如何在 FHIR 存储中进行 authorization/access 控制?
How do I do authorization/access control in FHIR store?
是否可以在 FHIR 存储中进行授权/访问控制?
让我举一个例子:
保险公司从 3 个不同的合作伙伴处收到临床信息,但公司需要为每个合作伙伴创建不同的角色。
- 因此,第一个伙伴可以获取任何患者并且POST只遇到资源。
- 第二个伙伴可以得到几个病人和POST遭遇和条件资源。
- 第三方可以获取一些患者并在条件资源中放入一些元素
每个合作伙伴将负责对保险公司进行身份验证。这可能是通过双向 TLS 证书验证、OAuth 或其他一些方式。一旦保险公司通过身份验证,临床系统将确定'authorization'该公司拥有什么。每个数据源都可以完全控制确定给定请求者有权接收的内容。理想情况下,服务器将在请求者通过身份验证后向其公开一个不同的 CapabilityStatement,以反映他们被允许执行的操作。任何不允许的请求都将导致相应的错误或导致返回的数据被适当过滤。确定发生哪种过滤由内部业务规则管理,而不是由 FHIR 定义,但在某些情况下,FHIR 资源(例如合同或同意书)可能包含会影响过滤的条款。
是否可以在 FHIR 存储中进行授权/访问控制? 让我举一个例子:
保险公司从 3 个不同的合作伙伴处收到临床信息,但公司需要为每个合作伙伴创建不同的角色。
- 因此,第一个伙伴可以获取任何患者并且POST只遇到资源。
- 第二个伙伴可以得到几个病人和POST遭遇和条件资源。
- 第三方可以获取一些患者并在条件资源中放入一些元素
每个合作伙伴将负责对保险公司进行身份验证。这可能是通过双向 TLS 证书验证、OAuth 或其他一些方式。一旦保险公司通过身份验证,临床系统将确定'authorization'该公司拥有什么。每个数据源都可以完全控制确定给定请求者有权接收的内容。理想情况下,服务器将在请求者通过身份验证后向其公开一个不同的 CapabilityStatement,以反映他们被允许执行的操作。任何不允许的请求都将导致相应的错误或导致返回的数据被适当过滤。确定发生哪种过滤由内部业务规则管理,而不是由 FHIR 定义,但在某些情况下,FHIR 资源(例如合同或同意书)可能包含会影响过滤的条款。