Token Specificaties

Vulling van client en audience claims in tokens

Het AORTA access_token bevat ondermeer een client_id en audience claim die uitdrukken welke partijen het token mogen gebruiken en verwerken. Omdat interacties verlopen via een Resource Broker als tussenliggende partij zijn voor beide claims ook varianten voor VZVZ gebruik toegevoegd (_vrb_client_id en _vrb_aud).

De volgende regels zijn van toepassing:

client_id bevat de role van de VZVZ component die de interactie, waarbij het access_token wordt gebruikt, uiteindelijk initieert bij de ontvanger.
_vrb_client_id bevat informatie over alle partijen/systemen, die in de keten tot de uiteindelijke ontvanger van een interactie, ergens fungeren als client, maar die bewust niet zijn opgenomen in de client_id claim
bij een reguliere FHIR-interactie, bevat de audience informatie over de uiteindelijke ontvanger van de interactie.
bij een $get-aorta-data bevat de audience informatie over de de uiteindelijk beoogde ontvanger(s) van de bouwsteen interacties, die zullen worden geïnitieerd als gevolg van de $get-aorta-data.
_vrb_aud bevat de role van alle partijen/systemen, die het access_token in de keten tussen initiator en de uiteindelijke bestemming, mogen verwerken (consumeren), maar bewust niet zijn opgenomen in de audience.

Onderstaande tabellen geven een overzicht van de juiste vulling van deze claims in verschillende situaties. Ook de juiste vulling van de Audience in AORTA SAML Assertions is hierin opgenomen.

Formaten

ID

In SAML Assertion

In AORTA access_token

URA

Formaat van een URA:

"urn:IIroot:2.16.528.1.1007.3.3:IIext:<URA>"

Formaat “urn:oid:2.16.528.1.1007.3.3.<URA>” blijft vooralsnog toegestaan, maar wordt uitgefaseerd. Bij dit formaat mogen voorloopnullen worden toegevoegd. Dit vormt formeel géén valide OID, maar is toegestaan omdat AORTA SAML Assertions slechts naar het LSP worden verzonden, en het LSP ermee om kan gaan.

Formaat van een URA:

"http://fhir.nl/fhir/NamingSystem/ura|<URA>"

appID

Formaat van een applicatie-id:

"urn:IIroot:2.16.840.1.113883.2.4.6.6:IIext:<applicatie-id>"

Formaat “urn:oid:2.16.840.1.113883.2.4.6.6.<applicatie-id>” blijft vooralsnog toegestaan, maar wordt uitgefaseerd.

Formaat van een applicatie-id:

"http://fhir.nl/fhir/NamingSystem/aorta-app-id|<app-id>"

role

Formaat van een role:

"urn:oid:2.16.840.1.113883.2.4.3.111.8.<role-id>"

Roles zijn gespecificeerd in het AORTA Stelseltoken.

Vulling van audience in AORTA SAML Assertions

Initiator	Destination	Use case	AORTA transactietoken	PKIo authenticatie token	AORTA mandaattoken en inschrijftoken	AORTA consenttoken
AORTA-deelnemer	AORTA-deelnemer	FHIR-request of $get-aorta-data	role van AS ZA	N.v.t.	role van AS ZA appID van de Resource Client	role van AS ZA
AORTA-deelnemer	AORTA-deelnemer	v3-request of hybride generieke v3-query	role van AS ZA role van RB v3-in OF (tijdelijk toegestaan) appID van de ZIM	N.v.t.	role van AS ZA appID van de Resource Client role van RB v3-in OF (tijdelijk toegestaan) appID van de Resource Client appID van de ZIM	role van AS ZA
AORTA-deelnemer	Externe Twiin-deelnemer	FHIR-request gericht aan één orgID (via het AORTA GTK)	role van AS ZA	N.v.t.	role van AS ZA appID van de Resource Client	N.v.t. (een consenttoken wordt mogelijk wel verzonden in een notificatie om later te worden gebruikt bij een token request door een extern GTK, de audience van dit consenttoken die de role van AS ZA te bevatten)
AORTA-deelnemer	Infrastructurele component	FHIR-request gericht aan een infrastructurele component (bijv. ACT/VWI, LOG, ABR)	role van AS ZA	role van AS ZA	role van AS ZA appID van de Resource Client	N.v.t.
AORTA-deelnemer	Mitz	Registreren toestemming door zorgverlener namens patiënt	N.t.b.	N.v.t.	N.t.b.	N.v.t.

