Token Specificaties
Vulling van client en audience claims in tokens
Het AORTA access_token bevat ondermeer een client_id en audience claim die uitdrukken welke partijen het token mogen gebruiken en verwerken. Omdat interacties verlopen via een Resource Broker als tussenliggende partij zijn voor beide claims ook varianten voor VZVZ gebruik toegevoegd (_vrb_client_id en _vrb_aud).
De volgende regels zijn van toepassing:
client_id bevat de role van de VZVZ component die de interactie, waarbij het access_token wordt gebruikt, uiteindelijk initieert bij de ontvanger.
_vrb_client_id bevat informatie over alle partijen/systemen, die in de keten tot de uiteindelijke ontvanger van een interactie, ergens fungeren als client, maar die bewust niet zijn opgenomen in de client_id claim
bij een reguliere FHIR-interactie, bevat de audience informatie over de uiteindelijke ontvanger van de interactie.
bij een $get-aorta-data bevat de audience informatie over de de uiteindelijk beoogde ontvanger(s) van de bouwsteen interacties, die zullen worden geïnitieerd als gevolg van de $get-aorta-data.
_vrb_aud bevat de role van alle partijen/systemen, die het access_token in de keten tussen initiator en de uiteindelijke bestemming, mogen verwerken (consumeren), maar bewust niet zijn opgenomen in de audience.
Onderstaande tabellen gevan een overzicht van de juiste vulling van deze claims in verschillende situaties. Ook de juiste vulling van de Audience in AORTA SAML Assertions is hierin opgenomen.
Formaten:
ID | In SAML Assertion | In AORTA access_token |
---|---|---|
URA | Formaat van een URA:
| Formaat van een URA:
|
appID | Formaat van een applicatie-id:
| Formaat van een applicatie-id:
|
role | Formaat van een role:
Roles zijn gespecificeerd in het AORTA Stelseltoken. |
Vulling:
Situatie | AORTA Token Exchange Request | AORTA access_token | AORTA transactietoken | PKIo authenticatie token | AORTA mandaattoken en inschrijftoken | AORTA consenttoken | |||
---|---|---|---|---|---|---|---|---|---|
audience | client_id | aud | _vrb_client_id | _vrb_aud | Audience | Audience | Audience | Audience | |
FHIR-interactie wordt door GBx-applicatie (Resource Client) via RB ZA-in en RB VnC geïnitieerd bij een GBZ-applicatie (Resource Server). |
|
|
|
|
|
| N.v.t. |
|
|
v3-interactie wordt door GBx-applicatie (Resource Client) via RB v3-in en RB VnC geïnitieerd bij een GBZ-applicatie (Resource Server). |
|
|
|
|
|
OF (tijdelijk toegestaan)
| N.v.t. |
OF (tijdelijk toegestaan)
|
|
FHIR-interactie wordt door GBx-applicatie (Resource Client) via RB ZA-in geïnitieerd bij een VZVZ component (bijv. VWI Server of Resource Broker LOG). |
|
|
|
|
|
|
|
| N.v.t. |
FHIR-interactie wordt door RB MedMij-in, via RB VnC geïnitieerd bij een GBZ-applicatie (Resource Server). |
|
|
|
|
| N.v.t. | N.v.t. | N.v.t. | N.v.t. |
$get-aorta-data operation aan RB ZA-in, die is gericht aan een specifieke zorgaanbieder of GBZ-applicatie. |
|
|
|
|
|
| N.v.t. |
|
|
hybride generieke v3-query aan RB v3-in, die is gericht aan een specifieke GBZ-applicatie. |
|
|
|
|
|
OF (tijdelijk toegestaan)
| N.v.t. |
OF (tijdelijk toegestaan)
|
|
$get-aorta-data operation aan RB ZA-in. die moet worden gericht aan alle bronnen met toestemming. |
|
|
|
|
|
| N.v.t. |
| N.v.t. |
hybride generieke v3-query aan RB v3-in. die moet worden gericht aan alle bronnen met toestemming. |
|
|
|
|
|
OF (tijdelijk toegestaan)
| N.v.t. |
OF (tijdelijk toegestaan)
| N.v.t. |
FHIR-interactie die als gevolg van een $get-aorta-data of een generieke v3-query, door RB VnC wordt geïnitieerd bij een GBZ-applicatie (Resource Server). | N.v.t. |
|
|
|
| N.v.t. | N.v.t. | N.v.t. | N.v.t. |