C_12305_Anlage_V1.0.0
Prereleases:
C_12305_Anlage
Inhaltsverzeichnis
1 Änderungsbeschreibung
Bei der Erteilung des User Consent im eRp-FdV werden die Claims dargestellt, zu denen Versicherte ihr Einverständnis für die Nutzung durch den E-Rezept-Fachdienst erteilen.
Aktuell sind alle Claims abwählbar. Bei Verweigerung der Zustimmung erhält der E-Rezept-Fachdienst nicht die notwendigen Informationen, um die Anwendungsfälle ausführen zu können. Deshalb müssen zwingend notwendige Claims als nicht abwählbar (essential) markiert werden. Bei Ablehnung durch den Versicherten endet der Prozess, der E-Rezept-Fachdienst wird nicht mehr aufgerufen.
2 Änderung in gemSpec_IDP_Dienst
Alt:
A_23687-01 - Pushed Authorization-Request des IDP-Dienstes an sektorale Identity Provider
Wenn der Authorization Request einen Parameter idp_iss mit dem Identifikator eines sektoralen Identity Provider enthält, MUSS der IDP-Dienst selbst als Client einen Pushed Authorization Request (PAR) gemäß [gemSpec_IDP_FD#AF_10117] direkt an den zugehörigen sektoralen Identity Provider stellen. Hierbei sind die folgenden Parameter zu verwenden:
| Parameter | Wert | Anmerkung |
|---|---|---|
| client_id | "https://idp.app.ti-dienste.de" | Identifier des IDP-Dienstes als Relying Party innerhalb der Föderation |
| state | dynamisch und zufällig zu erzeugen | Diesen State verwendet der IDP-Dienst, um die später erhaltene Antwort zuzuordnen. |
| redirect_uri | Übernahme der redirect_uri aus dem initialen GET Request des Anwendungsfrontends
|
Die Adresse des Authorization Endpunkt zur Annahme der Antwort vom sektoralen IDP ist die redirect_uri aus der Anfrage des Clients.
Die zu der E-Rezept-App gehörige uri ist z.B. https://das-e-rezept-fuer-deutschland.de/extauth. |
| code_challenge | mit der Methode "S256" erzeugter Hash des Code Verifier |
|
| code_challenge_method | "S256" |
|
| response_type | code |
|
| nonce | dynamisch und zufällig zu erzeugen | Nonce für das vom sektoralen IDP-Dienst zu erzeugende ID-Token |
| scope | "openid urn:telematik:display_name
urn:telematik:versicherter" |
Notwendige Scopes für den Zugriff für die Autorisierung von Nutzern am E-Rezept Fachdienst |
| acr_values | "gematik-ehealth-loa-high" | Angefordertes Niveau der Nutzerauthentisierung |
Neu:
A_23687-02 - Pushed Authorization Request des IDP-Dienstes an sektorale Identity Provider
Wenn der Authorization Request einen Parameter idp_iss mit dem Identifikator eines sektoralen Identity Provider enthält, MUSS der IDP-Dienst selbst als Client einen Pushed Authorization Request (PAR) gemäß [gemSpec_IDP_FD#AF_10117] direkt an den zugehörigen sektoralen Identity Provider stellen. Hierbei sind die folgenden Parameter zu verwenden:
| Parameter | Wert | Anmerkung |
|---|---|---|
| client_id | "https://idp.app.ti-dienste.de" | Identifier des IDP-Dienstes als Relying Party innerhalb der Föderation |
| state | dynamisch und zufällig zu erzeugen | Diesen State verwendet der IDP-Dienst, um die später erhaltene Antwort zuzuordnen. |
| redirect_uri | Übernahme der redirect_uri aus dem initialen GET Request des Anwendungsfrontends
|
Die Adresse des Authorization-Endpunkt zur Annahme der Antwort vom sektoralen IDP ist die redirect_uri aus der Anfrage des Clients.
Die zu der E-Rezept-App gehörige uri ist z.B. https://das-e-rezept-fuer-deutschland.de/extauth. |
| code_challenge | mit der Methode "S256" erzeugter Hash des Code Verifier |
|
| code_challenge_method | "S256" |
|
| response_type | code |
|
| nonce | dynamisch und zufällig zu erzeugen | Nonce für das vom sektoralen IDP-Dienst zu erzeugende ID-Token |
| scope | "openid urn:telematik:display_name
urn:telematik:versicherter" |
Notwendige Scopes für den Zugriff für die Autorisierung von Nutzern am E-Rezept-Fachdienst |
| claims | {"id_token": {
"urn:telematik:claims:profession": {"essential": true}, "urn:telematik:claims:display_name": {"essential": true}, "urn:telematik:claims:organization": {"essential": true}, "urn:telematik:claims:id": {"essential": true} }} URL-encoded: "claims= %7B%22id_token %22%3A%20%7B%C2%A0%20%22urn%3Atelematik%3Aclaims%3Aprofession %22%3A%C2%A0%7B%22essential%22%3A%20true %7D%2C%C2%A0%20%22urn%3Atelematik%3Aclaims%3Adisplay_name %22%3A%C2%A0%7B%22essential%22%3A%20true %7D%2C%C2%A0%20%22urn%3Atelematik%3Aclaims%3Aorganization %22%3A%C2%A0%7B%22essential%22%3A%20true %7D%2C%C2%A0%20%22urn%3Atelematik%3Aclaims%3Aid %22%3A%C2%A0%7B%22essential%22%3A%20true %7D%C2%A0%7D%7D" |
Claims, welche für die Ausführung des E-Rezept-Fachdienstes zwingend erforderlich sind. Die Verweigerung der Zustimmung durch die Nutzer führt dazu, dass der E-Rezept-Fachdienst nicht ausgeführt wird. |
| acr_values | "gematik-ehealth-loa-high" | Angefordertes Niveau der Nutzerauthentisierung |