SAML PKIo Authenticatietoken
OID’s die worden gebruikt in SAML Assertions kunnen in twee verschillende formaten worden opgenomen:
Formaat dat nog mag worden gehanteerd door v3-clients - "urn:IIroot:"<OID voor het betreffende ID-stelsel>":IIext:"<gehanteerde ID binnen dit stelsel>, bijvoorbeeld "urn:IIroot:"2.16.528.1.1007.3.3":IIext:"<URA>
Formaat dat dient te worden gehanteerd door FHIR-clients en bij voorkeur ook al wordt gehanteerd door v3-clients - "urn:oid:<OID voor het betreffende ID-stelsel>.<URA>", bijvoorbeeld "urn:oid:2.16.528.1.1007.3.3.<URA>"
In SAML Assertions worden beide formaten ondersteund. In JWT’s wordt slechts het urn:oid formaat ondersteund.
Feature | |
|---|---|
Type | Subfeature |
Versie | 2.0.0 |
Groep | Tokens |
Gepubliceerd |
|
Delta | Initiële versie van feature. |
AOF.TS.PAT.100.v2
Het PKIo Authenticatietoken is een SAML Assertion en bevat de volgende elementen en attributen:
Element/@Attribuut | Cardinaliteit | Vaste waarde | Toelichting |
|---|---|---|---|
@ID | 1..1 | - | Unieke identificatie van de Assertion |
@Version | 1..1 | "2.0" | Gebruikte SAML versie |
@IssueInstant | 1..1 | - | Tijdstip van uitgifte van de Assertion. |
Issuer | 1..1 | - | AppID van de initiërende GBK-applicatie. Formaat van een applicatie-id:
|
Issuer.@Format | 1..1 | "urn:oasis:names:tc:SAML:2.0:nameid-format:entity" | |
Subject.NameID | 1..1 | - | Bevat het serienummer van het certificaat, waarmee de Assertion is ondertekend. Formaat: "urn:cert:issuersn:CN=<common name>;<serienummer>" Zie ook: A Uniform Resource Name (URN) Namespace for Certificates. |
Conditions.@NotBefore | 1..1 | - | |
Conditions.@NotOnOrAfter | 1..1 | - | Richtlijn voor het verschil tussen |
Conditions.AudienceRestriction.Audience | 1..n | - | |
AuthnStatement.@AuthnInstant | 1..1 | - | Tijdstip van authenticatie van de gebruiker (Subject). |
AuthnStatement.AuthnContext.AuthnContextClassRef | 1..1 | "urn:oasis:names:tc:SAML:2.0:ac:classes:SmartcardPKI" | |
AttributeStatement | 1..1 | Zie onderstaande tabel. |
AOF.TS.PAT.200.v5
In het AttributeStatement zijn de volgende Attributen opgenomen:
@Name | Cardinaliteit | AttributeValue | |
Vaste waarde | Toelichting | ||
|---|---|---|---|
"patientIdentifier" | 0..1 | - | ID van de patient (BSN, hash van BSN of COA nummer). Verplicht bij patiëntgebonden interacties. Anders afwezig. Formaat van een burgerservicenummer:
Formaat van een hash van een burgerservicenummer:
Formaat van een COA nummer:
Let op! De oude naam van dit attribuut was “burgerServiceNummer”. Deze oude attribuutnaam kan voorlopig nog worden gebruikt, en wordt dus nog ondersteund. |
“messageIdRoot” | 1..1 | "2.16.840.1.113883.2.4.3.111.15.4" | |
“messageIdExt” | 1..1 | - | De waarde van het requestID dat zal worden meegestuurd in de AORTA-ID HTTP header. |
“InteractionId” | 1..1 | - | Het interactie-id wordt als volgt samengesteld: "<type FHIR-interactie>:<FHIR-profile>:<majorProfileVersion>" waarbij mogelijke type FHIR-interacties zijn gedefinieerd in de FHIR specificaties. OF "operation:$<operation name>:<majorOperationVersion>" |
“contextCodeSystem” | 1..1 | "2.16.840.1.113883.2.4.3.111.15.1" | |
“contextCode” | 1..1 | - | De contextcode die aanduidt binnen welke (zorg)toepassing de FHIR-interactie word geïnitieerd, bijv. "LOG", of "ACT/VWI". |
AOF.TS.PAT.300.v1
De Assertion bevat ook een Signature die is geplaatst met met behulp van de PKIo pas van de GBK-medewerker.
AOF.TS.PAT.400.v1
Met het PKIo Authenticatietoken wordt aan de ontvanger bewezen dat een bepaalde persoon of organisatie instaat voor de authenticiteit van een gegeven bericht.