Komponenten und Schnittstellenbeschreibung¶
Dokumentation im Aufbau
Die vorliegende technische Dokumentation befindet sich derzeit im Aufbau. Demzufolge können sich die Inhalte zum Thema eEKP-FHIR-Anbindung noch ändern, respektive weitere Inhalte hinzukommen.
ELGA OAuth Authorization Server¶
Überblick¶
Der ELGA OAuth2 Authorization Server (EOAS) stellt eine Ergänzung des existierenden ETS dar. Das EOAS agiert in der Rolle als Authorization Server auf Basis von OAuth2 bzw. OIDC-Spezifikationen.
Dementsprechend handelt es sich beim EOAS um eine zentrale BeS-Komponente, welche die Funktionalität des bestehenden Berechtigungssystems, u.a. das KBS für das Lesen von Kontakten, das ETS für die Validierung von Assertions sowie das Z-L-ARR für die Protokollierung nutzt. Entsprechend der Festlegungen unter Punkt 2, nimmt das EOAS als neues Service eine zentrale Aufgabe bei der Autorisierung von Zugriffen auf die Fachtransaktionen des eEKP-Zentralsystems ein. Analog zum ETS stellt das EOAS seine Funktionen in Form von Schnittstellen über dezidierte Endpunkte in den Anbindungsgateways (AGW) zur Verfügung.
Die wesentliche Aufgabe des EOAS besteht darin, einen Übergang von einer in Form von SAML repräsentierten HCP-Assertion in einen Access Token, wahlweise als Json Web Token (JWT), zu ermöglichen. Technisch bedient sich das EOAS anhand der Festlegungen des RFC 7522 - SAML Bearer Token Exchange. Dabei wird über eine definierte Schnittstelle eine bestehende und gültige SAML-Assertion (i.e. eine HCP-Assertion, vgl. Punkt 6.2.1) gegen einen JSON Web Token (JWT) getauscht. Dieser JWT kann in Folge im Authorization-Header einer HTTP-Nachricht den Zugriff auf REST- oder wie im vorliegenden Fall auf FHIR-REST-Schnittstellen verwendet werden. Eine erfolgreiche Ausstellung eines Access Tokens auf der Grundlage einer HCP-Assertion ist an die nachfolgenden Bedingungen geknüpft:
- Es handelt sich um eine gültige HCP-Assertion. Die übermittelte Assertion wird unter Nutzung der Funktionen und Services des ETS validiert. Eine Auflistung der vom ETS durchgeführten Prüfungen findet sich unter Referenz BES SS.
- Die Rolle des zugreifenden GDA entspricht einer für den Zugriff auf das eEKP-Zentralsystem berechtigten Rolle (siehe Punkt 4.3 für eine Auflistung der in eEKP-FHIR zugelassenen Rollen).
- Im KBS existiert ein aktiver Kontakt zwischen GDA und Patient.
- Über eine PIX-Query wird sichergestellt, dass der Patient eindeutig identifiziert wurde.
Schnittstellenbeschreibung¶
Die Schnittstellenbeschreibung des EOAS findet sich unter folgendem Link:
ELGA Service Facade¶
Überblick¶
Im Rahmen der Errichtung der Komponente ELGA Service Fassade wird eine zentrale Funktionalität bereitgestellt, die als einheitlicher Zugangspunkt zum eEKP-Zentralsystem fungiert. Diese Fassade abstrahiert die Komplexität der zugrunde liegenden Systemlandschaft und stellt einen konsistenten Zugriffspunkt für Consumer- und Source-Akteure dar. Die Anbindung dieser Akteure erfolgt zwingend über REST/FHIR-Schnittstellen unter Einsatz von mTLS gemäß TLS-Version 1.3. Hierbei wird auf die etablierten Mechanismen der Anbindungsgateways (AGWs) zurückgegriffen.
Schnittstellenbeschreibung¶
Die Schnittstellenbeschreibung der ESF findet sich unter folgendem Link: