Skip to main content
Skip table of contents

Token Specificaties

Vulling van client en audience claims in tokens

Het AORTA access_token bevat ondermeer een client_id en audience claim die uitdrukken welke partijen het token mogen gebruiken en verwerken. Omdat interacties verlopen via een Resource Broker als tussenliggende partij zijn voor beide claims ook varianten voor VZVZ gebruik toegevoegd (_vrb_client_id en _vrb_aud).

De volgende regels zijn van toepassing:

  • client_id bevat de role van de VZVZ component die de interactie, waarbij het access_token wordt gebruikt, uiteindelijk initieert bij de ontvanger.

  • _vrb_client_id bevat informatie over alle partijen/systemen, die in de keten tot de uiteindelijke ontvanger van een interactie, ergens fungeren als client, maar die bewust niet zijn opgenomen in de client_id claim

  • bij een reguliere FHIR-interactie, bevat de audience informatie over de uiteindelijke ontvanger van de interactie.

  • bij een $get-aorta-data bevat de audience informatie over de de uiteindelijk beoogde ontvanger(s) van de bouwsteen interacties, die zullen worden geïnitieerd als gevolg van de $get-aorta-data.

  • _vrb_aud bevat de role van alle partijen/systemen, die het access_token in de keten tussen initiator en de uiteindelijke bestemming, mogen verwerken (consumeren), maar bewust niet zijn opgenomen in de audience.

Onderstaande tabellen gevan een overzicht van de juiste vulling van deze claims in verschillende situaties. Ook de juiste vulling van de Audience in AORTA SAML Assertions is hierin opgenomen.

Formaten:

ID

In SAML Assertion

In AORTA access_token

URA

Formaat van een URA:

  • "urn:oid:2.16.528.1.1007.3.3.<URA>", of

  • "urn:IIroot:"2.16.528.1.1007.3.3":IIext:"<URA>"

Formaat van een URA:

"urn:oid:2.16.528.1.1007.3.3.<URA>"

appID

Formaat van een applicatie-id:

  • "urn:oid:2.16.840.1.113883.2.4.6.6.<applicatie-id>", of

  • "urn:IIroot:"2.16.840.1.113883.2.4.6.6":IIext:"<applicatie-id>"

Formaat van een applicatie-id:

"urn:oid:2.16.840.1.113883.2.4.6.6.<applicatie-id>"

role

Formaat van een role:

"urn:oid:2.16.840.1.113883.2.4.3.111.8.<role-id>"

Roles zijn gespecificeerd in het AORTA Stelseltoken.

Vulling:

Situatie

AORTA Token Exchange Request

AORTA access_token

AORTA transactietoken

PKIo authenticatie token

AORTA mandaattoken en inschrijftoken

AORTA consenttoken

audience

client_id

aud

_vrb_client_id

_vrb_aud

Audience

Audience

Audience

Audience

FHIR-interactie wordt door GBx-applicatie (Resource Client) via RB ZA-in en RB VnC geïnitieerd bij een GBZ-applicatie (Resource Server).

  • appID van de Resource Server

  • role van RB VnC

  • appID + FQDN van de Resource Server

  • role van RB ZA-in

  • FQDN + appID van de Resource Client

  • role van RB ZA-in

  • role van RB VnC

  • role van AS ZA

N.v.t.

  • role van AS ZA

  • appID van de Resource Client

  • role van AS ZA

v3-interactie wordt door GBx-applicatie (Resource Client) via RB v3-in en RB VnC geïnitieerd bij een GBZ-applicatie (Resource Server).

  • appID van de Resource Server

  • role van RB VnC

  • appID + FQDN van de Resource Server

  • role van RB v3-in

  • FQDN + appID van de Resource Client

  • role van RB v3-in

  • role van RB VnC

  • role van AS ZA

  • role van RB v3-in

OF (tijdelijk toegestaan)

  • appID van de ZIM

N.v.t.

  • role van AS ZA

  • appID van de Resource Client

  • role van RB v3-in

OF (tijdelijk toegestaan)

  • appID van de Resource Client

  • appID van de ZIM

  • role van AS ZA

FHIR-interactie wordt door GBx-applicatie (Resource Client) via RB ZA-in geïnitieerd bij een VZVZ component (bijv. VWI Server of Resource Broker LOG).

  • role van betreffende VZVZ component (de uiteindelijke bestemming)

  • role van RB ZA-in

  • role van betreffende VZVZ component

  • appID + FQDN van de Resource Client

  • role van RB ZA-in

  • role van AS ZA

  • role van AS ZA

  • role van AS ZA

  • appID van de Resource Client

N.v.t.

FHIR-interactie wordt door RB MedMij-in, via RB VnC geïnitieerd bij een GBZ-applicatie (Resource Server).

  • appID + FQDN van de Resource Server

  • role van RB VnC

  • appID + FQDN van de Resource Server

  • role van RB MedMij-in

  • role van RB VnC

N.v.t.

N.v.t.

N.v.t.

N.v.t.

$get-aorta-data operation aan RB ZA-in, die is gericht aan een specifieke zorgaanbieder of GBZ-applicatie.

  • URA van de betreffende zorgaanbieder, of het appID van de betreffende GBZ-applicatie

  • role van RB ZA-in

  • URA van de betreffende zorgaanbieder, of het appID van de betreffende GBZ-applicatie

  • appID + FQDN van de Resource Client

  • role van RB ZA-in

  • role van RB VnC

  • role van AS ZA

  • role van AS ZA

N.v.t.

  • role van AS ZA

  • appID van de Resource Client

  • role van AS ZA

hybride generieke v3-query aan RB v3-in, die is gericht aan een specifieke GBZ-applicatie.

  • appID van de betreffende GBZ-applicatie

  • role van RB v3-in

  • appID van de betreffende GBZ-applicatie

  • appID van de Resource Client

  • role van RB v3-in

  • role van RB VnC

  • role van AS ZA

  • role van AS ZA

  • role van RB v3-in

OF (tijdelijk toegestaan)

  • appID van de ZIM

N.v.t.

  • role van AS ZA

  • appID van de Resource Client

  • role van RB v3-in

OF (tijdelijk toegestaan)

  • appID van de Resource Client

  • appID van de ZIM

  • role van AS ZA

$get-aorta-data operation aan RB ZA-in. die moet worden gericht aan alle bronnen met toestemming.

  • Niet aanwezig

  • role van RB ZA-in

  • géén audience claim aanwezig in token

  • appID + FQDN van de Resource Client

  • role van RB ZA-in

  • role van RB VnC

  • role van AS ZA

  • role van AS ZA

N.v.t.

  • role van AS ZA

  • appID van de Resource Client

N.v.t.

hybride generieke v3-query aan RB v3-in. die moet worden gericht aan alle bronnen met toestemming.

  • Niet aanwezig

  • role van RB v3-in

  • géén audience claim aanwezig in token

  • appID van de Resource Client

  • role van RB v3-in

  • role van RB VnC

  • role van AS ZA

  • role van AS ZA

  • role van RB v3-in

OF (tijdelijk toegestaan)

  • appID van de ZIM

N.v.t.

  • role van AS ZA

  • appID van de Resource Client

  • role van RB v3-in

OF (tijdelijk toegestaan)

  • appID van de Resource Client

  • appID van de ZIM

N.v.t.

FHIR-interactie die als gevolg van een $get-aorta-data of een generieke v3-query, door RB VnC wordt geïnitieerd bij een GBZ-applicatie (Resource Server).

N.v.t.

  • role van RB VnC

  • appID + FQDN van de Resource Server

  • Niet aanwezig

  • role van RB VnC

N.v.t.

N.v.t.

N.v.t.

N.v.t.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.