Skip to main content
Skip table of contents

SAML PKIo Authenticatietoken

OID’s die worden gebruikt in SAML Assertions kunnen in twee verschillende formaten worden opgenomen:

  • Formaat dat nog mag worden gehanteerd door v3-clients - "urn:IIroot:"<OID voor het betreffende ID-stelsel>":IIext:"<gehanteerde ID binnen dit stelsel>, bijvoorbeeld "urn:IIroot:"2.16.528.1.1007.3.3":IIext:"<URA>

  • Formaat dat dient te worden gehanteerd door FHIR-clients en bij voorkeur ook al wordt gehanteerd door v3-clients - "urn:oid:<OID voor het betreffende ID-stelsel>.<URA>", bijvoorbeeld "urn:oid:2.16.528.1.1007.3.3.<URA>"

In SAML Assertions worden beide formaten ondersteund. In JWT’s wordt slechts het urn:oid formaat ondersteund.

Feature

SAML PKIo Authenticatietoken

Type

Subfeature

Versie

2.0.0

Systeemrolcode

-

Groep

Tokens

Gepubliceerd

Delta

Initiële versie van feature.

AOF.TS.PAT.100.v2

Het PKIo Authenticatietoken is een SAML Assertion en bevat de volgende elementen en attributen:

Element/@Attribuut

Cardinaliteit

Vaste waarde

Toelichting

@ID

1..1

-

Unieke identificatie van de Assertion

@Version

1..1

"2.0"

Gebruikte SAML versie

@IssueInstant

1..1

-

Tijdstip van uitgifte van de Assertion.

Issuer

1..1

-

AppID van de initiërende GBK-applicatie.

Formaat van een applicatie-id:

  • "urn:oid:2.16.840.1.113883.2.4.6.6.<applicatie-id>", of

  • "urn:IIroot:"2.16.840.1.113883.2.4.6.6":IIext:"<applicatie-id>"

Issuer.@Format

1..1

"urn:oasis:names:tc:SAML:2.0:nameid-format:entity"

Subject.NameID

1..1

-

Bevat het serienummer van het certificaat, waarmee de Assertion is ondertekend.

Formaat: "urn:cert:issuersn:CN=<common name>;<serienummer>"

Zie ook: A Uniform Resource Name (URN) Namespace for Certificates.

Conditions.@NotBefore

1..1

-

Conditions.@NotOnOrAfter

1..1

-

Richtlijn voor het verschil tussen
NotBefore en NotOnOrAfter is 5 minuten. 

Conditions.AudienceRestriction.Audience

1..n

-

Zie "Vulling van client en audience claims in tokens".

AuthnStatement.@AuthnInstant

1..1

-

Tijdstip van authenticatie van de gebruiker (Subject).

AuthnStatement.AuthnContext.AuthnContextClassRef

1..1

"urn:oasis:names:tc:SAML:2.0:ac:classes:SmartcardPKI"

AttributeStatement

1..1

Zie onderstaande tabel.

AOF.TS.PAT.200.v5

In het AttributeStatement zijn de volgende Attributen opgenomen:

@Name

Cardinaliteit

AttributeValue

Vaste waarde

Toelichting

"patientIdentifier"

0..1

-

ID van de patient (BSN, hash van BSN of COA nummer).

Verplicht bij patiëntgebonden interacties. Anders afwezig.

Formaat van een burgerservicenummer:

  • "urn:oid:2.16.840.1.113883.2.4.6.3.<BSN>", of

  • "urn:IIroot:"2.16.840.1.113883.2.4.6.3":IIext:"<BSN>"

Formaat van een hash van een burgerservicenummer:

  • "urn:oid:2.16.840.1.113883.2.4.3.111.4.<BSN>", of

  • "urn:IIroot:"2.16.840.1.113883.2.4.3.111.4":IIext:"<BSN>"

Formaat van een COA nummer:

  • "urn:oid:2.16.840.1.113883.2.4.3.111.6.<BSN>", of

  • "urn:IIroot:"2.16.840.1.113883.2.4.3.111.6":IIext:"<BSN>"

Let op! De oude naam van dit attribuut was “burgerServiceNummer”. Deze oude attribuutnaam kan voorlopig nog worden gebruikt, en wordt dus nog ondersteund.

“messageIdRoot”

1..1

"2.16.840.1.113883.2.4.3.111.15.4"

“messageIdExt” 

1..1

-

De waarde van het requestID dat zal worden meegestuurd in de AORTA-ID HTTP header.

“InteractionId”

1..1

-

Het interactie-id wordt als volgt samengesteld:

"<type FHIR-interactie>:<FHIR-profile>:<majorProfileVersion>"

waarbij mogelijke type FHIR-interacties zijn gedefinieerd in de FHIR specificaties.

OF

"operation:$<operation name>:<majorOperationVersion>"

“contextCodeSystem”

1..1

"2.16.840.1.113883.2.4.3.111.15.1"

 “contextCode” 

1..1

-

De contextcode die aanduidt binnen welke (zorg)toepassing de FHIR-interactie word geïnitieerd, bijv. "LOG", of "ACT/VWI".

AOF.TS.PAT.300.v1

De Assertion bevat ook een Signature die is geplaatst met met behulp van de PKIo pas van de GBK-medewerker. 

AOF.TS.PAT.400.v1

Met het PKIo Authenticatietoken wordt aan de ontvanger bewezen dat een bepaalde persoon of organisatie instaat voor de authenticiteit van een gegeven bericht.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.