SAML AORTA inschrijftoken
OID’s die worden gebruikt in SAML Assertions kunnen in twee verschillende formaten worden opgenomen:
Formaat dat nog mag worden gehanteerd door v3-clients - "urn:IIroot:"<OID voor het betreffende ID-stelsel>":IIext:"<gehanteerde ID binnen dit stelsel>, bijvoorbeeld "urn:IIroot:"2.16.528.1.1007.3.3":IIext:"<URA>
Formaat dat dient te worden gehanteerd door FHIR-clients en bij voorkeur ook al wordt gehanteerd door v3-clients - "urn:oid:<OID voor het betreffende ID-stelsel>.<URA>", bijvoorbeeld "urn:oid:2.16.528.1.1007.3.3.<URA>"
In SAML Assertions worden beide formaten ondersteund. In JWT’s wordt slechts het urn:oid formaat ondersteund.
Feature | |
---|---|
Type | Subfeature |
Versie | 2.1.1 |
Groep | Tokens |
Gepubliceerd |
|
Delta | Correctie: NameID wordt door v3-clients slechts gevuld met het BSN, dus zonder de root OID van BSN. |
AOF.TS.AIT.100.v3
Het AORTA inschrijftoken is een SAML Assertion en bevat de volgende elementen en attributen:
Element/@Attribuut | Cardinaliteit | Vaste waarde | Toelichting |
---|---|---|---|
@ID | 1..1 | - | Unieke identificatie van de Assertion |
@Version | 1..1 | "2.0" | Gebruikte SAML versie |
@IssueInstant | 1..1 | - | Tijdstip van uitgifte van de Assertion. |
Issuer | 1..1 | - | URA van de organisatie die de BSN-validatie heeft uitgevoerd. Formaat van een URA:
|
Issuer.@Format | 1..1 | "urn:oasis:names:tc:SAML:2.0:nameid-format:entity" | |
Subject | 1..1 | ||
Subject.NameID | 1..1 | - | Bevat het gevalideerde patiënt ID (BSN of COA nummer). Formaat van een burgerservicenummer:
Formaat van een hash van een burgerservicenummer:
Formaat van een COA nummer:
Let op! v3-clients zijn gewend om dit attribuut te vullen met slechts het BSN, dus zonder de root OID. Dit formaat moet ook worden geaccepteerd. |
Subject.SubjectConfirmation | 1..1 | ||
Subject.SubjectConfirmation.@Method | 1..1 | "urn:oasis:names:tc:SAML:2.0:cm:sender-vouches" | |
Subject.SubjectConfirmation. | 1..1 | ||
Subject.SubjectConfirmation. | 1..1 | - | X.509 serial van de UZI-pas (zorgverlener of medewerker op naam) waarmee de handtekening is geplaatst OF Het publieke deel van het door ZORG-ID aangemaakte identiteitscertificaat. |
Conditions | 1..1 | ||
Conditions.@NotBefore | 1..1 | - | |
Conditions.@NotOnOrAfter | 1..1 | - | Mag maximaal 1,5 jaar na @NotBefore liggen |
Conditions.AudienceRestriction | 1..1 | ||
Conditions.AudienceRestriction.Audience | 1..n | - | |
AuthnStatement | 1..1 | ||
AuthnStatement.@AuthnInstant | 1..1 | - | Tijdstip van BSN validatie. Dit mag t.b.v. het werkproces ook de 'timestamp' zijn van het moment van aanmaken van het inschrijftoken of het tijdstip van inscannen van het WID. |
AuthnStatement.AuthnContext | 1..1 | ||
AuthnStatement.AuthnContext.AuthnContextClassRef | 1..1 | "urn:oasis:names:tc:SAML:2.0:ac:classes:SmartcardPKI" OF “urn:oasis:names:tc:SAML:2.0:ac:classes:X509” | |
AttributeStatement | 1..1 | Zie onderstaande tabel. |
AOF.TS.AIT.200.v1
In het AttributeStatement zijn de volgende Attributen opgenomen:
@Name | Cardinaliteit | AttributeValue | |
Vaste waarde | Toelichting | ||
---|---|---|---|
"Uitvoerder" | 1..1 | Het UZI-nummer van de zorgverlener of medewerker die het token heeft ondertekend. Formaat: "urn:oid:2.16.528.1.1007.3.1.<UZI-nummer>" OF De Common Name van het ZORG-ID identiteitscertificaat | |
“Scantoken” | 0..1 | Het base64 geëncodeerde scantoken. Voor het Scantoken zie AORTA_Auth_IH_Scantoken. Dit attribuut dient alleen aanwezig (en gevuld) te zijn als het gehele inschrijftoken ondertekend is met het identiteitscertificaat van ZORG-ID. |
AOF.TS.AIT.300.v1
De Assertion bevat ook een Signature die is geplaatst met met behulp van de UZI pas van de zorgverlener (Z) of de UZI medewerkerpas (N) van de medewerker. De handtekening kan ook gezet zijn met het identiteitscertificaat van de medewerker die uitgegeven is door ZORG-ID.
Met een inschrijftoken wordt aan de ontvanger bewezen dat een bepaalde persoon, binnen een bepaalde organisatie, een bepaald BSN heeft gevalideerd.