EFA Identity Provider SFM

Aus Hl7wiki
(Teildokument von CDA für die elektronische Fallakte)
Wechseln zu: Navigation, Suche
K
K (Markup-Fehler behoben)
 
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Infobox Dokument
+
{{DocumentPart
|Title    = EFA Identity Provider Service Functional Model
 
|Short    = EFA Identity Provider Service Functional Model
 
|Namespace = cdaefa
 
|Type      = Implementierungsleitfaden
 
|Version  = 0.9
 
|Submitted = February 2013
 
|Author    = Jörg Caumanns, Raik Kuhlisch
 
|Date      = March 2013
 
|Copyright = 2012-2013
 
|Status    = Draft
 
|Period    = xxx
 
|OID      = n.n.
 
|Realm    = Deutschland
 
 
}}
 
}}
 
+
=== EFA Identity Provider ===
''Anmerkung: Die Kürzel unter den einzelnen Überschriften dienen der Unterstützung des Kommentierungsverfahrens. Bitte geben Sie bei einem Kommentar oder einem Verbesserungsvorschlag zu dieser Spezifikation immer das Kürzel des Abschnitts an, auf den sich Ihr Kommentar bezieht. Alle Kommentare werden in der Lasche "Diskussion" zu der kommentierten Seite gesammelt und gegenkommentiert.<br>Hinweise zum Kommentierungsverfahren einschließlich aller Formulare und Kontaktadressen finden Sie auf der Seite "[[cdaefa:Kommentierung EFAv2.0|Kommentierung EFAv2.0]]".''
 
----
 
 
 
== EFA Identity Provider ==
 
 
<tt>Bitte markieren Sie [[cdaefa:Kommentierung_EFAv2.0|Kommentare]] zu diesem Abschnitt mit dem Code {Edtie.01}</tt>
 
<tt>Bitte markieren Sie [[cdaefa:Kommentierung_EFAv2.0|Kommentare]] zu diesem Abschnitt mit dem Code {Edtie.01}</tt>
  
 
Die Authentisierung ist der initiale Schritt eines Clients (EFA-Teilnehmer), um einen [[cdaefa:EFA_Context_Manager_SFM|EFA Sicherheitskontext]] zwischen Client und EFA-Provider aufzubauen. Ein Client, der sich gegenüber einen EFA Identity Provider (über die [[cdaefa:EFA_Context_Manager_SFM#Operation:_OpenContext|OpenContext-Operation]]) authentisiert, muss dazu Credentials für seine behauptete Identität vorlegen, welche serverseitig überprüft werden.  
 
Die Authentisierung ist der initiale Schritt eines Clients (EFA-Teilnehmer), um einen [[cdaefa:EFA_Context_Manager_SFM|EFA Sicherheitskontext]] zwischen Client und EFA-Provider aufzubauen. Ein Client, der sich gegenüber einen EFA Identity Provider (über die [[cdaefa:EFA_Context_Manager_SFM#Operation:_OpenContext|OpenContext-Operation]]) authentisiert, muss dazu Credentials für seine behauptete Identität vorlegen, welche serverseitig überprüft werden.  
  
