ADR 10; Authenticatie van Organisations voor mCSD Endpoint management

[stevenvegt]

Aanleiding

Om te zorgen dat mCDS Update Consumers weten waar ze de relevante Resources kunnen ophalen, moet een (zorg)organisatie ergens een lijst van een of meerdere (afhankelijk van #153 ) mCSD Update Suppliers registeren.

Dit kan via een API of Portaal, afhankelijk van #ADR12. Dit registratiepunt moet de organisatie kunnen autoriseren op basis van een authenticatiestap. Welk middel willen we hier voor gebruiken?

Opties

Toegang op basis van UZI server certificaten.

Hiermee is het mogelijk de zorgaanbieder betrouwbaar te identificeren. Ook is er door het gebruik van het DEZI stelsel geen apart toegangsbeheer nodig. (klopt dit? Is DEZI ook voor server certificaten?)

Server certificaten hebben echter ook nadelen:

• Aanvraag en beheer is technisch en logistiek lastig.
• Een aanpassing is niet naar een persoon terug te leiden, iedereen met toegang tot het certificaat kan de registratie aanpassen.
• Als er voor registratie van meerdere Update Suppliers wordt gekozen (afhankelijk van ADR 5; Topologie van de adresseringsfunctie #153) moeten er voor al deze partijen een server certificaat worden aangevraagd. Dit is kostbaar.

Toegang tot een portaal via eHerkenning

eHerkenning identificeert organisatie via een persoon die geregistreerd staat als beslissingsvbevoegd in het handels register. In het geval dat uit ADR 12 een voorkeur voor een portaal komt, kan deze persoon hier inloggen met eHerkenning. eHerkenning is

Toegang tot een API via eHerkenning

Indien er voor een API wordt gekozen kan een eHerkenning login omgezet worden in een access token. wat op de API gebruikt kan worden. Dit verijst wel dat er ook bij een API call altijd een persoon aanwezig is van de zorgorganisatie. Een leverancier kan dus niet zelfstandig de update supplier registratie aanpassen.