Einführung der Gesundheitskarte

Spezifikation

Fachdienste EFA

    

     

      
Version
      
0.8.7
     
     

      
Revision
      
548770
     
     

      
Stand
      
08.10.15
     
     

      
Status
      
freigegeben
     
     

      
Klassifizierung
      
nicht öffentlich
     
     

      
Referenzierung
      
gemSpec_FD_EFA
     
    

Dokumentinformationen

Änderungen zur Vorversion

1. Kleinere Textkorrekturen und Klarstellungen im Rahmen der internen Kommentierung.

2. Inhaltliche Streichungen und Ergänzungen im Rahmen der internen Kommentierung

<<kurze Beschreibung der inhaltlichen Änderungen (max. ½ Seite)>>

Dokumentenhistorie

Inhaltsverzeichnis

1 Einordnung des Dokuments

1.1 Zielsetzung

Dieses Dokument enthält die Anforderungen an den Produkttyp Fachdienst EFA. Der Fachdienst ist verantwortlich für die Verarbeitung elektronischer Fallakten, zur Registrierung seiner Dienste gegenüber der TI-Plattform, sowie der Registrierung und Deregistrierung von EFA-Teilnehmern (TN).

Im Kontext der Migration in die TI werden EFA-Fachdienst Instanzen in der Provider Zone an das zentrale Netz der TI-Plattform angeschlossen und so für EFA Clients aus der Consumer Zone erreichbar. EFA-Fachdienste können Nutzeridentitätsbestätigungen nach den in der Systemlösung [gemSysL_EFA2.0] vorgegebenen Regeln prüfen und nach eigenem Ermessen akzeptieren.

Dieses Dokument beschreibt normativ die Schnittstellen, welche die FD EFA zur Realisierung der Kommunikationsbeziehungen mit EFA Clients des Leistungserbringers und der Telematik Infrastruktur anbieten müssen

1.2 Zielgruppe

Das Dokument richtet sich Personengruppen, die grundsätzlich an der Migration von EFA Fachanwendungsinstanzen in die TI interessiert sind, insbesondere an

• Hersteller und Entwickler der Fachdienste
• Anbieter und Betreiber von EFA Fachanwendungen
• Verantwortliche Test

1.3 Geltungsbereich

Dieses Dokument enthält normative Anforderungen und Festlegungen, die von Herstellern und Betreibern von Komponenten und Diensten im Rahmen der Projekte der Neuausrichtung zur Einführung der elektronischen Gesundheitskarte und der Telematik Infrastruktur des Deutschen Gesundheitswesens zu beachten sind.

Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungs- oder Abnahmeverfahren wird durch die gematik GmbH in gesonderten Dokumenten (z.B. Dokumentenlandkarte, Produkttypsteckbrief, Leistungsbeschreibung) festgelegt und bekannt gegeben.

1.4 Arbeitsgrundlagen

Grundlagen für die Ausführung dieses Dokumentes sind

• das systemspezifische Konzept EFA2.0 [gemSysL_EFA]
• EFA v2.0 Spezifikation vom 2013-11-18 [efa2spec]    
• Gesamtarchitektur der TI [gemÜK_Arch_TI]
• das Konzept Architektur der TI-Plattform [gemKPT_Arch_TIP]
• die Netzwerk Spezifikation der TI-Plattform [gemSpec_Net]
• die OASIS WS-Security Spezifikation [WSSE-1.0]
• die OASIS WS-Trust Spezifikation [WS-Trust]
• die HL7v3 Spezifikation [HL7v3]
• IHE Cookbook [IHE-Cookbook]
• IHE PIXv3 Profile [IHE ITI TF Vol.3]
• HPD (ITI-58, ITI-59) [IHE ITI TF Vol.2b]

1.5 Abgrenzungen des Dokuments

Spezifiziert werden in dem Dokument die vom Produkttyp bereitgestellten (angebotenen) Schnittstellen. Benutzte Schnittstellen werden hingegen in der Spezifikation desjenigen Produkttypen beschrieben, der diese Schnittstelle bereitstellt. Auf die entsprechenden Dokumente wird referenziert.

Die Systemlösung der Fachanwendung EFA ist im systemspezifischen Konzept [gemSysL_EFA2.0] beschrieben. Dieses Konzept setzt die fachlichen Anforderungen des Lastenheftes auf Systemebene um, zerlegt die Fachanwendung EFA in die zugehörigen Produkttypen, darunter das EFA Fachmodul und den EFA-Fachdienst. Ferner definiert es die Schnittstellen zwischen den einzelnen Produkttypen. Für das Verständnis dieser Spezifikation wird die Kenntnis von [gemSysL_EFA2.0] vorausgesetzt.

Die Fachdienste EFA sind außerhalb der TI spezifiziert und verantwortet [efa2spec]. Diese Spezifikation beschreibt jene zusätzlichen Anforderungen an deren Schnittstellen, die für eine Migration in die TI-Plattform erforderlich sind.

Für das Verständnis dieser Spezifikation wird die Kenntnis von [efa2spec], [gemSysL_EFA2.0] und [gemSpec_FM_EFA] vorausgesetzt.

1.6 Methodik

1.6.1 Anforderungen

Anforderungen als Ausdruck normativer Festlegungen werden durch eine eindeutige ID in eckigen Klammern sowie die dem RFC 2119 [RFC2119] entsprechenden, in Großbuchstaben geschriebenen deutschen Schlüsselworte MUSS, DARF NICHT, SOLL, SOLL NICHT, KANN gekennzeichnet.

<Sofern die neue Nomenklatur der Afos verwendet wurde, zusätzlich:>

Sie werden im Dokument wie folgt dargestellt:

<AFO-ID> - <Titel der Afo>
Text / Beschreibung
[<=]

Dabei umfasst die Anforderung sämtliche innerhalb der Textmarken angeführten Inhalte.

1.6.2 Diagramme

Die Darstellung der Spezifikationen von Komponenten erfolgt auf der Grundlage einer durchgängigen Use-Case-Modellierung als

• technische Use Cases (eingebundene Graphik sowie tabellarische Darstellung mit Vor- und Nachbedingungen gemäß Modellierungsleitfaden),
• Klassen-, Sequenz- und Aktivitäten- Diagramme sowie
• XML-Strukturen und Schnittstellenbeschreibungen.

1.6.3 Nomenklatur <<optional, nur bis einschl. Abstimmphase >>

Hinweise zur Nomenklatur:

• Schnittstellen-, Operations-, Parameter- und Dateinamen sowie Bezeichner für Objekte auf den verwendeten elektronischen Zertifikatsspeichern, den Namen der referenzierten Technischen Use Cases (TUCs) des Konnektors und Extensible-Markup-Language(XML)-Elemente oder -Attribute werden in diesem Dokument in nicht-proportionaler Schriftart gesetzt.
• Hexadezimale Zahlen und Oktett-Zeichenketten werden in Hochkommata eingeschlossen (z. B. ´2F 03´).
• Sofern im Text dieser Spezifikation auf die Ausgangsanforderungen verwiesen wird, erfolgt dies in eckigen Klammern, z.B. [KOMLE-A_2015]. Wird auf Eingangsanforderungen verwiesen, erfolgt dies in runden Klammern, z.B. (KOMLE-A_202).

1.6.4 Hinweis auf offene Punkte

Offene Punkte werden in blauer Schrift auf gelbem Hintergrund markiert und in 6 unten detailliert behandelt

Das Kapitel wird in einer späteren Version des Dokumentes ergänzt.

2 Systemüberblick

Der EFA-Fachdienst ist in der Provider Zone an das zentrale Netz der TI-Plattform angeschlossen. Er realisiert alle Schnittstellen zur Verarbeitung elektronischer Fallakten durch einen EFA-Provider.

Der EFA-Fachdienst ist für eine bestimmte „EFA-Affinity-Domain“ (Community) konfiguriert. Leistungserbringer Institutionen werden als berechtigte Institution auf der Grundlage eines Vertrages mit einem EFA-Provider zur Nutzung der EFA-Dienste dieses EFA-Providers registriert. Durch die Patienteneinwilligung werden die Mitarbeiter einer berechtigten Leistungserbringer Institution im Kontext einer spezifischen Fallakte eines Patienten für die Rolle EFA-Teilnehmer autorisiert. Eine EFA-Fachdienst-Instanz versorgt eine „Community“ von EFA-Teilnehmern.

2.1 Systemkontext

Eine EFA-Instanz umfasst anwendungsspezifische und sicherheitsrelevante Funktionen. Die logischen Komponenten ResourceManager, DocumentRepository, DocumentRegistry und optional die HPD Services und der PIX Manager realisieren die Schnittstellen der Anwendungsdienste. Die logischen Komponenten IdentityProvider und PolicyProvider realisieren die Schnittstellen der Sicherheitsdienste. Ein optionales Provider Info Portal kann der einfachen Registrierung von Leistungserbringern als Vertragspartner eines EFA-Providers dienen.

Abbildung 1 Systemkontext der EFA-Fachdienste

2.1.1 EFA Business Services

Die logischen Komponenten ResourceManager, DocumentRepository und DocumentRegistry realisieren die Schnittstellen zu den fachlichen Kerndiensten der EFA-Instanz. Sie authentifizieren eingehende EFA-Nachrichten anhand der darin enthaltenen SAML-Nutzeridentitätsbestätigung. Sie prüfen die Autorisierung des Datenzugriffs anhand mitgelieferter SAML Subject Access Policies oder mithilfe interner Schnittstellen zum PolicyProvider. Im Sinne des Informationsmodells aus [XACML2.0] implementieren ihre Dienstinstanzen den PolicyDecisionPoint (PDP) und PolicyEnformcementPoint (PEP) für jeglichen fachlichen Zugriff auf die Daten einer elektronischen Fallakte.

2.1.2 EFA Security Services

Die logische Komponente PolicyProvider stellt dem EFA Fachmodul eine Schnittstelle zum Abruf von AccessPolicies in Form von „SAML Subject Access Policy Assertions“ bereit. Im sogenannten „PolicyPush“ Verfahren, das ein EFA-Provider optional anbieten kann, fügen EFA Clients ihren fachlichen Aufrufen solcherart bezogene Assertions zur Autorisierung des Datenzugriffes bei. Im sogenannten „PolicyPull“ Verfahren, dass von allen EFA-Providern unterstützt werden muss, beschafft sich die den fachlichen Aufruf bedienende EFA Service Schnittstelle die Policies selbst und wertet sie aus.

Technisch ist der PolicyProvider als ein STS WebService nach [WS-Trust] Spezifikation zu verstehen, welcher Policies in Form von SAML Subject Access Assertions erstellt und mittels SOAP Nachrichten kommuniziert. Im Sinne des Informationsmodells aus XACML2.0 implementiert die Dienstinstanz den PolicyInformationPoint (PIP) und PolicyAdministrationPoint (PAP) für die Sicherheitsarchitektur einer elektronischen Fallakte.

Die optionale Komponente Identity Provider liefert SAML Nutzeridentitätsbestätigungen für Nutzer, deren EFA Nutzerkonten in der EFA-Instanz beim Provider verwaltet werden. Technisch handelt es sich um einen STS WebService nach [WS-Trust], welcher SOAP Nachrichten verarbeitet.

2.1.3 EFA Supplemental Services

2.1.3.1 HPD Services

Anwendungsfälle im Kontext „Verwaltung von Fallakten“ zur Änderung des Kreises der Zugriffsberechtigten erfordern das Finden und Identifizieren von Teilnehmern. Aus diesem Anwendungsfall ist die Annahme eines beim EFA-Provider vorhandenen Verzeichnisdienstes motiviert, welcher relevante Daten seiner Teilnehmer bereitstellt.

Die logische Komponente HPD Services wird in der EFA 2.0 Spezifikation nicht als fachlicher Dienst geführt. Sie stellt dem EFA Fachmodul eine Schnittstelle auf den Verzeichnisdienst des EFA-Providers zur Verfügung.

Es ist nicht ausgeschlossen, dass eine HPD Instanz eines EFA-Providers mehrere Communities desselben Providers versorgt. Diese Spezifikation will sicherstellen, dass die HPD-Instanz in der Community adressierbar ist. Mit einer HPD Instanz über mehrere Communities muss die Zuordnung providerseitig verwaltet werden, welcher Teilnehmer in welchen Communities registriert bzw. adressierbar ist. Bei Abfragen eines HPD ist der Parameter „CommunityID“ bereits im Aufrufer-Kontext (Service-Endpoint URL) festgelegt. Somit könne auch Ansätze eines Multi-Community Providers unterstützt werden.

2.1.3.2 PIX Manager Services

Aus dem Informationsmodell des Anwendungskontextes „EFA Sicherheitskontext aufbauen“ ist die Identifikation der „Patienten ID beim Anbieter“ motiviert.

Die logische Komponente „Patient Identity Cross-Reference Manager“ (PIX Manager) realisiert die Schnittstellen zur Unterstützung der dienstanbieterseitigen Identifikation von Patienten anhand lokaler (teilnehmerseitig verwalteter) Identitätsmerkmale. Dabei kommt das „IHE PIXv3 profile“ zur Anwendung.

Mithilfe der Schnittstelle I_PIX_Manager kann die „patientID“ des Anbieters in der Community anhand einer zuvor beim Anbieter registrierten, lokalen Identifikation ermittelt werden.

Die optionale, logische Komponente PIXManager wird in der EFA 2.0 Spezifikation nicht als fachlicher Dienst geführt. Sie stellt dem EFA Fachmodul eine Schnittstelle auf die Patienten identifizierenden Dienste des EFA-Providers zur Verfügung.

Die Nutzung demographischer Daten zur Ermittlung der „provider_patientID“, zum Beispiel mit Hilfe eines „IHE PDQ profile“ wird nicht betrachtet.

2.1.3.3 EFA Info Portal

Eine optionale Komponente EFA Info Portal dient der einfachen Registrierung von Leistungserbringern in der TI als Teilnehmer einer EFA-Provider Domäne. Logisch kann es sich um ein Internetportal handeln, welches den Geschäftsprozess „Registrierung“ des Providers unterstützt.

Die Komponente ist kein unmittelbarer Bestandteil der EFA Fachanwendung, wird aber hier mit aufgeführt, da sie im Kontext der Lokalisierung der Fachdienste erwähnt ist.

2.2 Informationsmodell Provider und Teilnehmer

Ein EFA-Provider ist der organisatorische Anbieter von EFA Diensten gegenüber EFA-Teilnehmern, er verantwortet eine oder mehrere EFA Communities und stellt dazu je eine Instanz der EFA-Fachdienste mit den technischen Service Endpunkten bereit.

Abbildung 2 Informationsmodell zu EFA-Provider und EFA Community

EFA-Teilnehmer einer berechtigten Leistungserbringer Institution in einer EFA-Affinity-Domain (Community, EFA Versorgungsdomäne) sind mit deren EFA-Provider vertraglich verbunden. Eine EFA Community ist durch ihre CommunityID identifiziert. Ein EFA-Teilnehmer kann mehreren Communities angehören.

Die Institution, Provider und Community werden in der TI mithilfe von IDs vom Typ UUID identifiziert. Die Verwendung von UUIDs ist motiviert aus dem Bedarf nach „Identifier“ mit den Eigenschaften „fester Länge“ und „hinreichender Eindeutigkeit in konkreten Verwendungsdomänen. Derartige Identifier bieten generell eine sehr einfache Verarbeitung bei Einsatz von Hardware und zusammen mit weiteren limitierten Ressourcen wie z.B. Ablagespeicher auf SmartCards.