Der EFA Identity Provider bietet als Schnittstelle zum Client nur eine Operation zur Authentifizierung an. Da der EFA Identity Provider ist als Sicherheitstokendienst deployt ist, erstellt er bei positiver Authentifizierung einen Nachweis als Sicherheitstoken, nämlich die HP Identity Assertion. Die EFA 2.0 Spezifikation macht keine spezifischen Vorgaben, wie das Protokoll ausgestaltet ist. Als Vorgabe gilt hingegen das IHE-Profil [[IHE_DE_Cookbook#Cross-Enterprise_User_Assertion_.28XUA.29|Cross-Enterprise User Assertion (XUA)]], welches ein Binding auf das SAML- oder WS-Tust-Protokoll spezifiziert (siehe [[cdaefa:EFA_XUA_Binding| EFA XUA Binding]]). Der Authentifizierungsnachweis kann weitere Attribute eines EFA-Teilnehmers aus einem [[IHE_DE_Cookbook#Healthcare_Provider_Directory_.28HPD.29|Healthcare Provider Directory (HPD)]] enthalten, welche später für eine Zugriffskontrolle genutzt werden.
+
Der EFA Identity Provider bietet als Schnittstelle zum Client nur eine Operation zur Authentifizierung an. Da der EFA Identity Provider ist als Sicherheitstokendienst deployt ist, erstellt er bei positiver Authentifizierung einen Nachweis als Sicherheitstoken, nämlich die HP Identity Assertion. Die EFA 2.0 Spezifikation macht keine spezifischen Vorgaben, wie das Protokoll ausgestaltet ist. Als Vorgabe gilt hingegen das IHE-Profil [[IHE_DE_Cookbook#Cross-Enterprise_User_Assertion_.28XUA.29|Cross-Enterprise User Assertion (XUA)]], welches ein Binding auf das SAML- oder WS-Tust-Protokoll spezifiziert (siehe [[cdaefa:EFA_Identity_Assertion_SAML2_Binding| EFA Identity Assertion SAML2 Binding]]). Der Authentifizierungsnachweis kann weitere Attribute eines EFA-Teilnehmers aus einem [[IHE_DE_Cookbook#Healthcare_Provider_Directory_.28HPD.29|Healthcare Provider Directory (HPD)]] enthalten, welche später für eine Zugriffskontrolle genutzt werden.
  
 
{|class="wikitable" style="text-align: left; cellpadding: 10;"
 
{|class="wikitable" style="text-align: left; cellpadding: 10;"
 
!Method
 
!Method
! colspan="2"|requestHPIdentityAssertion()(credential Object) :<br>  
+
| colspan="2"|
 +
requestHPIdentityAssertion(credential Object) :<br>  
 
HPIdentityAssertion<br>
 
HPIdentityAssertion<br>
 
fault AuthenticationFailedException
 
fault AuthenticationFailedException
 
|-
 
|-
|Description
+
!Description
 
| colspan="2"|This method authenticates a user by means of an EFA Identity Provider. If necessary the EFA Identity Provider calls more user attributes from a HPD. A credential MUST be passed.
 
| colspan="2"|This method authenticates a user by means of an EFA Identity Provider. If necessary the EFA Identity Provider calls more user attributes from a HPD. A credential MUST be passed.
 
|-
 
|-
|Input Parameters
+
!Input Parameters
 
|credential
 
|credential
 
|Object which MAY be a username/password combination, a subject identifier, a health card handle, or a SAML assertion that guarantees for an authentication.
 
|Object which MAY be a username/password combination, a subject identifier, a health card handle, or a SAML assertion that guarantees for an authentication.
 
|-
 
|-
|Return Value
+
!Return Value
|HP Identity Assertion
+
|[[cdaefa:EFA_Security_Informationsmodell#subjectIdentity|HP Identity Assertion]]
 
|The assertion confirms the successful authentication.
 
|The assertion confirms the successful authentication.
 
|-
 
|-
|Preconditions
+
!Preconditions
 
| colspan="2"|
 
| colspan="2"|
 
# Credentials (i.e., username/password) are present.
 
# Credentials (i.e., username/password) are present.
 
# The user is already registered in the identity store of the EFA Identity Provider (i.e., the identity is established).
 
# The user is already registered in the identity store of the EFA Identity Provider (i.e., the identity is established).
 
|-
 
|-
|Sequence (Main  success scenario)
+
!Sequence (Main  success scenario)
 
| colspan="2"|
 
| colspan="2"|
 
# The EFA Identity Provider detects whether a username password combination [WSSUsername], SAML assertion (i.e, a locally issued Guarantor Assertion), or a X.509 certificate is passed.  
 
