A_23045-02 - Registrierung des Fachdienstes

Anbieter von Fachdiensten MÜSSEN bei der Registrierung ihrer Authorization-Server am Federation Master die von ihnen erwarteten Attribute in Scope bzw. Claims beschreiben und dem Federation Master zur Verfügung stellen. Die Registrierung MUSS ebenso die absolute URI des Fachdienstes im Internet umfassen (seine Client-ID) sowie dessen Signaturschlüssel für das Entity_Statement.
[<=]

A_23046 - öffentlicher Schlüssel des Federation Master

Anbieter von Fachdiensten MÜSSEN den öffentlichen Signaturschlüssel des Federation Master durch einen sicheren Registrierungsprozess im Authorization-Server einbringen und initial zur Signaturprüfung verwenden. [<=]

A_28879 - Registrierung von Teilnehmern in der TI-Föderation durch organisatorischen Prozess

Ein Teilnehmer der TI-Föderation MUSS seinen öffentlichen Schlüssel für die Signatur des selbst-signierten Entity Statement (federation entity signing key) über einen organisatorischen Prozess bei der Superior Entity (Federation Master oder Intermediate) bekannt machen, bei welcher der Teilnehmer als Subordinate Entity registriert werden soll. Nach erfolgreicher Registrierung wird dem Teilnehmer der öffentliche Schlüssel übermittelt, mit dem das Entity Statement des Federation Master signiert ist (federation entity signing key). Der Teilnehmer MUSS diesen Schlüssel speichern und zur Validierung einer Vertrauenskette gemäß A_28848* verwenden. [<=]

A_23004 - Anforderung eines Vertrauensniveaus

Fachdienste MÜSSEN eine Authentisierung auf dem für den Zugriff auf ihre Fachdaten notwendigen Vertrauensniveau im Parameter acr_values des Pushed Authorization-Request anfragen oder, wenn nur ein Wert infrage kommt diesen im Feld default_acr_values ihres Entity Statements nennen. [<=]

A_23004-01 - Anforderung eines Vertrauensniveaus

Fachdienste Authorization Server MÜSSEN eine Authentisierung auf dem für den Zugriff auf ihre Fachdaten notwendigen Vertrauensniveau im Parameter acr_values des Pushed Authorization-Request anfragen oder, wenn nur ein Wert infrage kommt diesen im Feld default_acr_values ihrer Entity Configuration Statements nennen. [<=]

A_23034-01 - Entity Statement veröffentlichen

Authorization Server MÜSSEN unter „.well-known/openid-federation“ ein über sich Auskunft gebendes, mit ES256 signiertes Entity Statement gemäß [OpenID Federation 1.0#name-obtaining-federation-entity] veröffentlichen. Dieses Entity Statement muss die Metadaten openid_relying_party und federation_entity als Relying Party der TI-Föderation enthalten. Das Entity Statement ist maximal 24 Stunden gültig. Es MUSS mindestens die in der folgenden Tabelle aufgeführten Metadaten enthalten:

Tabelle 1: Header des Entity Statement des Fachdienstes

Name	Werte / Wertebereich
alg	string, zulässiger Wert: "ES256"
kid	string Es wird empfohlen, den JWK Thumbprint gemäß [RFC7638] als kid zu verwenden.
typ	string zulässiger Wert: "entity-statement+jwt"

Tabelle 2 : Allgemeine Attribute  im well-known-Dokument des Authorization Server des Fachdienstes

Name	Werte / Wertebereich
iss	string, URL nach [RFC1738]
sub	string, URL nach [RFC1738]
iat	number, Alle time-Werte in Sekunden seit 1970, [RFC7519#section-2]
exp	number, Alle time-Werte in Sekunden seit 1970, [RFC7519#section-2]
jwks	Set von JWK [RFC7517 ]
authority_hints	[string] zulässiger Wert: iss aus dem Entity Statement des Federation Master
metadata	string, zulässiger Wert: "openid_relying_party"

Tabelle 3 : Attribute des Metadatenblocks openid_relying_party im well-known-Dokument des Authorization Server des Fachdienstes

Name	Werte
signed_jwks_uri (*)	string, URL nach [RFC1738]
jwks (*)	Set von JWK [RFC7517 ]
client_name	string, Wertebereich: ^[ÄÖÜäöüß\w\ \-\.\&\+\*\/]{1,128}$
redirect_uris	[string], Wertebereich: Bei der Registrierung des Fachdienstes hinterlegte redirect_uris
response_types	[string] zulässiger Wert: "code"
client_registration_types	[string] zulässiger Wert: "automatic"
grant_types	[string] zulässiger Wert: "authorization_code"
require_pushed_authorization_requests	boolean zulässiger Wert: true
token_endpoint_auth_method	string, zulässiger Wert: "self_signed_tls_client_auth"
default_acr_values	[string] zulässiger Wertebereich: "gematik-ehealth-loa-high", "gematik-ehealth-loa-substantial"
id_token_signed_response_alg	string, zulässiger Wert: "ES256"
id_token_encrypted_response_alg	string, zulässiger Wert: "ECDH-ES"
id_token_encrypted_response_enc	string, zulässiger Wert: "A256GCM"
scope	string
ti_features_supported {
id_token_version_supported	[string] zulässige Werte in Liste: "1.0.0", "2.0.0"

(*) - gemäß [OpenID Federation 1.0] darf der Metadatenblock nur entweder signed_jwks_uri oder jwks enthalten.

Tabelle 4 : Attribute des Metadatenblocks federation_entity im well-known-Dokument des Fachdienstes Authorization Server

Name	Werte / Wertebereich
organization_name	String (max. 128 Zeichen) Wertebereich: ^[ÄÖÜäöüß\w\ \-\.\&\+\*\/]{1,128}$

[<=]

A_23034-02 - Entity Statement veröffentlichen

Ein Fachdienst Authorization Server MUSS seine Entity Configuration in einem selbst-signierten Entity Statement gemäß [OpenID Federation 1.1] ("Entity Statemen") bereitstellen und im Internet verfügbar machen. Die Entity Configuration Statement MUSS mindestens die in der folgenden Tabelle aufgeführten Metadaten enthalten: 

Tabelle 5: Header des Entity Statement des Fachdienstes Authorization Server

Name	Werte / Wertebereich
alg	string, zulässiger Wert: "ES256"
kid	string, UUID7-Format [RFC9562#name-uuid-version-7]  Es wird empfohlen, den JWK Thumbprint gemäß [RFC7638] als kid zu verwenden.
typ	string, zulässiger Wert: "entity-statement+jwt"

Tabelle 6 : Allgemeine Attribute der Entity Configuration  im .well-known-Dokument des Authorization Server des Fachdienstes

Name	Werte / Wertebereich
iss	string, URL nach [RFC1738]
sub	string, URL nach [RFC1738]
iat	number, Alle time-Werte in Sekunden seit 1970, [RFC7519#section-2]
exp	number, Alle time-Werte in Sekunden seit 1970, [RFC7519#section-2]
jwks	Set von JWK [RFC7517], zulässige Werte sind, gemäß [OpenID Federation "Claims that MUST or MAY Appear in both Entity Configurations and Subordinate Statements"] - jwks, nur die öffentlichen Schlüssel zu Schlüsseln, mit den das Entity Statement signiert ist.
authority_hints	[string], zulässige Werte gemäß [OpenID Federation "Claims that MUST or MAY Appear in Entity Configurations but Not in Subordinate Statements"]  - authority_hints
trust_marks	[JSON Object], Optional, wenn Trust Marks für die Relying Party ausgestellt wurden, werden sie hier propagiert. zulässige Werte gemäß [OpenID Federation "Claims that MUST or MAY Appear in Entity Configurations but Not in Subordinate Statements"]  - trust_marks
metadata	JSON Object, erforderlicher Wert: "openid_relying_party"

Tabelle 7 : Attribute des Metadatenblocks openid_relying_party der Entity Configuration im .well-known-Dokument des Authorization Server des Fachdienstes