2.3 Weitere Informationen

2.3.1 Kryptographisches Schlüsselmaterial

Diese Spezifikation bezieht sich auf kryptographisches Schlüsselmaterial und X.509v3 Zertifikate, die im Abschnitt 4.9.9 eingeführt und beschrieben werden.

2.3.2 Lokalisierung der Fachdienste in der TI

Die Schnittstellen der EFA-Fachdienste in der Provider Zone sind als Web Services realisiert und verarbeiten SOAP 1.2 Nachrichten, ihre Service Endpunkte sind jeweils in einer WSDL Spezifikation technisch beschrieben.

Die Service Endpunkte der EFA-Fachdienste werden mithilfe von DNS-SD Datensätzen im Namensdienst der TI propagiert definiert. Dem Fachmodul EFA wird durch die Schnittstelle I_DNS_Service_Information ermöglicht, relevante Information zu den Service Endpunkten der registrierten EFA-Fachdienst Instanzen einfach zu ermitteln. Die Details sind in Kapitel 4.9.4.1 definiert.

2.3.3 EFA-Teilnehmerverzeichnisse

EFA-Teilnehmerverzeichnisse, wie in Abschnitt 2.1.3.1 oben erwähnt, sind durch die Anwendungsfälle „Finden“ und „Registrierung“ motiviert:

Das Finden von EFA-Teilnehmern zur Erweiterung des Kreises der Berechtigten an einer Fallakte soll unterstützt werden, insbesondere im Zusammenhang mit dem Aspekt der freien Arztwahl.

Die Registrierung eines Leistungserbringers bei einem EFA-Provider soll auf einfache Weise unterstützt werden.

2.3.3.1 Finden registrierter EFA-Teilnehmer in Verzeichnissen aus der TI

Diese Spezifikation geht von der Annahme aus, dass jeder EFA Provider im Zuge der Registrierung von EFA Teilnehmern Daten zu diesen Teilnehmern speichert, insbesondere zur Abbildung von Datenzugangs- und Datenzugriffsberechtigungen innerhalb der EFA Community.

Eine Suche auf diesem Datenbestand durch EFA Clients über die TI setzt dessen Verfügbarkeit in der TI voraus. Die Verfügbarkeit kann durch Bereitstellung einer Fachdienstschnittstelle (HPD Service beim Provider) oder durch Import und Pflege der Daten in den TI VZD erreicht werden.  Eine einschränkende Anforderung hierzu ist nicht formuliert.

Ist der HPD Service des Providers nicht instanziiert, muss der EFA Client bedarfsweise im TI VZD nach EFA-Teilnehmern suchen. Der EFA-Provider muss in diesem Falle die relevanten Daten seiner Teilnehmer im TI VZD pflegen.

2.3.3.2 Einfache Registrierung weiterer EFA-Teilnehmer

Die Spezifikation macht keine Vorgaben zum organisatorischen Prozess der Registrierung von EFA-Teilnehmern beim Provider. Sie trifft die Annahme, dass vor der Konfiguration eines EFA-Teilnehmersystems in der TI eine hinreichende Vertragsbeziehung zwischen Leistungserbringerorganisation und EFA-Provider besteht.

Ein EFA-Teilnehmer in der TI vermag dann, mittels der Administrationsschnittstelle des EFA Fachmoduls, die Mitgliedschaft in einer oder mehreren bestimmten EFA Communities zu konfigurieren. Die EFA-Fachdienste prüfen ihrerseits die Autorisierung jeder Fallaktentransaktion in Bezug auf die Vertragsbeziehung und die diskreten Zugriffsrechte. Besteht eine Vertragsbeziehung, werden die fachlichen Transaktionen wie spezifiziert authentisiert, autorisiert und ausgeführt.

2.3.4 Ressource Referenz der Patienteneinwilligung (ConsentInfo) zur Fallakte – XDS-Binding

Mit dem Ziel, eine geeignete Repräsentation eines Resource Discovery Token auf der eGK speichern zu können, wurde das Fachmodul GDDATD entworfen. Im Kontext der Mehrwertanwendung EFA in der TI steht damit ein Mechanismus zur Verfügung, Anwendungstoken als Referenzen auf medizinische Resourcen mit unterschiedlicher Ausprägung zu definieren und mittels des Transportmediums eGK zu verteilen.

Im Kontext der Mehrwertanwendung EFA in der TI kann dieser Mechanismus für den Transport sogenannter Resource Discovery Token (RDT) einer spezifischen Fallakteninstanz eingesetzt werden. Die Erzeugung der RDT erfolgt dabei providerseitig und bildet eine TI-weit eindeutige Referenz auf das ConsentInfo Dokument dieser Fallakte ab. Die Assoziation der erforderlichen Identifier mit der Resource erfolgt auf Ebene der Dokument-Metadaten dieser Resource innerhalb der Komponente IHE XDS Registry. Geeignete Implementierungen eines EFA ResourceManager MÜSSEN deshalb die „ReferenceId Option“ gemäß [IHE ITI TF Vol.3] unterstützen.

Bei der Anlage einer Fallakte MUSS der providerseitige XDS Document Registry Actor die Metadaten des ConsentInfo Dokuments um diese extern verwendbare Referenz ergänzen, wenn die Unterstützung der eGK als Transportmedium für RDT gegeben sein soll.

GDD Anwendungstoken für EFA in der Ausprägung RDT sind zusammengesetzt aus einem fest vorgegebenen Identifikator der Anwendungsklassse, einem anwendungsspezifischen Flag, der CommunityID und der ResourceReferenceID. Die CommunityID wird in Form einer UUID bei der Inbetriebnahme einer EFA-Community in der TI festgelegt.

Die ResourceReferenceID wird vom Provider bei Anlegen der Resource gemäß [gemSpec_FM_GDDATD]#Kapitel 5.13.4 erzeugt und zu den Metadaten des ConsentInfo Dokuments unter Berücksichtigung von [IHE ITI TF Vol.3] mit dem Datentyp CXi enkodiert und beigefügt:

<rim:Slot name="urn:ihe:iti:xds:2013:referenceIdList ">  

<rim:ValueList>

  <rim:Value>

    ecd446ee-e988-52d7-8561-4ef5f0acdb23^^^^urn:ihe:iti:xds:2013:accession

  </rim:Value>

</rim:ValueList>

</rim:Slot>

Die Nutzung des RDT durch vorab autorisierte EFA-Teilnehmer

3 Funktionsmerkmale

3.1 Funktionsmerkmale der EFA Business Services

Das fachliche Verhalten der EFA Business Services wird in dieser Spezifikation nicht behandelt, Tabelle 1 verweist auf weiterführende Textstellen der EFA 2.0 Spezifikation.

Tabelle 1 Informative Textstellen der EFA Spezifikation zu den logischen Fachdiensten

Die in Tabelle 2 aufgeführten Funktionsmerkmale der EFA Business Services sind in [efa2spec] spezifiziert und in [gemSysL_EFA2.0] in Beziehung zur TI gesetzt.

Tabelle 2 Funktionsmerkmale der EFA Business Services

Zur Unterstützung des optionalen Einsatzes der eGK für die Speicherung von ResourceDiscoveryToken (RDT) MUSS ein EFA2.0 Provider in seiner XDS Registry die „ReferenceId Option“ gemäß [IHE ITI TF Vol.3] unterstützen. Bei den EFA-Transaktionen ‚createECR‘ (ITI-41) und ‚registerConsent‘ (ITI-41) ist die Resource Referenz des ConsentInfo Dokuments in den zugehörigen Metadaten wie im Kapitel 2.3.4 beschrieben zu ergänzen. Die Beschreibung zur Nutzung des RDT befindet sich in Kapitel 4.2.2.

3.2 Funktionsmerkmale der EFA Security Services

Die in Tabelle 3 aufgeführten Funktionsmerkmale der EFA Business Services sind in [efa2spec] spezifiziert und in [gemSysL_EFA2.0] in Beziehung zur TI gesetzt.

Tabelle 3 Funktionsmerkmale der EFA Security Services

3.2.1 Funktionsmerkmale des Identity Providers

Die optionale Komponente EFA Identity Provider stellt einem EFA Client auf Anfrage eine Nutzeridentitätsbestätigung in Form einer SAML 2.0 Identity Assertion aus. Mit dieser Identitätsbestätigung kann ein Nutzer, dessen Nutzerkonto beim EFA-Provider verwaltet wird, seine Aufrufe gegenüber EFA-Fachdienstschnittstellen autorisieren.

3.2.2 Funktionsmerkmale des Policy Providers

Die logische Komponente EFA Policy Provider stellt dem EFA Client auf Anfrage über das EFA Fachmodul eine Subject Access Policy Assertion zur Verwendung in Fachdienstaufrufen bereit. Mithilfe dieser Policy Assertion kann die Fachdienst Instanz eine Autorisierungsentscheidung für Fachdienstaufrufe von EFA Clients treffen und durchsetzen. Dazu nutzt der Client die Schnittstelle I_eCR_Policy_Provider, um eine auf seinen Sitzungskontext bezogene Subject Access Policy Assertion abzurufen. Diese Assertion fügt er anschließend jedem Aufruf desselben fachlichen Kontexts bei.

3.3 Funktionsmerkmale der EFA Supplemental Services

Die in Tabelle 4 aufgeführten Funktionsmerkmale der EFA Supplemental Services sind in [efa2spec] spezifiziert und in [gemSysL_EFA2.0] in Beziehung zur TI gesetzt.

Tabelle 4 Funktionsmerkmale der EFA Supplemental Services

3.3.1 Funktionen des EFA HPD Service

Die Funktionsmerkmale des in einer EFA Community angebotenen HPD Service ermöglichen die Verwaltung und Abfrage von Informationen zu Leistungserbringern, welche als Teilnehmer dieser EFA Community registriert sind.

Die Information kann vom EFA Fachmodul nach Leistungserbringern, die in der EFA-Provider Instanz als Teilnehmer registriert sind, durchsucht werden. Ein HPD Service verarbeitet Nachrichten vom Typ „Provider Information Query [ITI-58]“ und „Provider Information Feed [ITI-59]“.

3.3.2 Funktionen des PIX Manager Services

Die logische Komponente „Patient Identity Cross-Reference Manager“ (PIX Manager) realisiert die Schnittstelle zur providerseitigen Identifikation von Patienten anhand lokaler (teilnehmerseitig verwalteter) Identitätsmerkmale. Dabei kommt das „IHE PIXv3 Profile“ zur Anwendung.

Die Schnittstelle ermöglicht es, eine beim EFA Teilnehmer gepflegte, lokale „patientID“ in der EFA-Community beim PIX-Manager mit der dort gepflegten, anbieterseitigen „patientID“ zu registrieren. So wird die Ermittlung der „patientID“ des Anbieters anhand der lokalen „patientID“ unterstützt.

Auf eine Erweiterung des Mechanismus zur Ermittlung der providerseitig bekannten Patienten-ID nach IHE Profil PDQ wird derzeit verzichtet unter Berücksichtigung des Minimalitätsprinzips in puncto Datenschutz.

3.4 Audit Trail / Logging

Gemäß IHE Integrationsprofilen im IHE Cookbook ist für die grundlegende Aktenkommunikation in einer EFA-Instanz das Profil „ATNA Logging“ vorgegeben.

3.5 Skalierbarkeit

3.5.1 Verarbeitung großer Dokumente

Auf die TI migrierte EFA 2.0 Fachanwendungen müssen elektronische Dokumente verschiedenster Formate, wie zum Beispiel Bilder, Filme, Berichte, Schriftwechsel, Befunde, Grafiken, in „im Klinikalltag üblicher Größe“ handhaben können.

Tabelle 5 beschreibt Annahmen zu Anzahl und Umfang elektronischer Dokumente in den von EFA Clients genutzten Operationen der EFA Fachdienste.

Tabelle 5 Annahmen zu Größe und Anzahl elektronischer Dokumente in EFA Operationen

Für EFA Schnittstellen, welche Dokumente > 25 Mbyte handhaben müssen, fordert die Spezifikation EFA2.0 die Implementierung von „SOAP Message Transmission Optimization Mechanism“ Version 1.1 [MTOM1.1] und die Unterstützung datenstromorientierter Verarbeitung. Die Anforderungen bzgl. der Unterstützung von [XOP] und [MTOM1.1] ist motiviert durch die in der Spezifikation EFA2.0 verwendeten IHE-Transaktionen (ITI-41, ITI-42 und ITI-43) gemäß IHE ITI TF-2b.

4 Schnittstellen

Das fachliche Verhalten der EFA-Fachdienst Schnittstellen ist in [efa2spec] definiert, es wird in dieser Spezifikation nicht behandelt. Siehe hierzu auch Tabelle 1 im Sinne einer Orientierungshilfe für die EFA 2.0 Spezifikation.

4.1 Schnittstelle I_eCR_Identity_Provider

Diese optionale Schnittstelle stellt auf Anforderung anbieterseitige Nutzeridentitätsbestätigungen aus.

4.1.1 Operation requestHPIdentityAssertion

Diese Operation stellt zu einer bestimmten, durch den EFA Anbieter verwalteten Nutzeridentität eine Nutzeridentitätsbestätigung in Form einer „SAML 2.0 Assertion“ gemäß „SAML2.0 Profile for ECR Identity Assertion“ konform zur Spezifikation EFA2.0 aus.

4.1.1.1 Umsetzung

4.1.1.2 Nutzung der Operation requestHPIdentityAssertion

Der Nutzer der Schnittstelle SOLL die Operation „requestHPIdentityAssertion“ gemäß Tabelle 10 verwenden.

Tabelle 10 Nutzung Operation requestHPIdentityAssertion

4.1.2 WSDL Definition einer IdentityProvider Instanz

<!-- EFA IDP WSDL-->

<!--

OASIS takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any effort to identify any such rights. Information on OASIS's procedures with respect to rights in OASIS specifications can be found at the OASIS website. Copies of claims of rights made available for publication and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementors or users of this specification, can be obtained from the OASIS Executive Director.

OASIS invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights which may cover technology that may be required to implement this specification. Please address the information to the OASIS Executive Director.

Copyright © OASIS Open 2002-2006. All Rights Reserved.

This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself does not be modified in any way, such as by removing the copyright notice or references to OASIS, except as needed for the purpose of developing OASIS specifications, in which case the procedures for copyrights defined in the OASIS Intellectual Property Rights document must be followed, or as required to translate it into languages other than English.

The limited permissions granted above are perpetual and will not be revoked by OASIS or its successors or assigns.

