Hier vindt u alle informatie voor ontwikkelaars
Authenticatie
Single sign-on
Service authenticatie
Belangrijke termen en concepten
Authenticatie
Single sign-on
Service authenticatie
Belangrijke termen en concepten
Bij iedere operatie tussen Zorgplatform en vertrouwde applicaties (XIS of partnerapplicatie) is authenticatie vereist. De Zorgplatform Security Token Service (STS) is een WS-TRUST gebaseerde STS en geeft SAML 2.0/ XUA tokens uit aan vertrouwde applicaties. Deze tokens worden door vertrouwde applicaties gebruikt om:
- Zorgplatform gegevensdiensten aan te roepen. Dit kunnen zowel SOAP gebaseerde operaties als RESTful (FHIR) operaties zijn.
- Ten behoeve van Single sign-on scenario’s
Hieronder worden de belangrijke termen en concepten uitgelegd. Op de pagina's over Single sign-on en Service authenticatie is meer te lezen over de protocollen.
Single sign-on
Protocol
Single sign-on
Protocol
Zorgplatform biedt Single sign-on tussen het XIS van de zorginstelling en de door de zorginstelling vertrouwde digitale toepassingen op basis van het ‘Zorgplatform Single sign-on SAML protocol’
Een zorgverlener opent een web applicatie vanuit zijn XIS en:
- Wordt automatisch ingelogd in deze web applicatie (Single sign-on) voor een frictieloze ervaring en een verminderde kans op lekkage van inloggegevens.
- De web applicatie selecteert automatisch de juiste (in het XIS actieve) patiënt (Context sharing) voor een frictieloze ervaring en een verminderde kans op patiëntverwisseling.
Applicaties (zoals web applicaties) kunnen visueel worden geïntegreerd binnen de user interface van het primaire informatie systeem (XIS). Het Zorgplatform Web Browser Single sign-on protocol vereist geen visuele integratie. Binnen de documentatie wordt echter wel visuele integratie voorondersteld.
Protocol
Het faciliteren van Single sign-on gebeurt conform het Zorgplatform Web Browser Single-Sign-On protocol.
Protocol
Zorgplatform biedt Single sign-on tussen het XIS van de zorginstelling en de door de zorginstelling vertrouwde digitale toepassingen op basis van het ‘Zorgplatform Single sign-on SAML protocol’
Een zorgverlener opent een web applicatie vanuit zijn XIS en:
- Wordt automatisch ingelogd in deze web applicatie (Single sign-on) voor een frictieloze ervaring en een verminderde kans op lekkage van inloggegevens.
- De web applicatie selecteert automatisch de juiste (in het XIS actieve) patiënt (Context sharing) voor een frictieloze ervaring en een verminderde kans op patiëntverwisseling.
Applicaties (zoals web applicaties) kunnen visueel worden geïntegreerd binnen de user interface van het primaire informatie systeem (XIS). Het Zorgplatform Web Browser Single sign-on protocol vereist geen visuele integratie. Binnen de documentatie wordt echter wel visuele integratie voorondersteld.
Het faciliteren van Single sign-on gebeurt conform het Zorgplatform Web Browser Single-Sign-On protocol.
Service authenticatie
Protocol
Service authenticatie
Protocol
Het Zorgplatform ‘Service authenticatie’ protocol faciliteert authenticatie van een applicatie van een derde partij, al dan niet namens een zorgverlener. Operaties met de Zorgplatform gegevensdiensten kunnen uitsluitend worden aangeroepen met een geldig Zorgplatform (SAML2 XUA) token.
Een token wordt aangevraagd door een partnerapplicatie bij de Zorgplatform STS en wordt gebruikt om toegang te krijgen tot Zorgplatform services voor een specifieke patiënt. Het token wordt aangevraagd voor de applicatie zelf (een Application token) of voor een specifieke (actieve) gebruiker (een Healthcare professional token). Het opgevraagde token wordt meegegeven bij het aanroepen van de Zorgplatform SOAP en/ of RESTful (FHIR) API’s.
Protocol
Het aanvragen van tokens bij Zorgplatform gebeurt conform het Zorgplatform Service Authenticatie protocol.
Protocol
Het Zorgplatform ‘Service authenticatie’ protocol faciliteert authenticatie van een applicatie van een derde partij, al dan niet namens een zorgverlener. Operaties met de Zorgplatform gegevensdiensten kunnen uitsluitend worden aangeroepen met een geldig Zorgplatform (SAML2 XUA) token.
Een token wordt aangevraagd door een partnerapplicatie bij de Zorgplatform STS en wordt gebruikt om toegang te krijgen tot Zorgplatform services voor een specifieke patiënt. Het token wordt aangevraagd voor de applicatie zelf (een Application token) of voor een specifieke (actieve) gebruiker (een Healthcare professional token). Het opgevraagde token wordt meegegeven bij het aanroepen van de Zorgplatform SOAP en/ of RESTful (FHIR) API’s.
Het aanvragen van tokens bij Zorgplatform gebeurt conform het Zorgplatform Service Authenticatie protocol.
Belangrijke termen en concepten
Trust relationship
Actoren
Security token
Belangrijke termen en concepten
Trust relationship
Actoren
Security token
Trust relationship
Binnen een ‘trust relationship’ vertrouwt een systeem een bepaalde security taak toe aan een ander systeem. Systeem ‘A’ kan bijvoorbeeld het authentiseren van gebruikers toevertrouwen aan (uitsluitend) systeem ‘B’. Dit betekent dat als systeem B ‘beweert’ dat een gebruiker ‘user1’ geauthentiseerd is, systeem A erop vertrouwd dat systeem B de authenticatie correct (volgens een afgesproken policy) heeft uitgevoerd.