Name	Werte
signed_jwks_uri (*)	string, URL nach [RFC1738]
jwks (*)	Set von JWK [RFC7517 ]
client_name	string, Wertebereich: ^[à-üÀ-Üß\w\ \-\.\&\+\*\/]{1,128}$
organization_name	string (gemäß [OpenID-Federation "Informational Metadata Extensions" ] - organization_name)  Wertebereich: ^[à-üÀ-Üß\w\ \-\.\+\*\/]{1,128}$
display_name	string (gemäß [OpenID-Federation "Informational Metadata Extensions" ] - display_name)  Wertebereich: ^[à-üÀ-Üß\w\ \-\.\+\*\/]{1,128}$
keywords	[string] (gemäß [OpenID-Federation "Informational Metadata Extensions" ] - keywords)  erforderliche Werte: "product_type_version:<von der gematik zugelassene Produkttyp-Version>" "product_type:<von der gematik zugelassener Produkttyp>"
contacts	[string] (gemäß [OpenID-Federation "Informational Metadata Extensions" ] - contacts)  erforderlicher Wert: "<E-Mail-Adresse für Supportanfragen>"
redirect_uris	[string], Wertebereich: Bei der Registrierung des Fachdienstes hinterlegte redirect_uris
response_types	[string], zulässiger Wert: "code"
client_registration_types	[string], zulässiger Wert: "automatic"
grant_types	[string], zulässiger Wert: "authorization_code"
require_pushed_authorization_requests	boolean, zulässiger Wert: true
token_endpoint_auth_method	string, zulässiger Wert: "self_signed_tls_client_auth"
default_acr_values	[string], zulässiger Wertebereich: "gematik-ehealth-loa-high", "gematik-ehealth-loa-substantial"
id_token_signed_response_alg	string, zulässiger Wert: "ES256"
id_token_encrypted_response_alg	string, zulässiger Wert: "ECDH-ES"
id_token_encrypted_response_enc	string, zulässiger Wert: "A256GCM"
scope	string
ti_features_supported {
id_token_version_supported	[string] zulässige Werte in Liste: "1.0.0", "2.0.0"
}

(*) - gemäß [OpenID Federation 1.1] darf der Metadatenblock nur entweder signed_jwks_uri oder jwks enthalten.
[<=]

A_27504 - Informationspflicht bei Änderungen der benötigten Werte "scope" und "redirect_uris"

Anbieter von Fachdiensten DÜRFEN die Claims redirect_uris und scope in ihrem Entity Statement NICHT verändern, bevor diese über den von der gematik kommunizierten organisatorischen Prozess dem Federation Master bekannt gegeben wurden. Erst nach positiver Rückmeldung dürfen diese gemeldeten Veränderungen im Entity Statement des Fachdienstes veröffentlicht werden. [<=]

A_27504-01 - Informationspflicht bei Änderungen der benötigten Werte "scope" und "redirect_uris"

Anbieter von Fachdiensten Autorization Servern DÜRFEN die Claims redirect_uris und scope in ihrer Entity Configuration Statement NICHT verändern, bevor diese über den von der gematik kommunizierten organisatorischen Prozess dem direkt übergeordneten Superior (Federation Master oder Intermediate) bekannt gegeben wurden. Erst nach positiver Rückmeldung dürfen diese gemeldeten Veränderungen in der Entity Configuration im Entity Statement des Fachdienstes veröffentlicht werden.

Die Änderung der Client-ID in der Entity Configuration (iss) ist generell unzulässig.

Hinweis: Soll z.B. bedingt durch einen Domänenwechsel die iss-URL geändert werden, so ist eine Deregistrierung des alten und die Neuregistrierung des neuen Clients in der TI-Föderation erforderlich. [<=]

A_24607 - Schlüsselwechsel Signaturschlüssel für Entity Statement

Anbieter von Fachdiensten MÜSSEN im Rahmen eines geplanten Schlüsselwechsels der Signaturschlüssel, mit dem der Fachdienst sein Entity Statement signiert, den öffentlichen Signaturschlüssel mindestens 24 Stunden vor der Verwendung über einen organisatorischen Prozess beim Federation Master hinterlegen.
   