This document and the information contained herein is provided on an AS IS basis and OASIS DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

-->

<wsdl:definitions

   targetNamespace="http://docs.oasis-open.org/ws-sx/ws-trust/200512/"

   xmlns:tns="http://docs.oasis-open.org/ws-sx/ws-trust/200512/"

   xmlns:wst="http://docs.oasis-open.org/ws-sx/ws-trust/200512/"

   xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/"

   xmlns:xs="http://www.w3.org/2001/XMLSchema" >

<!-- this is the WS-I BP-compliant way to import a schema -->

  <wsdl:types>

    <xs:schema>

      <xs:import namespace=0  

        schemaLocation="http://docs.oasis-open.org/ws-sx/ws-trust/200512/ws-trust-1.3.xsd"/>

    </xs:schema>

  </wsdl:types>

  <!-- WS-Trust defines the following GEDs -->

  <wsdl:message name="RequestSecurityTokenMsg">

    <wsdl:part name="request" element="wst:RequestSecurityToken" />

  </wsdl:message>

  <wsdl:message name="RequestSecurityTokenCollectionMsg">

    <wsdl:part name="request" element="wst:RequestSecurityTokenCollection" />

  </wsdl:message>

  <wsdl:message name="RequestSecurityTokenResponseMsg">

    <wsdl:part name="response" element="wst:RequestSecurityTokenResponse" />

  </wsdl:message>

  <wsdl:message name="RequestSecurityTokenResponseCollectionMsg">

    <wsdl:part name="responseCollection"

         element="wst:RequestSecurityTokenResponseCollection"/>

  </wsdl:message>

  <wsdl:portType name="SecurityTokenService">

    <wsdl:operation name="RequestSecurityToken">

      <wsdl:input message="tns:RequestSecurityTokenMsg"/>

      <wsdl:output message="tns:RequestSecurityTokenResponseMsg"/>

    </wsdl:operation>

  </wsdl:portType>

</wsdl:definitions>

4.1.3 Beispiele von Transaktionen mit einem EFA IdentityProvider

4.1.3.1 requestHPIdentityAssertion - RST (X509TokenProfile mit BinarySecurityToken)

<!-- EFA IDP Issue RST -->

<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">

    <soap:Header>

        <Action xmlns="http://www.w3.org/2005/08/addressing">

    http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue

        </Action>

        <MessageID xmlns="http://www.w3.org/2005/08/addressing">

            urn:uuid:0afde815-7059-438e-a42b-59c35c5212cd

        </MessageID>

        <To xmlns="http://www.w3.org/2005/08/addressing">

            https://10.11.12.12:443/SecurityTokenService/X509

        </To>

        <ReplyTo xmlns="http://www.w3.org/2005/08/addressing">

            <Address>http://www.w3.org/2005/08/addressing/anonymous

            </Address>

        </ReplyTo>

        <wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/

            2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"                     xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/

            oasis-200401-wss-wssecurity-utility-1.0.xsd"                         soap:mustUnderstand="1">

            <wsu:Timestamp wsu:Id="TS-55846762-9fd6-4203-861d-                          06537c382b60">

                <wsu:Created>2015-01-27T16:33:23.016Z</wsu:Created>

                <wsu:Expires>2015-01-27T16:38:23.016Z</wsu:Expires>

            </wsu:Timestamp>

            <wsse:BinarySecurityToken EncodingType="http://docs.oasis-                    open.org/wss/2004/01/oasis-200401-wss-soap-message-                    security-1.0#Base64Binary"                                 ValueType="http://docs.oasis-                                open.org/wss/2004/01/oasis-

                200401-wss-x509-token-profile-1.0#X509v3"

                wsu:Id="X509-94419760-2d63-4ea6-ab46-2b7587c0b603">

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

            </wsse:BinarySecurityToken>

            <ds:Signature xmlns:ds="htp://www.w3.org/2000/09/xmldsig#" I="SIG-7bab80bf-8769-48c9-a0c1-af6361063e58">

                <ds:SignedInfo>

                    <ds:CanonicalizationMethod                                     Algorithm="http://www.w3.org/2001/10/

                        xml-exc-c14n#">

                    <ec:InclusiveNamespaces                                         xmlns:ec="http://www.w3.org/2001/10/xml-                        exc-c14n#" PrefixList="soap"/>

                    </ds:CanonicalizationMethod>

                    <ds:SignatureMethod                                         Algorithm="http://www.w3.org/2000/09/

                            xmldsig#rsa-sha1"/>

                    <ds:Reference URI="#TS-55846762-9fd6-4203-861d-                        06537c382b60">

                        <ds:Transforms>

                            <ds:Transform                                         Algorithm="http://www.w3.org/

                            2001/10/xml-exc-c14n#">

                                <ec:InclusiveNamespaces                                     xmlns:ec="http://www.w3.or

                                g/2001/10/xml-exc-c14n#"                                     PrefixList="wsse soap"/>

                            </ds:Transform>

                        </ds:Transforms>

                        <ds:DigestMethod                                             Algorithm="http://www.w3.org/

                            2000/09/xmldsig#sha1"/>

                        <ds:DigestValue>pSotIWlOAi21YUhI

                            F6V0u2gxQY0=</ds:DigestValue>

                    </ds:Reference>

                </ds:SignedInfo>                                        <ds:SignatureValue>X5CRAkBT2ldRbqrNli5LBqH9hSYuHv+

iLQEE07zG3D4xd/2bp5OOg+qxpx73N5WI5ZcEkmxmlUU79AMOCxzYeqVsZ9ekp3+K5Fvz0x7Yr8IONNlPPT8I/SmLlEHtiYXoCPALFkxW4F3z3w+kQC6aylb++JDLoib1guKCYOnTkQ+yA0Vvg0wp0GRcZ9XGE8KbUSvkIQLCTtpUBsyPA9q/UXQE37UhyN6rGcNh9mYzAOHRA/Qw6YoyXvOMuflcr7xpjqjL2e+CLpOnRDBv4eQ2vdFVVHKkHRXMiQyrWcl35BnVGL37OZk7K5saQwjFkdKhKA0nn0e/52cs/2MmqetCVg==

                </ds:SignatureValue>

                <ds:KeyInfo Id="KI-6bb42220-daeb-4df0-b368-                            b0a348ce12d2">

                    <wsse:SecurityTokenReference wsu:Id="STR-                            3af04eed-4c32-4ec9-aa24-386618533e55">

                        <wsse:Reference URI="#X509-94419760-                                2d63-4ea6-ab46-2b7587c0b603"                                 ValueType="http://docs.oasis-

                            open.org/wss/2004/01/oasis-200401

                            -wss-x509-token-profile-                                    1.0#X509v3"/>

                    </wsse:SecurityTokenReference>

                </ds:KeyInfo>

            </ds:Signature>

        </wsse:Security>

    </soap:Header>

    <soap:Body>

        <wst:RequestSecurityToken xmlns:wst="http://docs.oasis-open.org/ws-            sx/ws-trust/200512">

            <wst:SecondaryParameters>

                <wst:TokenType>http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-                                    1.1#SAMLV2.0</wst:TokenType>

                <wst:KeyType>http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey</wst:KeyType>

                <wst:KeySize>2048</wst:KeySize>

            </wst:SecondaryParameters>

            <wst:RequestType>http://docs.oasis-open.org/ws-sx/ws-                    trust/200512/Issue</wst:RequestType>

            <wsp:AppliesTo xmlns:wsp="http://www.w3.org/ns/ws-policy">

                <wsa:EndpointReference                                         xmlns:wsa="http://www.w3.org/2005/08/

                    addressing">

                    <wsa:Address>https://10.11.12.13:8443/efa2ti

                    </wsa:Address>

                </wsa:EndpointReference>

            </wsp:AppliesTo>

            <wst:UseKey>

                <ds:KeyInfo                                                 xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

                    <ds:KeyValue>

                        <ds:RSAKeyValue>

                            <ds:Modulus>2rhTVaouAdvrvzwvZLQ5J/

Nm4JREGHC+KOSUVIUFRIUytohJaM9Ub6P6snw4QT3NZcyFJ+GprPgygUko2TAoKKd123gl8yFT+/OK7gvBxeUK2LF1EH03O5c6mn12Vx/AZPPYEknANXxZnuk6b2MzNM4wRE0lwA7SjrPaCgdlTiM=

                            </ds:Modulus>

                            <ds:Exponent>AQAB</ds:Exponent>

                        </ds:RSAKeyValue>

                    </ds:KeyValue>

                </ds:KeyInfo>

            </wst:UseKey>

            <wst:Renewing/>

        </wst:RequestSecurityToken>

    </soap:Body>

</soap:Envelope>

4.1.3.2 requestHPIdentityAssertion – RSTR (X509TokenProfile)

<!-- EFA IDP Issue RSTR -->

<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">

    <soap:Header>

        <Action xmlns="http://www.w3.org/2005/08/addressing">http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/IssueFinal</Action>

        <MessageID xmlns="http://www.w3.org/2005/08/addressing">urn:uuid:bc0ed99d-017a-4ab2-9595-8f8a44583e3e</MessageID>

        <To xmlns="http://www.w3.org/2005/08/addressing">http://www.w3.org/2005/08/addressing/anonymous</To>

        <RelatesTo xmlns="http://www.w3.org/2005/08/addressing">urn:uuid:0afde815-7059-438e-a42b-59c35c5212cd</RelatesTo>

        <wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"soap:mustUnderstand="1">

            <wsu:Timestamp wsu:Id="TS-a668eb37-a0b5-4c61-81ed-6db5e3bd9ce1">

                <wsu:Created>2015-01-27T16:33:19.236Z</wsu:Created>

                <wsu:Expires>2015-01-27T16:38:19.236Z</wsu:Expires>

            </wsu:Timestamp>

            <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#" Id="SIG-80e38d77-6489-44ef-9e9b-355a6647acbe">

                <ds:SignedInfo>

                    <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">

                        <ec:InclusiveNamespaces xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#" PrefixList="soap"/>

                    </ds:CanonicalizationMethod>

                    <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

                    <ds:Reference URI="#TS-a668eb37-a0b5-4c61-81ed-6db5e3bd9ce1">

                        <ds:Transforms>

                            <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">

                                <ec:InclusiveNamespaces xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#" PrefixList="wsse soap"/>

                            </ds:Transform>

                        </ds:Transforms>

                        <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>

                        <ds:DigestValue>QLRAuQCEBTuAmo8gyRb7GcAcnZY=</ds:DigestValue>

                    </ds:Reference>

                </ds:SignedInfo>

                <ds:SignatureValue>enTjIRhhV6j5o8HqHlvu+NkDCk8aXnJLjbU48yNLcahJSxlUM9vVEa82Bz5FUQYzfdngacfo3irzg0bdisO1RnFDd76sn186/GMTVvZhsd4dUZGKnJ5VPtEK96hfas6ZCOJ/bx5EvDWgSgsHUTHCYkYUDP6ycLwvpE02wPfctdwK+P689BzE6RZ2mTdIkwYDIp3+lw9s86snNOUkfVtbj14Y6PsaqBCU/8QWSYDosal7GNYSDvvPj3UNAMP85usvwqKkzbMzEQVKsZwPeoQ7hby56oWuyjX0btmzQLsF+s3ly456i1XiAYlFcLfp+ncaOLtUFSX46KwD8XV/ofxiIQ==</ds:SignatureValue>

                <ds:KeyInfo Id="KI-8f3dc331-4b2a-41b3-9c69-282b1ca7d447">

                    <wsse:SecurityTokenReference wsu:Id="STR-d55ff445-7601-4275-999f-f18bcf24183e">

                        <ds:X509Data>

                            <ds:X509IssuerSerial>

                                <ds:X509IssuerName>CN=C.GEM.SMCB-CA1 TEST-ONLY,OU=Institution des Gesundheitswesens-CA der Telematikinfrastruktur,O=gematik GmbH NOT-VALID,C=DE</ds:X509IssuerName>

                                <ds:X509SerialNumber>119868</ds:X509SerialNumber>

                            </ds:X509IssuerSerial>

                        </ds:X509Data>

                    </wsse:SecurityTokenReference>

                </ds:KeyInfo>

            </ds:Signature>

        </wsse:Security>

    </soap:Header>

    <soap:Body>

        <ns2:RequestSecurityTokenResponseCollection xmlns="http://docs.oasis-open.org/ws-sx/ws-trust/200802" xmlns:ns2="http://docs.oasis-open.org/ws-sx/ws-trust/200512" xmlns:ns3="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" xmlns:ns4="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:ns5="http://www.w3.org/2005/08/addressing">

            <ns2:RequestSecurityTokenResponse>

                <ns2:TokenType>http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0</ns2:TokenType>

                <ns2:RequestedSecurityToken>

                    <saml2:Assertion xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" ID="_b6de765a-a362-47c6-89c1-eed8c3eabbbb" IssueInstant="2015-01-27T16:33:19.179Z" Version="2.0" xsi:type="saml2:AssertionType">

                        <saml2:Issuer>EFA2Provider IDP</saml2:Issuer>

                        <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

                            <ds:SignedInfo>

                                <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>

                                <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

                                <ds:Reference URI="#_b6de765a-a362-47c6-89c1-eed8c3eabbbb">

                                    <ds:Transforms>

                                        <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>

                                        <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">

                                            <ec:InclusiveNamespaces xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#" PrefixList="xs"/>

                                        </ds:Transform>

                                    </ds:Transforms>

                                    <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>

                                    <ds:DigestValue>/eU+RJsKC/HbtW+9heJHhpJor74=</ds:DigestValue>

                                </ds:Reference>

                            </ds:SignedInfo>

                            <ds:SignatureValue>dUSIdOXuJFOQfkQolOmunUNlyIc8rDt4zkPvJoFm13NYrvVopkHO/uMgfYTwOlau+zBHJ2mgE+wKKDJ6PiKNBJu3J7574ATRomxNSZRQMjbpcAgCaFyyZnFWz5Hfh1lKmcPIkTfkbXeYb7Wj/KixRUA2LBVHqIeXgii6xF9mNIBYxqS96bEKo4vOxp+XBg3d9pFVoPgbQE5W8KOjfYPCocZHlHkIO5CkAyym15re6P8xCVCIzN3GX2p5f/I6AS2Ftejo39M9P4MSdKERdEVj+UEGAziesDaWfJasqI3nkkEFXKu2cKVTJ08q3+f0zbKHRlnq3348KSUN/xtBOTRg3A==</ds:SignatureValue>

                            <ds:KeyInfo>

                                <ds:X509Data>

                                    <ds:X509Certificate>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</ds:X509Certificate>

                                </ds:X509Data>

                            </ds:KeyInfo>

                        </ds:Signature>

                        <saml2:Subject>

                            <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" NameQualifier="http://cxf.apache.org/sts">2.5.4.5=#130c313233343536373839303133,2.5.4.42=#0c084865696e72696368,2.5.4.4=#0c03466974,CN=Dr. med. Heinrich Fit\, Facharzt f³r Physikalische Therapie,C=DE</saml2:NameID>

                            <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:holder-of-key">

                                <saml2:SubjectConfirmationData xsi:type="saml2:KeyInfoConfirmationDataType">

                                    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

                                        <ds:KeyValue>

                                            <ds:RSAKeyValue>

                                                <ds:Modulus>2rhTVaouAdvrvzwvZLQ5J/Nm4JREGHC+KOSUVIUFRIUytohJaM9Ub6P6snw4QT3NZcyFJ+GprPgygUko2TAoKKd123gl8yFT+/OK7gvBxeUK2LF1EH03O5c6mn12Vx/AZPPYEknANXxZnuk6b2MzNM4wRE0lwA7SjrPaCgdlTiM=</ds:Modulus>

                                                <ds:Exponent>AQAB</ds:Exponent>

                                            </ds:RSAKeyValue>

                                        </ds:KeyValue>

                                    </ds:KeyInfo>

                                </saml2:SubjectConfirmationData>

                            </saml2:SubjectConfirmation>

                        </saml2:Subject>

                        <saml2:Conditions NotBefore="2015-01-27T16:33:19.181Z" NotOnOrAfter="2015-01-27T17:03:19.181Z">

                            <saml2:AudienceRestriction>

                                <saml2:Audience>https://10.11.105.2:8444/efa2ti/services/efa2ti</saml2:Audience>

                            </saml2:AudienceRestriction>

                        </saml2:Conditions>

                        <saml2:AuthnStatement AuthnInstant="2015-01-27T16:33:19.179Z">

                            <saml2:AuthnContext>

                                <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:X509</saml2:AuthnContextClassRef>

