cdaefa Diskussion:EFA Security Informationsmodell: Unterschied zwischen den Versionen

Aus Hl7wiki
Wechseln zu: Navigation, Suche
(Die Seite wurde neu angelegt: „== Eecim.02.01 == ;Author :mr ;Existing :Zugruffsberechtigungen ;Proposed :Zugriffsberechtigungen == Eecim.02.01 == ;Author :mr ;Exis…“)
 
(Aktuelle Fassung der Kommentar-Tabelle eingefügt.)
Zeile 1: Zeile 1:
== Eecim.02.01 ==
+
= Kommentierung =
           
+
{|class="wikitable" style="text-align: left; cellpadding: 10;"
;Author
+
!Author
:mr
+
!Status
;Existing
+
!Section
:Zugruffsberechtigungen
+
!Existing
;Proposed
+
!Proposed
:Zugriffsberechtigungen
+
!Comment
== Eecim.02.01 ==
+
!Comment Editor
           
+
!Discussion
;Author
+
|- style="vertical-align:top;"
:mr
+
|style="background-color: white;"|mr
;Existing
+
|style="background-color: #89C35C;"|included
:EWFA
+
|style="background-color: white;"|Eecim.02.01 : context
;Proposed
+
|style="background-color: white;"|Zugruffsberechtigungen
:EFA
+
|style="background-color: white;"|Zugriffsberechtigungen
== Eecim.02.02 ==
+
|style="background-color: white;"|
           
+
|style="background-color: white;"|
;Comment
+
|style="background-color: white;"|
:Zur Assertion der angefragten Patienten ID: Ich kann die Argumente zu epSOS und SSO nachvollziehen. Diese wären durch eine von der Identity Assertion getrennte Assertion der relevanten Patienten ID addressierbar. Zum Thema Effizienzgewinn: Wenn ich bei einer reinkommenden Query durch die Patienten ID alle relevanten Policies abfrage, kann ich einen signifikanten Teil der Anfragen ohne Aufbauen des Request Context beantworten. Der Request Context würde ja im EFA Fall (wo die gesamte Akte auf einmal abgefragt wird) eine signifikante Größe haben. Alle Anfragen bei denen der LE kein Teilnehmer ist, benötigen keine Abfrage der kompletten Metadaten, sondern können alleine anhand der Policies, der Action (z.B. RegistryStoredQuery) und der Subject Informationen negativ beantwortet werden. Bevor Dokumente herausgegeben werden, wird natürlich trotzdem die dort referenzierte Patienten ID mit den Policies verglichen, die aufgrund der Patienten ID in der Assertion herangezogen werden. Wenn die Patienten ID in den Policies (die aus der Assertion stammt) anders ist als die Patienten ID in den Dokumenten Metadaten, matcht die XACML Rule nicht und der Zugriff wird nicht gestattet. Solange es wie bei der EFA keine expliziten Deny Regeln (z.B. pat.-spezifisches Blacklisting von bestimmten Ärzten) gibt, besteht hier auch kein Sicherheitsrisiko. TL;DR: Die Pat ID in der Assertion ist als "Hint" aufzufassen, der eine effizientere Verarbeitung gerade bei nicht authorisierten Benutzern führt. (ti, 29.05.2013)
+
|- style="vertical-align:top;"
;Author
+
|style="background-color: white;"|mr
:ti
+
|style="background-color: #89C35C;"|included
;Comment Editor
+
|style="background-color: white;"|Eecim.02.01 : context
:Cookbook: Identity Assertion mit Verweis auf Patienten ID soll als optional deklariert werden. Profil (hier: EFA) kann dann den Aufbau der Identity Assertion "überschreiben" oder klare Empfehlungen geben.
+
|style="background-color: white;"|EWFA
== Eecim.02.02 ==
+
|style="background-color: white;"|EFA
           
+
|style="background-color: white;"|
;Comment
+
|style="background-color: white;"|
:"Sofern in der EFA-Einwilligung eines Patienten Organisationen bzw. Organisationseinheiten als EFA-Teilnehmer benannt sind, muss der subjectIdentity-Nachweis weiter Informationen enthalten" Ich würde eine explizite Pflicht zur Organisations-ID vorziehen. Die hier zitierte Regel hiesse das der Identity Provider wissen muss wie die EFA Einwilligung strukturiert ist, d.h. ob darin nur Individuen oder auch Organisationen berechtigt werden (Sofern ... muss ...). Es muss ja auch nicht unbedingt eine OID sein. (ti, 29.05.2013)
+
|style="background-color: white;"|
;Author
+
|- style="vertical-align:top;"
:ti
+
|style="background-color: white;"|fo
== Eecim.02.02 ==
+
|style="background-color: #E77471;"|rejected
           
