In dit hoofdstuk wordt de inhoud van het SAML mandaattoken besproken die bij mandatering en de berichtauthenticatie met behulp van de UZI-pas wordt gebruikt. Het SAML mandaattoken bevat informatie over de mandaatgever in relatie tot de gemandateerde zorgmedewerker. Het SAML mandaattoken is een op XML gebaseerd SAML assertion en heeft tot doel de assertions (bewijs van een bewering) over te brengen tussen partijen.
...
Het SAML mandaattoken is een afgegeven SAML assertion die gebruikt wordt bij mandatering en berichtauthenticatie met behulp van de UZI-pas voor het landelijk EPDbinnen AORTA. Er wordt gebruik gemaakt van SAML v2.0 [SAML Core].
...
Element/@Attribute | 0..1 | Omschrijving | |||
|---|---|---|---|---|---|
@ID | 1 | Unieke identificatie van de Assertion | |||
@Version | 1 | Versie van het SAML Protocol. Vaste waarde moet zijn 2.0 | |||
@IssueInstant | 1 | Tijdstip van registratie van het mandaat. | |||
Issuer | 1 | De zorgverlener die het mandaat afgeeft. | |||
@NameQualifier | 0 | Niet gebruiken | |||
@SPNameQualifier | 0 | Niet gebruiken | |||
@Format | 1 | Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity" | |||
@SPProviderID | 0 | Niet gebruiken | |||
Signature | 1 | Bevat de handtekening over de assertion zoals gezet met behulp van de UZI pas van de zorgverlener die het mandaat verleent (de mandaterende). De handtekening dient geplaatst te zijn met behulp van het handtekening-certificaat op de pas. | Subject | 1 | Bevat de Organisatie (URA) waarbinnen het mandaat geldig is |
Subject | 1 | Bevat de Organisatie (URA) waarbinnen het mandaat geldig is. Let op: Indien dit veld gevuld wordt bij het uitlezen van de UZI pas, dan zal dit veld in het geval van gastgebruik niet de juiste URA bevatten. Er wordt aanbevolen dit veld met de URA uit het gebruikte servercertificaat te vullen. | |||
BaseID | 0 | Niet gebruiken | |||
NameID | 1 | Bevat de URA | |||
EncryptedID | 0 | Niet gebruiken | |||
SubjectConfirmation | 1 | Moet aanwezig zijn | |||
@Method | 1 | 'urn:oasis:names:tc:SAML:2.0:cm:sender-vouches' | |||
SubjectConfirmationData | 0 | Niet gebruiken | |||
@Recipient | 0 | Niet gebruiken | |||
@NotOnOrAfter | 0 | Niet gebruiken | |||
@InResponseTo | 0 | Niet gebruiken | |||
@NotBefore | 0 | Niet gebruiken | |||
@Address | 0 | Niet gebruiken | |||
KeyInfo | 0 | Niet gebruiken | |||
Conditions | 1 | Moet aanwezig zijn | |||
@NotBefore | 1 | Moet aanwezig zijn. | |||
@NotOnOrAfter | 1 | Moet aanwezig zijn. | |||
Condition | 0 | Niet gebruiken | |||
AudienceRestriction | 1 | Moet aanwezig zijn | |||
Audience | 1 | urn:IIroot:2.16.840.1.113883.2.4.6.6:IIext:1 (is de ZIM) | |||
AudienceRestriction | 1 | Moet aanwezig zijn | |||
Audience | 1 | urn:IIroot:2.16.840.1.113883.2.4.6.6:IIext:<AppId> (is de verzendende GBZ-applicatie) | |||
ProxyRestriction | 0 | Niet gebruiken | |||
Advice | 0 | Niet gebruiken | |||
AuthnStatement | 0 | Niet gebruiken | |||
AttributeStatement | 1 | Moet aanwezig zijn | |||
Attribute | 1 | Moet aanwezig zijn | |||
@Name | 1 | Vaste waarde: "autorisatieregel/context" | |||
AttributeValue | 1 | URI waar de autorisatieregel/context gevonden kan worden waarbinnen het mandaat gegeven wordt. |
...
| Bij het gebruik van de namespace-prefixes is het van belang deze na het ondertekenen niet meer te veranderen, dit maakt de digitale handtekening ongeldig. |
| Anchor | ||||
|---|---|---|---|---|
|
De volgende paragrafen beschrijven de verschillende kenmerken en beveiligingsgerelateerde gegevens die het SAML mandaattoken onderscheiden, zoals in [IH tokens generiek] beschreven is.
...