                            </saml2:AuthnContext>

                        </saml2:AuthnStatement>

                        <saml2:AttributeStatement>

                            <saml2:Attribute FriendlyName="XSPA Subject" Name="urn:oasis:names:tc:xacml:1.0:subject:subject-id" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

                                <saml2:AttributeValue xsi:type="xs:string">2.5.4.5=#130c313233343536373839303133,2.5.4.42=#0c084865696e72696368,2.5.4.4=#0c03466974,CN=Dr. med. Heinrich Fit\, Facharzt f³r Physikalische Therapie,C=DE</saml2:AttributeValue>

                            </saml2:Attribute>

                            <saml2:Attribute FriendlyName="XSPA role" Name="urn:oasis:names:tc:xacml:2.0:subject:role" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

                                <saml2:AttributeValue xsi:type="xs:string">physician</saml2:AttributeValue>

                            </saml2:Attribute>

                            <saml2:Attribute FriendlyName="XSPA organisation" Name="urn:oasis:names:tc:xspa:1.0:subject:organization" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

                                <saml2:AttributeValue xsi:type="xs:string">Kreiskrankenhaus Neustadt</saml2:AttributeValue>

                            </saml2:Attribute>

                            <saml2:Attribute FriendlyName="XSPA Organisation Id" Name="urn:oasis:names:tc:xspa:1.0:subject:organization-id" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

                                <saml2:AttributeValue xsi:type="xs:string">urn:oid</saml2:AttributeValue>

                            </saml2:Attribute>

                            <saml2:Attribute FriendlyName="XSPA Purpose of Use" Name="urn:oasis:names:tc:xspa:1.0:subject:purposeofuse" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

                                <saml2:AttributeValue xsi:type="xs:string">TREATMENT</saml2:AttributeValue>

                            </saml2:Attribute>

                            <saml2:Attribute FriendlyName="XSPA locality" Name="urn:oasis:names:tc:xspa:1.0:environment:locality" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

                                <saml2:AttributeValue xsi:type="xs:string">Kreiskrankenhaus Neustadt</saml2:AttributeValue>

                            </saml2:Attribute>

                            <saml2:Attribute FriendlyName="Clinical Speciality" Name="urn:tobedefined" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

                                <saml2:AttributeValue xsi:type="xs:string">Fachklinik für Herzchirurgie</saml2:AttributeValue>

                            </saml2:Attribute>

                        </saml2:AttributeStatement>

                    </saml2:Assertion>

                </ns2:RequestedSecurityToken>

                <ns2:RequestedAttachedReference>

                    <ns4:SecurityTokenReference xmlns:wsse11="http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd" wsse11:TokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0">

                        <ns4:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID">_b6de765a-a362-47c6-89c1-eed8c3eabbbb</ns4:KeyIdentifier>

                    </ns4:SecurityTokenReference>

                </ns2:RequestedAttachedReference>

                <ns2:RequestedUnattachedReference>

                    <ns4:SecurityTokenReference xmlns:wsse11="http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd" wsse11:TokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0">

                        <ns4:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID">_b6de765a-a362-47c6-89c1-eed8c3eabbbb</ns4:KeyIdentifier>

                    </ns4:SecurityTokenReference>

                </ns2:RequestedUnattachedReference>

                <wsp:AppliesTo xmlns:wsp="http://www.w3.org/ns/ws-policy" xmlns:wst="http://docs.oasis-open.org/ws-sx/ws-trust/200512">

                    <wsa:EndpointReference xmlns:wsa="http://www.w3.org/2005/08/addressing">

                        <wsa:Address>https://10.11.105.2:8444/efa2ti/services/efa2ti</wsa:Address>

                    </wsa:EndpointReference>

                </wsp:AppliesTo>

                <ns2:Lifetime>

                    <ns3:Created>2015-01-27T16:33:19.181Z</ns3:Created>

                    <ns3:Expires>2015-01-27T17:03:19.181Z</ns3:Expires>

                </ns2:Lifetime>

                <ns2:KeySize>2048</ns2:KeySize>

            </ns2:RequestSecurityTokenResponse>

        </ns2:RequestSecurityTokenResponseCollection>

    </soap:Body>

</soap:Envelope>

4.1.3.3 HPIdentityAssertion

<!-- EFA HPIdentityAssertion -->

<saml2:Assertion

   xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"

   xmlns:xs="http://www.w3.org/2001/XMLSchema"

   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

   ID="_b6de765a-a362-47c6-89c1-eed8c3eabbbb"

   IssueInstant="2015-01-27T16:33:19.179Z"

   Version="2.0" xsi:type="saml2:AssertionType">

  <saml2:Issuer>gematikLocalAuthority</saml2:Issuer>

    <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

      <ds:SignedInfo>

        <ds:CanonicalizationMethod

            Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>

        <ds:SignatureMethod

            Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

        <ds:Reference URI="#_b6de765a-a362-47c6-89c1-eed8c3eabbbb">

          <ds:Transforms>

            <ds:Transform

             Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>

            <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">

              <ec:InclusiveNamespaces

                 xmlns:ec=http://www.w3.org/2001/10/xml-exc-c14n#

                 PrefixList="xs"/>

            </ds:Transform>

          </ds:Transforms>

          <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>

          <ds:DigestValue>/eU+RJsKC/HbtW+9heJHhpJor74=</ds:DigestValue>

        </ds:Reference>

      </ds:SignedInfo>

    <ds:SignatureValue>

dUSIdOXuJFOQfkQolOmunUNlyIc8rDt4zkPvJoFm13NYrvVopkHO/uMgfYTwOlau+zBHJ2mgE+wKKDJ6PiKNBJu3J7574ATRomxNSZRQMjbpcAgCaFyyZnFWz5Hfh1lKmcPIkTfkbXeYb7Wj/KixRUA2LBVHqIeXgii6xF9mNIBYxqS96bEKo4vOxp+XBg3d9pFVoPgbQE5W8KOjfYPCocZHlHkIO5CkAyym15re6P8xCVCIzN3GX2p5f/I6AS2Ftejo39M9P4MSdKERdEVj+UEGAziesDaWfJasqI3nkkEFXKu2cKVTJ08q3+f0zbKHRlnq3348KSUN/xtBOTRg3A==</ds:SignatureValue>

      <ds:KeyInfo>

        <ds:X509Data>

<ds:X509Certificate>MIIFCDCCA/CgAwIBAgIDAdQ8MA0GCSqGSIb3DQEBCwUAMIGbMQswCQYDVQQGEwJERTEfMB0GA1UECgwWZ2VtYXRpayBHbWJIIE5PVC1WQUxJRDFIMEYGA1UECww/SW5zdGl0dXRpb24gZGVzIEdlc3VuZGhlaXRzd2VzZW5zLUNBIGRlciBUZWxlbWF0aWtpbmZyYXN0cnVrdHVyMSEwHwYDVQQDDBhDLkdFTS5TTUNCLUNBMSBURVNULU9OTFkwHhcNMTQwMzI1MTQwMTM5WhcNMTcwMzI1MTQwMTM5WjCB8jELMAkGA1UEBhMCREUxGjAYBgNVBAoMEWdlbWF0aWsgTk9ULVZBTElEMT4wPAYDVQQDDDVQcmF4aXMgRHIuIG1lZC4gSm9zZWYgTmllZGVybWV5ZXIgQ2hpcnVyZ2llIFRFU1QtT05MWTEUMBIGA1UEBAwLTmllZGVybWV5ZXIxDjAMBgNVBCoMBUpvc2VmMSQwIgYDVQQFExsxMDAwMC1HT1JJeFNNQ0J4T1NJR3gwMDB4MDAxFzAVBgNVBAkMDlJpbmdlbGdhc3NlIDE5MQ8wDQYDVQQRDAYwMTIzNCcxETAPBgNVBAwMCERyLiBtZWQuMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuuXCdKRC0YP3nLEFlIDtYX1kthI8lMoDkaEC3+I+dH7+mDcoRIOFyEDLl42B3UHOcjVN4LXrxQFltzYD4nKJYCnT8r/tL6kAwEusRQF4xSt9nwsHWwYvpqjrmHWLUgZi0jHGyP6mue8juEMJqRv1pGdhTUG81dEU0YwJn+Th7P5nF/yh+HV7qMmqxMRN2FIIqc2gMo7/heDTGyAxW7CTBsijqciC7fpesQUMxtghC9veWEl4S2nvlHxafvWOME96GNDaJkxjscK/3/t3+0Qhyi2Y4FVDXetDA4NHae6KRA5UFUTc89LSrrWNCKMFKj4TW+64jI90uuPUMrj6BOTYwwIDAQABo4H7MIH4MAwGA1UdEwEB/wQCMAAwEQYDVR0OBAoECE2vw2YZBe+fMCAGA1UdIAQZMBcwCgYIKoIUAEwEgSMwCQYHKoIUAEwETjBJBgUrJAgDAwRAMD4wPDA6MDgwNjAWDBRCZXRyaWVic3N0w6R0dGUgQXJ6dDAJBgcqghQATAQyExExLTIxMjM0NTY3YXNkZmdoYTATBgNVHSMEDDAKgAhIfuZUyHoLkDBDBggrBgEFBQcBAQQ3MDUwMwYIKwYBBQUHMAGGJ2h0dHA6Ly9vY3NwLmdlbWF0aWsuZGU6ODA4MC9DTU9DU1AvT0NTUDAOBgNVHQ8BAf8EBAMCBkAwDQYJKoZIhvcNAQELBQADggEBAAtsod6fz/s/VdnoMBMfNyvY2nPAzItkfHZSABIl8Dj0qxTnWNNC9U1moayLwKcXyH/GeA6Sho0uRGeHAf4Zu9fawTXkq7fpQwaHX/M9FlVizekOnYRtQji+IwzNG2DTENkc8ZDzmHbB8ldBoSaOIvaSBLPCvOX8PoH7uSYqoTaqqVLZoxH1d51ERywYL6ZCVi1hVlE7+W1h1uDcqrEceYCHvpHk2IoosWJdh9sG3jnLJ+Ysp9yVUkuzdQOlEhQOlwXNtoxFnYih3UGmG0LEUtTuxBdneivaIak3pQ3MS2aPrOZdJN7NH6jWPF6ej3UrLqZZR/20MZ3c1ZWZy4XlIBU=</ds:X509Certificate>

        </ds:X509Data>

      </ds:KeyInfo>

    </ds:Signature>

    <saml2:Subject>

      <saml2:NameID

        Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"

        NameQualifier="http://cxf.apache.org/sts">

2.5.4.5=#130c313233343536373839303133,2.5.4.42=#0c084865696e72696368,2.5.4.4=#0c03466974,CN=Dr. med. Heinrich Fit\, Facharzt f³r Physikalische Therapie,C=DE

      </saml2:NameID>

      <saml2:SubjectConfirmation

        Method="urn:oasis:names:tc:SAML:2.0:cm:holder-of-key">

        <saml2:SubjectConfirmationData

           xsi:type="saml2:KeyInfoConfirmationDataType">

          <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

            <ds:KeyValue>

              <ds:RSAKeyValue>   <ds:Modulus>2rhTVaouAdvrvzwvZLQ5J/Nm4JREGHC+KOSUVIUFRIUytohJaM9Ub6P6snw4QT3NZcyFJ+GprPgygUko2TAoKKd123gl8yFT+/OK7gvBxeUK2LF1EH03O5c6mn12Vx/AZPPYEknANXxZnuk6b2MzNM4wRE0lwA7SjrPaCgdlTiM=</ds:Modulus>

                <ds:Exponent>AQAB</ds:Exponent>

              </ds:RSAKeyValue>

            </ds:KeyValue>

          </ds:KeyInfo>

        </saml2:SubjectConfirmationData>

      </saml2:SubjectConfirmation>

    </saml2:Subject>

    <saml2:Conditions

           NotBefore="2015-01-27T16:33:19.181Z"

           NotOnOrAfter="2015-01-27T17:03:19.181Z">

      <saml2:AudienceRestriction>

        <saml2:Audience>

https://10.11.105.2:8444/efa2ti/services/efa2ti

        </saml2:Audience>

      </saml2:AudienceRestriction>

    </saml2:Conditions>

    <saml2:AuthnStatement AuthnInstant="2015-01-27T16:33:19.179Z">

     <saml2:AuthnContext>

      <saml2:AuthnContextClassRef>

          urn:oasis:names:tc:SAML:2.0:ac:classes:X509</saml2:AuthnContextClassRef>

    </saml2:AuthnContext>

  </saml2:AuthnStatement>

  <saml2:AttributeStatement>

    <saml2:Attribute FriendlyName="XSPA Subject" Name="urn:oasis:names:tc:xacml:1.0:subject:subject-id" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

      <saml2:AttributeValue xsi:type="xs:string">2.5.4.5=#130c313233343536373839303133,2.5.4.42=#0c084865696e72696368,2.5.4.4=#0c03466974,CN=Dr. med. Heinrich Fit\, Facharzt f³r Physikalische Therapie,C=DE</saml2:AttributeValue>

    </saml2:Attribute>

    <saml2:Attribute FriendlyName="XSPA role" Name="urn:oasis:names:tc:xacml:2.0:subject:role" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

      <saml2:AttributeValue xsi:type="xs:string">physician</saml2:AttributeValue>

    </saml2:Attribute>

    <saml2:Attribute FriendlyName="XSPA organisation" Name="urn:oasis:names:tc:xspa:1.0:subject:organization" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

      <saml2:AttributeValue xsi:type="xs:string">Kreiskrankenhaus Neustadt</saml2:AttributeValue>

    </saml2:Attribute>

    <saml2:Attribute FriendlyName="XSPA Organisation Id" Name="urn:oasis:names:tc:xspa:1.0:subject:organization-id" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

      <saml2:AttributeValue xsi:type="xs:string">urn:oid</saml2:AttributeValue>

    </saml2:Attribute>

    <saml2:Attribute FriendlyName="XSPA Purpose of Use" Name="urn:oasis:names:tc:xspa:1.0:subject:purposeofuse" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

      <saml2:AttributeValue xsi:type="xs:string">TREATMENT</saml2:AttributeValue>

    </saml2:Attribute>

    <saml2:Attribute FriendlyName="XSPA locality" Name="urn:oasis:names:tc:xspa:1.0:environment:locality" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

      <saml2:AttributeValue xsi:type="xs:string">Kreiskrankenhaus Neustadt</saml2:AttributeValue>

    </saml2:Attribute>

    <saml2:Attribute FriendlyName="Clinical Speciality" Name="urn:tobedefined" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

      <saml2:AttributeValue xsi:type="xs:string">Fachklinik für Herzchirurgie</saml2:AttributeValue>

    </saml2:Attribute>

  </saml2:AttributeStatement>

</saml2:Assertion>

4.1.3.4 requestHPIdentityAssertion - RST (UsernameTokenProfile mit Username/Password)

<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">

    <soap:Header>

        <Action xmlns="http://www.w3.org/2005/08/addressing">http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue</Action>

        <MessageID xmlns="http://www.w3.org/2005/08/addressing">urn:uuid:9513ce1d-363b-43f3-b74b-54a27c922a62</MessageID>

        <To xmlns="http://www.w3.org/2005/08/addressing">https://10.11.105.10:9443/SecurityTokenService/Transport</To>

        <ReplyTo xmlns="http://www.w3.org/2005/08/addressing">

            <Address>http://www.w3.org/2005/08/addressing/anonymous</Address>

        </ReplyTo>

        <wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" soap:mustUnderstand="1">