+
|style="background-color: white;"|Eecim.02.02 : subjectIdentity
;Comment
+
|style="background-color: white;"|
:Die Inkonsistenz zum Cookbook muss ausgeräumt werden, da ansonsten der Profilieruingsmechanismus nicht greift.
+
|style="background-color: white;"|
 +
|style="background-color: white;"|Die Inkonsistenz zum Cookbook muss ausgeräumt werden, da ansonsten der Profilieruingsmechanismus nicht greift.
 
Die einfachste Variante dürfte daher sein, diesen Mechanismus im Cookbook als optional aber empfohlen zu beschreiben.
 
Die einfachste Variante dürfte daher sein, diesen Mechanismus im Cookbook als optional aber empfohlen zu beschreiben.
;Author
+
|style="background-color: white;"|Im Cookbook als optional definieren
:fo
+
|style="background-color: white;"|
;Comment Editor
+
|- style="vertical-align:top;"
:Im Cookbook als optional definieren
+
|style="background-color: white;"|ti
 +
|style="background-color: #E77471;"|rejected
 +
|style="background-color: white;"|Eecim.02.02 : subjectIdentity
 +
|style="background-color: white;"|
 +
|style="background-color: white;"|
 +
|style="background-color: white;"|"Sofern in der EFA-Einwilligung eines Patienten Organisationen bzw. Organisationseinheiten als EFA-Teilnehmer benannt sind, muss der subjectIdentity-Nachweis weiter Informationen enthalten" Ich würde eine explizite Pflicht zur Organisations-ID vorziehen. Die hier zitierte Regel hiesse das der Identity Provider wissen muss wie die EFA Einwilligung strukturiert ist, d.h. ob darin nur Individuen oder auch Organisationen berechtigt werden (Sofern ... muss ...). Es muss ja auch nicht unbedingt eine OID sein. (ti, 29.05.2013)
 +
|style="background-color: white;"|"Wenn der in der Einwilligung benannte berechtigte Teilnehmer eine Organisation(seinheit) ist, muss in der subjectIdentity ein eindeutiger Identifier der Organisation enthalten sein, der der Aufrufer angehört."
 +
|style="background-color: white;"|Berechtigung der Organisation wurde als einziger Mechanismus erlaubt und muss in der Spezifikation auch so beschrieben werden
 +
|- style="vertical-align:top;"
 +
|style="background-color: white;"|ti
 +
|style="background-color: #89C35C;"|included
 +
|style="background-color: white;"|Eecim.02.02 : subjectIdentity
 +
|style="background-color: white;"|
 +
|style="background-color: white;"|
 +
|style="background-color: white;"|Zur Assertion der angefragten Patienten ID: Ich kann die Argumente zu epSOS und SSO nachvollziehen. Diese wären durch eine von der Identity Assertion getrennte Assertion der relevanten Patienten ID addressierbar. Zum Thema Effizienzgewinn: Wenn ich bei einer reinkommenden Query durch die Patienten ID alle relevanten Policies abfrage, kann ich einen signifikanten Teil der Anfragen ohne Aufbauen des Request Context beantworten. Der Request Context würde ja im EFA Fall (wo die gesamte Akte auf einmal abgefragt wird) eine signifikante Größe haben. Alle Anfragen bei denen der LE kein Teilnehmer ist, benötigen keine Abfrage der kompletten Metadaten, sondern können alleine anhand der Policies, der Action (z.B. RegistryStoredQuery) und der Subject Informationen negativ beantwortet werden. Bevor Dokumente herausgegeben werden, wird natürlich trotzdem die dort referenzierte Patienten ID mit den Policies verglichen, die aufgrund der Patienten ID in der Assertion herangezogen werden. Wenn die Patienten ID in den Policies (die aus der Assertion stammt) anders ist als die Patienten ID in den Dokumenten Metadaten, matcht die XACML Rule nicht und der Zugriff wird nicht gestattet. Solange es wie bei der EFA keine expliziten Deny Regeln (z.B. pat.-spezifisches Blacklisting von bestimmten Ärzten) gibt, besteht hier auch kein Sicherheitsrisiko. TL;DR: Die Pat ID in der Assertion ist als "Hint" aufzufassen, der eine effizientere Verarbeitung gerade bei nicht authorisierten Benutzern führt. (ti, 29.05.2013)
 +
|style="background-color: white;"|Alert-Box beschreibt ausführlich die Gründe für die Trennung von Patient-ID und Assertion.
 +
|style="background-color: white;"|Cookbook: Identity Assertion mit Verweis auf Patienten ID soll als optional deklariert werden. Profil (hier: EFA) kann dann den Aufbau der Identity Assertion "überschreiben" oder klare Empfehlungen geben.
 +
|}

