VA:Aansluitproces Ketenpartijen
Vroegtijdig Aanmelden mbo: Aansluitproces Ketenpartijen
Deze pagina bevat informatie om als ketenpartij te kunnen communiceren met het VO-koppelpunt.
De opbouw van een verzoekbericht (request)
Een request dient ondertekend te zijn op basis van de Edukoppeling Transactiestandaard middels profiel 2w-be-s (2-weg best effort signed).
Meer informatie over de Edukoppeling Transactiestandaard kan gevonden worden op Edukoppeling.nl
Klik hier voor de lijst met elementen, welke deel uit maken van de ondertekening.
- De SOAP Headers
| To |
Bevat de URL van het afleveradres met het bijbehorende OIN.
|
|---|---|
| From | Soapheader From bevat de URL van de verzender met het bijbehorende OIN. Dit kan default ook anonymous zijn.
|
| Action |
Hiermee wordt de operatie aangeduid. Deze moet overgenomen worden vanuit de WSDL. |
| MessageId |
Een random gegenereerd nummer, ter identificatie als er iets mis is gegaan met het berichtenverkeer binnen de keten. |
| Timestamp |
De timestamp bevat minimaal het veld Created. Hiermee wordt de datum en tijd aangeduid van berichtcreatie. Let op bij validatie binnen het VO-koppelpunt wordt gekeken of het bericht niet verstreken is op basis van dit veld. Volgens de specificaties (PvE) mag de huidige datum niet meer dan 2 dagen later zijn dan de creation date. Optioneel kan nog een expiration date time worden meegestuurd. Deze expiration date time moet aangehouden worden als het bericht gevalideerd wordt. |
- De SOAP Body
Deze bevat de daadwerkelijke inhoud van het bericht conform de wsdl en xsd van het aanmeld en mbogangerBericht.
De opbouw van een antwoordbericht (response)
Een response is ondertekend op basis van de Edukoppeling Transactiestandaard middels profiel 2w-be-s (2-weg best effort signed).
Meer informatie over de Edukoppeling Transactiestandaard kan gevonden worden op Edukoppeling.nl
Klik hier voor de lijst met elementen, welke deel uit maken van de ondertekening.
- De SOAP Headers:
| To |
Bevat de URL van het afleveradres met het bijbehorende OIN.
|
|---|---|
| From | Soapheader From bevat de URL van de verzender met het bijbehorende OIN. Dit kan default ook anonymous zijn.
|
| Action |
Hiermee wordt de operatie aangeduid. Deze moet overgenomen worden vanuit de WSDL. |
| RelatesTo |
Dit veld bevat de messageId van het originele request. |
| Timestamp |
De timestamp bevat minimaal het veld Created. Hiermee wordt de datum en tijd aangeduid van berichtcreatie. Let op bij validatie binnen het VO-koppelpunt wordt gekeken of het bericht niet verstreken is op basis van dit veld. Volgens de specificaties (PvE) mag de huidige datum niet meer dan 2 dagen later zijn dan de creation date. Optioneel kan nog een expiration date time worden meegestuurd. Deze expiration date time moet aangehouden worden als het bericht gevalideerd wordt. |
- De SOAP Body
Deze bevat de daadwerkelijke inhoud van het bericht conform de wsdl en xsd van het aanmeld en mbogangerBericht.
De inhoud van een ondertekend bericht
Klik hier voor de lijst met elementen, welke samen een ondertekend bericht vormen.
| Binary security token |
Dit bevat de publieke sleutel van het certificaat waarmee het bericht is ondertekend.
|
|---|---|
| Digest value | Op de Soapheaders en body wordt het sha256-algoritme toegepast om de verschillende velden te hashen. Canonilisatie wordt toegepast om de namespace eenduidig te gebruiken.
<ds:Reference URI="#id-A819ECE6A7D2AEB814153916000571753"> <ds:Transforms> <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"> <ec:InclusiveNamespaces PrefixList="gen soapenv v1" xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#"/> </ds:Transform> </ds:Transforms> <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/> <ds:DigestValue>SoGuntlVcJU73MFDXjrcMmFDp29kG+D5zcY53HdXI7s=</ds:DigestValue> </ds:Reference> URI verwijst in dit voorbeeld naar het element WSA Action element: <wsa:Action wsu:Id="id-A819ECE6A7D2AEB814153916000571753" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">http://vroegtijdigaanmelden.nl/v1_0/ontvangAanmeldbericht</wsa:Action> |
| Signature value | De som van alle digestvalues wordt genomen en dit wordt ook gehasht. Nadat het gehasht is, wordt deze waarde met behulp van de private sleutel geencrypt. Men kan de signature value decrypten dmv de publieke sleutel, welke meegestuurd wordt in het bericht. |
| Soapheaders | |
| Body |
Validaties
Het VO-koppelpunt hanteert de volgende validaties voor binnenkomende berichten.
Op SSL-niveau
- Er moet een geldig PKI-overheidscertificaat of OCW Digitaal Onderwijscertificaat (ODOC) worden gebruikt.
Zowel het Root- als intermediate certificaten moeten worden vertrouwd (volledige Chain of Trust).
- Het certificaat binnen het bericht:
- moet ook een geldig PKI-overheidscertificaat of OCW Digitaal Onderwijscertificaat (ODOC) zijn;
- moet hiërarchisch herleidbaar zijn tot de Staat der Nederlanden (PKI) of het ministerie van OCW (ODOC) als Root CA;
- mag niet voorkomen op de van toepassing zijnde herroepingslijst (CRL);
- mag niet verlopen zijn.