            <wsu:Timestamp wsu:Id="TS-abdc1e7c-5359-4d93-b5f8-91542803877a">

                <wsu:Created>2015-02-13T13:12:52.932Z</wsu:Created>

                <wsu:Expires>2015-02-13T13:17:52.932Z</wsu:Expires>

            </wsu:Timestamp>

            <wsse:UsernameToken wsu:Id="UsernameToken-5e646fc3-e031-4426-a145-7b47aafb90ea">

                <wsse:Username>alice</wsse:Username>

                <wsse:Password Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText">password</wsse:Password>

            </wsse:UsernameToken>

        </wsse:Security>

    </soap:Header>

    <soap:Body>

        <wst:RequestSecurityToken xmlns:wst="http://docs.oasis-open.org/ws-sx/ws-trust/200512">

            <wst:SecondaryParameters>

                <wst:TokenType>http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0</wst:TokenType>

                <wst:KeyType>http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey</wst:KeyType>

                <wst:KeySize>2048</wst:KeySize>

            </wst:SecondaryParameters>

            <wst:RequestType>http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue</wst:RequestType>

            <wst:UseKey>

                <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

                    <ds:KeyValue>

                        <ds:RSAKeyValue>

                            <ds:Modulus>2rhTVaouAdvrvzwvZLQ5J/Nm4JREGHC+KOSUVIUFRIUytohJaM9Ub6P6snw4QT3NZcyFJ+GprPgygUko2TAoKKd123gl8yFT+/OK7gvBxeUK2LF1EH03O5c6mn12Vx/AZPPYEknANXxZnuk6b2MzNM4wRE0lwA7SjrPaCgdlTiM=</ds:Modulus>

                            <ds:Exponent>AQAB</ds:Exponent>

                        </ds:RSAKeyValue>

                    </ds:KeyValue>

                </ds:KeyInfo>

            </wst:UseKey>

            <wst:Renewing/>

        </wst:RequestSecurityToken>

    </soap:Body>

</soap:Envelope>

4.1.3.5 requestHPIdentityAssertion - RSTR (UsernameTokenProfile mit Username/Password)

<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">

    <soap:Header>

        <Action xmlns="http://www.w3.org/2005/08/addressing">http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/IssueFinal</Action>

        <MessageID xmlns="http://www.w3.org/2005/08/addressing">urn:uuid:062a3f64-89ec-4cb4-b45c-4e5079360599</MessageID>

        <To xmlns="http://www.w3.org/2005/08/addressing">http://www.w3.org/2005/08/addressing/anonymous</To>

        <RelatesTo xmlns="http://www.w3.org/2005/08/addressing">urn:uuid:9513ce1d-363b-43f3-b74b-54a27c922a62</RelatesTo>

        <wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"soap:mustUnderstand="1">

            <wsu:Timestamp wsu:Id="TS-46ced40b-651d-4328-a8a1-35e0edf908c4">

                <wsu:Created>2015-02-13T13:12:56.265Z</wsu:Created>

                <wsu:Expires>2015-02-13T13:17:56.265Z</wsu:Expires>

            </wsu:Timestamp>

        </wsse:Security>

    </soap:Header>

    <soap:Body>

        <ns2:RequestSecurityTokenResponseCollection xmlns="http://docs.oasis-open.org/ws-sx/ws-trust/200802" xmlns:ns2="http://docs.oasis-open.org/ws-sx/ws-trust/200512" xmlns:ns3="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" xmlns:ns4="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:ns5="http://www.w3.org/2005/08/addressing">

            <ns2:RequestSecurityTokenResponse>

                <ns2:TokenType>http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0</ns2:TokenType>

                <ns2:RequestedSecurityToken>

                    <saml2:Assertion xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" ID="_008a3642-f39f-4143-9c4f-00266a76802c" IssueInstant="2015-02-13T13:12:55.928Z" Version="2.0" xsi:type="saml2:AssertionType">

                        <saml2:Issuer>GuarantorTokenService</saml2:Issuer>

                        <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

                            <ds:SignedInfo>

                                <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>

                                <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

                                <ds:Reference URI="#_008a3642-f39f-4143-9c4f-00266a76802c">

                                    <ds:Transforms>

                                        <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>

                                        <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">

                                            <ec:InclusiveNamespaces xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#" PrefixList="xs"/>

                                        </ds:Transform>

                                    </ds:Transforms>

                                    <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>

                                    <ds:DigestValue>oLkrgh04C6OaeTbh2vg4B9bH4Qc=</ds:DigestValue>

                                </ds:Reference>

                            </ds:SignedInfo>

                            <ds:SignatureValue>TzOkcuekpUocqRqe2n0vuPr1L/Kl4aV9Npi/Rwieyp9rSSub7r95QfISJmlS0jIqV9DDRr7ora9SjQQoPcj7L1ool0x7qsRNPYiNHomXnqAY7pGlYJG1Ynqxqh0ushgiwJ7l7fF2kuZgXge4NgU0hg9CMvW2W7uxsmRcTp73cZanuXoXbEbStSPursa5qL5NwD0+axpAkzPxZo99TEZORjXH6oXHzP0SErXwsppvXcVghFhgLloRBhsuLYPq2DYfFTTnaQIVIxNt1shz4RHm88SvDtDHOKKA3vPPL6XS1iDOUs+rKL2GhWB+9imeBUeuLc2pbKiqd4OcYp48zQYz+g==</ds:SignatureValue>

                            <ds:KeyInfo>

                                <ds:X509Data>

                                    <ds:X509Certificate>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</ds:X509Certificate>

                                </ds:X509Data>

                            </ds:KeyInfo>

                        </ds:Signature>

                        <saml2:Subject>

                            <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" NameQualifier="http://cxf.apache.org/sts">alice</saml2:NameID>

                            <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:holder-of-key">

                                <saml2:SubjectConfirmationData xsi:type="saml2:KeyInfoConfirmationDataType">

                                    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

                                        <ds:KeyValue>

                                            <ds:RSAKeyValue>

                                                <ds:Modulus>2rhTVaouAdvrvzwvZLQ5J/Nm4JREGHC+KOSUVIUFRIUytohJaM9Ub6P6snw4QT3NZcyFJ+GprPgygUko2TAoKKd123gl8yFT+/OK7gvBxeUK2LF1EH03O5c6mn12Vx/AZPPYEknANXxZnuk6b2MzNM4wRE0lwA7SjrPaCgdlTiM=</ds:Modulus>

                                                <ds:Exponent>AQAB</ds:Exponent>

                                            </ds:RSAKeyValue>

                                        </ds:KeyValue>

                                    </ds:KeyInfo>

                                </saml2:SubjectConfirmationData>

                            </saml2:SubjectConfirmation>

                        </saml2:Subject>

                        <saml2:Conditions NotBefore="2015-02-13T13:12:56.038Z" NotOnOrAfter="2015-02-13T13:42:56.038Z"/>

                        <saml2:AuthnStatement AuthnInstant="2015-02-13T13:12:55.988Z">

                            <saml2:AuthnContext>

                                <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</saml2:AuthnContextClassRef>

                            </saml2:AuthnContext>

                        </saml2:AuthnStatement>

                        <saml2:AttributeStatement>

                            <saml2:Attribute FriendlyName="XSPA Subject" Name="urn:oasis:names:tc:xacml:1.0:subject:subject-id" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

                                <saml2:AttributeValue xsi:type="xs:string">alice</saml2:AttributeValue>

                            </saml2:Attribute>

                            <saml2:Attribute FriendlyName="XSPA role" Name="urn:oasis:names:tc:xacml:2.0:subject:role" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

                                <saml2:AttributeValue xsi:type="xs:string">physician</saml2:AttributeValue>

                            </saml2:Attribute>

                            <saml2:Attribute FriendlyName="XSPA organisation" Name="urn:oasis:names:tc:xspa:1.0:subject:organization" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

                                <saml2:AttributeValue xsi:type="xs:string">Kreiskrankenhaus Neustadt</saml2:AttributeValue>

                            </saml2:Attribute>

                            <saml2:Attribute FriendlyName="XSPA Organisation Id" Name="urn:oasis:names:tc:xspa:1.0:subject:organization-id" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

                                <saml2:AttributeValue xsi:type="xs:string">urn:oid</saml2:AttributeValue>

                            </saml2:Attribute>

                            <saml2:Attribute FriendlyName="XSPA Purpose of Use" Name="urn:oasis:names:tc:xspa:1.0:subject:purposeofuse" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

                                <saml2:AttributeValue xsi:type="xs:string">TREATMENT</saml2:AttributeValue>

                            </saml2:Attribute>

                            <saml2:Attribute FriendlyName="XSPA locality" Name="urn:oasis:names:tc:xspa:1.0:environment:locality" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

                                <saml2:AttributeValue xsi:type="xs:string">Kreiskrankenhaus Neustadt</saml2:AttributeValue>

                            </saml2:Attribute>

                            <saml2:Attribute FriendlyName="Clinical Speciality" Name="urn:tobedefined" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

                                <saml2:AttributeValue xsi:type="xs:string">…</saml2:AttributeValue>

                            </saml2:Attribute>

                        </saml2:AttributeStatement>

                    </saml2:Assertion>

                </ns2:RequestedSecurityToken>

                <ns2:RequestedAttachedReference>

                    <ns4:SecurityTokenReference xmlns:wsse11="http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd" wsse11:TokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0">

                        <ns4:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID">_008a3642-f39f-4143-9c4f-00266a76802c</ns4:KeyIdentifier>

                    </ns4:SecurityTokenReference>

                </ns2:RequestedAttachedReference>

                <ns2:RequestedUnattachedReference>

                    <ns4:SecurityTokenReference xmlns:wsse11="http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd" wsse11:TokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0">

                        <ns4:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID">_008a3642-f39f-4143-9c4f-00266a76802c</ns4:KeyIdentifier>

                    </ns4:SecurityTokenReference>

                </ns2:RequestedUnattachedReference>

                <ns2:Lifetime>

                    <ns3:Created>2015-02-13T13:12:56.038Z</ns3:Created>

                    <ns3:Expires>2015-02-13T13:42:56.038Z</ns3:Expires>

                </ns2:Lifetime>

                <ns2:KeySize>2048</ns2:KeySize>

            </ns2:RequestSecurityTokenResponse>

        </ns2:RequestSecurityTokenResponseCollection>

    </soap:Body>

</soap:Envelope>

4.2 Schnittstelle I_eCR_Policy_Provider

Die Schnittstelle stellt die logische Operation requestPolicy für EFA Clients bereit, welche über das Fachmodul EFA eine Subject Access Policy Assertion zur Autorisierung ihrer fachlichen Aufrufe mittels „policy push“ anfragen.

4.2.1 Operation requestPolicy

Nach Ablauf der Operation erhält der Anfrager zur übermittelten „Subject Identity“ eine „Subject Access Policy Assertion“ mit dessen Berechtigungen auf die Fachdienstschnittstellen.

4.2.1.1 Umsetzung

Diese Operation stellt für das Tupel {Nutzer, Fallaktenreferenz} ({„wer“, „was“}) eine „Subject Access Policy“ in Form einer SAML 2.0 Policy Assertion aus. Die Operation ist fachlich im Detail in [efa2spec#S217] beschrieben.

Hinweis: Die [efa2spec] sieht – anders als diese Spezifikation - die Verarbeitung eines optionalen Parameters „consentInfo“ vor.  Der Parameter consentInfo kann  von der Komponente PolicyProvider in der vorgesehenen Bauart „WS-TRUST STS“ ohne funktionale Erweiterungen technisch nicht verarbeitet werden. Dazu dient die Operation „registerConsent“ der Komponente ResourceManager.

4.2.1.2 Nutzung der Operation requestPolicy

Der Nutzer der Schnittstelle SOLL die Operation „requestPolicy“ gemäß Tabelle 14 verwenden.

Tabelle 14 Nutzung Operation requestPolicy

4.2.2 Operation issueAccessToken

Diese Operation liefert eine Objektreferenz auf ein internes OfflineToken in Form einer UUID und der Bedeutung „RDT“ (Resource Discovery Token) zurück.

4.2.2.1 RDT - Resource Discovery Token

Umgangssprachlich formuliert bedeutet die Information eines ausgegebenen RDT: In einer EFA Community Instanz eines bestimmten Provider existiert eine Fallakte. Ein Teilnehmer dieser Community KANN diese Akte lokalisieren. Ein Teilnehmer dieser Community kann die Akte öffnen, wenn dem Kreis der Berechtigten angehört, wenn er zum Beispiel mit der Operation „registerConsent“ berechtigt wurde.

Die UUID der Objektreferenz kann zur patientenfreundlichen Handhabung auf ein Trägermedium aufgebracht und bei Leistungserbringern wieder eingelesen werden.

Das RDT entspricht technisch dem Attribut „ XDSDocumentEntry.referenceIdList ^{(ITI TF-2a Revision 11 Kapitel 3.18.4.1.2.3.7.14 FindDocumentsByReferenceId)}“ im Format „UUID“ desjenigen XDSDocumentEntry, welcher die Patienteneinwilligung (consentInfo) der Fallakte enthält. Die Operation zur Ausgabe (issue) des OfflineTokens liest die UUID^{(Aus einer UUID, welche mittels einer OID gebildet wurde kann die ursprüngliche OID nicht mehr ermittelt werden.)} Typ 5 aus der XDSDocumentEntry.referenceIdList. Die UUID wird – als externe Repräsentation des RDT – gemeinsam mit der communityID (UUID² Typ 5) an den Aufrufer zurückgegeben.

Eine Einlösung des RDT ist nicht erforderlich, da der bereits vorab berechtigte Teilnehmer Zugriff auf die Dokumente einer Fallakte hat. Zur Ermittlung der zugehörigen Fallakte setzt das TNS zunächst einen Aufruf der consentInfo XDSDocumentEntry Metadaten an das DocumentRegistry als RegistryStoredQuery ITI-18 ab (in der Ausprägung FindDocumentsByReferenceId).Dabei muss die providerseitig geführte PatientenId zuvor bekannt sein und in diesem Aufruf als Eingabeparameter verwendet werden. In der Antwort der DocumentRegistry müssen die XDSDocumentEntry uniqueId und die Document Repository repositoryUniqueId enthalten sein.

Unter Verwendung der XDSDocumentEntry uniqueId und der Document Repository repositoryUniqueId wird dann ein retrieveData (ITI-43) request an das Document Repository gesendet und die aktuell gültige Patienteneinwilligung (consentInfo) an das EFA-Teilnehmersystem zurückgeliefert. Mit den darin enthaltenen Informationen zur Zweck der Fallakte, kann das TNS nun alle weiteren EFA-Transaktionen ausführen. Berechtigte Personenkreise haben Zugriff auf die Inhalte einer identifizierbaren, offenen Fallakte.

4.2.2.2 Umsetzung

Die Operation zur Ausgabe des OfflineTokens (RDT) liest die UUID aus der XDSDocumentEntry.referenceIdList. Die UUID wird gemeinsam mit der communityID an den Aufrufer zurückgegeben.

4.2.2.3 Nutzung der Operation issueAccessToken

Der Nutzer der Schnittstelle SOLL die Operation „issueAccessToken“ gemäß Tabelle 17 verwenden.

