn:oasis:names:tc:SAML:2.0:nameid-format:entity"

Subject.NameID

1..1

-

Bevat zowel de UZI van de geauthentiseerde zorgverlener/medewerker alsmede diens rolcode.

Formaat: "<UZI-nummer>:<UZI-rolcode>"

Wanneer de handtekening is geplaatst met een servercertificaat, dan moet dit veld worden leeggelaten.

Subject.SubjectConfirmation.@Method

1..1

"urn:oasis:names:tc:SAML:2.0:cm:holder-of-key"

Subject.SubjectConfirmation.SubjectConfirmationData.KeyInfo.X509Data

1..1

-

X.509 serial van de UZI-pas (zorgverlener of medewerker op naam) of van het servercertificaat waarmee de handtekening is geplaatst.

Conditions.@NotBefore

1..1

-

Conditions.@NotOnOrAfter

1..1

-

Mag maximaal 1 minuut na @NotBefore liggen.

Conditions.AudienceRestriction.Audience

1..n

-

Zie "Vulling van client en audience claims in tokens".

AuthnStatement.@AuthnInstant

1..1

-

Tijdstip van authenticatie van de gebruiker (Subject) of applicatie.

AuthnStatement.AuthnContext.AuthnContextClassRef

1..1

Ingeval van ondertekening met pas: "urn:oasis:names:tc:SAML:2.0:ac:classes:SmartcardPKI"

Ingeval van ondertekening met servercertificaat: "urn:oasis:names:tc:SAML:2.0:ac:classes:X509"

AttributeStatement

1..1

Zie onderstaande tabel.

@Name

Cardinaliteit

AttributeValue

"patientIdentifier"

0..1

-

ID van de patient (BSN, hash van BSN of COA nummer).

Verplicht bij patiëntgebonden interacties. Anders afwezig.

Formaat van een burgerservicenummer:

• "urn:oid:2.16.840.1.113883.2.4.6.3.<BSN>", of

• "urn:IIroot:"2.16.840.1.113883.2.4.6.3":IIext:"<BSN>"

Formaat van een hash van een burgerservicenummer:

• "urn:oid:2.16.840.1.113883.2.4.3.111.4.<BSN>", of

• "urn:IIroot:"2.16.840.1.113883.2.4.3.111.4":IIext:"<BSN>"

Formaat van een COA nummer:

• "urn:oid:2.16.840.1.113883.2.4.3.111.6.<BSN>", of

• "urn:IIroot:"2.16.840.1.113883.2.4.3.111.6":IIext:"<BSN>"

Let op! De oude naam van dit attribuut was “burgerServiceNummer”. Deze oude attribuutnaam kan voorlopig nog worden gebruikt, en wordt dus nog ondersteund.

“messageIdRoot”

1..1

"2.16.840.1.113883.2.4.3.111.15.4"

“messageIdExt” 

1..1

-

De waarde van het requestID dat zal worden meegestuurd in de AORTA-ID HTTP header.

“InteractionId”

1..1

-

Het interactie-id wordt als volgt samengesteld:

"<type FHIR-interactie>:<FHIR-profile>:<majorProfileVersion>"

waarbij mogelijke type FHIR-interacties zijn gedefinieerd in de FHIR specificaties.

OF

"operation:$<operation name>:<majorOperationVersion>"

“contextCodeSystem”

0..1

"2.16.840.1.113883.2.4.3.111.15.1"

Verplicht aanwezig wanneer “contextCode” aanwezig is.

 “contextCode” 

0..1

-

De contextcode die aanduidt binnen welke (zorg)toepassing de FHIR-interactie word geïnitieerd, bijv. "BGZ", of "ACT/VWI".

“autorisatieregel/context” 

0..1

-

URI waar de autorisatieregel/context gevonden kan worden waarbinnen het mandaat gegeven 
wordt.

Moet aanwezig zijn indien gebruik gemaakt is van een mandaat.

Lokaal is vastgelegd dat een bepaald mandaat daadwerkelijk door een mandaatverlener is toegekend aan een bepaald persoon/systeem.

“applicationID” 

1..1

-

ApplicatieID van de Resource Client (GBZ-applicatie).

Formaat van een applicatie-id:

• "urn:oid:2.16.840.1.113883.2.4.6.6.<applicatie-id>", of

• "urn:IIroot:"2.16.840.1.113883.2.4.6.6":IIext:"<applicatie-id>"