Skip to main content
Skip table of contents

AORTA SAML tokens

AORTA SAML tokens spelen een cruciale rol in de authenticatie en autorisatie binnen het Landelijk Schakelpunt (LSP). Ze zorgen ervoor dat zorgaanbieders en zorgverleners veilig toegang kunnen krijgen tot patiëntgegevens binnen de AORTA-architectuur.

AORTA SAML tokens zijn SAML 2.0 Assertions die digitale waarborgen bieden over de identiteit en rechten van een gebruiker of systeem. Deze waarborgen worden uitgegeven en ondertekend door een Identiteitsprovider (IdP), een systeem van een organisatie of gebruiker die verantwoordelijk is voor de uitgegeven waarborgen die in de assertion (waarborg) worden benoemd. De waarborgen zijn cryptografisch verifieerbaar.

De waarborgen in een SAML token kunnen onderverdeeld worden in de volgende typen:

  • Identiteitswaarborg: Bevestigt de identiteit van de gebruiker of het systeem van een organisatie.

    • Attributen: Subject NameID, UZI-nummer, URA, BSN, …

  • Authenticatiewaarborg: Geeft aan hoe de gebruiker is geauthenticeerd.

    • Attributen: Authenticatieniveau (bv. eIDAS hoog), gebruikte authenticatiemethode (bv. smartcardPKI of X.509 certificaat)

  • Autorisatiewaarborg: Bevat de toegangsrechten en bevoegdheden van de gebruiker.

    • Attributen: Rolcode, Mandaat (welke handelingen toegestaan zijn), Scope (welke gegevens toegankelijk zijn)

  • Organisatiewaarborg: Bevestigt de organisatie waaraan de gebruiker is gekoppeld.

    • Attributen: Zorgaanbieder (URA), Organisatie-ID, Locatie

  • Contextuele waarborg: Bevat extra informatie over de transactie of sessie.

    • Attributen: Tijdstempel, Geldigheidsduur, Sessie-ID

De waarborgen in het SAML-token worden gevalideerd door de dienstverlener (SP) die toegang tot het LSP verleent. De dienstverlener of poortwachter tot het LSP is de XSG. Deze bepaalt op basis van de SAML Assertions of een gebruiker toegang krijgt tot de gevraagde informatie.

De Identiteitsprovider in de AORTA-architectuur speelt hierbij een cruciale rol in de authenticatie en autorisatie en is direct gekoppeld aan de verschillende typen uitgegeven certificaten. De IdP gebruikt de certificaten om de identiteit en rechten van zorgverleners, zorgmedewerkers op naam en systemen van zorgaanbieders te verifiëren en te waarborgen binnen het LSP. Dit onderscheid is nodig omdat zorgverleners, zorgmedewerkers op naam en systemen van zorgaanbieders elk een andere rol en verantwoordelijkheden hebben binnen de AORTA-architectuur en het Landelijk Schakelpunt (LSP).

We hebben in AORTA de volgende SAML Assertions, die verschillende waarborgen bevatten.

  • Transactietoken. Bevat waarborgen over de transactie context, de identiteit van de gebruiker, authenticatiemiddel, rol en zorgaanbieder.

  • Mandaattoken. Bevat waarborgen over de identiteit, rol en zorgaanbieder welke zorgverlener het mandaat heeft uitgegeven.

  • Inschrijftoken. Bevat waarborgen over de identiteit, rol en zorgaanbieder welke zorgmedewerker de BSN verificatie van een patiënt heeft uitgevoerd.

  1. Indien het transactietoken door het systeem van een zorgaanbieder wordt ondertekend MOET er ook een mandaattoken en een inschrijftoken als waarborg meegestuurd worden.

  2. Indien het transactietoken door een zorgmedewerker op naam wordt ondertekend MOET er ook een mandaattoken als waarborg meegestuurd worden.

  3. Alleen een zorgverlener mag een mandaattoken ondertekenen als waarborg.

  4. Het systeem van een zorgaanbieder mag geen inschrijftoken ondertekenen als waarborg.

Signed SAML assertion

Signed SAML assertion

Ze bevatten informatie zoals:

  • Issuer: De entiteit (zorgaanbieder) die de waarborgen heeft uitgegeven.

  • Subject: De gebruiker (zorgverlener, zorgaanbieder of patiënt) waarvoor de waarborg is uitgegeven.

  • Conditions: Geef de condities van de waarborg aan, zoals geldigheidsduur en toegestane doelstellingen.

  • AuthnStatement: Beschrijft de authenticatie van de gebruiker, inclusief de manier waarop de gebruiker is geauthenticeerd en tijdstip van authenticatie.

  • AttributeStatement: Beschrijft kenmerken over de waarborg, zoals UZI-nummer, beroepsgroep, interactie, scope, etc.

  • Signature: De digitale handtekening om integriteit en authenticiteit te waarborgen van de uitgegeven waarborgen. Het wordt ondertekend met de privé-sleutel van de uitgever, die de ontvanger vervolgens kan verifiëren met de publieke sleutel van de uitgever.

Informatie, velden, elementen of attributen die in de SAML asssertion beschreven zijn, zijn obsolete wanneer het verouderd en niet langer aanbevolen is voor gebruik in nieuwe implementaties, maar mogelijk nog wel wordt ondersteund voor backward compatibility.

Dit betekent:

  • Het kan nog aanwezig zijn in bestaande systemen, maar wordt niet meer actief ontwikkeld of verbeterd.

  • Het kan in de toekomst worden verwijderd, waardoor afhankelijkheid ervan wordt afgeraden.

  • Nieuwe implementaties moeten het niet meer gebruiken, en bestaande systemen worden aangemoedigd om te migreren naar een alternatief.

{}

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close