Tabelle 17 Nutzung der Operation issueAccessToken

4.2.3 WSDL Definition eines PolicyProviders

<!-- EFA PP WSDL-->

Siehe WS-Trust STS

4.2.4 Beispiele von Transaktionen mit einem EFA PolicyProvider

4.2.4.1 requestPolicy - RST

<!-- EFA Policy RST -->

<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">

  <soap:Header>

  <Action xmlns="http://www.w3.org/2005/08/addressing">

    http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue

  </Action>

  <MessageID xmlns="http://www.w3.org/2005/08/addressing">
    urn:uuid:a4f2d8f8-9fa5-415b-8ed3-08cd5250eac0
  </MessageID>

  <To xmlns="http://www.w3.org/2005/08/addressing">

      https://pp.vivant.efa.telematik/SecurityTokenService/X509

  </To>

  <ReplyTo xmlns="http://www.w3.org/2005/08/addressing">

    <Address>http://www.w3.org/2005/08/addressing/anonymous</Address>

  </ReplyTo>

<!-- EFA Policy RST : Security Header -->

  <wsse:Security soap:mustUnderstand="1" xmlns:wsse=http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">

    <wsu:TimeStamp wsu:Id="TS-6C35EEB46F52DD432514044648226717">

      <wsu:Created>2014-07-04T09:07:02.671Z</wsu:Created>

      <wsu:Expires>2014-07-04T09:12:02.671Z</wsu:Expires>

    </wsu:TimeStamp>

<!-- EFA Policy RST : SAML2 Assertion -->

    <saml2:Assertion xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"

           xmlns:xs="http://www.w3.org/2001/XMLSchema"

           xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

           ID="_AF3CD17A2B64022F6114044648256971"

           IssueInstant="2014-07-04T09:07:05.753Z" Version="2.0"

           xsi:type="saml2:AssertionType">

      <saml2:Issuer>23343536373839</saml2:Issuer>

      <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

        <ds:SignedInfo>

          <ds:CanonicalizationMethod
              Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>

          <ds:SignatureMethod
              Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

          <ds:Reference URI="#_AF3CD17A2B64022F6114044648256971">

            <ds:Transforms>

              <ds:Transform
        Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>

              <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">

                <ec:InclusiveNamespaces
            xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#" PrefixList="xs"/>

              </ds:Transform>

            </ds:Transforms>

            <ds:DigestMethod
                Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>

            <ds:DigestValue>AGx9Hn3QLnCwM69TP5A0cRUOWp4=</ds:DigestValue>

          </ds:Reference>

        </ds:SignedInfo>

        <ds:SignatureValue>h10s10t+...s+2ToJ8k=</ds:SignatureValue>

        <ds:KeyInfo>

          <ds:X509Data>

            <ds:X509Certificate>MIID5jCC...tYm1Dm/f</ds:X509Certificate>

          </ds:X509Data>

        </ds:KeyInfo>

      </ds:Signature>

<!-- EFA Policy RST : SAML2 Assertion / Subject -->

      <saml2:Subject>

        <saml2:NameID

            Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"

            NameQualifier="http://cxf.apache.org/sts">         1.2.840.113549.1.9.1=#1611636c69656e7440636c69656e742e636f6d,CN=Zimmer1,OU=Zentrum,O=Beispiel -- Nicht fuer Produktionszwecke,L=Berlin,C=DE

        </saml2:NameID>

        <saml2:SubjectConfirmation
               Method="urn:oasis:names:tc:SAML:2.0:cm:holder-of-key">

          <saml2:SubjectConfirmationData
                 xsi:type="saml2:KeyInfoConfirmationDataType">

            <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

              <ds:KeyValue>

                <ds:RSAKeyValue>

                  <ds:Modulus>2rhTVa...dlTiM=</ds:Modulus>

                  <ds:Exponent>AQAB</ds:Exponent>

                </ds:RSAKeyValue>

              </ds:KeyValue>

            </ds:KeyInfo>

          </saml2:SubjectConfirmationData>

        </saml2:SubjectConfirmation>

      </saml2:Subject>

<!-- EFA Policy RST : SAML2 Assertion / Conditions -->

      <saml2:Conditions NotBefore="2014-07-04T09:07:06.092Z"
                        NotOnOrAfter="2014-07-04T09:37:06.092Z">

        <saml2:AudienceRestriction>
          <saml2:Audience>
            https://pp.vivant.efa.telematik/SecurityTokenService/X509
          </saml2:Audience>

        </saml2:AudienceRestriction>

      </saml2:Conditions>

      <saml2:AttributeStatement>

        <saml2:Attribute Name="token-requestor"
               NameFormat="23343536373839/Zimmer1">

          <saml2:AttributeValue

               xsi:type="xs:string">authenticated</saml2:AttributeValue>

        </saml2:Attribute>

      </saml2:AttributeStatement>

    </saml2:Assertion>

    <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"

                  Id="SIG-6C35EEB46F52DD432514044648226719">

      <ds:SignedInfo>

      <ds:CanonicalizationMethod

           Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">

        <ec:InclusiveNamespaces

             xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#"

             PrefixList="soap"/>

        </ds:CanonicalizationMethod>

        <ds:SignatureMethod

            Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

            <ds:Reference URI="#TS-6C35EEB46F52DD432514044648226717">

           <ds:Transforms>

              <ds:Transform

                   Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">

                <ec:InclusiveNamespaces

                     xmlns:ec=http://www.w3.org/2001/10/xml-exc-c14n#

                     PrefixList="wsse soap"/>

              </ds:Transform>

            </ds:Transforms>

            <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>

            <ds:DigestValue>lGgiBm1EhVywgMZfuqhKcrTqaV4=</ds:DigestValue>

          </ds:Reference>

      </ds:SignedInfo>

      <ds:SignatureValue>KswB4U...f/HxYCVM=</ds:SignatureValue>

      <ds:KeyInfo Id="KI-6C35EEB46F52DD432514044648226718">

        <ns3:SecurityTokenReference xmlns:ns3=http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd       xmlns:wsse11=http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd wsse11:TokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0">

             <ns3:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile1.1#SAMLID">

               _AF3CD17A2B64022F6114044648256971

             </ns3:KeyIdentifier>

        </ns3:SecurityTokenReference>

      </ds:KeyInfo>

      </ds:Signature>

    </wsse:Security>

  </soap:Header>

<!-- EFA Policy RST : Body -->

  <soap:Body>

    <wst:RequestSecurityToken

      xmlns:wst=http://schemas.xmlsoap.org/ws/2005/02/trust

      xmlns:xacml-context="urn:oasis:names:tc:xacml:2.0:context:schema:os"

      xmlns:hl7="urn:hl7-org:v3">

      <wst:RequestType>

       http://schemas.xmlsoap.org/ws/2005/02/trust/Issue

      </wst:RequestType>

      <wst:TokenType>

http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0

      </wst:TokenType>

     <xacml-context:Attribute

        AttributeId="urn:ihe:iti:xds-b:2007:patient-id"

        DataType="urn:hl7-org:v3#II">

        <xacml-context:AttributeValue>

          <hl7:InstanceIdentifier

            extension="6578946"

            root="1.3.6.1.4.1.21367.2005.3.7"/>

          </xacml-context:AttributeValue>

      </xacml-context:Attribute>

      <xacml-context:Attribute

        AttributeId="urn:ihe:iti:xds-b:2007:folder:code"

        DataType="urn:hl7-org:v3#CV">

        <xacml-context:AttributeValue>

          <hl7:CodedValue

            code="K70.0"

            codeSystem="1.2.276.0.76.5.311"/>

        </xacml-context:AttributeValue>

      </xacml-context:Attribute>

    </wst:RequestSecurityToken>

  </soap:Body>

</soap:Envelope>

4.2.4.2 requestPolicy - RSTR

<!-- EFA Policy RSTR -->

<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">

    <soap:Header>

        <Action xmlns="http://www.w3.org/2005/08/addressing">http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/IssueFinal</Action>

        <MessageID xmlns="http://www.w3.org/2005/08/addressing">urn:uuid:cfcaeae0-fae7-44c4-9ade-1abfb6d2af40</MessageID>

        <To xmlns="http://www.w3.org/2005/08/addressing">http://www.w3.org/2005/08/addressing/anonymous</To>

        <RelatesTo xmlns="http://www.w3.org/2005/08/addressing"> urn:uuid:a4f2d8f8-9fa5-415b-8ed3-08cd5250eac0</RelatesTo>

        <wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" soap:mustUnderstand="1">

            <wsu:Timestamp wsu:Id="TS-3d785e77-f86a-46b3-9726-50a4d5a277ca">

                <wsu:Created>2015-03-18T14:51:07.157Z</wsu:Created>

                <wsu:Expires>2015-03-18T14:56:07.157Z</wsu:Expires>

            </wsu:Timestamp>

            <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#" Id="SIG-7d7b5ae5-b1b9-47d9-9ccc-3c3481445dbb">

                <ds:SignedInfo>

                    <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">

                        <ec:InclusiveNamespaces xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#" PrefixList="soap"/>

                    </ds:CanonicalizationMethod>

                    <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

                    <ds:Reference URI="#TS-3d785e77-f86a-46b3-9726-50a4d5a277ca">

                        <ds:Transforms>

                            <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">

                                <ec:InclusiveNamespaces xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#" PrefixList="wsse soap"/>

                            </ds:Transform>

                        </ds:Transforms>

                        <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>

                        <ds:DigestValue>h6FXxAjWpFZgPos3z1Ulk9y+Nrn1etrSOyyUoY9laWc=</ds:DigestValue>

                    </ds:Reference>

                </ds:SignedInfo>

                <ds:SignatureValue>ARnZid0iEJJ8rSLSYG+BOXZO4DiTFlZIhHa+ef/zSu/h1UHgJJpb/n7COIyxhozMWVJaNuZPUnMInGK/onSX1gPl7AZyqmn+tBX1iQP+RrZnDqvMAH1LkpCd8v1aZg9tPpGB7TiMufj9fUkMtDh3esxZCQj2HbFo9vrBVMot/cAn8XsXgll3R4V0pBJn9aCAJptzXqZK+eTEqJ5vg8AEFH2lQLDy9uIDKGTW/FqD03f1WZnCwBLrShj8nfFyAb/9fxNRQb9WhKG/qhg3sGezqdJ/nKn0DxP+lBq0q2PiJi+5/ZaZuzyvT5guoeAu2vH2bF0lEiMpLkd1i/SG4VGc0Q==</ds:SignatureValue>

                <ds:KeyInfo Id="KI-1696a524-7c8a-4e72-8a94-5032dccb7a06">

                    <wsse:SecurityTokenReference wsu:Id="STR-d3d2cae3-1b7c-4052-b1e2-a37f5a291164">

                        <ds:X509Data>

                            <ds:X509IssuerSerial>

                                <ds:X509IssuerName>CN=C.GEM.FD-CA1 TEST-ONLY,OU=gematik ProviderZone-CA der Telematikinfrastruktur,O=gematik GmbH NOT-VALID,C=DE</ds:X509IssuerName>

                                <ds:X509SerialNumber>119868</ds:X509SerialNumber>

                            </ds:X509IssuerSerial>

                        </ds:X509Data>

                    </wsse:SecurityTokenReference>

                </ds:KeyInfo>

            </ds:Signature>

        </wsse:Security>

    </soap:Header>

    <soap:Body>

        <RequestSecurityTokenResponseCollection xmlns="http://docs.oasis-open.org/ws-sx/ws-trust/200512" xmlns:ns2="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" xmlns:ns3="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:ns4="http://www.w3.org/2005/08/addressing" xmlns:ns5="http://docs.oasis-open.org/ws-sx/ws-trust/200802">

            <RequestSecurityTokenResponse>

                <TokenType>http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0</TokenType>

                <RequestedSecurityToken>

                    <saml2:Assertion xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" ID="_2667e9e9-7612-44c9-bd80-4c1df6b2127b" IssueInstant="2015-03-18T14:51:07.102Z" Version="2.0" xsi:type="saml2:AssertionType">

                        <saml2:Issuer>http://ws.gematik.de:443/conn/efa2/LocalAuthority</saml2:Issuer>

                        <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

                            <ds:SignedInfo>

                                <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>

                                <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

                                <ds:Reference URI="#_2667e9e9-7612-44c9-bd80-4c1df6b2127b">

                                    <ds:Transforms>

                                        <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>

                                        <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">

                                            <ec:InclusiveNamespaces xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#" PrefixList="xs"/>

                                        </ds:Transform>

                                    </ds:Transforms>

                                    <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>

                                    <ds:DigestValue>/2nXTNAmTcleh3pUhLYY15zsW/Y=</ds:DigestValue>

                                </ds:Reference>

                            </ds:SignedInfo>

                            <ds:SignatureValue>jpzdhfQVjRY1H0nNqIZo/mqrBJ4FuZ+SSe25SeNHs0/5X+rbhQdemaXt2zYGPpIRBIIhL2ni19Ng6nAlE0EiYHCwAn1GMVu8OwOS5lMZHDqgpocN8qY2QB3vCIeoSg2X7m56YomQTVzoMX5XG29rAqMivHenC+0S1K6u6GbOjUe0PhQfaT465fOda7JU2j9o8thoUFevDC17xoC8EFW9/2/4M4N/9g46t6Jv6hwhLcGUx2Pim/CQFNP/2zL0mwk+YOK8PP5qOubLeNuW3YGCeBtYcvN37vsTi4mWKWjZU5czCSF5N2YJzbgAEeD9OpGvjfrzlPEQQZH1Xw9OIT6teg==</ds:SignatureValue>

                            <ds:KeyInfo>

                                <ds:X509Data>

                                    <ds:X509Certificate>MIIFCDCCA/CgAwIBAgIDAdQ8MA0GCSqGSIb3DQEBCwUAMIGbMQswCQYDVQQGEwJERTEfMB0GA1UE