[<=]

A_28859 - Vorlaufzeit bei geplantem Schlüsselwechsel Signaturschlüssel für Entity Statements

Im Rahmen eines geplanten Schlüsselwechsels der Signaturschlüssel MÜSSEN Teilnehmer der TI-Föderation den neuen öffentlichen Signaturschlüssel mindestens 24 Stunden vor der Verwendung im  jwks-Schlüsselsatz im Entity Statement zusätzlich zum aktuell gültigen Signaturschlüssel veröffentlichen. Dieser Signaturschlüssel ist der neue Schlüssel, mit dem der Teilnehmer sein Entity Statement (federation entity signing key) frühestens 24 Stunden nach dieser Veröffentlichung signiert. Der Schlüsselwechsel sollte entsprechend [OpenID Federation 1.1] ("Updating Metadata, Key Rollover, and Revocation") erfolgen.

Hinweis: Nicht betroffen von dieser Anforderung sind kurzfristig notwendige Schlüsselwechsel, z. B. aufgrund von Sicherheitsvorfällen. Diese Maßnahmen sind beispielsweise über Security Incidents abzuwickeln. Die Bearbeitung solcher kurzfristigen Schlüsselwechsel muss die Aktualisierung beim Federation Master bzw. Intermediate mit berücksichtigen, da es ansonsten zu Verarbeitungsfehlern wegen ungültiger Schlüssel kommen kann. [<=]

A_23038 - Entity Statement abrufen

Authorization-Server MÜSSEN benötigte Schlüssel und Endpunkte des Federation Master und verwendeter sektoraler Identity Provider durch Abfrage ihrer Entity Statements entsprechend [gemSpec_IDP_FedMaster]#AF_10101 einholen. [<=]

A_23039 - Entity Statement vorhalten

Authorization-Server KÖNNEN einmal heruntergeladene fremde Entity Statements zwischenspeichern. Diese SOLLEN nach 12 Stunden erneut heruntergeladen werden und MÜSSEN nach maximal 24 Stunden verworfen werden. [<=]

A_23040 - Fachdienst: Prüfung der Signatur des Entity Statements

Authorization-Server MÜSSEN die Signatur der heruntergeladenen Entity Statement prüfen und auf einen zeitlich gültigen Signaturschlüssel zurückführen, welcher von dem ihm bekannten Federation Master oder von einem durch den Federation Master beglaubigten sektoralen Identity Provider ausgestellt sein MUSS. Vor der weiteren Verwendung MUSS die Prüfung der Entity Statements erfolgreich abgeschlossen sein. [<=]

A_28848 - Validierung der Vertrauenskette eines TI-Föderation-Teilnehmers

Teilnehmer der TI-Föderation, welche mit anderen Teilnehmern der TI-Föderation kommunizieren wollen, MÜSSEN das Entity Statement des anderen TI-Föderation-Teilnehmers abrufen und gemäß der Regeln [OpenID Federation 1.1] ("Entity Statement Validation") validieren, sowie die Vertrauenskette gemäß [OpenID Federation 1.1] ("Resolving the Trust Chain and Metadata") prüfen. Der Abruf des Entity Statement sollte alle 12h und MUSS innerhalb von 24h erfolgen.
[<=]

A_29019 - Abruf eines Subordinate Statement abweichend von OpenID Federation 1.1 (befristet)

Der Abruf eines Subordinate Statement eines Teilnehmers zu einem anderen Teilnehmer bei dessen Superior Entity MUSS abweichend zu [OpenID Federation 1.1]  ("Fetch Subordinate Statement Request") ein HTTP-GET Request mit folgenden Parametern an den federation_fetch_endpoint der Superior Entity sein:

