Scopes & claims
Bij het Authenticatie verzoek stuurt de Client de gewenste scopes mee en de ACM IDP voorziet de voorziene claims voor deze scope in het ID-token
Het gebruik van de scope “openid” bij het Authenticatie verzoek is verplicht voor een OpenID Connect authenticatie.
Welke scopes en claims aan een Client toegekend kunnen worden, kan zeer grannulair bepaald worden bij de ACM IDP. Welke specifieke scopes voor de Client mogelijk zijn, kan dus niet weergegeven worden in de Discovery URL die publieke info bevat voor alle Clients.
Tip
In het integratiedossier staat beschreven welke scopes er voor de Client toegelaten worden en welke claims men dan in het ID-token mag verwachten.Het opvragen van een scope die niet toegestaan is voor deze Client zal ervoor zorgen dat het Authenticatie Request meteen negatief beantwoord zal worden (zonder dat de gebruiker zich dient te authenticeren in ACM).
Voorbeelden:
| scope | claim | Omschrijving |
|---|---|---|
| openid | sub | PersoonsID van de gebruiker (= unieke identifier binnen ACM die deze gebruiker identificeert) |
| profile | given_name | voornaam van de gebruiker |
| profile | family_name | naam van de gebruiker |
| rrn | rrn | rijksregisternummer van de gebruiker |
| vo | vo_id | unieke VO IDM ID van de gebruiker |
| vo | vo_doelgroepcode | de code van de doelgroep (GID, EA, LB, OV, BUR) |
| vo | vo_orgcode | de code van de gekozen organisatie (KBO-nummer, OVO-code, OV-instellingsnummer) |
| vo | vo_orgnaam | de naam van de gekozen organisatie |
| wettelijkvertegenwoordiger | wv_orgcode | gekozen organisatie als wettelijk vertegenwoordiger |
| mijntoepassing | mijntoepassing_rol_3d | WebIDM 3D-rol van de gebruiker voor deze toepassing |
| ssm_mandaat | ssm_mandaatgever | organisatiecode van de SSM-mandaatgever |