Vulling van AORTA access_token

Initiator	Destination	Use case	AORTA access_token #	Client (client_id)	Authorization Server (iss)	Resource Server (aud)	vrb_client_id	vrb_ion	vrb_aud
AORTA-deelnemer	AORTA-deelnemer	FHIR-request gericht aan één appID	1	role van RB VnC	AS ZA	appID + FQDN van de Resource Server	role van RB ZA-in FQDN + appID van de Resource Client	orgID van de Resource Client	role van RB ZA-in role van RB VnC
		FHIR-request gericht aan één orgID	1	role van RB ZA-in	AS ZA	URA van bronhouder	role van RB ZA-in FQDN + appID van de Resource Client	orgID van de Resource Client	role van RB ZA-in role van RB VnC
		FHIR-request gericht aan één orgID	2	role van RB VnC	AS ZA	appID + FQDN van de Resource Server	role van RB ZA-in FQDN + appID van de Resource Client	orgID van de Resource Client	role van RB VnC
		v3-request gericht aan één appID	1	role van RB VnC	AS ZA	appID + FQDN van de Resource Server	role van RB v3-in FQDN + appID van de Resource Client	orgID van de Resource Client	role van RB v3-in role van RB VnC
		$get-aorta-data operation gericht aan één appID	1	role van RB ZA-in	AS ZA	appID van de betreffende GBZ-applicatie	appID + FQDN van de Resource Client	orgID van de Resource Client	role van RB ZA-in role van RB VnC role van AS ZA
		$get-aorta-data operation gericht aan één appID	2	role van RB VnC	AS ZA	appID + FQDN van de Resource Server	appID + FQDN van de Resource Client	orgID van de Resource Client	role van RB VnC
		$get-aorta-data operation gericht aan één orgID	1	role van RB ZA-in	AS ZA	URA van de betreffende zorgaanbieder	appID + FQDN van de Resource Client	orgID van de Resource Client	role van RB ZA-in role van RB VnC role van AS ZA
		$get-aorta-data operation gericht aan één orgID	2	role van RB VnC	AS ZA	appID + FQDN van de Resource Server	appID + FQDN van de Resource Client	orgID van de Resource Client	role van RB VnC
		$get-aorta-data operation gericht aan alle bronnen met toestemming	1	role van RB ZA-in	AS ZA	-	appID + FQDN van de Resource Client	orgID van de Resource Client	role van RB ZA-in role van RB VnC role van AS ZA
			2	role van RB VnC	AS ZA	appID + FQDN van de Resource Server	appID + FQDN van de Resource Client	orgID van de Resource Client	role van RB VnC
		hybride generieke v3-query gericht aan één appID	1	role van RB v3-in	AS ZA	appID van de betreffende GBZ-applicatie	appID van de Resource Client	orgID van de Resource Client	role van RB v3-in role van RB VnC role van AS ZA
		hybride generieke v3-query gericht aan één appID	2	role van RB VnC	AS ZA	appID + FQDN van de Resource Server	appID van de Resource Client	orgID van de Resource Client	role van RB VnC
		hybride generieke v3-query gericht aan alle bronnen met toestemming	1	role van RB v3-in	AS ZA	-	appID van de Resource Client	orgID van de Resource Client	role van RB v3-in role van RB VnC role van AS ZA
			2	role van RB VnC	AS ZA	appID + FQDN van de Resource Server	appID van de Resource Client	orgID van de Resource Client	role van RB VnC
AORTA-deelnemer	Externe Twiin-deelnemer	FHIR-request gericht aan één orgID (via het AORTA GTK)	1	role van RB VnC	AS ZA	appID + FQDN van RB GTK + URA van ontvangende zorgaanbieder	role van RB ZA-in FQDN + appID van de Resource Client	orgID van de Resource Client	role van RB ZA-in role van RB VnC
