AORTA-TWIIN Authorization Grant Assertion
Inleiding
Feature | |
|---|---|
Type | Subfeature |
Versie | 1.0.1 |
Systeemrolcode | - |
Groep | Tokens |
Gepubliceerd |
|
Delta | Specifieke afspraken voor Twiin projectathon:
|
Een JWT-based AORTA Authorization Grant Assertion bestaat uit een header, een payload en een signature, waarbij gebruik wordt gemaakt van JWS Compact Serialization.
Link naar specificatie van deze Assertion in Twiin:
Header
De header van de Assertion bevat de volgende attributen:
Claim | Vaste waarde | Toelichting |
|---|---|---|
alg | ES512 | |
typ | JWT | |
kid | - | The identifier of the key-pair used to sign this JWT |
Signature
Het token wordt op basis van ES512 (Elliptic Curve Digital Signature Algorithm - ECDSA), digitaal ondertekend met de private key van de Autorisatie Server GTK. De signature wordt geplaatst over de header en de payload.
De private key die wordt gebruikt voor de signing dient, zoals wordt aanbevolen in NIST SP 800-57 sectie 5.2, een andere te zijn dan degene die wordt gebruikt voor de authenticatie bij het opzetten van TLS-verbindingen.
Payload
De payload van de Assertion is omschreven in onderstaande tabel.
Claim | Cardinaliteit | Vaste waarde | Toelichting |
|---|---|---|---|
jti | 1..1 | - | Globaal uniek ID van deze Assertion. Aanbevolen wordt om een UUID te gebruiken. |
iss | 1..1 | - | Bevat de HTTPS-URL van de autorisatieserver die het token heeft uitgegeven. Op deze manier kan automatisch de juiste metadata, met daarin de juiste endpoints, worden opgehaald. |
iat | 1..1 | - | Bevat het tijdstip van uitgifte van dit token (aantal seconden sinds 1970-01-01T0:0:0Z gemeten in UTC). |
exp | 1..1 | - | Wordt gevuld met de de expiration time van het AORTA access_token naar aanleiding waarvan deze Assertion wordt uitgegeven. |
aud | 1..1 | - | De HTTPS-URL van de autorisatieserver (in het externe GTK) die deze Assertion gaat ontvangen in een Twiin token request. |
sub | 1..1 | - | Wordt gevuld met het URA van de initiƫrende zorgaanbieder. Het juiste URA is opgenomen in de _vrb. _vrb_ion claim van het AORTA access_token naar aanleiding waarvan deze Assertion wordt uitgegeven. Formaat van een URA:
|
user_id | 1..1 | - | Wordt gevuld met het UZI-nummer van de verantwoordelijke gebruiker. Dit UZI-nummer is opgenomen in de sub claim van het AORTA access_token naar aanleiding waarvan deze Assertion wordt uitgegeven. Formaat van een UZI-nummer:
|
user_role | 1..1 | - | Wordt gevuld met de UZI-rolcode van de verantwoordelijke gebruiker. Dit UZI-rolcode is opgenomen in de role claim van het AORTA access_token naar aanleiding waarvan deze Assertion wordt uitgegeven. Formaat van een UZI-rolcode:
|
authorizer | 1..1 | - | Wordt gevuld met het URA van de ontvangende zorgaanbieder. Het juiste URA is opgenomen in de aud claim van het AORTA access_token naar aanleiding waarvan deze Assertion wordt uitgegeven. Formaat van een URA:
|
authorization_base | 0..1 | - | Wordt gevuld met een eventueel ontvangen authorization_base in een notificatie. Indien van toepassing, dan is een dergelijke authorization_base opgenomen in de _vrb._vrb_authz_base claim van het AORTA access_token naar aanleiding waarvan deze Assertion wordt uitgegeven. |
patient | 1..1 | - | Wordt gevuld met de ID (burgerservicenummer) van de patient waarop de interactie betrekking heeft. Het juiste ID is opgenomen in de patient claim van het AORTA access_token naar aanleiding waarvan deze Assertion wordt uitgegeven. Formaat van een burgerservicenummer:
|
ver | 1..1 | 1.0 | De versie van de Assertion definitie die wordt gehanteerd. |