Benodigde authenticatiemiddelen
Een interactie die binnen AORTA wordt uitgevoerd vereist altijd een vooraf bepaald vertrouwensniveau. AORTA onderkent niveaus Laag en Midden.
Voor infrastructurele interacties (bijv. interacties m.b.t. VWI/ACT) is het vereiste vertrouwensniveau beschreven in Use Cases Resource Client. Voor zorginhoudelijke interacties is het vereiste niveau beschreven door de zorgtoepassing.
Onderstaand overzicht toont de authenticatiemiddelen en tokens, die nodig zijn, om vanuit een Resource Client een interactie, op een bepaald vertrouwensniveau, te kunnen initiëren. Voor initiatie van een interactie op vertrouwensniveau Midden zijn er dus verschillende opties op uit te kiezen. De keuze hierin is aan de initiërende partij, en wordt typisch gemaakt op basis van wat het best past in het (zorg)proces. Iedere rij in de tabel weerspiegelt een optie. Indien meerdere kolommen in een rij zijn gevuld, dan zijn meerdere tokens nodig, bijv. een transactietoken + een mandaattoken.
Vereenvoudigd gebruik UZI-pas
Meer achtergrond informatie over dit onderwerp, en de rol van de verschillende tokens hierbij, is te vinden op https://aorta.public.vzvz.nl/aorta-8.5.1/8.5.1/vereenvoudigd-gebruik-uzi-pas-vgu.
Op TLS-niveau is altijd een UZI-servercertificaat (voor zorgaanbieders) of een PKIo-servercertificaat vereist.
Vertrouwensniveau | ||||||
|---|---|---|---|---|---|---|
Laag | transactietoken, gesigned met een UZI-servercertificaat | |||||
Midden | transactietoken, gesigned met een UZI-pas (zorgverlenerspas) | |||||
transactietoken, gesigned met een UZI-pas (zorgverlenerspas of medewerkerpas op naam) OF met ZORG-ID Smartcard | mandaattoken, gesigned met een UZI-pas (zorgverlenerpas, rolcode van mandaattoken wordt dan gebruikt) | |||||
transactietoken, gesigned met een UZI-servercertificaat | mandaattoken, gesigned met een UZI-pas (zorgverlenerpas, rolcode van mandaattoken wordt dan gebruikt) | inschrijftoken, gesigned met een UZI-pas (zorgverlenerspas OF medewerkerpas op naam) OF met een ZORG-ID identiteitscertificaat OF met ZORG-ID Smartcard | ||||
transactie_token, gesigned met een UZI-pas (zorgverlenerspas) | In notificatie ontvangen consent_token (gesigned met UZI-servercertificaat) | |||||
transactietoken, gesigned met een UZI-pas (zorgverlenerspas of medewerkerpas op naam) OF met een UZI-servercertificaat OF met ZORG-ID Smartcard | mandaattoken, gesigned met een UZI-pas (zorgverlenerpas, rolcode van mandaattoken wordt dan gebruikt) | In notificatie ontvangen consent_token (gesigned met UZI-servercertificaat) | ||||
Authenticatiesterkte: "urn:oasis:names:tc:SAML:2.0:ac:classes:SmartcardPKI" | ||||||
Authenticatiesterkte:
Welk niveau exact is vereist wordt per use case bepaald, bijv. Volgjezorg of LSP+, en wordt afgedwongen tijdens het inloggen bij DigiD. |
Doel van de verschillende tokens:
Met het transactietoken voor berichtauthenticatie wordt aan de ontvanger bewezen dat een bepaalde persoon of organisatie instaat voor de authenticiteit van een gegeven bericht.
Met een mandaattoken wordt aan de ontvanger bewezen dat een bepaalde persoon (mandaatverlener) lokaal in een GBZ een door een URI geïdentificeerde mandaatregel heeft vastgelegd, die geldig is binnen deze organisatie.
Met een inschrijftoken wordt aan de ontvanger bewezen dat een bepaalde persoon, binnen een bepaalde organisatie, een bepaald BSN heeft gevalideerd.
Met een consent_token wordt aan de ontvanger bewezen dat een bepaalde persoon, binnen een bepaalde organisatie, (veronderstelde) toestemming heeft gekregen van een patiënt om bepaalde gegevens beschikbaar te stellen voor opvraag door een andere zorgaanbieder.
Zie ook de VZVZ website voor meer informatie over vereenvoudigd gebruik UZI-pas.