Version vom 24. Januar 2014, 15:47 Uhr

Kommentierung

Author Status Section Existing Proposed Comment Comment Editor Discussion
mr included Eecim.02.01 : context Zugruffsberechtigungen Zugriffsberechtigungen
mr included Eecim.02.01 : context EWFA EFA
fo rejected Eecim.02.02 : subjectIdentity Die Inkonsistenz zum Cookbook muss ausgeräumt werden, da ansonsten der Profilieruingsmechanismus nicht greift.

Die einfachste Variante dürfte daher sein, diesen Mechanismus im Cookbook als optional aber empfohlen zu beschreiben.

Im Cookbook als optional definieren
ti rejected Eecim.02.02 : subjectIdentity "Sofern in der EFA-Einwilligung eines Patienten Organisationen bzw. Organisationseinheiten als EFA-Teilnehmer benannt sind, muss der subjectIdentity-Nachweis weiter Informationen enthalten" Ich würde eine explizite Pflicht zur Organisations-ID vorziehen. Die hier zitierte Regel hiesse das der Identity Provider wissen muss wie die EFA Einwilligung strukturiert ist, d.h. ob darin nur Individuen oder auch Organisationen berechtigt werden (Sofern ... muss ...). Es muss ja auch nicht unbedingt eine OID sein. (ti, 29.05.2013) "Wenn der in der Einwilligung benannte berechtigte Teilnehmer eine Organisation(seinheit) ist, muss in der subjectIdentity ein eindeutiger Identifier der Organisation enthalten sein, der der Aufrufer angehört." Berechtigung der Organisation wurde als einziger Mechanismus erlaubt und muss in der Spezifikation auch so beschrieben werden
ti included Eecim.02.02 : subjectIdentity Zur Assertion der angefragten Patienten ID: Ich kann die Argumente zu epSOS und SSO nachvollziehen. Diese wären durch eine von der Identity Assertion getrennte Assertion der relevanten Patienten ID addressierbar. Zum Thema Effizienzgewinn: Wenn ich bei einer reinkommenden Query durch die Patienten ID alle relevanten Policies abfrage, kann ich einen signifikanten Teil der Anfragen ohne Aufbauen des Request Context beantworten. Der Request Context würde ja im EFA Fall (wo die gesamte Akte auf einmal abgefragt wird) eine signifikante Größe haben. Alle Anfragen bei denen der LE kein Teilnehmer ist, benötigen keine Abfrage der kompletten Metadaten, sondern können alleine anhand der Policies, der Action (z.B. RegistryStoredQuery) und der Subject Informationen negativ beantwortet werden. Bevor Dokumente herausgegeben werden, wird natürlich trotzdem die dort referenzierte Patienten ID mit den Policies verglichen, die aufgrund der Patienten ID in der Assertion herangezogen werden. Wenn die Patienten ID in den Policies (die aus der Assertion stammt) anders ist als die Patienten ID in den Dokumenten Metadaten, matcht die XACML Rule nicht und der Zugriff wird nicht gestattet. Solange es wie bei der EFA keine expliziten Deny Regeln (z.B. pat.-spezifisches Blacklisting von bestimmten Ärzten) gibt, besteht hier auch kein Sicherheitsrisiko. TL;DR: Die Pat ID in der Assertion ist als "Hint" aufzufassen, der eine effizientere Verarbeitung gerade bei nicht authorisierten Benutzern führt. (ti, 29.05.2013) Alert-Box beschreibt ausführlich die Gründe für die Trennung von Patient-ID und Assertion. Cookbook: Identity Assertion mit Verweis auf Patienten ID soll als optional deklariert werden. Profil (hier: EFA) kann dann den Aufbau der Identity Assertion "überschreiben" oder klare Empfehlungen geben.