Angivelse av "authorization"

[oekvennaas]

Er det konsumenten, via sin EPJ, som angir hvilken "authorization" konsumenten har i det øyeblikket forespørselen sendes? Eller skal konsumenten bare angi fødselsnummer, hvorpå HelseID vil berike token med både HPR nummer og autorisasjoner fra HPR registeret? Dersom det er det siste (HelseID beriker), hva vil da skje dersom konsumenten har flere autorisasjoner i HPR? Vil alle autorisasjonene inkluderes i aksess token?

[richardhus]

Mitt tips er at aktuell autorisasjon som man opptrer i kraft av bør komme fra konsumenten, og så er det i dag implementert en mulighet for å velge aktuell autorisasjon knyttet til innlogging i kjernejournalportalen som nok bør kunne videreføres inntil alle konsumenter støtter å avgi dette (i alle fall når vi snakker om pasientens journaldokumenter).

[steinarnoem]

• vi må sørge for å ikke blokkere for ufaglært helsepersonell i framtiden
• EPJ bør ikke legge ved HPR nummer
• vi må beskrive hva som skal skje dersom en autorisasjon ikke er gyldig
• vi må beskrive hva som skal skje dersom det finnes flere autorisasjoner/lisenser
• avklare om dersom det kun foreligger en autorisasjon i HPR kan være akseptabelt at EPJ ikke avgir informasjon om autorisasjon men kun et HPR-nummer og så beriker HelseID med autorisasjonen?
• Mens ved flere autorisasjoner i HPR så må EPJ avgi hvilken for at man skal få utstedt fra HelseID

[runegri]

HelseId autentiserer brukeren og vil berike med både fødselsnummer og hpr-nummer dersom brukeren finnes i hpr-registeret. EPJ må sende inn gjeldende HPR-autorisasjon dersom denne finnes, HelseID vil validere at denne er gyldig for brukeren.

HelseID vil oppdatere sin dokumentasjon slik at det blir tydelig for EPJ-leverandør hvordan denne informasjonen skal overføres.