ServiceProviderDelegationCredential
Feature | |
|---|---|
Type | Subfeature |
Versie | 1.0.0 |
Systeemrolcode | - |
Groep | Credentials |
Gepubliceerd | |
Delta | Initiële versie van feature. |
Met een ServiceProviderDelegationCredential wordt bewezen dat een zorgaanbieder een dienstverlener machtigt om namens hem op te treden binnen een afgebakende autorisatie‑scope.
Dit credential levert organisatie‑ en delegatiecontext en wordt gebruikt voorafgaand aan de uitgifte van een AORTA access token. Het ServiceProviderDelegationCredential bevestigt delegatie, niet stelseltoelating.
VCs worden gemodelleerd conform het W3C Verifiable Credentials Data Model en geserialiseerd als JWT (VC‑JWT). De VC heeft een JWT Header, JWT Payload en JWT Signature zoals hieronder gedefineerd.
JWT Header
De JWT Header van deze Verifiable Credential bevat de volgende velden:
Veld | Cardinaliteit | Toelichting |
| 1..1 | Het gehanteerde signing-algoritme. Toegestane waarden:
ES256 is de aanbevolen keuze vanwege de balans tussen veiligheid, prestaties en brede ondersteuning in libraries en hardware. |
| 1..1 | Het type token. Vaste waarde: JWT. |
| 1..1 | Verwijzing naar de verification method in het DID-document. |
Voorbeeld did:web JWT header
{
"alg": "ES256",
"typ": "JWT",
"kid": "did:web:huisarts-delinden.nl#keys-1"
}JWT Payload
De JWT Payload van deze Verifiable Credential bevat de volgende velden:
Veld | Cardinaliteit | Toelichting en validatie | |
| 1..1 | DID van de issuer. | |
| 1..1 | DID van het subject. | |
| 1..1 | Tijdstip vanaf wanneer het credential geldig is. MOET in het verleden liggen. | |
| 0..1 | Verloopdatum als UNIX timestamp (indien van toepassing). Indien aanwezig: MOET deze groter zijn dan | |
| 1..1 | Unieke identifier van het credential. | |
| 1..1 | Genest object met de volledige Verifiable Credential, bevat de semantische betekenis van de VC. | |
| 1..1 | JSON‑LD context conform het W3C Verifiable Credentials Data Model. Vaste waarde: | |
| 0..1 | Unieke identifier van het credential. Indien aanwezig: MOET gelijk zijn aan de | |
| 1..1 | Bevat altijd | |
| 1..1 | Object dat de claims over het subject bevat. Het | |
| 0..1 | DID van de uitgevende partij (bijv. Indien aanwezig: MOET gelijk zijn aan de | |
| 0..1 | Datum en tijdstip waarop het credential is uitgegeven. Indien aanwezig: MOET overeenkomen met de | |
| 0..1 | Datum en tijdstip waarop het credential verloopt. Indien aanwezig: MOET overeenkomen met de | |
| 0..1 | Optioneel object om de revocatiestatus van het credential vast te stellen. Dit veld wordt vooralsnog niet gebruikt. | |
Het domein dat wordt gebruikt in een did:web identifier moet een top-level domain hebben met voldoende betrouwbaarheid en juridische afdwingbaarheid. Binnen AORTA is het gebruik van het .nl verplicht. Dit waarborgt dat domeinnamen vallen onder Nederlands recht en dat de SIDN als registerhouder voldoende garanties biedt ten aanzien van eigenaarschap en geschilbeslechting.