# The EFA Identity Provider detects whether a username password combination [WSSUsername], SAML assertion (i.e, a locally issued Guarantor Assertion), or a X.509 certificate is passed.  
Zeile 53: Zeile 37:
 
# If the authentication was successful, the Identity Assertion is issued. Otherwise an exception is thrown.
 
# If the authentication was successful, the Identity Assertion is issued. Otherwise an exception is thrown.
 
|-
 
|-
|Exception
+
!Exception
 
|AuthenticationFailedException
 
|AuthenticationFailedException
 
|Authentication failed due to wrong credentials.
 
|Authentication failed due to wrong credentials.
 
|}
 
|}
  
=== Querverweise und Referenzen ===
 
  
 +
 +
----
 +
 +
 +
{{NoteBox|'''Referenzen und Querverweise'''
 
* [[cdaefa:EFA_Spezifikation_v2.0|EFA-2.0-Spezifikation]]
 
* [[cdaefa:EFA_Spezifikation_v2.0|EFA-2.0-Spezifikation]]
 +
<nowiki></nowiki>
 +
}}

Aktuelle Version vom 27. Januar 2015, 10:37 Uhr

Dieses Material ist Teil des Leitfadens CDA für die elektronische Fallakte.
  • Direkt im Wiki geändert werden sollten Schreibfehler, ergänzende Hinweise.
  • Offene Fragen, die der Diskussionen bedürfen, sollten auf der Diskussionsseite aufgenommen werden.
  • Liste der Seiten dieses Leitfadens: hier, Liste der Seiten, in denen dieses Material verwendet (transkludiert) siehe hier .

EFA Identity Provider

Bitte markieren Sie Kommentare zu diesem Abschnitt mit dem Code {Edtie.01}

Die Authentisierung ist der initiale Schritt eines Clients (EFA-Teilnehmer), um einen EFA Sicherheitskontext zwischen Client und EFA-Provider aufzubauen. Ein Client, der sich gegenüber einen EFA Identity Provider (über die OpenContext-Operation) authentisiert, muss dazu Credentials für seine behauptete Identität vorlegen, welche serverseitig überprüft werden.

Der EFA Identity Provider bietet als Schnittstelle zum Client nur eine Operation zur Authentifizierung an. Da der EFA Identity Provider ist als Sicherheitstokendienst deployt ist, erstellt er bei positiver Authentifizierung einen Nachweis als Sicherheitstoken, nämlich die HP Identity Assertion. Die EFA 2.0 Spezifikation macht keine spezifischen Vorgaben, wie das Protokoll ausgestaltet ist. Als Vorgabe gilt hingegen das IHE-Profil Cross-Enterprise User Assertion (XUA), welches ein Binding auf das SAML- oder WS-Tust-Protokoll spezifiziert (siehe EFA Identity Assertion SAML2 Binding). Der Authentifizierungsnachweis kann weitere Attribute eines EFA-Teilnehmers aus einem Healthcare Provider Directory (HPD) enthalten, welche später für eine Zugriffskontrolle genutzt werden.

Method

requestHPIdentityAssertion(credential Object) :
HPIdentityAssertion
fault AuthenticationFailedException

Description This method authenticates a user by means of an EFA Identity Provider. If necessary the EFA Identity Provider calls more user attributes from a HPD. A credential MUST be passed.
Input Parameters credential Object which MAY be a username/password combination, a subject identifier, a health card handle, or a SAML assertion that guarantees for an authentication.
Return Value HP Identity Assertion The assertion confirms the successful authentication.
Preconditions
  1. Credentials (i.e., username/password) are present.
  2. The user is already registered in the identity store of the EFA Identity Provider (i.e., the identity is established).
Sequence (Main success scenario)
  1. The EFA Identity Provider detects whether a username password combination [WSSUsername], SAML assertion (i.e, a locally issued Guarantor Assertion), or a X.509 certificate is passed.
  2. Depending on the given credentials, the EFA Identity Provider authenticates the user using the identity store.
  3. If the authentication was successful, the Identity Assertion is issued. Otherwise an exception is thrown.
Exception AuthenticationFailedException Authentication failed due to wrong credentials.



Information icon.svg Referenzen und Querverweise
Abgerufen von „https://wiki.hl7.de/index.php?title=cdaefa:EFA_Identity_Provider_SFM&oldid=22152