Server-Anforderungen: AuditEvent-Query
FD-Anforderungen: Query API AuditEvent -->
Diese Seite enthält die normativen Anforderungen an den TI-Flow-Fachdienst für die AuditEvent-Query-Endpunkte.
Der TI-Flow-Fachdienst MUSS alle Zugriffe auf die Ressource AuditEvent mittels der HTTP-Operationen PUT, PATCH, HEAD, DELETE und POST unterbinden und mit mit dem HTTP-Code "405 - Method Not Allowed" abbrechen, damit keine unzulässigen Operationen werden können.
GET /AuditEvent
Der TI-Flow-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /AuditEvent und auf einen konkreten über <id> adressierten /AuditEvent/<id> die zeta-user-info.professionOID des Nutzers bestimmen und sicherstellen, dass ausschließlich Nutzer in der Rolle
die Operation am Fachdienst aufrufen und bei Abweichungen die Operation mit dem folgenden Fehler:
| HTTP-Code |
403 - Forbidden |
| Severity |
error |
| Code |
invalid |
| Details Code |
TIFLOW_AUTH_ROLE_NOT_ALLOWED |
| Details Text |
Der Nutzer ist nicht berechtigt, die aufgerufene Operation anzufordern |
abbrechen, damit Protokolleinträge nicht durch Unberechtigte ausgelesen werden können.
Der TI-Flow-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /AuditEvent die dem Versicherten zugeordneten AuditEvent-Ressourcen anhand des identifier des Nutzers (KVNR) identifizieren, die in AuditEvent.entity.name die entsprechende KVNR des begünstigten Patienten referenziert haben, damit ausschließlich Versicherte ihre eigenen Protokolleinträge einsehen können.
Der TI-Flow-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /AuditEvent die Ergebnisliste der AuditEvent-Ressourcen bei mehr als einem Eintrag als Ergebnis-Bundle an den Aufrufer zurückgeben, damit der Versicherte eine vollständige Einsicht in das Zugriffsprotokoll erhält.
