Skip to main content
Skip table of contents

SAML AORTA transactietoken

OID’s die worden gebruikt in SAML Assertions kunnen in twee verschillende formaten worden opgenomen:

  • Formaat gehanteerd bij v3-uitwisselingen - "urn:IIroot:"<OID voor het betreffende ID-stelsel>":IIext:"<gehanteerde ID binnen dit stelsel>, bijvoorbeeld "urn:IIroot:"2.16.528.1.1007.3.3":IIext:"<URA>

  • Formaat gehanteerd bij FHIR-uitwisselingen - "urn:oid:<OID voor het betreffende ID-stelsel>.<URA>", bijvoorbeeld "urn:oid:2.16.528.1.1007.3.3.<URA>"

In SAML Assertions worden beide formaten ondersteund. In JWT’s wordt slechts het urn:oid formaat ondersteund.

Feature

SAML AORTA transactietoken

Type

Subfeature

Versie

2.0.1

Groep

Tokens

Gepubliceerd

Delta

Verhelderd dat indien “burgerServiceNummer” wordt gebruikt als attribuut, dat dan de root OID van BSN’s niet zal zijn opgenomen in de attribuutwaarde (maar slechts het BSN).

Het AORTA transactietoken voor berichtauthenticatie is een SAML Assertion en bevat de volgende elementen en attributen:

Element/@Attribuut

Cardinaliteit

Vaste waarde

Toelichting

@ID

1..1

-

Unieke identificatie van de Assertion

@Version

1..1

"2.0"

Gebruikte SAML versie

@IssueInstant

1..1

-

Tijdstip van uitgifte van de Assertion.

Issuer

1..1

-

URA van de initiërende organisatie, d.w.z. de organisatie aan de start van de keten.

Formaat van een URA:

  • "urn:oid:2.16.528.1.1007.3.3.<URA>", of

  • "urn:IIroot:"2.16.528.1.1007.3.3":IIext:"<URA>"

Issuer.@Format

1..1

"urn:oasis:names:tc:SAML:2.0:nameid-format:entity"

Subject.NameID

1..1

-

Bevat zowel de UZI van de geauthentiseerde zorgverlener/medewerker alsmede diens rolcode.

Formaat: "<UZI-nummer>:<UZI-rolcode>"

Wanneer de handtekening is geplaatst met een servercertificaat, dan moet dit veld worden leeggelaten.

Subject.SubjectConfirmation.@Method

1..1

"urn:oasis:names:tc:SAML:2.0:cm:holder-of-key"

Subject.SubjectConfirmation.SubjectConfirmationData.KeyInfo.X509Data

1..1

-

X.509 serial van de UZI-pas (zorgverlener of medewerker op naam) of van het servercertificaat waarmee de handtekening is geplaatst.

Conditions.@NotBefore

1..1

-

Conditions.@NotOnOrAfter

1..1

-

Mag maximaal 1 minuut na @NotBefore liggen.

Conditions.AudienceRestriction.Audience

1..n

-

Zie "Vulling van client en audience claims in tokens".

AuthnStatement.@AuthnInstant

1..1

-

Tijdstip van authenticatie van de gebruiker (Subject) of applicatie.

AuthnStatement.AuthnContext.AuthnContextClassRef

1..1

Ingeval van ondertekening met pas: "urn:oasis:names:tc:SAML:2.0:ac:classes:SmartcardPKI"

Ingeval van ondertekening met servercertificaat: "urn:oasis:names:tc:SAML:2.0:ac:classes:X509"

AttributeStatement

1..1

Zie onderstaande tabel.

In het AttributeStatement zijn de volgende Attributen opgenomen:

@Name

Cardinaliteit

AttributeValue

Vaste waarde

Toelichting

"patientIdentifier"

0..1

-

ID van de patient (BSN, hash van BSN of COA nummer).

Verplicht bij patiëntgebonden interacties. Anders afwezig.

Formaat van een burgerservicenummer:

  • "urn:oid:2.16.840.1.113883.2.4.6.3.<BSN>", of

  • "urn:IIroot:"2.16.840.1.113883.2.4.6.3":IIext:"<BSN>"

Formaat van een hash van een burgerservicenummer:

  • "urn:oid:2.16.840.1.113883.2.4.3.111.4.<BSN>", of

  • "urn:IIroot:"2.16.840.1.113883.2.4.3.111.4":IIext:"<BSN>"

Formaat van een COA nummer:

  • "urn:oid:2.16.840.1.113883.2.4.3.111.6.<BSN>", of

  • "urn:IIroot:"2.16.840.1.113883.2.4.3.111.6":IIext:"<BSN>"

Let op! De oude naam van dit attribuut was “burgerServiceNummer”. Deze oude attribuutnaam kan voorlopig nog worden gebruikt, en wordt dus nog ondersteund. Indien “burgerServiceNummer” wordt gebruikt als attribuut, dan zal de root OID niet zijn opgenomen in de attribuutwaarde, maar slechts het BSN.

“messageIdRoot”

1..1

"2.16.840.1.113883.2.4.3.111.15.4"

“messageIdExt” 

1..1

-

De waarde van het requestID dat zal worden meegestuurd in de AORTA-ID HTTP header.

“InteractionId”

1..1

-

Het interactie-id wordt als volgt samengesteld:

"<type FHIR-interactie>:<FHIR-profile>:<majorProfileVersion>"

waarbij mogelijke type FHIR-interacties zijn gedefinieerd in de FHIR specificaties.

OF

"operation:$<operation name>:<majorOperationVersion>"

“contextCodeSystem”

0..1

"2.16.840.1.113883.2.4.3.111.15.1"

Verplicht aanwezig wanneer “contextCode” aanwezig is.

 “contextCode” 

0..1

-

De contextcode die aanduidt binnen welke (zorg)toepassing de FHIR-interactie word geïnitieerd, bijv. "BGZ", of "ACT/VWI".

“autorisatieregel/context” 

0..1

-

URI waar de autorisatieregel/context gevonden kan worden waarbinnen het mandaat gegeven 
wordt.

Moet aanwezig zijn indien gebruik gemaakt is van een mandaat.

Lokaal is vastgelegd dat een bepaald mandaat daadwerkelijk door een mandaatverlener is toegekend aan een bepaald persoon/systeem.

“applicationID” 

1..1

-

ApplicatieID van de Resource Client (GBZ-applicatie).

Formaat van een applicatie-id:

  • "urn:oid:2.16.840.1.113883.2.4.6.6.<applicatie-id>", of

  • "urn:IIroot:"2.16.840.1.113883.2.4.6.6":IIext:"<applicatie-id>"

De Assertion bevat ook een Signature die is geplaatst met met behulp van de UZI pas van de zorgverlener (Z) of de UZI medewerkerpas (N) van de medewerker. De handtekening dient geplaatst te zijn met behulp van het authenticatie certificaat op de pas. In het kader van "vereenvoudig gebruik UZI-pas", mag de handtekening ook gezet worden met het servercertificaat (S) van de applicatie. 

Met het transactietoken voor berichtauthenticatie wordt aan de ontvanger bewezen dat een bepaalde persoon of organisatie instaat voor de authenticiteit van een gegeven bericht. Wanneer hierbij gebruik is gemaakt van een verleend mandaat, dan bevat het token ook de URI van de van toepassing zijnde mandaatregel.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.