Versions Compared

Version Old Version 5 New Version 6
Changes made by

Former user

Former user

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Dit profiel is niet normatief en is terug te vinden in Bijlage B.

  • Het gebruik van het SAML authenticatietoken (security token) in het kader van het WSS SOAP berichten profiel voor het veilig stellen en uitwisseling van authentieke SOAP berichten. Dit profiel raakt het koppelvlak:
    • goed beheerd patiëntenportaal (GBP) – het landelijk schakelpunt (LSP)

...

Het door een vertrouwde Identity Provider afgegeven SAML authenticatietoken dat gebruikt wordt bij berichtauthenticatie, maakt gebruik van de volgende namespaces. De prefixen zijn niet normatief maar worden in dit document als voorbeelden gebruikt.
Tabel AORTA.STK.t3400 - Namespaces

Prefix

Namespace URI

ds

http://www.w3.org/2000/09/xmldsig#

ec

http://www.w3.org/2001/10/xml-exc-c14n#

saml

urn:oasis:names:tc:SAML:2.0:assertion


Image Modified

Bij het gebruik van de namespace-prefixes is het van belang deze na het ondertekenen niet meer te veranderen, dit maakt de digitale handtekening ongeldig.

Anchor
Inhoud
Inhoud
Inhoud

De volgende paragrafen beschrijven de verschillende kenmerken en beveiligingsgerelateerde gegevens die het SAML authenticatietoken onderscheiden, zoals in [IH tokens generiek] beschreven is.

...

Op de plaats van de drie punten (…) worden Uniekheidattributen opgenomen ten aanzien van de Assertion. Deze attributen worden beschreven in paragraaf 2.3.1 Uniekheid.


Anchor
Uniekheid
Uniekheid
Uniekheid


Code Block
<saml:Assertion

  Version="2.0"

  ID="_dc9f793e2811b86f8e5cdf43ab5fd47d1fe0e61c"

  IssueInstant="2012-12-20T18:50:27Z">

...

De attributen van het SAML assertion element maken van de afgegeven SAML assertion een uniek gegeven. Het attribuut ID identificeert op een unieke wijze de assertion. Het attribuut IssueInstant is een tijdsmoment van uitgifte van de SAML assertion. De tijdswaarde is gecodeerd in UTC. Het attribuut Version is de gebruikte SAML versie van de SAML assertion. De aanduiding voor de versie van SAML gedefinieerd in deze specificatie is "2.0".

Anchor
Onderwerp
Onderwerp
Onderwerp


Code Block
<saml:Subject>
  <saml:NameID>s00000000:12345678</saml:NameID>
  <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
     <saml:SubjectConfirmationData

        InResponseTo="_7afa6d9f9ff28ca9233ada1d9ec2aa1bd6c5ce49"

        Recipient="http://example.com/artifact_url"

        NotOnOrAfter="2012-12-20T18:52:27Z"/>
  </saml:SubjectConfirmation>

</saml:Subject>

...

Voor deze bevestigingsmethode (het Method attribuut) moet de URN waarde "urn:oasis:names:tc:SAML:2.0:cm:bearer" (assertion drager) worden gebruikt.

Anchor
Geldigheid
Geldigheid
Geldigheid


Code Block
<saml:Conditions

 NotBefore="2012-12-20T18:48:27Z"

 NotOnOrAfter="2012-12-20T18:52:27Z">
  …
</saml:Conditions>

...

Het attribuut NotBefore is de tijd waarop de afgegeven SAML assertion geldig wordt.

Image Modified

Wordt een bericht ontvangen op of nadat NotOnOrAfter is verstreken, dan moet dit bericht geweigerd worden[1].


[1] Met de configuratie parameter "ZIM-max-BSN-gracetijd" van de ZIM kan de geldigheidtermijn van een SAML assertion vergroot worden waarbij de begintijd (NotBefore) vervroegd en de eindtijd (NotOnOrAfter) verlaat mag worden.

Het attribuut NotOnOrAfter is de tijd waarop de afgegeven SAML assertion vervalt.

Image Modified

Wordt een bericht ontvangen op of nadat NotOnOrAfter is verstreken, dan moet dit bericht geweigerd worden Met de configuratie parameter "ZIM-max-BSN-gracetijd" van de ZIM kan de geldigheidtermijn van een SAML assertion vergroot worden waarbij de begintijd (NotBefore) vervroegd en de eindtijd (NotOnOrAfter) verlaat mag worden. .


Aangezien DigiD deze waarden interpreteert als tijdstip van authenticatie wordt de geldigheidtermijn (d.i. de eindtijd NotOnOrAfter) opgehoogd met een "ZIM-max-BSN-gracetijd" van 15 minuten.

Het tijdsverschil tussen NotOnOrAfter en NotBefore bedraagt maximaal 4 minuten in DigiDv4.0-SAML. De tijden worden bepaald op het afgiftemoment van de assertion bij DigiD waarbij NotBefore de waarde afgiftemoment - 2 minuten en NotOnOrAfter de waarde afgiftemoment + 2 minuten krijgt.

Image Modified

De geldigheidsduur van een token (NotOnOrAfter minus NotBefore) mag niet langer dan 4 minuten zijn. Wordt een bericht ontvangen waarin deze geldigheidsduur overschreden is, dan moet dat bericht geweigerd worden, ook al is het tijdstip NotOnOrAfter nog niet verstreken.



Image Modified

Van het GBP wordt verwacht dat zij een timer bijhoudt die op het moment dat een gebruiker van het Portaal (de burger) via een redirect vanuit DigiD terugkeert in het LSP-portaal gestart moet worden en de gebruiker na 10 minuten (als de gebruiker op dat moment een nieuwe actie wil doen) weer terugstuurt naar DigiD voor herauthenticatie. Tevens dient het GBP op grond van deze timer een eventueel nog aanwezig ArtefactResponse token te verwijderen.


De subelementen OneTimeUse en ProxyRestriction worden niet gebruikt binnen het <Conditions> element bij Berichtauthenticatie met DigiD.

Anchor
Afzender
Afzender
Afzender


Code Block
<saml:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">

  https://federatie.overheid.nl/aselectserver/server/

</saml:Issuer>

...

Het goed beheerd patiëntenportaal past een TLS-sessie toe bij het opvragen van de assertion bij de identity provider.

Anchor
Ontvanger
Ontvanger
Ontvanger


Code Block
  <saml:AudienceRestriction>
     <!-- Root en extensie van de ZIM en het patiëntenportaal -->

     <saml:Audience>urn:IIroot:2.16.840.1.113883.2.4.6.6:IIext:1</saml:Audience>
  </saml:AudienceRestriction>

...

Vooralsnog staat DigiD niet toe dat er meerdere audiences in het token worden teruggegeven. De root en extensie van de ZIM zullen niet zijn opgenomen in de assertion. Het LSP zal zo geconfigureerd moeten worden dat tokens waarbij als audience het patiëntenportaal is opgenomen ook toegelaten worden.

Anchor
Authenticatie
Authenticatie
Authenticatie


Code Block
<saml:AuthnStatement

  SessionIndex="17"

  AuthnInstant="2012-12-20T18:50:27Z">
  …

</saml:AuthnStatement>

...

De SubjectLocality is gevuld met het IP-adres (Address attribuut) van de PC van de gebruiker en is onderdeel van het AuthnStatement. Deze wordt gebruikt om te verifiëren of de patiënt een vervolg verzoek vanaf hetzelfde IP-adres doet als zijn initiële verzoek tijdens het benaderen van het patiëntenportaal.

Image Modified

Bij communicatie tussen de computer van de patiënt en het patiëntenportaal mag het adres van de computer van de patiënt tijdens een sessie niet wijzigen. Bij wijziging van het adres (Address attribuut) tijdens de sessie in de SubjectLocality, wordt dit als malafide activiteit aangemerkt en wordt de sessie beëindigd en is herauthenticatie vereist.



Code Block
<saml:AuthnContext>
  <saml:AuthnContextClassRef>

      urn:oasis:names:tc:SAML:2.0:ac:classes:MobileTwoFactorContract

  </saml:AuthnContextClassRef>
</saml:AuthnContext>

...