cdaefa Diskussion:EFA Security Informationsmodell: Unterschied zwischen den Versionen
(Aktuelle Fassung der Kommentar-Tabelle eingefügt.) |
|||
Zeile 1: | Zeile 1: | ||
− | = | + | = Kommentare = |
{|class="wikitable" style="text-align: left; cellpadding: 10;" | {|class="wikitable" style="text-align: left; cellpadding: 10;" | ||
+ | !ID | ||
!Author | !Author | ||
!Status | !Status | ||
!Section | !Section | ||
+ | !Vote | ||
!Existing | !Existing | ||
!Proposed | !Proposed | ||
Zeile 9: | Zeile 11: | ||
!Comment Editor | !Comment Editor | ||
!Discussion | !Discussion | ||
+ | |||
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
+ | |style="background-color: white;"|110 | ||
|style="background-color: white;"|mr | |style="background-color: white;"|mr | ||
|style="background-color: #89C35C;"|included | |style="background-color: #89C35C;"|included | ||
|style="background-color: white;"|Eecim.02.01 : context | |style="background-color: white;"|Eecim.02.01 : context | ||
+ | |style="background-color: white;"| | ||
|style="background-color: white;"|Zugruffsberechtigungen | |style="background-color: white;"|Zugruffsberechtigungen | ||
|style="background-color: white;"|Zugriffsberechtigungen | |style="background-color: white;"|Zugriffsberechtigungen | ||
Zeile 18: | Zeile 23: | ||
|style="background-color: white;"| | |style="background-color: white;"| | ||
|style="background-color: white;"| | |style="background-color: white;"| | ||
+ | |||
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
+ | |style="background-color: white;"|111 | ||
|style="background-color: white;"|mr | |style="background-color: white;"|mr | ||
|style="background-color: #89C35C;"|included | |style="background-color: #89C35C;"|included | ||
|style="background-color: white;"|Eecim.02.01 : context | |style="background-color: white;"|Eecim.02.01 : context | ||
+ | |style="background-color: white;"| | ||
|style="background-color: white;"|EWFA | |style="background-color: white;"|EWFA | ||
|style="background-color: white;"|EFA | |style="background-color: white;"|EFA | ||
Zeile 27: | Zeile 35: | ||
|style="background-color: white;"| | |style="background-color: white;"| | ||
|style="background-color: white;"| | |style="background-color: white;"| | ||
+ | |||
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
+ | |style="background-color: white;"|112 | ||
|style="background-color: white;"|fo | |style="background-color: white;"|fo | ||
|style="background-color: #E77471;"|rejected | |style="background-color: #E77471;"|rejected | ||
|style="background-color: white;"|Eecim.02.02 : subjectIdentity | |style="background-color: white;"|Eecim.02.02 : subjectIdentity | ||
+ | |style="background-color: white;"| | ||
|style="background-color: white;"| | |style="background-color: white;"| | ||
|style="background-color: white;"| | |style="background-color: white;"| | ||
Zeile 37: | Zeile 48: | ||
|style="background-color: white;"|Im Cookbook als optional definieren | |style="background-color: white;"|Im Cookbook als optional definieren | ||
|style="background-color: white;"| | |style="background-color: white;"| | ||
+ | |||
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
+ | |style="background-color: white;"|113 | ||
|style="background-color: white;"|ti | |style="background-color: white;"|ti | ||
|style="background-color: #E77471;"|rejected | |style="background-color: #E77471;"|rejected | ||
|style="background-color: white;"|Eecim.02.02 : subjectIdentity | |style="background-color: white;"|Eecim.02.02 : subjectIdentity | ||
+ | |style="background-color: white;"| | ||
|style="background-color: white;"| | |style="background-color: white;"| | ||
|style="background-color: white;"| | |style="background-color: white;"| | ||
Zeile 46: | Zeile 60: | ||
|style="background-color: white;"|"Wenn der in der Einwilligung benannte berechtigte Teilnehmer eine Organisation(seinheit) ist, muss in der subjectIdentity ein eindeutiger Identifier der Organisation enthalten sein, der der Aufrufer angehört." | |style="background-color: white;"|"Wenn der in der Einwilligung benannte berechtigte Teilnehmer eine Organisation(seinheit) ist, muss in der subjectIdentity ein eindeutiger Identifier der Organisation enthalten sein, der der Aufrufer angehört." | ||
