steinarnoem
commented
7 months ago Tanken bak "toa" er å synliggjøre tidspunktet for den lokale tilgangsbeslutningen hos konsumenten, slik at man kan definere kriterier for vurdering av levetiden til en attestering. På grunn av at det i dagens løsning ikke er HelseID som samler informasjonen i attesten er datostempling og levetid på access tokens bare relevant i vurderingen av selve access tokenet i APIet. Det er de enkelte tjenestene (http-api'ene) som kalles av konsumenten som utsteder en stemplet versjon av attesten. Disse tjenestene må derfor være i stand til å vurdere om konsumentens attestering er "fersk" nok når informasjonen skal kombineres med resten av informasjonen som skal utgjøre den komplette attesten.
Kan formålet med TOA skrives tydeligere, slik at det blir mulig å vurdere hva som er riktig tidspunkt å sette og hva det betyr for de som skal forholde seg til det i etterkant?
Tidspunkt for attestering opplever jeg å være tidspunktet for når Helseid utsteder et token som inneholder attesten, altså når Helseid attesterer i form av å signere tokenet, men ut fra muntlig forklaring skjønte jeg at det ikke er riktig. Er det tidspunktet for "aktivering" av pasienten, altså tidspunktet man besluttet seg tilgang i lokalt EPJ, eller tidspunktet man etablerer attesten som skal formidles til HelseID for attestering, altså når lokalt EPJ "attesterer" informasjonspakken som skal til HelseID for å få et token som igjen er attestert av HelseID i form av at det bekreftes at innholdet kommer fra en HelseID-klient vi stoler på...