Tabelle 8: Teilnehmer Validierung Abfrage - Request-Parameter

Attribut	Werte / Typ	Anmerkung
iss	string, URL nach [RFC1738]	Identifier (iss) der Subordinate Entity (Federation Master oder Intermendiate-Entity), bei welcher der Teilnehmer (sub) registriert ist.
sub	string, URL nach [RFC1738]	Identifier (iss) des angefragten Teilnehmers aus dessen Entity Statement

Hinweis: Eine Umstellung auf den aktuellen Standard entsprechend [OpenID Federation 1.1 ] ("Fetch Subordinate Statement Request") kann erst erfolgen, wenn die API des Federation Master angepasst wurde. [<=]

A_27989 - Bekanntgabe von Änderungen im Entity Statement einer Relying Party der TI-Föderation

Anbieter eines Authorization Server in der TI-Föderation MÜSSEN geplante Änderungen folgender claims im Entity Statement vor Veröffentlichung dem Federation Master über einen organisatorischen Prozess beantragen:

• Änderungen des Schlüsselsets, mit dem das Entity Statement signiert wird - jwks,
• Änderungen des in der TI-Föderation propagierten Organisationsnamens - federation_entity.organization_name,
• Änderungen des Namens der Anwendung - openid_relying_party.client_name.

[<=]

A_28911 - Entity Statement eines TI-Fachdienstes als Proteced Resource

TI-Fachdienste, die sich als Proteced Resource in der TI-Föderation registrieren,  MÜSSEN ein selbst-signiertes Entity Statement gemäß [OpenID Federation 1.1] ("Entity Statement") bereitstellen und im Internet verfügbar machen. Das Entity Statement MUSS mindestens die in der folgenden Tabelle aufgeführten Metadaten enthalten: 

Tabelle 9: Header des Entity Statement des TI-Fachdienstes als Proteced Resource

Name	Werte / Wertebereich
alg	string, zulässiger Wert "ES256"
kid	string, UUID7-Format [RFC9562#name-uuid-version-7]
typ	string, zulässiger Wert "entity-statement+jwt"

Tabelle 10 : Allgemeine Attribute  im well-known-Dokument des TI-Fachdienstes als Proteced Resource

Name	Werte / Wertebereich
iss	string, URL nach [RFC1738]
sub	string, URL nach [RFC1738]
iat	number, Alle time-Werte in Sekunden seit 1970, [RFC7519#section-2]
exp	number, Alle time-Werte in Sekunden seit 1970, [RFC7519#section-2]
jwks	Set von JWK [RFC7517] zulässige Werte sind, gemäß [OpenID Federation "Claims that MUST or MAY Appear in both Entity Configurations and Subordinate Statements"] - jwks, nur die öffentlichen Schlüssel zu Schlüsseln, mit denen das Entity Statement signiert ist (federation entity signing key)
authority_hints	[string] zulässige Werte gemäß [OpenID Federation "Claims that MUST or MAY Appear in Entity Configurations but Not in Subordinate Statements"]  - authority_hints
metadata	JSON Object, erforderlicher Wert: "oauth_resource"

Tabelle 11 : Attribute des Metadatenblocks oauth_resource im well-known-Dokument des TI-Fachdienstes als Proteced Resource

Name	Werte
signed_jwks_uri (*)	string, URL nach [RFC1738]
organization_name	string (gemäß [OpenID-Federation "Informational Metadata Extensions" ] - organization_name)  Wertebereich: ^[à-üÀ-Üß\w\ \-\.\+\*\/]{1,128}$
display_name	string (gemäß [OpenID-Federation "Informational Metadata Extensions" ] - display_name)  Wertebereich: ^[à-üÀ-Üß\w\ \-\.\+\*\/]{1,128}$
keywords	[string] (gemäß [OpenID-Federation "Informational Metadata Extensions" ] - keywords)  erforderliche Werte: "product_type_version:<VERSION>" "product_type:<von der gematik zugelassener Produkttyp>"
contacts	[string] (gemäß [OpenID-Federation "Informational Metadata Extensions" ] - contacts)  erforderlicher Wert in Liste: "<E-Mail-Adresse für Supportanfragen>"

[<=]