|style="background-color: white;"|Berechtigung der Organisation wurde als einziger Mechanismus erlaubt und muss in der Spezifikation auch so beschrieben werden | |style="background-color: white;"|Berechtigung der Organisation wurde als einziger Mechanismus erlaubt und muss in der Spezifikation auch so beschrieben werden | ||
+ | |||
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
+ | |style="background-color: white;"|114 | ||
|style="background-color: white;"|ti | |style="background-color: white;"|ti | ||
|style="background-color: #89C35C;"|included | |style="background-color: #89C35C;"|included | ||
|style="background-color: white;"|Eecim.02.02 : subjectIdentity | |style="background-color: white;"|Eecim.02.02 : subjectIdentity | ||
+ | |style="background-color: white;"| | ||
|style="background-color: white;"| | |style="background-color: white;"| | ||
|style="background-color: white;"| | |style="background-color: white;"| | ||
|style="background-color: white;"|Zur Assertion der angefragten Patienten ID: Ich kann die Argumente zu epSOS und SSO nachvollziehen. Diese wären durch eine von der Identity Assertion getrennte Assertion der relevanten Patienten ID addressierbar. Zum Thema Effizienzgewinn: Wenn ich bei einer reinkommenden Query durch die Patienten ID alle relevanten Policies abfrage, kann ich einen signifikanten Teil der Anfragen ohne Aufbauen des Request Context beantworten. Der Request Context würde ja im EFA Fall (wo die gesamte Akte auf einmal abgefragt wird) eine signifikante Größe haben. Alle Anfragen bei denen der LE kein Teilnehmer ist, benötigen keine Abfrage der kompletten Metadaten, sondern können alleine anhand der Policies, der Action (z.B. RegistryStoredQuery) und der Subject Informationen negativ beantwortet werden. Bevor Dokumente herausgegeben werden, wird natürlich trotzdem die dort referenzierte Patienten ID mit den Policies verglichen, die aufgrund der Patienten ID in der Assertion herangezogen werden. Wenn die Patienten ID in den Policies (die aus der Assertion stammt) anders ist als die Patienten ID in den Dokumenten Metadaten, matcht die XACML Rule nicht und der Zugriff wird nicht gestattet. Solange es wie bei der EFA keine expliziten Deny Regeln (z.B. pat.-spezifisches Blacklisting von bestimmten Ärzten) gibt, besteht hier auch kein Sicherheitsrisiko. TL;DR: Die Pat ID in der Assertion ist als "Hint" aufzufassen, der eine effizientere Verarbeitung gerade bei nicht authorisierten Benutzern führt. (ti, 29.05.2013) | |style="background-color: white;"|Zur Assertion der angefragten Patienten ID: Ich kann die Argumente zu epSOS und SSO nachvollziehen. Diese wären durch eine von der Identity Assertion getrennte Assertion der relevanten Patienten ID addressierbar. Zum Thema Effizienzgewinn: Wenn ich bei einer reinkommenden Query durch die Patienten ID alle relevanten Policies abfrage, kann ich einen signifikanten Teil der Anfragen ohne Aufbauen des Request Context beantworten. Der Request Context würde ja im EFA Fall (wo die gesamte Akte auf einmal abgefragt wird) eine signifikante Größe haben. Alle Anfragen bei denen der LE kein Teilnehmer ist, benötigen keine Abfrage der kompletten Metadaten, sondern können alleine anhand der Policies, der Action (z.B. RegistryStoredQuery) und der Subject Informationen negativ beantwortet werden. Bevor Dokumente herausgegeben werden, wird natürlich trotzdem die dort referenzierte Patienten ID mit den Policies verglichen, die aufgrund der Patienten ID in der Assertion herangezogen werden. Wenn die Patienten ID in den Policies (die aus der Assertion stammt) anders ist als die Patienten ID in den Dokumenten Metadaten, matcht die XACML Rule nicht und der Zugriff wird nicht gestattet. Solange es wie bei der EFA keine expliziten Deny Regeln (z.B. pat.-spezifisches Blacklisting von bestimmten Ärzten) gibt, besteht hier auch kein Sicherheitsrisiko. TL;DR: Die Pat ID in der Assertion ist als "Hint" aufzufassen, der eine effizientere Verarbeitung gerade bei nicht authorisierten Benutzern führt. (ti, 29.05.2013) | ||
