|
SAML AORTA contracttoken |
1.0.0 |
|
Feature |
SAML AORTA contracttoken |
|---|---|
|
Type |
Subfeature |
|
Versie |
1.0.0 |
|
Systeemrolcode |
- |
|
Groep |
Tokens |
|
Gepubliceerd |
|
|
Delta |
SAML AORTA contracttoken toegevoegd. |
Het AORTA SAML contracttoken is een SAML Assertion en bevat de volgende elementen en attributen:
|
Element/@Attribuut |
Cardinaliteit |
Vaste waarde |
Toelichting |
|---|---|---|---|
|
@ID |
1 |
- |
Unieke identificatie van de Assertion |
|
@Version |
1 |
“2.0” |
Versie van het SAML Protocol. |
|
@IssueInstant |
1 |
- |
Tijdstip van uitgifte van de Assertion. |
|
Issuer |
1 |
- |
Concept-contracttoken: De Subject Alternative Name (SAN) van de te contracteren partij (partij B). Dit is de FQDN. Contracttoken: De Subject Alternative Name van de contractnemer (partij A). Dit is de URA. |
|
@NameQualifier |
0 |
- |
Niet gebruiken |
|
@SPNameQualifier |
0 |
- |
Niet gebruiken |
|
@Format |
1 |
“urn:oasis:names:tc:SAML:2.0:nameid-format:entity” |
|
|
@SPProviderID |
0 |
- |
Niet gebruiken |
|
Signature |
1 |
- |
Het contracttoken wordt ondertekend met het UZI-servercertificaat van partij A (geregistreerd zorgaanbieder). UZI-servercertificaten worden beheerd door de UZI-registerorganisatie, die valt onder de verantwoordelijkheid van CIBG, een onderdeel is van VWS. Het concept-contracttoken wordt ondertekend met het servercertificaat van partij B. Dit betreft een private PKIo-servercertificaat. Het servercertificaat wordt als X.509-certificaat opgenomen in de Signature, zodat de ontvanger de ondertekening kan verifiëren. |
|
KeyInfo |
|
- |
Informatie over de publieke sleutel en certificaat van beide tokens |
|
X509Data |
|
- |
informatie over het X.509-certificaat staat dat gebruikt is voor de digitale handtekening. |
|
X509Certificate |
|
- |
Het base64-gecodeerde certificaat waarmee het token is ondertekend |
|
Subject |
1 |
- |
Subject Alternative Name van de tegenpartij:
|
|
BaseID |
0 |
- |
Niet gebruiken |
|
NameID |
1 |
- |
Bevat de Subject Alternative Name. URA of FQDN. |
|
EncryptedID |
0 |
- |
Niet gebruiken |
|
SubjectConfirmation |
1 |
- |
Moet aanwezig zijn. |
|
@Method |
1 |
“urn:oasis:names:tc:SAML:2.0:cm:sender-vouches” |
|
|
SubjectConfirmationData |
0 |
- |
We maken niet gebruik van dit veld omdat dit veld gebruikt wordt als aanvullende informatie voor het bevestigen van de identiteit van de “Subject” (de tegenpartij), maar niet de ondertekende partij of diens certificaat. |
|
Conditions |
1 |
- |
Moet aanwezig zijn. |
|
@NotBefore |
1 |
- |
Moet aanwezig zijn. |
|
@NotOnOrAfter |
1 |
- |
Moet aanwezig zijn. Mag maximaal 10 jaar na @NotBefore liggen. |
|
Condition |
0 |
- |
Niet gebruiken |
|
AudienceRestriction |
1 |
- |
Moet aanwezig zijn |
|
Audience |
1..* |
- |
Meerdere audience zijn toegestaan. Vaste waarde: 'urn:generic:audience' |
|
ProxyRestriction |
0 |
|
Niet gebruiken |
|
Advice |
0 |
|
Niet gebruiken |
|
AuthnStatement |
1 |
|
Moet aanwezig zijn |
|
@AuthnInstant |
1 |
|
Tijdstip van aanmaak. |
|
@SessionIndex |
0 |
|
Niet gebruiken |
|
AuthnContext |
1 |
|
Moet aanwezig zijn |
|
AuthnContextClassRef |
1 |
|
Vaste waarde: 'urn:oasis:names:tc:SAML:2.0:ac:classes:X509' |
|
AttributeStatement |
1 |
|
Moet aanwezig zijn |
|
Attribute |
0..1 |
|
Optioneel in beide tokens |
|
@Name |
1 |
|
Vaste waarde: '_Scope' |
|
AttributeValue |
1 |
|
Bevat de scope (dienst) van het contract |
|
Attribute |
1 |
|
Verplicht in beide tokens |
|
@Name |
1 |
|
Vaste waarde: 'urn:zorg:tokenType' |
|
AttributeValue |
1 |
|
Afhankelijk van het type token een vaste waarde: 'contracttoken' of 'conceptcontracttoken' |
|
Attribute |
0..1 |
|
|
|
@Name |
1 |
|
Vaste waarde: '_Contractterms' |
|
AttributeValue |
1 |
|
URI |
In het AttributeStatement zijn de volgende Attributen opgenomen:
|
@Name |
Cardinaliteit |
AttributeValue |
|
|
Vaste waarde |
Toelichting |
||
|---|---|---|---|
|
“_CTR_locatie” |
0..1 |
|
De URL naar het Contracttokenregister. Alleen in contracttoken. |
|
“_Concept-contract_token” |
1..1 |
|
Base64 representatie van het Concept-Contracttoken, aanwezig in het contracttoken |
|
“_FQDN” |
1..1 |
|
Het attribuut _FQDN bevat de FQDN uit het servercertificaat waarmee het token is ondertekend, dus van de issuer. |
|
“_AC” |
1..1 |
|
Bevat een X.509 Attribute certificate. Moet aanwezig zijn alleen in contracttoken. |
|
“_Scope” |
0..1 |
|
Bevat de scope (dienst) van het contract. Mogelijke waardes zijn:
|
N.B.: bovenstaande tabel bevat de meest gebruikte elementen van SAML assertions en is derhalve niet volledig. Voor niet genoemde elementen geldt: Niet gebruiken.