Benodigde authenticatiemiddelen
Onderstaand overzicht toont de authenticatiemiddelen en tokens, die nodig zijn, om vanuit een Resource Client een AORTA FHIR-interactie te kunnen initiëren. Er zijn dus verschillende opties.
Op TLS-niveau is altijd een UZI-servercertificaat (voor zorgaanbieders) of een PKIo-servercertificaat vereist.
Vertrouwensniveau | AORTA transactie_token | AORTA mandaat_token | AORTA inschrijftoken | AORTA consent_token | PKIo Authenticatietoken | DigiD token |
|---|---|---|---|---|---|---|
Laag | transactietoken, gesigned met een UZI-servercertificaat | |||||
Midden | transactietoken, gesigned met een UZI-pas (zorgverlenerspas) | |||||
transactietoken, gesigned met een UZI-pas (zorgverlenerspas of medewerkerpas op naam) OF met ZORG-ID Smartcard | mandaattoken, gesigned met een UZI-pas (zorgverlenerpas, rolcode van mandaattoken wordt dan gebruikt) | |||||
transactietoken, gesigned met een UZI-servercertificaat | mandaattoken, gesigned met een UZI-pas (zorgverlenerpas, rolcode van mandaattoken wordt dan gebruikt) | inschrijftoken, gesigned met een UZI-pas (zorgverlenerspas OF medewerkerpas op naam) OF met een ZORG-ID identiteitscertificaat OF met ZORG-ID Smartcard | ||||
transactie_token, gesigned met een UZI-pas (zorgverlenerspas) | In notificatie ontvangen consent_token (gesigned met UZI-servercertificaat) | |||||
transactietoken, gesigned met een UZI-pas (zorgverlenerspas of medewerkerpas op naam) OF met een UZI-servercertificaat OF met ZORG-ID Smartcard | mandaattoken, gesigned met een UZI-pas (zorgverlenerpas, rolcode van mandaattoken wordt dan gebruikt) | In notificatie ontvangen consent_token (gesigned met UZI-servercertificaat) | ||||
Authenticatiesterkte: "urn:oasis:names:tc:SAML:2.0:ac:classes:SmartcardPKI" | ||||||
Authenticatiesterkte:
Welk niveau exact is vereist wordt per use case bepaald, bijv. Volgjezorg of LSP+, en wordt afgedwongen tijdens het inloggen bij DigiD. |
Doel van de verschillende tokens:
Met het transactietoken voor berichtauthenticatie wordt aan de ontvanger bewezen dat een bepaalde persoon of organisatie instaat voor de authenticiteit van een gegeven bericht.
Met een mandaattoken wordt aan de ontvanger bewezen dat een bepaalde persoon (mandaatverlener) lokaal in een GBZ een door een URI geïdentificeerde mandaatregel heeft vastgelegd, die geldig is binnen deze organisatie.
Met een inschrijftoken wordt aan de ontvanger bewezen dat een bepaalde persoon, binnen een bepaalde organisatie, een bepaald BSN heeft gevalideerd.
Met een consent_token wordt aan de ontvanger bewezen dat een bepaalde persoon, binnen een bepaalde organisatie, (veronderstelde) toestemming heeft gekregen van een patiënt om bepaalde gegevens beschikbaar te stellen voor opvraag door een andere zorgaanbieder.
Zie ook de VZVZ website voor meer informatie over vereenvoudigd gebruik UZI-pas.