Authorization 授權

# Authorization 授權 - 應用範圍 -- 授權文件、數位內容、RESTful API 存取 --- 使用授權令牌( JWT) 描述授權範圍 ## 存取內容 - 文件(如 FHIR or CDA document) - FHIR and DICOMWeb API - 網頁及影音多媒體內容 ## 授權範圍 - 調閱: 特定的文件或內容 -- 以 URL + 文件或內容 id 指定 - 增刪改查: 特定的 RESTful APIs -- 以 RESTful APIs : 動作 + rootURL + resource name + resource id + parameter 限定增修改查範圍 ## 使用者登入及認證 - 登入網頁完全開放，無權限管控 - 可用 open ID 登入 ## 功能列表網頁 -- 需搭配使用者腳色，提供可用功能 -- 腳色及所屬功能資訊可由 --- 1.portal 統一提供及維護 --- 2.各網站自行維護 ## 伺服器權限管控系統 - 分主機管理及網路傳輸管理 - 伺服器(或雲端)主機需高規格資安管控 -- 如嚴格的身分證、限制遠端、可靠的備援備份等 - 網路傳輸: 正面表列許可 -- 表列開放的 port、服務、及 APIs -- 針對每次 HTTP request，基於 JWT token 內容，許可表列之 RESTful APIs ## 應用類別及授權範圍概述 - 概分為 PHR 及院內系統授權 ### PHR 應用 1. 增修改查 1.1 民眾個人裝置存取個人(或照護親友)特定資料 1.2 醫院釋出病歷資料(經民眾同意) 1.2.1 釋出病歷文件 1.2.2 resource ，如看診時段、訊息通知等 2. 調閱 2.1 目標醫院調閱被授權存取之內容 -- 含 FHIR documents、居家生理及問題狀況、問卷結果等 2.2 民眾調閱醫院釋出的病歷資料 ### 機構內應用 3. 增修改查 -- 針對各式作業流程，配合介面功能，定義授權範圍 4. 調閱 -- 調閱病人先前診治資訊 ## 現行醫院系統導入 FHIR 之整合架構(含院內、院外) - **先維持現行系統**，建構 FHIR gateway 及 server - 利於連結各式網頁，同步處理病人診治資訊 -- 全網頁或只有單一 APP 架構。以此連結到各網站伺服器，同步檢視病人資料 -- 可選定一種方案，如 URL 上加上 master patient id --- 院內可用病歷號同步資訊，院外可用匿名 PHR patient id --- 類似 FHIRcast , 但只考慮跨網站之病人資料同步(不考慮跨 APP 同步) ## 權限管控應用情境 ### 活動(或課程)報到(或點名)系統 (文榮) - 使用到的 resources -- 以 slot (若需要參考到 schedule) 表示某活動(或某堂課、某次看診) -- patient 表示活動參與人員 -- 報名(或選課)，新增 appointment -- 報到(或點名有出席)，新增 encounter - 情境 -- 1. 已報名，新增報到 2.有帳號及 patient 腳色，未報名。新增報名及報到 3. 無帳號及 patient 腳色，新增病人、報名、及報到資料(可不新增帳號資料) - 包含的網頁 - 登入網頁、appintment 列表網頁、活動報名輸入網頁 -- 1. 登入後，呈現 appintment 列表(可呈現目前 appointement，disable 其他 appointement)，點 appointement，新增報到資料 --- **後端須管控僅能新增個人的報到資料** -- 2. 登入後，~~呈現 schedule or slot 列表~~，點 appointement，新增報名及報到資料 -- 3. 提供活動報名輸入網頁連結(內含 slot 資訊)，打開後輸入姓名，新增病人、報名、及報到資料 - 網頁權限管控分析 -- 登入網頁(可與 portal 或現行系統結合) --- 帳秘驗證，若成功，回應驗證 JWT token，前端 JS 程式，JS 程式啟動連結其他功能網頁(含 token) ### ~~~~ - 分登入後點名及直接輸入姓名(及 id，單位，聯絡資訊等) - 點名紀錄寫入encouner ? -- encounter ref to appointment ref to slot ### 看診系統與各部門系統整合(如 HIS 與 FHIR 整合架構)，以此從看診系統，檢視及處理其所屬病人 - 臨床人員登入系統 - 臨床人員從看診系統查詢其所屬病人 -- 若查 FHIR server ，需配合各式狀況定義其所屬病人。若查現有門診系統，則可能有私訂之權限管控機制 - 選定病人，增修改查該病人在 FHIR server 及內容伺服器的資料，如: -- 調閱該病人就醫、診斷、用藥等紀錄 -- 調閱該病人影像 -- 新增該病人藥物、問卷表單、檢驗檢查、飲食、及運動處方 ### 後續延伸應用:針對各式作業流程，定義授權範圍，如: -- 掛號及計價管理人員存取病人聯絡資料 -- 主治醫師或個管師存取其所屬病人全部資料 -- 各部門醫護人員，基於其作業流程，存取指定病人之指定資料 ### 授課老師使用 FHIR 學習平台，檢視及處理其所屬課程及學員資訊 - 授課老師登入系統 (open id 認證) - **內容增修改查網頁** - 授課老師在**課程管理網頁**查詢及檢視其所屬課程 - 授課老師選定課程，進入**課程網頁** -- 增修及檢視該課程內容 --- 增修課程內容、作業、分組等 -- 檢視該課程學員資訊 - 進入**作業網頁** -- 查詢及檢視同學繳交的作業 -- 增修特定作業的成績及評語 ## JWT 授權範圍及發放時機 ## 授權類別 - 授權使用者可用那些網頁或 APP 功能 - 授權他人調閱(不限定使用何種 APP)個人健康紀錄 - **授權 APP 存取資料擁有者(個人或機構)健康紀錄** - **指定特定系統存取特定人員、特定 resources 的 API** ## Refs - restful api authorization scope, 1