/
(v1) Token afhandeling Berichtauthenticatie PKIO
Document toolboxDocument toolbox

(v1) Token afhandeling Berichtauthenticatie PKIO

Owned by Bart Hoenderboom
Sept 27, 2023

Verificatie van het bericht

Het is belangrijk vast te stellen dat de velden in het SAML authenticatietoken overeenstemmen met die in het HL7v3 bericht en geldig ondertekend zijn. Wanneer dit niet zou gebeuren, kan een kwaadwillende met een gestolen token nog steeds gegevens opvragen van bv. ieder willekeurig burgerservicenummer.


De ontvanger controleert of de WS-Security SOAP Header voor hem bestemd is, zie soap attribuut actor.


Het SAML authenticatietoken wordt door de ontvanger uit de WS-Security SOAP Header gehaald indien de WS-Security SOAP Header voor de ontvanger bestemd is en dat de ontvanger deze moet verwerken. Bij gebruik van het SAML authenticatietoken moet de ontvanger controleren of:

  • Het attribuut ID van het Assertion element op een unieke wijze het uiteindelijk gebruikte HL7v3 message.Id identificeert, zie Uniekheid  ;
  • De aanduiding voor de versie van SAML gedefinieerd is op "2.0", zie Uniekheid  ;
  • Het bericht ontvangen is binnen de geldigheidsperiode van het token, zie Geldigheid  ;
  • Het serienummer van het authenticatie certificaat overeenkomt met de NameID van het Subject, zie paragraaf 2.3.2 ;
  • De juiste afzender is vastgelegd die deze assertion heeft gecreëerd en de gebruiker heeft geauthenticeerd, zie Afzender ;
  • De afnemer van het SAML authenticatietoken (audience) het LSP is, zie Ontvanger ;
  • De klantenloketmedewerker is geauthenticeerd via het voorgedefinieerde authenticatiemiddel, de SmartCardPKI, zoals beschreven in Authenticatie ;
  • Alleen die attributen zijn gedefinieerd, die zijn beschreven in Attributen ;
  • De attribuutwaarde van TriggerEventId overeenkomt met het berichttype van het HLv3 bericht, zie Attributen ;
  • De attribuutwaarden van messageIdRoot en messageIdExt overeenkomt met de gebruikte HL7v3 message.id, zie Attributen  ;
  • De attribuutwaarde van burgerServiceNummer overeenkomt met het BSN in het HL7v3 bericht ofwel doordat de gegevens in het bericht daadwerkelijk betrekking hebben op de persoon, zie Attributen;


Als aan één van de bovenstaande condities niet is voldaan, moet het bericht door de ontvanger geweigerd worden en een SOAP foutmelding aan het verzendende systeem afgegeven worden, zie foutafhandeling in [IH tokens generiek].


Als wel aan alle condities is voldaan, wordt het HL7v3 bericht verder verwerkt.

 

Related content

(v2) Token afhandeling Berichtauthenticatie PKIO
(v2) Token afhandeling Berichtauthenticatie PKIO
AORTA 8.3.0
More like this
(v4) Token afhandeling Berichtauthenticatie PKIO
(v4) Token afhandeling Berichtauthenticatie PKIO
AORTA 8.3.0
More like this
(v3) Token afhandeling Berichtauthenticatie PKIO
(v3) Token afhandeling Berichtauthenticatie PKIO
AORTA 8.3.0
More like this
(current) Token afhandeling Berichtauthenticatie PKIO
(current) Token afhandeling Berichtauthenticatie PKIO
AORTA 8.3.0
More like this
(v3) Token afhandeling berichtauthenticatie DigiD
(v3) Token afhandeling berichtauthenticatie DigiD
AORTA 8.3.0
More like this
(v2) Token afhandeling berichtauthenticatie DigiD
(v2) Token afhandeling berichtauthenticatie DigiD
AORTA 8.3.0
More like this