C_11984_Anlage_V1.0.0
Prereleases:
C_11984 - E-Rezept: Nutzung der Akzeptanzfeatures GesundheitsID für E-Rezept
ML-160853 - E-Rezept: Nutzung der Akzeptanzfeatures GesundheitsID für E-Rezept
[<=]
Inhaltsverzeichnis
1 Änderung in gemSpec_IDP_Dienst
Der E-Rezept Authorization Server stellt nach der Nutzerauthentifizierung durch den IDP dem eRP-FdV ein (eigenes) ID-Token (Access-Token) aus. Die Festlegungen zum Inhalt sind spezifiziert in:
Alt:
A_22271-02 - Befüllen der Claims "display_name", "organizationName", "professionOID", "idNummer", "organizationIK", "acr" und "amr" nach Bestätigung durch einen sektoralen Identity Provider
Der Token-Endpunkt MUSS benötigte Attribute in Claims für das auszustellende ACCESS_TOKEN und das ID_TOKEN ausschließlich aus den entsprechenden Claims des ID_TOKEN des sektoralen Identity Provider beziehen.
Der Claim amr MUSS entsprechend des ursprünglich zur Authentisierung verwendeten Authentisierungsmittels belegt werden.
Tabelle 1: TAB_IDP_DIENST_0007 Befüllung der Attribute nach Bestätigung durch einen sektoralen Identity Provider
| Attribute | Versicherte |
|---|---|
| display_name | Vollständiger Name des Versicherten, entspricht dem claim urn:telematik:claims:display_name aus dem vom sektoralen IDP ausgestellten ID-Token |
| given_name | Vorname des Versicherten, entspricht dem claim urn:telematik:claims:given_name aus dem vom sektoralen IDP ausgestellten ID-Token |
| family_name | Familienname des Versicherten, entspricht dem claim urn:telematik:claims:family_name aus dem vom sektoralen IDP ausgestellten ID-Token |
| organizationName | Herausgeber-ID (Institutionskennzeichen), enspricht dem claim urn:telematik:claims:organization aus dem vom sektoralen IDP ausgestellten ID-Token |
| professionOID |
ProfessionOID, entspricht dem claim urn:telematik:claims:profession aus dem vom sektoralen IDP ausgestellten ID-Token. Der Wert ist immer 1.2.276.0.76.4.49 . |
| idNummer | KVNR, entspricht dem claim urn:telematik:claims:id aus dem vom sektoralen IDP ausgestellten ID-Token |
| organizationIK | Herausgeber-ID (Institutionskennzeichen), entspricht dem claim urn:telematik:claims:organization aus dem vom sektoralen IDP ausgestellten ID-Token |
| amr | "mfa" |
| acr | "gematik-ehealth-loa-high" |
[<=]
Dort ist derzeit festgelegt: amr="mfa" ; acr="gematik-ehealth-loa-high"
Damit die Akzeptanzfeatures (also Authentisierung mit GesundheitsID z.B. unter Nutzung von Biometrie) auch von Nutzern des E-Rezept FdV verwendet werden können, muss die Anforderung angepasst werden:
Neu:
A_22271-03 - Befüllen der Claims "display_name", "organizationName", "professionOID", "idNummer", "organizationIK", "acr" und "amr" nach Bestätigung durch einen sektoralen Identity Provider
Der Token-Endpunkt MUSS benötigte Attribute in Claims für das auszustellende ACCESS_TOKEN und das ID_TOKEN ausschließlich aus den entsprechenden Claims des ID_TOKEN des sektoralen Identity Provider beziehen.