Externe Twiin-deelnemer	AORTA-deelnemer	FHIR-push gericht aan één orgID	1	ID van het externe GTK (sub uit de ontvangen client_assertion)	AS ZA	URA van ontvangende zorgaanbieder	role van RB GTK appID van RB GTK	orgID van de externe Twiin-deelnemer	role van RB GTK
		FHIR-push gericht aan één orgID	2	role van RB VnC	AS ZA	appID + FQDN van Resource Server + URA van ontvangende zorgaanbieder	appID van RB GTK	orgID van de externe Twiin-deelnemer	role van RB VnC
		FHIR-search gericht aan één appID	1	ID van het externe GTK (sub uit de ontvangen client_assertion)	AS ZA	URA van ontvangende zorgaanbieder	role van RB GTK appID van RB GTK	orgID van de externe Twiin-deelnemer	role van RB GTK
		FHIR-search gericht aan één appID	2	role van RB VnC	AS ZA	appID + FQDN van Resource Server + URA van ontvangende zorgaanbieder	appID van RB GTK	orgID van de externe Twiin-deelnemer	role van RB VnC
		FHIR-search gericht aan één orgID	1	ID van het externe GTK (sub uit de ontvangen client_assertion)	AS ZA	URA van ontvangende zorgaanbieder	appID van RB GTK	orgID van de externe Twiin-deelnemer	role van RB GTK
			2	role van RB GTK	AS ZA	URA van ontvangende zorgaanbieder	appID van RB GTK	orgID van de externe Twiin-deelnemer	role van RB VnC role van AS ZA
			3	role van RB VnC	AS ZA	appID + FQDN van Resource Server + URA van ontvangende zorgaanbieder	appID van RB GTK	orgID van de externe Twiin-deelnemer	role van RB VnC
GBC Client	AORTA-deelnemer	FHIR-search gericht aan één orgID	1	ID van de GBC Client (sub uit de ontvangen ServiceProviderCredential)	AS ZA	URA van ontvangende zorgaanbieder	appID van RB GTK (op termijn mogelijk eigen appID voor RB GBC)	orgID van de Initiërende Zorgaanbieder	role van RB GTK (op termijn mogelijk eigen role voor RB GBC)
			2	role van RB GTK (op termijn mogelijk eigen role voor RB GBC)	AS ZA	URA van ontvangende zorgaanbieder	appID van RB GTK (op termijn mogelijk eigen appID voor RB GBC)	orgID van de Initiërende Zorgaanbieder	role van RB VnC role van AS ZA
			3	role van RB VnC	AS ZA	appID + FQDN van Resource Server + URA van ontvangende zorgaanbieder	appID van RB GTK (op termijn mogelijk eigen appID voor RB GBC)	orgID van de Initiërende Zorgaanbieder	role van RB VnC
PGO	AORTA-deelnemer	FHIR-request gericht aan één appID	1	role van RB VnC	AS MM	appID + FQDN van de Resource Server	role van RB MedMij-in	naam van het PGO	role van RB VnC
		FHIR-search gericht aan één orgID	1	role van RB VnC	AS MM	URA van bronhouder	role van RB MedMij-in	naam van het PGO	role van RB VnC role van AS ZA
		FHIR-search gericht aan één orgID	2	role van RB VnC	AS ZA	appID + FQDN van de Resource Server	role van RB MedMij-in	naam van het PGO	role van RB VnC
AORTA-deelnemer	Infrastructurele component	FHIR-request gericht aan een infrastructurele component (bijv. ACT/VWI, LOG, ABR)	1	role van RB ZA-in	AS ZA	role van betreffende VZVZ component	appID + FQDN van de Resource Client	orgID van de Resource Client	role van RB ZA-in
AORTA-deelnemer	Mitz	Registreren toestemming door zorgverlener namens patiënt	1	role van RB ZA-in	AS ZA	?	appID + FQDN van de Resource Client	orgID van de Resource Client	role van RB ZA-in