CgwWZ2VtYXRpayBHbWJIIE5PVC1WQUxJRDFIMEYGA1UECww/SW5zdGl0dXRpb24gZGVzIEdlc3Vu

ZGhlaXRzd2VzZW5zLUNBIGRlciBUZWxlbWF0aWtpbmZyYXN0cnVrdHVyMSEwHwYDVQQDDBhDLkdF

TS5TTUNCLUNBMSBURVNULU9OTFkwHhcNMTQwMzI1MTQwMTM5WhcNMTcwMzI1MTQwMTM5WjCB8jEL

MAkGA1UEBhMCREUxGjAYBgNVBAoMEWdlbWF0aWsgTk9ULVZBTElEMT4wPAYDVQQDDDVQcmF4aXMg

RHIuIG1lZC4gSm9zZWYgTmllZGVybWV5ZXIgQ2hpcnVyZ2llIFRFU1QtT05MWTEUMBIGA1UEBAwL

TmllZGVybWV5ZXIxDjAMBgNVBCoMBUpvc2VmMSQwIgYDVQQFExsxMDAwMC1HT1JJeFNNQ0J4T1NJ

R3gwMDB4MDAxFzAVBgNVBAkMDlJpbmdlbGdhc3NlIDE5MQ8wDQYDVQQRDAYwMTIzNCcxETAPBgNV

BAwMCERyLiBtZWQuMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuuXCdKRC0YP3nLEF

lIDtYX1kthI8lMoDkaEC3+I+dH7+mDcoRIOFyEDLl42B3UHOcjVN4LXrxQFltzYD4nKJYCnT8r/t

L6kAwEusRQF4xSt9nwsHWwYvpqjrmHWLUgZi0jHGyP6mue8juEMJqRv1pGdhTUG81dEU0YwJn+Th

7P5nF/yh+HV7qMmqxMRN2FIIqc2gMo7/heDTGyAxW7CTBsijqciC7fpesQUMxtghC9veWEl4S2nv

lHxafvWOME96GNDaJkxjscK/3/t3+0Qhyi2Y4FVDXetDA4NHae6KRA5UFUTc89LSrrWNCKMFKj4T

W+64jI90uuPUMrj6BOTYwwIDAQABo4H7MIH4MAwGA1UdEwEB/wQCMAAwEQYDVR0OBAoECE2vw2YZ

Be+fMCAGA1UdIAQZMBcwCgYIKoIUAEwEgSMwCQYHKoIUAEwETjBJBgUrJAgDAwRAMD4wPDA6MDgw

NjAWDBRCZXRyaWVic3N0w6R0dGUgQXJ6dDAJBgcqghQATAQyExExLTIxMjM0NTY3YXNkZmdoYTAT

BgNVHSMEDDAKgAhIfuZUyHoLkDBDBggrBgEFBQcBAQQ3MDUwMwYIKwYBBQUHMAGGJ2h0dHA6Ly9v

Y3NwLmdlbWF0aWsuZGU6ODA4MC9DTU9DU1AvT0NTUDAOBgNVHQ8BAf8EBAMCBkAwDQYJKoZIhvcN

AQELBQADggEBAAtsod6fz/s/VdnoMBMfNyvY2nPAzItkfHZSABIl8Dj0qxTnWNNC9U1moayLwKcX

yH/GeA6Sho0uRGeHAf4Zu9fawTXkq7fpQwaHX/M9FlVizekOnYRtQji+IwzNG2DTENkc8ZDzmHbB

8ldBoSaOIvaSBLPCvOX8PoH7uSYqoTaqqVLZoxH1d51ERywYL6ZCVi1hVlE7+W1h1uDcqrEceYCH

vpHk2IoosWJdh9sG3jnLJ+Ysp9yVUkuzdQOlEhQOlwXNtoxFnYih3UGmG0LEUtTuxBdneivaIak3

pQ3MS2aPrOZdJN7NH6jWPF6ej3UrLqZZR/20MZ3c1ZWZy4XlIBU=</ds:X509Certificate>

                                </ds:X509Data>

                            </ds:KeyInfo>

                        </ds:Signature>

                        <saml2:Subject>

                            <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" NameQualifier="http://cxf.apache.org/sts">2.5.4.5=#130c313233343536373839303133,2.5.4.42=#0c084865696e72696368,2.5.4.4=#0c03466974,CN=Dr. med. Heinrich Fit\, Facharzt für Physikalische Therapie,C=DE</saml2:NameID>

                            <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:holder-of-key">

                                <saml2:SubjectConfirmationData xsi:type="saml2:KeyInfoConfirmationDataType">

                                    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

                                        <ds:KeyValue>

                                            <ds:RSAKeyValue>

                                                <ds:Modulus>2rhTVaouAdvrvzwvZLQ5J/Nm4JREGHC+KOSUVIUFRIUytohJaM9Ub6P6snw4QT3NZcyFJ+GprPgy

gUko2TAoKKd123gl8yFT+/OK7gvBxeUK2LF1EH03O5c6mn12Vx/AZPPYEknANXxZnuk6b2MzNM4w

RE0lwA7SjrPaCgdlTiM=</ds:Modulus>

                                                <ds:Exponent>AQAB</ds:Exponent>

                                            </ds:RSAKeyValue>

                                        </ds:KeyValue>

                                    </ds:KeyInfo>

                                </saml2:SubjectConfirmationData>

                            </saml2:SubjectConfirmation>

                        </saml2:Subject>

                        <saml2:Conditions NotBefore="2015-03-18T14:51:07.104Z" NotOnOrAfter="2015-03-18T15:21:07.104Z">

                            <saml2:AudienceRestriction>

                                <saml2:Audience>urn:uuid:5f894f75-60ac-4cea-82b8-f0c7766f5d75</saml2:Audience>

                            </saml2:AudienceRestriction>

                        </saml2:Conditions>

                        <saml2:AuthnStatement AuthnInstant="2015-03-18T14:51:07.102Z">

                            <saml2:AuthnContext>

                                <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:SmartcardPKI</saml2:AuthnContextClassRef>

                            </saml2:AuthnContext>

                        </saml2:AuthnStatement>

<xacml-saml:XACMLPolicyStatement>

<PolicySet xmlns="urn:oasis:names:tc:xacml:2.0:policy:schema:os"

  xmlns:hl7="urn:hl7-org:v3"

  xmlns:rim="urn:oasis:names:tc:ebxml-regrep:xsd:rim:3.0"

  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

  xsi:schemaLocation="urn:oasis:names:tc:xacml:2.0:policy:schema:os access_control-xacml-2.0-policy-schema-os.xsd"

  PolicySetId="2B789DEE-9CB6-11E4-97F9-246A95DB5880"

  PolicyCombiningAlgId="urn:oasis:names:tc:xacml:1.0:policy-combining-algorithm:deny-overrides">

  <Target>

    <Resources>

      <Resource>

        <!-- ECR Folder Code -->

        <ResourceMatch MatchId="urn:hl7-org:v3:function:CV-equal">

          <AttributeValue DataType="urn:hl7-org:v3#CV">

            <hl7:CodedValue code="ECR"

              codeSystem="IHE-D-Cookbook-FolderClassCode" />

          </AttributeValue>

          <ResourceAttributeDesignator

            AttributeId="urn:ihe:iti:xds-b:2007:folder:code"

            DataType="urn:hl7-org:v3#CV" />

        </ResourceMatch>

        <!-- Purpose Folder Code -->

        <ResourceMatch MatchId="urn:hl7-org:v3:function:CV-equal">

          <AttributeValue DataType="urn:hl7-org:v3#CV">

            <hl7:CodedValue code="K70.0" codeSystem="1.2.276.0.76.5.311" />

          </AttributeValue>

          <ResourceAttributeDesignator

            AttributeId="urn:ihe:iti:xds-b:2007:folder:code"

            DataType="urn:hl7-org:v3#CV" />

        </ResourceMatch>

        <!-- Patient -->

        <ResourceMatch MatchId="urn:hl7-org:v3:function:II-equal">

          <AttributeValue DataType="urn:hl7-org:v3#II">

            <hl7:InstanceIdentifier extension="6578946"

              root="1.3.6.1.4.1.21367.2005.3.7" />

          </AttributeValue>

          <ResourceAttributeDesignator

            AttributeId="urn:ihe:iti:xds-b:2007:patient-id"

            DataType="urn:hl7-org:v3#II" />

        </ResourceMatch>

      </Resource>

    </Resources>

  </Target>

  <Policy PolicyId="urn:ecr:2.0:xacml:policyid:1"

    RuleCombiningAlgId="urn:oasis:names:tc:xacml:1.0:rule-combining-algorithm:deny-overrides">

    <Target>

      <Subjects>

        <!-- An HC professional and its role -->

        <Subject>

          <SubjectMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:anyURI-equal">

            <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#anyURI"

              >urn:oid:1.2.276.0.76.3.1.81.1.76.4</AttributeValue>

            <SubjectAttributeDesignator

              AttributeId="urn:oasis:names:tc:xspa:1.0:subject:organization-id"

              DataType="http://www.w3.org/2001/XMLSchema#anyURI" />

          </SubjectMatch>

          <SubjectMatch

            MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">

            <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string"

              >physician</AttributeValue>

            <SubjectAttributeDesignator

              AttributeId="urn:oasis:names:tc:xacml:2.0:subject:role"

              DataType="http://www.w3.org/2001/XMLSchema#string" />

          </SubjectMatch>

        </Subject>

      </Subjects>

      <Resources>

        <!-- Document.availabilityStatus -->

        <Resource>

          <ResourceMatch

            MatchId="urn:oasis:names:tc:xacml:1.0:function:anyURI-equal">

            <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#anyURI"

              >urn:oasis:names:tc:ebxml-regrep:StatusType:Approved</AttributeValue>

            <ResourceAttributeDesignator

              AttributeId="urn:ihe:iti:xds-b:2007:availability-status"

              DataType="http://www.w3.org/2001/XMLSchema#anyURI" />

          </ResourceMatch>

        </Resource>

      </Resources>

      <Environments>

        <Environment>

          <!-- Begin of grace period -->

          <EnvironmentMatch

            MatchId="urn:oasis:names:tc:xacml:1.0:function:dateTime-greater-than-or-equal">

            <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#dateTime"

              >2014-12-24T22:00:00Z</AttributeValue>

            <EnvironmentAttributeDesignator

              AttributeId="urn:oasis:names:tc:xacml:1.0:environment:current-dateTime"

              DataType="http://www.w3.org/2001/XMLSchema#dateTime" />

          </EnvironmentMatch>

        </Environment>

      </Environments>

    </Target>

  </Policy>

</PolicySet>

      </xacml-saml:XACMLPolicyStatement>

</saml2:Assertion>

                </RequestedSecurityToken>

                <RequestedAttachedReference>

                    <ns3:SecurityTokenReference xmlns:wsse11="http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd" wsse11:TokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0">

                        <ns3:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID">_2667e9e9-7612-44c9-bd80-4c1df6b2127b</ns3:KeyIdentifier>

                    </ns3:SecurityTokenReference>

                </RequestedAttachedReference>

                <RequestedUnattachedReference>

                    <ns3:SecurityTokenReference xmlns:wsse11="http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd" wsse11:TokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0">

                        <ns3:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID">_2667e9e9-7612-44c9-bd80-4c1df6b2127b</ns3:KeyIdentifier>

                    </ns3:SecurityTokenReference>

                </RequestedUnattachedReference>

                <wsp:AppliesTo xmlns:wsp="http://www.w3.org/ns/ws-policy" xmlns:wst="http://docs.oasis-open.org/ws-sx/ws-trust/200512">

                    <wsa:EndpointReference xmlns:wsa="http://www.w3.org/2005/08/addressing">

                        <wsa:Address>urn:uuid:5f894f75-60ac-4cea-82b8-f0c7766f5d75</wsa:Address>

                    </wsa:EndpointReference>

                </wsp:AppliesTo>

                <Lifetime>

                    <ns2:Created>2015-03-18T14:51:07.104Z</ns2:Created>

                    <ns2:Expires>2015-03-18T15:21:07.104Z</ns2:Expires>

                </Lifetime>

                <KeySize>2048</KeySize>

            </RequestSecurityTokenResponse>

        </RequestSecurityTokenResponseCollection>

    </soap:Body>

</soap:Envelope>

4.2.4.3 SubjectAccessPolicyAssertion

<!-- EFA SubjectAccessPolicyAssertion -->

   <saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"

     ID="uuid-6dbb391c-20d3-4568-8c04-ff9d91d049c1"

     IssueInstant="2013-04-05T08:14:28.788Z" Version="2.0">

   <saml:Issuer>urn:de:berlin:hp:pap</saml:Issuer>

    <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

     <ds:SignedInfo>

      <ds:CanonicalizationMethod

       Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />

       <ds:SignatureMethod

    Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />

       <ds:Reference URI="#urn:uuid:7102AC72154DCFD1F51253534608780">

        <ds:Transforms>

         <ds:Transform

          Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />

         <ds:Transform

          Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">

          <ec:InclusiveNamespaces

           xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#"

           PrefixList="ds saml xs" />

         </ds:Transform>

        </ds:Transforms>

        <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />

        <ds:DigestValue>A1LyLvFHRrYaOJ28YVFd3MfKGSI=</ds:DigestValue>

       </ds:Reference>

      </ds:SignedInfo>

      <ds:SignatureValue>ggyn … LQ==</ds:SignatureValue>

      <ds:KeyInfo>

       <ds:X509Data>

        <ds:X509Certificate> … </ds:X509Certificate>

       </ds:X509Data>

      </ds:KeyInfo>

     </ds:Signature>

     <saml:Subject>

      <saml:NameID

       Format="urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName">

       ...

      </saml:NameID>

      <saml:SubjectConfirmation

       Method="urn:oasis:names:tc:SAML:2.0:cm:holder-of-key">

       <saml:SubjectConfirmationData>

         <ds:KeyInfo>

           <ds:X509Data>

             <ds:X509Certificate> … </ds:X509Certificate>

           </ds:X509Data>

         </ds:KeyInfo>

        </saml:SubjectConfirmationData/>

      </saml:SubjectConfirmation>

     </saml:Subject>

     <saml:Conditions

      NotBefore="2013-04-05T08:14:28.788Z"

      NotOnOrAfter="2013-04-05T12:14:28.788Z">

    </saml:Conditions>

    <xacml-saml:XACMLPolicyStatement>

<PolicySet xmlns="urn:oasis:names:tc:xacml:2.0:policy:schema:os"

  xmlns:hl7="urn:hl7-org:v3"

  xmlns:rim="urn:oasis:names:tc:ebxml-regrep:xsd:rim:3.0"

  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

  xsi:schemaLocation="urn:oasis:names:tc:xacml:2.0:policy:schema:os access_control-xacml-2.0-policy-schema-os.xsd"

  PolicySetId="2B789DEE-9CB6-11E4-97F9-246A95DB5880"

  PolicyCombiningAlgId="urn:oasis:names:tc:xacml:1.0:policy-combining-algorithm:deny-overrides">

  <Target>

    <Resources>

      <Resource>

        <!-- ECR Folder Code -->

        <ResourceMatch MatchId="urn:hl7-org:v3:function:CV-equal">

          <AttributeValue DataType="urn:hl7-org:v3#CV">

            <hl7:CodedValue code="ECR"

              codeSystem="IHE-D-Cookbook-FolderClassCode" />

          </AttributeValue>

          <ResourceAttributeDesignator

            AttributeId="urn:ihe:iti:xds-b:2007:folder:code"

            DataType="urn:hl7-org:v3#CV" />

        </ResourceMatch>

        <!-- Purpose Folder Code -->

        <ResourceMatch MatchId="urn:hl7-org:v3:function:CV-equal">

          <AttributeValue DataType="urn:hl7-org:v3#CV">

            <hl7:CodedValue code="K70.0" codeSystem="1.2.276.0.76.5.311" />

          </AttributeValue>

          <ResourceAttributeDesignator

            AttributeId="urn:ihe:iti:xds-b:2007:folder:code"

            DataType="urn:hl7-org:v3#CV" />

        </ResourceMatch>

        <!-- Patient -->

        <ResourceMatch MatchId="urn:hl7-org:v3:function:II-equal">

          <AttributeValue DataType="urn:hl7-org:v3#II">

            <hl7:InstanceIdentifier extension="6578946"

              root="1.3.6.1.4.1.21367.2005.3.7" />

          </AttributeValue>

          <ResourceAttributeDesignator

            AttributeId="urn:ihe:iti:xds-b:2007:patient-id"

            DataType="urn:hl7-org:v3#II" />

        </ResourceMatch>

      </Resource>

    </Resources>

  </Target>

  <Policy PolicyId="urn:ecr:2.0:xacml:policyid:1"

    RuleCombiningAlgId="urn:oasis:names:tc:xacml:1.0:rule-combining-algorithm:deny-overrides">

    <Target>

      <Subjects>

        <!-- An HC professional and its role -->

        <Subject>

          <SubjectMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:anyURI-equal">

            <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#anyURI"

              >urn:oid:1.2.276.0.76.3.1.81.1.76.4</AttributeValue>

            <SubjectAttributeDesignator

              AttributeId="urn:oasis:names:tc:xspa:1.0:subject:organization-id"

              DataType="http://www.w3.org/2001/XMLSchema#anyURI" />

          </SubjectMatch>

          <SubjectMatch

            MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">

            <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string"

              >physician</AttributeValue>

            <SubjectAttributeDesignator

              AttributeId="urn:oasis:names:tc:xacml:2.0:subject:role"

              DataType="http://www.w3.org/2001/XMLSchema#string" />

          </SubjectMatch>

        </Subject>

      </Subjects>

      <Resources>

        <!-- Document.availabilityStatus -->

        <Resource>

          <ResourceMatch

            MatchId="urn:oasis:names:tc:xacml:1.0:function:anyURI-equal">

            <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#anyURI"

              >urn:oasis:names:tc:ebxml-regrep:StatusType:Approved</AttributeValue>

            <ResourceAttributeDesignator

              AttributeId="urn:ihe:iti:xds-b:2007:availability-status"

              DataType="http://www.w3.org/2001/XMLSchema#anyURI" />

          </ResourceMatch>

        </Resource>

      </Resources>

      <Environments>

        <Environment>

          <!-- Begin of grace period -->

          <EnvironmentMatch

            MatchId="urn:oasis:names:tc:xacml:1.0:function:dateTime-greater-than-or-equal">

            <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#dateTime"

              >2014-12-24T22:00:00Z</AttributeValue>

            <EnvironmentAttributeDesignator

              AttributeId="urn:oasis:names:tc:xacml:1.0:environment:current-dateTime"

              DataType="http://www.w3.org/2001/XMLSchema#dateTime" />

          </EnvironmentMatch>

        </Environment>

      </Environments>

    </Target>

  </Policy>

</PolicySet>

      </xacml-saml:XACMLPolicyStatement>

</saml:Assertion>

4.3 Schnittstelle I_Resource_Manager

Folgend sind die logischen und technischen Operationen und Parameter der Schnittstelle aufgeführt.