Tabelle 2: TAB_IDP_DIENST_0007 Befüllung der Attribute nach Bestätigung durch einen sektoralen Identity Provider
| Attribute | Versicherte |
|---|---|
| display_name | Vollständiger Name des Versicherten, entspricht dem claim urn:telematik:claims:display_name aus dem vom sektoralen IDP ausgestellten ID-Token |
| given_name | Vorname des Versicherten, entspricht dem claim urn:telematik:claims:given_name aus dem vom sektoralen IDP ausgestellten ID-Token |
| family_name | Familienname des Versicherten, entspricht dem claim urn:telematik:claims:family_name aus dem vom sektoralen IDP ausgestellten ID-Token |
| organizationName | Herausgeber-ID (Institutionskennzeichen), entspricht dem claim urn:telematik:claims:organization aus dem vom sektoralen IDP ausgestellten ID-Token |
| professionOID |
ProfessionOID, entspricht dem claim urn:telematik:claims:profession aus dem vom sektoralen IDP ausgestellten ID-Token. Der Wert ist immer 1.2.276.0.76.4.49 . |
| idNummer | KVNR, entspricht dem claim urn:telematik:claims:id aus dem vom sektoralen IDP ausgestellten ID-Token |
| organizationIK | Herausgeber-ID (Institutionskennzeichen), entspricht dem claim urn:telematik:claims:organization aus dem vom sektoralen IDP ausgestellten ID-Token |
| amr | amr-Wert aus dem ID-Token des sektoralen IDP |
| acr | acr-Wert aus dem ID-Token des sektoralen IDP ("gematik-ehealth-loa-high" oder "gematik-ehealth-loa-substantial") |
[<=]
2 Änderung in gemSpec_FD_eRp
Für den E-Rezept Fachdienst fordert A_19439-02 immer ein Authentifizierungsniveau "gematik-ehealth-loa-high":
Alt:
A_19439-02 - E-Rezept-Fachdienst - Authentifizierung Authentifizierungsstärke
Der E-Rezept-Fachdienst MUSS die Authentisierungsstärke der Nutzerauthentisierung anhand des Attributs acr des im HTTP-Header "Authorization" übergebenen ACCESS_TOKEN feststellen und einen anderen Wert als bzw. ein Authentifizierungsniveau unterhalb von "gematik-ehealth-loa-high" mit dem HTTP-Status-Code 401 ablehnen. [<=]
Zur Nutzung der Akzeptanzfeatures ist auch hier eine Anpassung notwendig:
Neu:
A_19439-03 - E-Rezept-Fachdienst - Authentifizierung Authentifizierungsstärke
Der E-Rezept-Fachdienst MUSS die Authentisierungsstärke der Nutzerauthentisierung anhand der Kombinationen von Attributen gemäß TAB_eRPFD_027 des im HTTP-Header "Authorization" übergebenen ACCESS_TOKEN feststellen und ACCESS_TOKEN mit anderen als den zulässigen Kombinationen mit dem HTTP-Status-Code 401 ablehnen.
Tabelle 3 : TAB_eRPFD_027 Authentifizierungsstärke
| professionOID | acr | amr |
|---|---|---|
| beliebig | gematik-ehealth-loa-high | beliebig |
| oid_versicherter | gematik-ehealth-loa-substantial | urn:telematik:auth:mEW |
3 Änderungen in Steckbriefen
Anmerkung: Die Anforderungen der folgenden Tabelle stellen einen Auszug dar und verteilen sich innerhalb der Tabelle der Originaldokumente. Alle Anforderungen der Tabelle des Originaldokuments, die in der folgenden Tabelle nicht ausgewiesen sind, bleiben unverändert bestehen.
3.1 Änderungen in gemProdT_IDP-Dienst_PTV
Tabelle 4: Anforderungen zur funktionalen Eignung "Produkttest/Produktübergreifender Test"
| Afo-ID |
Afo-Bezeichnung |
Quelle (Referenz) |
|---|---|---|
| A_22271-02 | Befüllen der Claims "given_name", "family_name", "organizationName", "professionOID", "idNummer", "organizationIK", "acr" und "amr"Befüllen der Claims "display_name", "organizationName", "professionOID", "idNummer", "organizationIK", "acr" und "amr" nach Bestätigung durch einen sektoralen Identity Provider | gemSpec_IDP_Dienst |
| A_22271-03 | Befüllen der Claims "given_name", "family_name", "organizationName", "professionOID", "idNummer", "organizationIK", "acr" und "amr"Befüllen der Claims "display_name", "organizationName", "professionOID", "idNummer", "organizationIK", "acr" und "amr" nach Bestätigung durch einen sektoralen Identity Provider | gemSpec_IDP_Dienst |
3.2 Änderungen in gemProdT_eRp_FD_PTV
Tabelle 5: Anforderungen zur sicherheitstechnischen Eignung "Produktgutachten"
| Afo-ID |
Afo-Bezeichnung |
Quelle (Referenz) |
|---|---|---|
| A_19439-02 | E-Rezept-Fachdienst - Authentifizierung Authentifizierungsstärke | gemSpec_FD_eRp |
| A_19439-03 | E-Rezept-Fachdienst - Authentifizierung Authentifizierungsstärke | gemSpec_FD_eRp |