|style="background-color: white;"|Alert-Box beschreibt ausführlich die Gründe für die Trennung von Patient-ID und Assertion. | |style="background-color: white;"|Alert-Box beschreibt ausführlich die Gründe für die Trennung von Patient-ID und Assertion. | ||
− | |style="background-color: white;"|Cookbook: Identity Assertion mit Verweis auf Patienten ID soll als optional deklariert werden. Profil (hier: EFA) kann dann den Aufbau der Identity Assertion "überschreiben" oder klare Empfehlungen geben. | + | |style="background-color: white;"|Cookbook: Identity Assertion mit Verweis auf Patienten ID soll als optional deklariert werden. Profil (hier: EFA) kann dann den Aufbau der Identity Assertion "überschreiben" oder klare Empfehlungen geben. |
+ | |||
+ | |- style="vertical-align:top;" | ||
+ | |style="background-color: white;"|115 | ||
+ | |style="background-color: white;"|iw | ||
+ | |style="background-color: #89C35C;"|included | ||
+ | |style="background-color: white;"|Eecim.02.04 : accessToken | ||
+ | |style="background-color: white;"| | ||
+ | |style="background-color: white;"|Die Struktur des Tokens ist in der EFA-1.2-Spezifikation eCR Offline Token - Service Architecture definiert. | ||
+ | |style="background-color: white;"| | ||
+ | |style="background-color: white;"|Leider ist kein Verweis auf diese Spezifikation zu finden. Es wäre schön, wenn dies ergänzt würde. (15.08.2014) | ||
+ | |style="background-color: white;"|Der Verweis wurde ergänzt. (bk, 12.09.2014) | ||
+ | |style="background-color: white;"| | ||
+ | |} | ||
+ | |||
+ | = Authors = | ||
+ | {|class="wikitable" style="text-align: left; cellpadding: 10;" | ||
+ | !Kürzel | ||
+ | !Name | ||
+ | !Organisation | ||
+ | !E-Mail | ||
+ | |||
+ | |- style="vertical-align:top;" | ||
+ | |style="background-color: white;"|fh | ||
+ | |style="background-color: white;"|Frank Oemig | ||
+ | |style="background-color: white;"|Agfa Healthcare | ||
+ | |||
+ | |- style="vertical-align:top;" | ||
+ | |style="background-color: white;"|ti | ||
+ | |style="background-color: white;"|Tarik Idris | ||
+ | |style="background-color: white;"|InterComponentWare AG | ||
+ | |||
+ | |- style="vertical-align:top;" | ||
+ | |style="background-color: white;"|mr | ||
+ | |style="background-color: white;"|Michael Rübener | ||
+ | |style="background-color: white;"|X-tension | ||
+ | |||
+ | |- style="vertical-align:top;" | ||
+ | |style="background-color: white;"|sh | ||
+ | |style="background-color: white;"|Salima Houta | ||
+ | |style="background-color: white;"|Fraunhofer ISST | ||
+ | |||
+ | |- style="vertical-align:top;" | ||
+ | |style="background-color: white;"|jc | ||
+ | |style="background-color: white;"|Jörg Caumanns | ||
+ | |style="background-color: white;"|Fraunhofer FOKUS | ||
+ | |||
+ | |- style="vertical-align:top;" | ||
+ | |style="background-color: white;"|bk | ||
+ | |style="background-color: white;"|Ben Kraufmann | ||
+ | |style="background-color: white;"|Fraunhofer FOKUS | ||
+ | |||
+ | |- style="vertical-align:top;" | ||
+ | |style="background-color: white;"|iw | ||
+ | |style="background-color: white;"|Ingo Wolf | ||
+ | |style="background-color: white;"|gematik | ||
+ | |||
+ | |- style="vertical-align:top;" | ||
+ | |style="background-color: white;"|mk | ||
+ | |style="background-color: white;"|Marcel Klötgen | ||
+ | |style="background-color: white;"|CompuGroup Medical | ||
|} | |} |
Aktuelle Version vom 16. September 2014, 12:21 Uhr
Kommentare
ID | Author | Status | Section | Vote | Existing | Proposed | Comment | Comment Editor | Discussion |
---|---|---|---|---|---|---|---|---|---|
110 | mr | included | Eecim.02.01 : context | Zugruffsberechtigungen | Zugriffsberechtigungen | ||||
111 | mr | included | Eecim.02.01 : context | EWFA | EFA | ||||
112 | fo | rejected | Eecim.02.02 : subjectIdentity | Die Inkonsistenz zum Cookbook muss ausgeräumt werden, da ansonsten der Profilieruingsmechanismus nicht greift.
