Token Specificaties
Vulling van client en audience claims in tokens
Het AORTA access_token bevat ondermeer een client_id en audience claim die uitdrukken welke partijen het token mogen gebruiken en verwerken. Omdat interacties verlopen via een Resource Broker als tussenliggende partij zijn voor beide claims ook varianten voor VZVZ gebruik toegevoegd (_vrb_client_id en _vrb_aud).
De volgende regels zijn van toepassing:
client_id bevat de role van de VZVZ component die de interactie, waarbij het access_token wordt gebruikt, uiteindelijk initieert bij de ontvanger.
_vrb_client_id bevat informatie over alle partijen/systemen, die in de keten tot de uiteindelijke ontvanger van een interactie, ergens fungeren als client, maar die bewust niet zijn opgenomen in de client_id claim
bij een reguliere FHIR-interactie, bevat de audience informatie over de uiteindelijke ontvanger van de interactie.
bij een $get-aorta-data bevat de audience informatie over de de uiteindelijk beoogde ontvanger(s) van de bouwsteen interacties, die zullen worden geïnitieerd als gevolg van de $get-aorta-data.
_vrb_aud bevat de role van alle partijen/systemen, die het access_token in de keten tussen initiator en de uiteindelijke bestemming, mogen verwerken (consumeren), maar bewust niet zijn opgenomen in de audience.
Onderstaande tabellen geven een overzicht van de juiste vulling van deze claims in verschillende situaties. Ook de juiste vulling van de Audience in AORTA SAML Assertions is hierin opgenomen.
Formaten
ID | In SAML Assertion | In AORTA access_token |
|---|---|---|
URA | Formaat van een URA:
| Formaat van een URA:
|
appID | Formaat van een applicatie-id:
| Formaat van een applicatie-id:
|
role | Formaat van een role:
Roles zijn gespecificeerd in het AORTA Stelseltoken. | |
Vulling van audience in AORTA SAML Assertions
Initiator | Destination | Use case | AORTA transactietoken | PKIo authenticatie token | AORTA mandaattoken en inschrijftoken | AORTA consenttoken |
|---|---|---|---|---|---|---|
AORTA-deelnemer | AORTA-deelnemer | FHIR-request of $get-aorta-data |
| N.v.t. |
|
|
v3-request of hybride generieke v3-query |
OF (tijdelijk toegestaan)
| N.v.t. |
OF (tijdelijk toegestaan)
|
| ||
AORTA-deelnemer | Externe Twiin-deelnemer | FHIR-request gericht aan één orgID (via het AORTA GTK) |
| N.v.t. |
| N.v.t. (een consenttoken wordt mogelijk wel verzonden in een notificatie om later te worden gebruikt bij een token request door een extern GTK, de audience van dit consenttoken die de role van AS ZA te bevatten) |
AORTA-deelnemer | Infrastructurele component | FHIR-request gericht aan een infrastructurele component (bijv. ACT/VWI, LOG, ABR) |
|
|
| N.v.t. |
AORTA-deelnemer | Mitz | Registreren toestemming door zorgverlener namens patiënt | N.t.b. | N.v.t. | N.t.b. | N.v.t. |
Vulling van AORTA access_token
Initiator | Destination | Use case | AORTA access_token | Client (client_id) | Authorization Server (iss) | Resource Server (aud) | vrb_client_id | vrb_ion | vrb_aud | client.organisationId | client.applicationId | destination.organisationId ** | destination.applicationId ** | destination.roleId |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
AORTA-deelnemer | AORTA-deelnemer | FHIR-request gericht aan één appID | 1 |
| AS ZA |
|
|
|
| orgID van de Resource Client | appID van de Resource Client | - | GBx-applicatie (appID) | - |
FHIR-request gericht aan één orgID | 1 |
| AS ZA |
|
|
|
