SAML AORTA consent_token

OID’s die worden gebruikt in SAML Assertions kunnen in twee verschillende formaten worden opgenomen:

Formaat dat nog mag worden gehanteerd door v3-clients - "urn:IIroot:"<OID voor het betreffende ID-stelsel>":IIext:"<gehanteerde ID binnen dit stelsel>, bijvoorbeeld "urn:IIroot:"2.16.528.1.1007.3.3":IIext:"<URA>
Formaat dat dient te worden gehanteerd door FHIR-clients en bij voorkeur ook al wordt gehanteerd door v3-clients - "urn:oid:<OID voor het betreffende ID-stelsel>.<URA>", bijvoorbeeld "urn:oid:2.16.528.1.1007.3.3.<URA>"

In SAML Assertions worden beide formaten ondersteund. In JWT’s wordt slechts het urn:oid formaat ondersteund.

1.0.0

Feature	SAML AORTA consent_token
Type	Subfeature
Versie	1.0.0
Groep	Tokens
Gepubliceerd	19 Oct 2023
Delta	Initiële versie van feature.

AOF.TS.ACT.100.v3

Het AORTA consent_token is een SAML Assertion en bevat de volgende elementen en attributen:

Element/@Attribuut	Cardinaliteit	Vaste waarde	Toelichting
@ID	1..1	-	Unieke identificatie van de Assertion
@Version	1..1	"2.0"	Gebruikte SAML versie
@IssueInstant	1..1	-	Tijdstip van uitgifte van de Assertion.
Issuer	1..1	-	URA van de organisatie die de Assertion uitgeeft. Dit is tevens de organisatie waar de patiënt de toestemming aan heeft gegeven. Formaat van een URA: `"urn:oid:2.16.528.1.1007.3.3.<URA>"`, of `"urn:IIroot:"2.16.528.1.1007.3.3":IIext:"<URA>"`
Issuer.@Format	1..1	"urn:oasis:names:tc:SAML:2.0:nameid-format:entity"
Subject.SubjectConfirmation.@Method	1..1	"urn:oasis:names:tc:SAML:2.0:cm:sender-vouches"
Subject.SubjectConfirmation. SubjectConfirmationData.KeyInfo.X509Data	1..1	-	X.509 serial van het servercertificaat waarmee de handtekening is geplaatst.
Conditions.@NotBefore	1..1	-	Wordt bepaald door de (zorg)toepassing.
Conditions.@NotOnOrAfter	1..1	-	Wordt bepaald door de (zorg)toepassing.
Conditions.AudienceRestriction.Audience	1..n	-	Zie "Vulling van client en audience claims in tokens".
AuthnStatement.@AuthnInstant	1..1	-	Tijdstip van uitgifte van de Assertion.
AuthnStatement.AuthnContext.AuthnContextClassRef	1..1	"urn:oasis:names:tc:SAML:2.0:ac:classes:X509"
AttributeStatement	1..1		Zie onderstaande tabel.

AOF.TS.ACT.200.v3

In het AttributeStatement zijn de volgende Attributen opgenomen:

@Name	Cardinaliteit	Vaste waarde	Toelichting
@Name	Cardinaliteit	AttributeValue
"patientIdentifier"	1..1	-	Het ID van de patiënt (BSN, hash van BSN of COA nummer), d.w.z. de persoon waarop de gegevens, waarvoor deze consent wordt verstrekt, betrekking hebben. Formaat van een burgerservicenummer: `"urn:oid:2.16.840.1.113883.2.4.6.3.<BSN>"`, of `"urn:IIroot:"2.16.840.1.113883.2.4.6.3":IIext:"<BSN>"` Formaat van een hash van een burgerservicenummer: `"urn:oid:2.16.840.1.113883.2.4.3.111.4.<BSN>"`, of `"urn:IIroot:"2.16.840.1.113883.2.4.3.111.4":IIext:"<BSN>"` Formaat van een COA nummer: `"urn:oid:2.16.840.1.113883.2.4.3.111.6.<BSN>"`, of `"urn:IIroot:"2.16.840.1.113883.2.4.3.111.6":IIext:"<BSN>"`
“contextCodeSystem”	1..1	"2.16.840.1.113883.2.4.3.111.15.1"
“contextCode”	1..1	-	De contextcode die aanduidt welke set van gegevens beschikbaar mag worden gesteld bijv. "BGZ".
“clientID”	1..1	-	URA van het GBZ aan wie de Assertion wordt toegezonden om te gebruiken in een daaropvolgende pull-interactie. Formaat van een URA: `"urn:oid:2.16.528.1.1007.3.3.<URA>"`, of `"urn:IIroot:"2.16.528.1.1007.3.3":IIext:"<URA>"`

AOF.TS.ACT.300.v2

De Assertion bevat ook een Signature die is geplaatst met met behulp van het servercertificaat (S) van de applicatie.

Met een consent_token wordt aan de ontvanger bewezen dat een bepaalde persoon, binnen een bepaalde organisatie, (veronderstelde) toestemming heeft gekregen van een patiënt om bepaalde gegevens beschikbaar te stellen voor opvraag door een andere zorgaanbieder.