Die einfachste Variante dürfte daher sein, diesen Mechanismus im Cookbook als optional aber empfohlen zu beschreiben. |
Im Cookbook als optional definieren | ||||
113 | ti | rejected | Eecim.02.02 : subjectIdentity | "Sofern in der EFA-Einwilligung eines Patienten Organisationen bzw. Organisationseinheiten als EFA-Teilnehmer benannt sind, muss der subjectIdentity-Nachweis weiter Informationen enthalten" Ich würde eine explizite Pflicht zur Organisations-ID vorziehen. Die hier zitierte Regel hiesse das der Identity Provider wissen muss wie die EFA Einwilligung strukturiert ist, d.h. ob darin nur Individuen oder auch Organisationen berechtigt werden (Sofern ... muss ...). Es muss ja auch nicht unbedingt eine OID sein. (ti, 29.05.2013) | "Wenn der in der Einwilligung benannte berechtigte Teilnehmer eine Organisation(seinheit) ist, muss in der subjectIdentity ein eindeutiger Identifier der Organisation enthalten sein, der der Aufrufer angehört." | Berechtigung der Organisation wurde als einziger Mechanismus erlaubt und muss in der Spezifikation auch so beschrieben werden | |||
114 | ti | included | Eecim.02.02 : subjectIdentity | Zur Assertion der angefragten Patienten ID: Ich kann die Argumente zu epSOS und SSO nachvollziehen. Diese wären durch eine von der Identity Assertion getrennte Assertion der relevanten Patienten ID addressierbar. Zum Thema Effizienzgewinn: Wenn ich bei einer reinkommenden Query durch die Patienten ID alle relevanten Policies abfrage, kann ich einen signifikanten Teil der Anfragen ohne Aufbauen des Request Context beantworten. Der Request Context würde ja im EFA Fall (wo die gesamte Akte auf einmal abgefragt wird) eine signifikante Größe haben. Alle Anfragen bei denen der LE kein Teilnehmer ist, benötigen keine Abfrage der kompletten Metadaten, sondern können alleine anhand der Policies, der Action (z.B. RegistryStoredQuery) und der Subject Informationen negativ beantwortet werden. Bevor Dokumente herausgegeben werden, wird natürlich trotzdem die dort referenzierte Patienten ID mit den Policies verglichen, die aufgrund der Patienten ID in der Assertion herangezogen werden. Wenn die Patienten ID in den Policies (die aus der Assertion stammt) anders ist als die Patienten ID in den Dokumenten Metadaten, matcht die XACML Rule nicht und der Zugriff wird nicht gestattet. Solange es wie bei der EFA keine expliziten Deny Regeln (z.B. pat.-spezifisches Blacklisting von bestimmten Ärzten) gibt, besteht hier auch kein Sicherheitsrisiko. TL;DR: Die Pat ID in der Assertion ist als "Hint" aufzufassen, der eine effizientere Verarbeitung gerade bei nicht authorisierten Benutzern führt. (ti, 29.05.2013) | Alert-Box beschreibt ausführlich die Gründe für die Trennung von Patient-ID und Assertion. | Cookbook: Identity Assertion mit Verweis auf Patienten ID soll als optional deklariert werden. Profil (hier: EFA) kann dann den Aufbau der Identity Assertion "überschreiben" oder klare Empfehlungen geben. | |||
115 | iw | included | Eecim.02.04 : accessToken | Die Struktur des Tokens ist in der EFA-1.2-Spezifikation eCR Offline Token - Service Architecture definiert. | Leider ist kein Verweis auf diese Spezifikation zu finden. Es wäre schön, wenn dies ergänzt würde. (15.08.2014) | Der Verweis wurde ergänzt. (bk, 12.09.2014) |
Authors
Kürzel | Name | Organisation | |
---|---|---|---|
fh | Frank Oemig | Agfa Healthcare | |
ti | Tarik Idris | InterComponentWare AG | |
mr | Michael Rübener | X-tension | |
sh | Salima Houta | Fraunhofer ISST | |
jc | Jörg Caumanns | Fraunhofer FOKUS | |
bk | Ben Kraufmann | Fraunhofer FOKUS | |
iw | Ingo Wolf | gematik | |
mk | Marcel Klötgen | CompuGroup Medical |