Versions Compared

Old Version 43

changes.mady.by.user Bernard Stibbe

Saved on

compared with

New Version 44

changes.mady.by.user Dick Donker

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Op basis van gedefinieerde toegangsregels kan al dan niet toegang verleend worden aan een Client Application (applicatie instantie) die daar om verzoekt. Hierbij worden achtereenvolgens de volgende stappen doorlopen:

...

  1. Metadata van de Autorisatie Server is via publiek internet benaderbaar. Metadata kan conform RFC-8414 worden opgehaald, op een bekende URL, die herleid kan worden m.b.v. de 'iss' claim uit het token (zie ook section-3.1 van RFC8414)
  2. De Authorization Server Metadata Response bevat o.a. de volgende attributen:
    1. issuer;
    2. token_endpoint;
    3. token_endpoint_auth_signing_alg_values_supported;
    4. jwks_uri;
    5. scopes_supported

Zie ook gerelateerde topics:

Meta (eHealth Metadata)

CapabilityStatement (eHealth Mogelijkheden) - [review]


JWKS

De public key waarmee de digitale handtekening kan worden gecontroleerd wordt conform RFC-7517, als een JWK beschikbaar gesteld. De URL van waarop de JWK Set kan worden opgevraagd (jwks_uri) maakt deel uit van de Autorisatie Server metadata response. 
Iedere JSON Web Key (JWK) in de set, die beschikbaar wordt gesteld op de jwks_uri, bevat een 'kid' parameter. De juiste JWK in de JWK Set wordt gevonden o.b.v. de waarde van het 'kid' attribuut in de header van de ontvangen JWT.

...

Authenticatie JWT Header waarden
algvereistRS512
typvereistVaste waarde: JWT.
kidoptioneelHier wordt aangegeven welke sleutel is gebruikt om de JWS te beveiligen. Met deze parameter kan de initiator expliciet een sleutelwijziging signaleren naar de ontvanger


Authenticatie JWT Claims
issvereistIssuer of uitgever van de JWT - de client_id van de client, zoals bepaald tijdens de registratie bij de Autorisatie Server.
subvereist

De (technische) identifier van de gebruiker. Bij een applicatie is dit de client_id van de client, zoals bepaald tijdens de registratie bij de Autorisatie Server. Bij het launchen van een applicatie, wordt de identifier van een persoon gebruikt die de lancering uitvoert.  Op deze manier kunnen toepassingen begrijpen wie de opgegeven taak start. Bijvoorbeeld Patient/123456789.

audvereistDe Autorisatie Server "token URL" (De zelfde URL waar de JWT naar gestuurd wordt, zie volgend voorbeeld).
iatvereistTijdstempel voor wanneer de JWT is aangemaakt.
expvereistVerlooptijdstip voor verificatie van de JWT, uitgedrukt in seconden sinds het "tijdvak" (1970-01-01T00:00:00Z UTC). Deze tijd MAG in de toekomst niet meer dan vijf minuten duren.
jtivereistEen nonce-tekenreekswaarde die deze verificatie-JWT uniek identificeert.

...