4.3.1 Operation createPartition

Diese Operation erzeugt eine weitere Partition und verknüpft diese mit einer existierenden Fallakte. Die Operation ist fachlich im Detail in [efa2spec#266] und [efa2spec#278] beschrieben.

4.3.1.1 Umsetzung

4.3.1.2 Nutzung der Operation createPartition

Der Nutzer der Schnittstelle SOLL die Operation „createPartition“ gemäß Tabelle 21 verwenden.

Tabelle 21 Nutzung der Operation createPartition

4.3.2 Operation registerConsent

Diese Operation registriert eine neue Patienteneinwilligung zu einer existierenden Fallakte. Die Operation ist fachlich im Detail in [efa2spec#197] und [efa2spec#278] beschrieben.

4.3.2.1 Umsetzung

4.3.2.2 Nutzung der Operation registerConsent

Der Nutzer der Schnittstelle SOLL die Operation „registerConsent“ gemäß Tabelle 24 verwenden.

Tabelle 24 Nutzung der Operation registerConsent

4.3.3 Operation createECR

Diese Operation legt eine neue Fallakte an. Wird mit den gegebenen Attributen eine existierende Fallakte identifiziert so wird diese um eine Partition erweitert. Die Operation ist fachlich im Detail in [efa2spec#190] und [efa2spec#269] beschrieben.

4.3.3.1 Umsetzung

4.3.3.2 Nutzung der Operation createECR

Der Nutzer der Schnittstelle SOLL die Operation „createECR“ gemäß Tabelle 27 verwenden.

Tabelle 27 Nutzung der Operation createECR

4.3.4 Operation closeECR

Diese Operation schließt eine existierende Fallakte, die damit in den Status „grace“ übergeht. Die Operation ist fachlich im Detail in [efa2spec#194] und [efa2spec#282] beschrieben.

4.3.4.1 Umsetzung

4.3.4.2 Nutzung der Operation closeECR

Der Nutzer der Schnittstelle SOLL die Operation „closeECR“ gemäß Tabelle 30 verwenden.

Tabelle 30 Nutzung der Operation closeECR

4.3.5 Operation listPartitions

Die Operation listet Informationen zu allen Partitionen und deren übergeordnete Fallakten, zu denen der Aufrufer Zugangsberechtigt ist. Sie ist fachlich im Detail in [efa2spec#195] und [efa2spec#286] beschrieben.

4.3.5.1 Umsetzung

4.3.5.2 Nutzung der Operation listPartitions

Der Nutzer der Schnittstelle SOLL die Operation „listPartitions“ gemäß Tabelle 33 verwenden.

Tabelle 33 Nutzung Operation listPartitions

4.4 Schnittstelle I_Document_Registry

Folgend sind die logischen Operationen und Parameter der Schnittstelle aufgeführt.

4.4.1 Operation listPartitionContent

Diese Operation ruft die Metadaten zu den an einer Partition einer Fallakte registrierten Dokumenten ab. Die Operation ist fachlich im Detail in [efa2spec#203] und [efa2spec#298] beschrieben.

4.4.1.1 Umsetzung

4.4.1.2 Nutzung der Operation listPartitionContent

Der Nutzer der Schnittstelle SOLL die Operation „listPartitionContent“ gemäß Tabelle 37 verwenden.

Tabelle 37 Nutzung Operation listPartitionContent

4.4.2 Operation registerData

Die Operation dient dem Registrieren von Daten an einer bestehenden Partition einer Fallakte. Es handelt sich um eine interne Funktion der Fachdienste auf Seiten des Anbieters, die ausschließlich vom DocumentRepository aufgerufen wird.

Die Operation steht für Aufrufe durch EFA Clients nicht zur Verfügung.

4.5 Schnittstelle I_Document_Repository

Folgend sind die logischen Operationen und Parameter der Schnittstelle aufgeführt.

4.5.1 Operation provideData

Diese Operation stellt Daten in eine bestehende Partition einer Fallakte ein. Die Operation ist fachlich im Detail in [efa2spec#205] und [efa2spec#303] beschrieben.

4.5.1.1 Umsetzung

4.5.1.2 Nutzung der Operation provideData

Der Nutzer der Schnittstelle SOLL die Operation „provideData“ gemäß Tabelle 41 verwenden.

Tabelle 41 Nutzung Operation provideData

4.5.2 Operation retrieveData

Diese Operation ruft  Daten aus einer Fallakte ab. Die Operation ist fachlich im Detail in [efa2spec#206] und [efa2spec#307] beschrieben.

4.5.2.1 Umsetzung

4.5.2.2 Nutzung der Operation retrieveData

Der Nutzer der Schnittstelle SOLL die Operation „retrieveData“ gemäß Tabelle 44 verwenden

Tabelle 44 Nutzung Operation retrieveData

4.5.2.3 Beispiel retrieveData: Request

<RetrieveDocumentSetRequest xmlns="urn:ihe:iti:xds-b:2007">

  <DocumentRequest>

    <RepositoryUniqueId>1.19.6.24.109.42.1.5</RepositoryUniqueId>

    <DocumentUniqueId>1.42.20101110141555.15</DocumentUniqueId>

  </DocumentRequest>

</RetrieveDocumentSetRequest>

4.5.2.4 Beispiel retrieveData: Response

<xdsb:RetrieveDocumentSetResponse xmlns:xdsb="urn:ihe:iti:xds-b:2007">

  <rs:RegistryResponse

   xmlns:rs="urn:oasis:names:tc:ebxml-regrep:xsd:rs:3.0"

   status="urn:oasis:names:tc:ebxml-egrep:ResponseStatusType:Success"/>

    <xdsb:DocumentResponse>

    <xdsb:RepositoryUniqueId>1.19.6.24.109.42.1.5</xdsb:RepositoryUniqueId>

    <xdsb:DocumentUniqueId>1.2009.0827.08.33.5124</xdsb:DocumentUniqueId>

    <xdsb:mimeType>application/pdf</xdsb:mimeType>

    <xdsb:Document>

      <xop:Include

           href=cid:1.urn:uuid:C2CD255C5B1A1D72A41259184933880@apache.org

           xmlns:xop="http://www.w3.org/2004/08/xop/include"/>

    </xdsb:Document>

  </xdsb:DocumentResponse>

</xdsb:RetrieveDocumentSetResponse>

4.5.2.5 Beispiel retrieveData: Response mit Fehler

<xdsb:RetrieveDocumentSetResponse xmlns:xdsb="urn:ihe:iti:xds-b:2007">

  <rs:RegistryResponse

   xmlns:rs="urn:oasis:names:tc:ebxml-regrep:xsd:rs:3.0"

   status="urn:oasis:names:tc:ebxml-egrep:ResponseStatusType:Failure"/>

    <rs:RegistryErrorList>

      <rs:RegistryError

        severity=”urn:oasis:names:tc:ebxml-regrep:ErrorSeverityType:Error”

        errorCode=”$errorCode”

        codeContext=”$errorMessage”

        location=”$documentUniqueID”/>

    </rs:RegistryErrorList>

  </rs:RegistryResponse>

</xdsb:RetrieveDocumentSetResponse>

4.6 Schnittstelle I_HPD_Services

Die Schnittstelle I_HPD_Services ermöglicht die Verwaltung und Abfrage eines der EFA Community zugeordneten Verzeichnisses mit Informationen und Attributen zu Leistungserbringern, welche als Teilnehmer der EFA Community registriert sind.

Informativ: Gemäß DSMLv2 können die logischen Operationen „add“, „modify“ und „delete“ ein und desselben Aufrufers innerhalb einer ITI-59 Transaktion als „DSMLv2 batchRequest“ gebündelt werden. Der Fachdienst muss dabei zu jedem Element des batchRequest ein korrespondierendes Antwortelement, gebündelt in einem DSML batchResponse Element, zurückliefern.

Die Authentisierung der technischen Kommunikationsverbindung zum HPD erfolgt gegenseitig per TLSv1.2. Die Authentisierung gegenüber dem HPD Dienst auf (logischer) Ebene des Aufrufers erfolgt mithilfe HPIdentityAssertion. Die Autorisierung auf Ebene der HPD Operation und auf Ebene der Datenanzeige basiert auf den Berechtigungen des identifizierten Aufrufers (Rollenrechte, Attributrechte). Zu diesen operativen Aspekten macht diese Spezifikation bewusst keine Vorgaben.

4.6.1 Operation providerInformationQuery

Diese Operation liest einen oder mehrere Verzeichniseinträge aus einem HPD.

4.6.1.1 Umsetzung

4.6.1.2 Nutzung der Operation providerInformationQuery

Der Nutzer der Schnittstelle SOLL die Operation „providerInformationQuery“ gemäß Tabelle 48 verwenden

Tabelle 48 Nutzung Operation providerInformationQuery

4.6.2 Operation providerInformationFeed

Diese Operation verändert den Datenbestand von Verzeichniseinträgen in einem HPD. Sie unterstützt die HPD Operationen „add“, „modify“ und „delete“, welche in der Nachricht an den HPD durch verschiedene DSML Elemente ausgewiesen werden.

Die HPD Operation „add“ fügt ein oder mehrere Einträge zu einem HPD hinzu, bereits existierende Einträge werden überschrieben.

Die HPD Operation „modify“ ändert einen oder mehrere bestehende HPD Einträge.

Die HPD Operation „delete“ löscht einen oder mehrere bestehende HPD Einträge.

4.6.2.1 Umsetzung

4.6.2.2 Nutzung der Operation providerInformationFeed

Der Nutzer der Schnittstelle SOLL die Operation „providerInformationFeed“ gemäß Tabelle 51 verwenden

Tabelle 51 Nutzung Operation providerInformationFeed

4.6.3 Beispiel einer WSDL Definition eines HPD

<?xml version="1.0" encoding="utf-8"?>

<!-- EFA HPD Provider Information Directory  -->

<definitions name="HPDProviderInformationDirectory"
  targetNamespace="urn:ihe:iti:hpd:2010"
  xmlns:tns="urn:ihe:iti:hpd:2010"
  xmlns="http://schemas.xmlsoap.org/wsdl/"
  xmlns:dsml="urn:oasis:names:tc:DSML:2:0:core"
  xmlns:wsaw="http://www.w3.org/2006/05/addressing/wsdl"
  xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap12/"
  xmlns:xsd="http://www.w3.org/2001/XMLSchema">

  <documentation>
    IHE HPD Provider Information Directory
  </documentation>

<!-- EFA HPD types -->

  <types>
    <xsd:schema
      targetNamespace="urn:oasis:names:tc:DSML:2:0:core"
      xmlns:dsml="urn:oasis:names:tc:DSML:2:0:core">

      <xsd:include schemaLocation="../schema/DSML/DSMLv2.xsd"/>
    </xsd:schema>
  </types>

<!-- EFA HPD messages -->

  <message name="ProviderInformationRequestMessage">
    <documentation>
      Provider Information Query/Feed Request Message
    </documentation>
    <part name="body" element="dsml:batchRequest" />
  </message>

  <message name="ProviderInformationResponseMessage">
    <documentation>
      Provider Information Query/Feed ResponseMessage
    </documentation>
    <part name="body" element="dsml:batchResponse"/>
  </message>

<!-- EFA HPD port types -->

  <portType name="ProviderInformationDirectory_PortType">

    <operation name="ProviderInformationQueryRequest">
      <input message="tns:ProviderInformationRequestMessage"
        wsaw:Action="urn:ihe:iti:2010:ProviderInformationQuery"/>
      <output message="tns:ProviderInformationResponseMessage"
        wsaw:Action="urn:ihe:iti:2010:ProviderInformationQueryResponse"/>
    </operation>

    <operation name="ProviderInformationFeedRequest">
      <input message="tns:ProviderInformationRequestMessage"
        wsaw:Action="urn:ihe:iti:2010:ProviderInformationFeed"/>
      <output message="tns:ProviderInformationResponseMessage"
        wsaw:Action="urn:ihe:iti:2010:ProviderInformationFeedResponse"/>
    </operation>

  </portType>

<!-- EFA HPD bindings -->

  <binding name="ProviderInformationDirectory_Binding"
           type="tns:ProviderInformationDirectory_PortType">
    <soap:binding style="document"
                  transport="http://schemas.xmlsoap.org/soap/http" />

    <operation name="ProviderInformationQueryRequest">
      <soap:operation
           soapAction="urn:ihe:iti:hpd:2010:ProviderInformationQueryRequest" />
        <input>
          <soap:body use="literal" />
        </input>
        <output>
          <soap:body use="literal" />
        </output>
    </operation>

    <operation name="ProviderInformationFeedRequest">
      <soap:operation
            soapAction="urn:ihe:iti:hpd:2010:ProviderInformationFeedRequest" />

        <input>
          <soap:body use="literal" />
        </input>
        <output>
          <soap:body use="literal" />
        </output>
    </operation>
  </binding>

<!-- EFA HPD services -->

  <service name="ProviderInformationDirectory_Service">

    <port name="ProviderInformationDirectory_Port_Soap"
          binding="tns:ProviderInformationDirectory_Binding">
      <soap:address
      location="https://localhost:${HttpsDefaultPort}/
      ProviderInformationDirectoryService"/>
    </port>

  </service>

</definitions>

4.6.4 Beispiel „modify HPD Provider Information Feed“

4.6.4.1 Update Request an einen HPD

<?xml version="1.0" encoding="utf-8"?>

<soap-env:Envelope

  xmlns:soap-env="http://schemas.xmlsoap.org/soap/envelope/" >

  <soap-env:Body>

    <dsml:batchRequest

      xmlns:dsml="urn:oasis:names:tc:DSML:2:0:core"

      xmlns:xsd="http://www.w3.org/2001/XMLSchema"

      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" >

      <dsml:modifyRequest

        dn="uid=hpdtest:6,ou=Individual Provider,O=HPDTEST,DC=HPD,C=US" >

         <dsml:modification name="HcSpecialisation" operation="delete">

           <dsml:value>Orthopedic</dsml:value>

         </dsml:modification>

         <dsml:modification name="HcSpecialisation" operation="add">

           <dsml:value>Cadiology</dsml:value>

         </dsml:modification>

      </dsml:modifyRequest>