Het SAML mandaattoken begint met het Assertion element en een verwijzing naar de XML SAML namespace voor SAML 2.0 assertions. De attributen behorende bij het Assertion element wordt in paragraaf 2.3.1 Uniekheid beschreven.
| Anchor | ||||
|---|---|---|---|---|
|
| Code Block |
|---|
ID="token_2.16.528.1.1007.3.3.1234567.1_0123456789" IssueInstant="2009-06-24T11:47:34Z" Version="2.0"> |
...
Het wordt aanbevolen een UUID (Universally Unique Identifier)[1] te gebruiken. Bij het gebruik van andere vormen is er een kans, hoe klein ook, dat een ID samenvalt met een ID gemaakt volgens een andere methode van een andere leverancier).
| Een ID in XML mag niet met een cijfer beginnen. Bij het gebruik van een UUID is het dus aan te raden een prefix te gebruiken, welke met een letter of underscore (‘_’) begint. |
[1] Zie het RfC4122 opgesteld door het IETF: A Universally Unique Identifier (UUID) URN Namespace
...
Het attribuut IssueInstant is een tijdsmoment van uitgifte van de SAML assertion, in andere woorden: het tijdstip van ondertekening. De tijdswaarde is gecodeerd in UTC. Het attribuut Version is de gebruikte SAML versie van de SAML assertion. De aanduiding voor de versie van SAML gedefinieerd in deze specificatie is "2.0".
| Anchor | ||||
|---|---|---|---|---|
|
| Code Block |
|---|
<saml:Issuer> 123456789:01.015 </saml:Issuer> |
...
De Issuer verwijst naar de UZI van de zorgverlener/medewerker die het mandaat registreert (de mandaatgever) in combinatie met de rolcode van diezelfde zorgverlener/medewerker gescheiden door een dubbele punt (:).
| Anchor | ||||
|---|---|---|---|---|
|
| Code Block |
|---|
<saml:Subject> <saml:NameID> urn:IIroot:2.16.528.1.1007.3.3:IIext:12345678 </saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:sender-vouches"> </saml:SubjectConfirmation> </saml:Subject> |
...
| Code Block |
|---|
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:sender-vouches"> </saml:SubjectConfirmation> |
| Anchor | ||||
|---|---|---|---|---|
|
| Code Block |
|---|
<saml:Conditions NotBefore="2009-06-24T11:47:34Z" NotOnOrAfter="2009-09-24T11:47:34Z"> |
...
Het inperken van bepaalde partijen (AudienceRestriction) waarvoor de assertion bedoeld is wordt beschreven in paragraaf 2.3.5 Ontvanger.
De subelementen OneTimeUse en ProxyRestriction worden niet gebruikt binnen het <Conditions> element bij het mandaattoken.
| Anchor | ||||
|---|---|---|---|---|
|
In de AudienceRestriction wordt beschreven aan wie de SAML assertion is gericht. Aangezien het mandaattoken bedoeld is voor gebruik door een verzendende applicatie en bedoeld is om door de ZIM begrepen te worden, worden er binnen de AudienceRestriction twee Audience elementen opgenomen, één voor de ZIM en één voor de verzendende GBZ-applicatie.
...
| Code Block |
|---|
<saml:AudienceRestriction> <!-- Root en extensie van de ZIM --> <saml:Audience>urn:IIroot:2.16.840.1.113883.2.4.6.6:IIext:1</saml:Audience> <!-- Root en extensie van de Applicatie --> <saml:Audience>urn:IIroot: 2.16.840.1.113883.2.4.6.6:IIext:300</saml:Audience> </saml:AudienceRestriction> |
| Anchor | ||||
|---|---|---|---|---|
|
| Code Block |
|---|
<saml:AttributeStatement> |
...
- Voor het berekenen van de hashwaarde wordt SHA-256 gebruikt.
- Voor de digitale handtekening in AORTA wordt gebruik gemaakt van een RSA handtekening over een SHA-256 digest.
| Omdat de XML Signature onderdeel is van het SAML mandaattoken en in het SAML mandaattoken geplaatst wordt, moet er een "enveloped-signature" transformatie uitgevoerd worden die de Signature tags uit het SAML authenticatietoken verwijderd gevolgd door een “exc-c14n transformatie” (zie ook [SAML Core] §5.4.3 en §5.4.4). |
Opbouw
De headers
Eerst wordt het SAML mandaattoken – het <saml:Assertion ...> element aangemaakt en gevuld met die elementen, zoals beschreven in paragraaf 2.3 Inhoud.
| Code Block |
|---|
<saml:Assertion ID="token_2.16.528.1.1007.3.3.1234567.1_0123456789" IssueInstant="2009-06-24T11:47:34Z" Version="2.0" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"> ... Zie paragraaf 2.3 Inhoud ... </saml:Assertion> |
...