Hoe weet systeem A nu of de bewerking ‘user1 is geauthentiseerd’ afkomstig is van systeem B? En niet bijvoorbeeld van systeem C of van een ‘man in the middle’ die een door systeem B afgegeven bewering heeft aangepast? Binnen een trust relationship wordt public key cryptografie gebruikt om een onweerlegbare relatie tussen de systemen te creëren. Systeem B kan bijvoorbeeld de bewering ‘user1 is geauthentiseerd’ digitaal ondertekenen met een private key zodat systeem A kan verifiëren dat de bewering inderdaad afkomstig is van systeem B.
Actoren
Zorgverleners werken bij voorkeur vanuit 1 informatiesysteem. Afhankelijk van het type zorgverlener is dat bijvoorbeeld een Huisarts Informatie Systeem (HIS) of een Ziekenhuis Informatie Systeem (ZIS). De term ‘XIS’ wordt gebruikt als algemene term voor een primair informatiesysteem van een zorgverlener.
Een partnerapplicatie is een applicatie die wordt aangesloten op Zorgplatform.
Security Token Service (STS) is verantwoordelijk voor het uitgeven (en vernieuwen of intrekken) van security tokens.
Security token
Een Security token wordt ook wel een ‘Access Token’ genoemd en bevat security informatie (zoals identiteit, rol of toegangsrechten) over een persoon of systeem. Er zijn meerdere implementaties van deze abstracte term, zoals Single sign-on token, Healthcare professional token en Application token.
Een security token kan de eigenschap ‘Workflow specific’ hebben. Zorgplatform tokens beperken de toegang tot resources (services) gerelateerd aan een specifieke patiënt of aan een specifieke workflow. Deze laatste tokens worden ‘workflow specific tokens’ genoemd. Alle Zorgplatform token-types kunnen als workflow specific token ingezet worden.
- Single sign-on token (SSO token): type security token dat wordt gebruikt om Single sign-on tussen systemen te creëren
- Healthcare professional token (HCP token): betreft een security token dat door een applicatie wordt aangevraagd uit naam van de (actieve) gebruiker om toegang te krijgen tot Zorgplatform services voor een specifieke patiënt
- Application token: betreft een security token dat door een applicatie zelf wordt aangevraagd en niet uit naam van de (actieve) gebruiker. Een application token wordt gebruikt in het geval van automatische processen, zoals bijvoorbeeld processen die automatisch opstarten op bepaalde tijden of naar aanleiding van een ander geautomatiseerd event
Trust relationship
Actoren
Security token
Binnen een ‘trust relationship’ vertrouwt een systeem een bepaalde security taak toe aan een ander systeem. Systeem ‘A’ kan bijvoorbeeld het authentiseren van gebruikers toevertrouwen aan (uitsluitend) systeem ‘B’. Dit betekent dat als systeem B ‘beweert’ dat een gebruiker ‘user1’ geauthentiseerd is, systeem A erop vertrouwd dat systeem B de authenticatie correct (volgens een afgesproken policy) heeft uitgevoerd.
Hoe weet systeem A nu of de bewerking ‘user1 is geauthentiseerd’ afkomstig is van systeem B? En niet bijvoorbeeld van systeem C of van een ‘man in the middle’ die een door systeem B afgegeven bewering heeft aangepast? Binnen een trust relationship wordt public key cryptografie gebruikt om een onweerlegbare relatie tussen de systemen te creëren. Systeem B kan bijvoorbeeld de bewering ‘user1 is geauthentiseerd’ digitaal ondertekenen met een private key zodat systeem A kan verifiëren dat de bewering inderdaad afkomstig is van systeem B.
Zorgverleners werken bij voorkeur vanuit 1 informatiesysteem. Afhankelijk van het type zorgverlener is dat bijvoorbeeld een Huisarts Informatie Systeem (HIS) of een Ziekenhuis Informatie Systeem (ZIS). De term ‘XIS’ wordt gebruikt als algemene term voor een primair informatiesysteem van een zorgverlener.
Een partnerapplicatie is een applicatie die wordt aangesloten op Zorgplatform.
Security Token Service (STS) is verantwoordelijk voor het uitgeven (en vernieuwen of intrekken) van security tokens.
Een Security token wordt ook wel een ‘Access Token’ genoemd en bevat security informatie (zoals identiteit, rol of toegangsrechten) over een persoon of systeem. Er zijn meerdere implementaties van deze abstracte term, zoals Single sign-on token, Healthcare professional token en Application token.
Een security token kan de eigenschap ‘Workflow specific’ hebben. Zorgplatform tokens beperken de toegang tot resources (services) gerelateerd aan een specifieke patiënt of aan een specifieke workflow. Deze laatste tokens worden ‘workflow specific tokens’ genoemd. Alle Zorgplatform token-types kunnen als workflow specific token ingezet worden.
- Single sign-on token (SSO token): type security token dat wordt gebruikt om Single sign-on tussen systemen te creëren
- Healthcare professional token (HCP token): betreft een security token dat door een applicatie wordt aangevraagd uit naam van de (actieve) gebruiker om toegang te krijgen tot Zorgplatform services voor een specifieke patiënt
- Application token: betreft een security token dat door een applicatie zelf wordt aangevraagd en niet uit naam van de (actieve) gebruiker. Een application token wordt gebruikt in het geval van automatische processen, zoals bijvoorbeeld processen die automatisch opstarten op bepaalde tijden of naar aanleiding van een ander geautomatiseerd event