EFA Policy Provider Service Functional Model

Aus Hl7wiki
Implementierungsleitfaden
Wechseln zu: Navigation, Suche
K
K (EFA Policy Provider)
Zeile 21: Zeile 21:
 
<tt>Bitte markieren Sie [[cdaefa:Kommentierung_EFAv2.0|Kommentare]] zu diesem Abschnitt mit dem Code {Eocye.01}</tt>
 
<tt>Bitte markieren Sie [[cdaefa:Kommentierung_EFAv2.0|Kommentare]] zu diesem Abschnitt mit dem Code {Eocye.01}</tt>
  
Der EFA Policy Provider ist für die Verwaltung der Berechtigungen in Form von Policies in einem Policy Repository zuständig. Berechtigungen sind an einen bestimmten [[cdaefa:EFA_Business_Informationsmodell#purpose|Zweck]] gebunden und steuern den Zugriff von EFA-Teilnehmern auf eine Fallakte. Die nachfolgende Tabelle listet die vom EFA Policy Provider bereit gestellten Operationen.  
+
Der EFA Policy Provider ist für die Verwaltung der Berechtigungen in Form von Policies in einem Policy Repository zuständig. Berechtigungen sind an einen bestimmten [[cdaefa:EFA_Business_Informationsmodell#purpose|Zweck]] gebunden und steuern den Zugriff von EFA-Teilnehmern auf eine Fallakte.  
 +
 
 +
=== Policy Pull vs. Policy Push ===
 +
 
 +
=== Operationen des EFA-Policy-Managements ===
 +
Die nachfolgende Tabelle listet die vom EFA Policy Provider bereit gestellten Operationen.  
  
 
{|class="wikitable" style="text-align: left; cellpadding: 10;"
 
{|class="wikitable" style="text-align: left; cellpadding: 10;"
Zeile 50: Zeile 55:
 
|-
 
|-
 
|rowspan="4" | Eingabe  
 
|rowspan="4" | Eingabe  
|patientID
+
|[[cdaefa:EFA_Business_Informationsmodell#ecrRef|ecrRef]]
|Eindeutige Identifizierung des Patienten für den eine Fallakte angelegt wurde.
+
|Eindeutige Identifizierung der Fallakte, für die Berechtigungen abgefragt werden.
 
|-
 
|-
 
|HPIdentityAssertion
 
|HPIdentityAssertion
|Ein gültiger Authentifizierungsnachweis eines EFA-Teilnehmers für das EFA-Netzwerk.
+
|Ein gültiger Authentifizierungsnachweis des EFA-Teilnehmers, dessen Berechtigungen für die benannte Fallakte abgefragt werden.
|-
 
|purpose
 
|Zweck der Fallakte auf die zugegriffen werden soll.
 
 
|-
 
|-
 
|consentInfo (optional)
 
|consentInfo (optional)

Version vom 15. November 2013, 13:56 Uhr


Anmerkung: Die Kürzel unter den einzelnen Überschriften dienen der Unterstützung des Kommentierungsverfahrens. Bitte geben Sie bei einem Kommentar oder einem Verbesserungsvorschlag zu dieser Spezifikation immer das Kürzel des Abschnitts an, auf den sich Ihr Kommentar bezieht. Alle Kommentare werden in der Lasche "Diskussion" zu der kommentierten Seite gesammelt und gegenkommentiert.
Hinweise zum Kommentierungsverfahren einschließlich aller Formulare und Kontaktadressen finden Sie auf der Seite "Kommentierung EFAv2.0".


EFA Policy Provider

Bitte markieren Sie Kommentare zu diesem Abschnitt mit dem Code {Eocye.01}

Der EFA Policy Provider ist für die Verwaltung der Berechtigungen in Form von Policies in einem Policy Repository zuständig. Berechtigungen sind an einen bestimmten Zweck gebunden und steuern den Zugriff von EFA-Teilnehmern auf eine Fallakte.

Policy Pull vs. Policy Push

Operationen des EFA-Policy-Managements

Die nachfolgende Tabelle listet die vom EFA Policy Provider bereit gestellten Operationen.

Operation Beschreibung
registerPolicy Registriert eine neue Access Policy auf Basis eines Einwilligungsdokuments.
activatePolicy Aktiviert eine Access Policy auf Grundlage verschiedener Attribute bzw. Kennzeichen (Zweck, Patient, Rolle, Kontext etc.). Eine aktivierte Access Policy autorisiert eine Rolle für einen bestimmten Verarbeitungskontext. Die activatePolicy-Operation wird implizit von der requestPolicy-Operation aufgerufen.
requestPolicy Für die Evaluierung einer Autorisierungsentscheidung muss ein Authorization Decision Provider Zugriff auf entsprechende Policies haben. Dazu fragt dieser Policies mit zwei verschiedenen Semantiken an:
  • Verweis ohne Semantik (PolicyID) auf eine Policy, welche die gültigen Berechtigungsregeln eines EFA-Teilnehmers enthält
  • Verweis mit Semantik (z.B. gemäß IHE BPPC). Hinweis: Für eine Zugriffskontrolle kann der Authorization Decision Provider bereits implizit im Programmcode des jeweiligen Anwendungsdienstes implementiert sein, welcher den Verweis entsprechend interpretiert. In diesem Fall kann auf den Akteur EFA Policy Provider verzichtet werden. Lediglich für ein Policy-Push-Szenario muss der Verweis mit Semantik unterstützt werden (siehe unten).
  • Attribute, die einen Verarbeitungskontext beschreiben

Die EFA-Spezifikation macht keine normativen Vorgaben wie diese Operationen implementiert werden. Einzige Ausnahme ist der Fall, dass der EFA-Kontext-Manager die Access Policy anfordert und diese beim Zugriff auf eine Fallakte mitsendet (Policy Push). Damit wird schließlich dem Authorization Decision Provider die Access Policy für die Zugriffskontrolle übergeben. Die Operation requestPolicy hat die folgende formale Schnittstelle:

Operation requestPolicy
Funktionalität Gibt eine Autorisierung zum Zugriff auf eine Fallakte wieder.
Eingabe ecrRef Eindeutige Identifizierung der Fallakte, für die Berechtigungen abgefragt werden.
HPIdentityAssertion Ein gültiger Authentifizierungsnachweis des EFA-Teilnehmers, dessen Berechtigungen für die benannte Fallakte abgefragt werden.
consentInfo (optional) Informationen zu der vom Patienten gegebenen Einwilligung
Rückgabe Access Policy Assertion Autorisierungsnachweis, welcher entweder einen Verweis (mit oder ohne Semantik) auf eine Berechtigung oder eine explizite Access Policy enthält und somit die Autorisierung des aktuellen EFA-Teilnehmers bestätigt.
Vorbedingungen
  1. Der EFA-Teilnehmer hat sich authentisiert und ein Nachweis liegt vor
  2. Policies und/oder Verweise wurden registriert
Ablaufsequenz
  1. Überprüfe die Authentizität des Authentisierungsnachweises
  2. Aktiviere die Access Policy anhand der Eingabedaten
  3. Returniere die Access Policy an den Aufrufer
Mögliche Fehler MissingAttributes Autorisierung konnte nicht erfolgen, da Attribute für die Policy-Aktivierung nicht vorhanden waren.

Querverweise und Referenzen