| orgID van de Resource Client | appID van de Resource Client | GBx-applicatie (orgID) | - | - | ||
2 |
| AS ZA |
|
|
|
| N.v.t. | N.v.t. | N.v.t. | N.v.t. | N.v.t. | |||
v3-request gericht aan één appID | 1 |
| AS ZA |
|
|
|
| orgID van de Resource Client | appID van de Resource Client | - | GBx-applicatie (appID) | - | ||
$get-aorta-data operation gericht aan één appID | 1 |
| AS ZA |
|
|
|
| orgID van de Resource Client | appID van de Resource Client | - | GBx-applicatie (appID) | - | ||
2 |
| AS ZA |
|
|
|
| N.v.t. | N.v.t. | N.v.t. | N.v.t. | N.v.t. | |||
$get-aorta-data operation gericht aan één orgID | 1 |
| AS ZA |
|
|
|
| orgID van de Resource Client | appID van de Resource Client | GBx-applicatie (orgID) | - | - | ||
2 |
| AS ZA |
|
|
|
| N.v.t. | N.v.t. | N.v.t. | N.v.t. | N.v.t. | |||
$get-aorta-data operation gericht aan alle bronnen met toestemming | 1 |
| AS ZA | - |
|
|
| orgID van de Resource Client | appID van de Resource Client | - | - | - | ||
2 |
| AS ZA |
|
|
|
| N.v.t. | N.v.t. | N.v.t. | N.v.t. | N.v.t. | |||
hybride generieke v3-query gericht aan één appID | 1 |
| AS ZA |
|
|
|
| orgID van de Resource Client | appID van de Resource Client | - | GBx-applicatie (appID) | - | ||
2 |
| AS ZA |
|
|
|
| N.v.t. | N.v.t. | N.v.t. | N.v.t. | N.v.t. | |||
hybride generieke v3-query gericht aan alle bronnen met toestemming | 1 |
| AS ZA | - |
|
|
| orgID van de Resource Client | appID van de Resource Client | - | - | - | ||
2 |
| AS ZA |
|
|
|
| N.v.t. | N.v.t. | N.v.t. | N.v.t. | N.v.t. | |||
AORTA-deelnemer | Externe Twiin-deelnemer | FHIR-request gericht aan één orgID (via het AORTA GTK) | 1 |
| AS ZA |
|
|
|
| orgID van de Resource Client | appID van de Resource Client | GBx-applicatie (orgID) | - | - |
Externe Twiin-deelnemer | AORTA-deelnemer | FHIR-push gericht aan één orgID | 1 |
| AS ZA |
|
|
|
| orgID van de externe Twiin-deelnemer | GTK-ID van externe GTK | GBx-applicatie (orgID) | - | - |
2 |
| AS ZA |
|
|
|
| orgID van de externe Twiin-deelnemer | appID van RB GTK | GBx-applicatie (orgID) | - | - | |||
FHIR-search gericht aan één appID | 1 |
| AS ZA |
|
|
|
| orgID van de externe Twiin-deelnemer | GTK-ID van externe GTK | GBx-applicatie (orgID) | - | - | ||
2 |
| AS ZA |
|
|
|
| orgID van de externe Twiin-deelnemer | appID van RB GTK | GBx-applicatie (orgID) | GBx-applicatie (appID) | - | |||
FHIR-search gericht aan één orgID | 1 |
| AS ZA |
|
|
|
| orgID van de externe Twiin-deelnemer | GTK-ID van externe GTK | GBx-applicatie (orgID) | - | - | ||
2 |
| AS ZA |
|
|
|
| orgID van de externe Twiin-deelnemer | appID van RB GTK | GBx-applicatie (orgID) | - | - | |||
3 |
| AS ZA |
|
|
|
| N.v.t. | N.v.t. | N.v.t. | N.v.t. | N.v.t. | |||
PGO | AORTA-deelnemer | FHIR-request gericht aan één appID | 1 |
| AS MM |
|
|
|
| N.v.t. | N.v.t. | N.v.t. | N.v.t. | N.v.t. |
FHIR-search gericht aan één orgID | 1 |
| AS MM |
|
|
|
| N.v.t. | N.v.t. | N.v.t. | N.v.t. | N.v.t. | ||
2 |
| AS ZA |
|
|
|
| N.v.t. | N.v.t. | N.v.t. | N.v.t. | N.v.t. | |||
AORTA-deelnemer | Infrastructurele component | FHIR-request gericht aan een infrastructurele component (bijv. ACT/VWI, LOG, ABR) | 1 |
| AS ZA |
|
|
|
| orgID van de Resource Client | appID van de Resource Client | - | - | Infra component (role-id) |
AORTA-deelnemer | Mitz | Registreren toestemming door zorgverlener namens patiënt | 1 |
| AS ZA | ? |
|
|
| orgID van de Resource Client | appID van de Resource Client | - | - | ? |