Vulling van getTokenRequest

Initiator	Destination	Use case	AORTA access_token #	client.organisationId	client.applicationId	destination.organisationId **	destination.applicationId **	destination.roleId
AORTA-deelnemer	AORTA-deelnemer	FHIR-request gericht aan één appID	1	orgID van de Resource Client	appID van de Resource Client	-	GBx-applicatie (appID)	-
		FHIR-request gericht aan één orgID	1	orgID van de Resource Client	appID van de Resource Client	GBx-applicatie (orgID)	-	-
		FHIR-request gericht aan één orgID	2	N.v.t.	N.v.t.	N.v.t.	N.v.t.	N.v.t.
		v3-request gericht aan één appID	1	orgID van de Resource Client	appID van de Resource Client	-	GBx-applicatie (appID)	-
		$get-aorta-data operation gericht aan één appID	1	orgID van de Resource Client	appID van de Resource Client	-	GBx-applicatie (appID)	-
		$get-aorta-data operation gericht aan één appID	2	N.v.t.	N.v.t.	N.v.t.	N.v.t.	N.v.t.
		$get-aorta-data operation gericht aan één orgID	1	orgID van de Resource Client	appID van de Resource Client	GBx-applicatie (orgID)	-	-
		$get-aorta-data operation gericht aan één orgID	2	N.v.t.	N.v.t.	N.v.t.	N.v.t.	N.v.t.
		$get-aorta-data operation gericht aan alle bronnen met toestemming	1	orgID van de Resource Client	appID van de Resource Client	-	-	-
			2	N.v.t.	N.v.t.	N.v.t.	N.v.t.	N.v.t.
		hybride generieke v3-query gericht aan één appID	1	orgID van de Resource Client	appID van de Resource Client	-	GBx-applicatie (appID)	-
		hybride generieke v3-query gericht aan één appID	2	N.v.t.	N.v.t.	N.v.t.	N.v.t.	N.v.t.
		hybride generieke v3-query gericht aan alle bronnen met toestemming	1	orgID van de Resource Client	appID van de Resource Client	-	-	-
			2	N.v.t.	N.v.t.	N.v.t.	N.v.t.	N.v.t.
AORTA-deelnemer	Externe Twiin-deelnemer	FHIR-request gericht aan één orgID (via het AORTA GTK)	1	orgID van de Resource Client	appID van de Resource Client	GBx-applicatie (orgID)	-	-
Externe Twiin-deelnemer	AORTA-deelnemer	FHIR-push gericht aan één orgID	1	orgID van de externe Twiin-deelnemer	GTK-ID van externe GTK	GBx-applicatie (orgID)	-	-
		FHIR-push gericht aan één orgID	2	orgID van de externe Twiin-deelnemer	appID van RB GTK	GBx-applicatie (orgID)	-	-
		FHIR-search gericht aan één appID	1	orgID van de externe Twiin-deelnemer	GTK-ID van externe GTK	GBx-applicatie (orgID)	-	-
		FHIR-search gericht aan één appID	2	orgID van de externe Twiin-deelnemer	appID van RB GTK	GBx-applicatie (orgID)	GBx-applicatie (appID)	-
		FHIR-search gericht aan één orgID	1	orgID van de externe Twiin-deelnemer	GTK-ID van externe GTK	GBx-applicatie (orgID)	-	-
			2	orgID van de externe Twiin-deelnemer	appID van RB GTK	GBx-applicatie (orgID)	-	-
			3	N.v.t. Token wordt verkregen via Token Expansion.	N.v.t. Token wordt verkregen via Token Expansion.	N.v.t. Token wordt verkregen via Token Expansion.	N.v.t. Token wordt verkregen via Token Expansion.	N.v.t. Token wordt verkregen via Token Expansion.
GBC Client	AORTA-deelnemer	FHIR-search gericht aan één orgID	1	orgID van de Initiërende Zorgaanbieder	ID van de GBC Client	GBx-applicatie (orgID)	-	-
			2	orgID van de Initiërende Zorgaanbieder	appID van RB GTK (op termijn mogelijk eigen appID voor RB GBC)	GBx-applicatie (orgID)	-	-
			3	N.v.t. Token wordt verkregen via Token Expansion.	N.v.t. Token wordt verkregen via Token Expansion.	N.v.t. Token wordt verkregen via Token Expansion.	N.v.t. Token wordt verkregen via Token Expansion.	N.v.t. Token wordt verkregen via Token Expansion.
PGO	AORTA-deelnemer	FHIR-request gericht aan één appID	1	N.v.t.	N.v.t.	N.v.t.	N.v.t.	N.v.t.
		FHIR-search gericht aan één orgID	1	N.v.t.	N.v.t.	N.v.t.	N.v.t.	N.v.t.
		FHIR-search gericht aan één orgID	2	N.v.t.	N.v.t.	N.v.t.	N.v.t.	N.v.t.
AORTA-deelnemer	Infrastructurele component	FHIR-request gericht aan een infrastructurele component (bijv. ACT/VWI, LOG, ABR)	1	orgID van de Resource Client	appID van de Resource Client	-	-	Infra component (role-id)
AORTA-deelnemer	Mitz	Registreren toestemming door zorgverlener namens patiënt	1	orgID van de Resource Client	appID van de Resource Client	-	-	?