Voor het ServiceProviderDelegationCredential beschrijft het credentialSubject de dienstverlener‑context waarin een delegatie geldt. Het subject van dit credential is de dienstverlener, en de zorgaanbieder is de issuer. Het credentialSubject bevat de volgende attributen:
Attribuut | Cardinaliteit | Toelichting |
|---|---|---|
| 0..1 | DID van het subject. Indien aanwezig: MOET gelijk zijn aan de |
| 1..1 | Type subject, vaste waarde: |
| 1..1 | Vaste waarde: |
| 1..1 | Vaste waarde: |
| 1..1 | Vaste waarde: |
| 1..1 | Identifier‑stelsel van de zorgprofessional, vaste waarde: |
| 1..1 | URA‑nummer van de delegerende zorgaanbieder. MOET overeenkomen met het URA-nummer in het |
| 1..1 | Vaste waarde: |
| 1..1 | URI van de autorisatieregel waarbinnen de delegatie geldt. |
| 1..* | Lijst van toegestane acties. |
Voorbeeld van de JWT body van een PatientEnrollmentCredential:
{
"iss": "did:web:zorginstelling.example.nl",
"sub": "did:web:dienstverlener.example.nl",
"nbf": 1733011200,
"jti": "urn:uuid:4c2a1f3e-9a5b-4f90-8d3e-abcdef123456",
"vc": {
"@context": [
"https://www.w3.org/2018/credentials/v1",
"https://[aorta-base-URL]/gbc/context/v1"
],
"type": [
"VerifiableCredential",
"ServiceProviderDelegationCredential"
],
"credentialSubject": {
"id": "did:web:dienstverlener.example.nl",
"@type": "ServiceProvider",
"hasDelegation": {
"@type": "Delegation",
"issuedBy": {
"@type": "HealthcareProvider",
"identifier": {
"@type": "Identifier",
"system": "http://fhir.nl/fhir/NamingSystem/ura",
"value": "12345678"
}
},
"scope": {
"@type": "DelegationScope",
"authorizationRule": "https://aorta.vzvz.nl/authorizations/gtk",
"authorizedActions": [
"tokenRequest",
"presentCredentials"
]
}
}
}
}
}
JWT Signature
De JWT Signature van een Verifiable Credential borgt de integriteit en herkomst van de JWT en de daarin opgenomen VC. De JWT signature MOET worden geplaatst over de base64url‑gecodeerde JWT header en payload conform JWS (RFC 7515).
De JWT MOET worden ondertekend door de issuer van de VC.
De issuer van het credential wordt geïdentificeerd via de
iss‑claim in de JWT payload.De
kid‑claim in de JWT header MOET verwijzen naar de signing key waarmee de JWT is ondertekend.
De signing key MOET zijn gepubliceerd als een verificationMethod in het DID-document van de issuer.
De signing key MOET geautoriseerd zijn voor gebruik als assertionMethod binnen het DID-document van de issuer.
De relatie tussen de signing key en de issuer MOET worden vastgesteld door resolutie en validatie van het DID-document via HTTPS.
Verificaties van het ServiceProviderDelegationCredential
De credential MOET voldoen aan de specificaties van de betreffende credential, inclusief eventuele de normatieve structuur en inhoudelijke eisen zoals gedefinieerd.
Daarnaast moeten de volgende verificaties plaatsvinden. Indien één van de onderstaande verificaties faalt wordt de credential als ongeldig beschouwd. Het systeem MAG stoppen bij de eerste geconstateerde fout en hoeft niet alle verificaties uit te voeren.
Verificatie van de JWT-signature:
De JWT signature MOET cryptografisch correct zijn en succesvol valideren over de JWT header en payload.
De credential MOET zijn ondertekend door de issuer van de VC zoals geïdentificeerd in de
issclaim van de JWT payload.
Verificatie van DID en sleutelbinding
Het DID‑document van de issuer van de credential MOET worden geresolveerd conform de toepasselijke DID‑methode.
De signing key waarmee de credential is ondertekend MOET via de
kid‑claim herleidbaar zijn tot het DID‑document van de issuer.De signing key MOET voorkomen in de
assertionMethodvan het DID‑document van de issuer.De issuer DID van de credential MOET een geaccepteerde trust anchor bevatten, passend bij het type credential. Het type trust anchor is afhankelijk van het credential‑type.
Verificatie van sleutelgeldigheid:
De signing key MOET worden geresolveerd via key‑resolutie, waarbij de
nbfvan het credential als referentietijdstip wordt gebruikt.De signing key MOET geldig zijn geweest op het referentietijdstip en MAG NIET verlopen of ingetrokken zijn vóór de
issuanceDatevan het credential.
Verificatie van geldigheid in tijd:
De credential MOET geldig zijn op het moment van gebruik.
De credential MAG NIET herroepen zijn. Deze controle wordt vooralsnog niet uitgevoerd.
Indien
vc.credentialStatusaanwezig is, MOET de revocatiestatus worden gecontroleerd.
Verificatie deelname GBC:
De identiteit van de credential issuer (
iss) MOET worden vastgesteld als een vertrouwde GBC‑deelnemer. Op termijn zal deze controle uitgevoerd worden door een controle in ZORG-AB. Vooralsnog zal de controle worden uitgevoerd tegen een interne lijst van vertrouwde GBC deelnemers.
ServiceProviderDelegationCredential specifieke verificaties:
Het
vc.typeMOETServiceProviderDelegationCredentialbevatten.De issuer van het credential MOET een zorgaanbieder zijn.
De issuer DID MOET een
did:web‑identiteit zijn.Het credential is geldig zolang de delegatie niet is ingetrokken en de stelseltoelating van de dienstverlener geldig is.