| Table of Contents |
|---|
Загальні ствердження
Керування методами аутентифікації можливе тільки для ідентифікованих персон.
Методи аутентифікації, заявлені для персони, використовуються виключно для отримання згоди на дії із даними у системі (погодження створення/оновлення персони, створення декларації, надання доступу до даних, отримання номеру електронного рецепту чи направлення, тощо). Погодження будь-яких інших дій, наприклад, отримання згоди на операційне втручання, повинне відбуватися за існуючими правилами та протоколами поза рамками системи.За замовчуванням для ідентифікованих персон при будь-яких запитах використовується основний метод аутентифікації. Алгоритм визначення такого методу: Determination of a default authentication method
Кожний метод аутентифікації має аліас: назву, за якою персона може ідентифікувати метод (наприклад, для дитини це може бути “мати” або “тато”).
Типи методів аутентифікації: вимоги та обмеження
...
Власні методи
OTP
Один і той же номер телефону може бути встановленим як номер для аутентифікації не більше N разів (де N - конфігураційна змінна, попередньо дорівнює 1)
У однієї персони може бути тільки один метод аутентифікації із таким типом
Такий метод аутентифікації не може бути встановленим для персони, молодшої за 14 роківХ років (де Х - конфігураційна змінна, попередньо дорівнює 14)
Offline
У однієї персони може бути тільки один метод аутентифікації із таким типом
Такий метод аутентифікації не може бути встановленим для персони, молодшої за 14 Х років
OTP та Offline методи взаємно виключають один одного, тобто, у персони не може бути одночасно методів аутентифікації із типами OTP та Offline
Third person (третя персона)
...
Вказується ідентифікатор персони, яка буде авторизувати дії від імени персони, для якої вона додається як метод авторизації
Така персона має бути наявною та активною у системі та мати встановлений метод аутентифікації
Така персона має бути старшою за
14 роківТакий метод аутентифікації не може бути основним для персони, старшої за 14 роківY років (де Y - конфігураційна змінна, попередньо дорівнює 14)
Одна і та ж персона може бути встановленою як метод аутентифікації для іншої персони не більше M разів (де M - конфігураційна змінна)
Такий метод аутентифікації має строк дії який встановлюється залежно від віку персони, для якої він додається:
якщо вік персони, якій додається такий метод менше
14Х років, метод аутентифікації діє до настання
певного віку персони (14 або 18 років залежно від конфігураційної змінної)віку в Х років
якщо вік персони, якій додається такий метод більше за
14Х років, метод аутентифікації діє фіксований строк (встановлюється конфігураційною змінною, попередньо дорівнює 2 роки)
У однієї персони може бути більше одного методу аутентифікації із таким типом
Підтвердження дій над персоною,
для якої встановлено такий методза допомогою такого методу, виконується тільки за допомогою власного (OTP чи offlinе) методу
аутентифыкаціїаутентифікації третьої персони
OTP та Offline методи взаємно виключають один одного, тобто, у персони не може бути одночасно методів аутентифікації із типами OTP та Offline.
...
, незалежно від наявності чи відсутності в неї методів аутентифікації із типом “Третя персона”.
Персона, яка вказана як метод авторизації для іншої персони, має право від імені цієї персони підтверджувати дії зі створення декларації між нею та лікарем та підтвержувати запити на доступ до медичних даних такої персони.
Додавання, зміна та видалення методів аутентифікації для ідентифікованої персони
За необхідності у системі можливе виконання операцій із методами аутентифікації ідентифікованої персони. Для виконання будь-якої дії із методами аутентифікації використовується API: Create auth authentication method request. Склад запиту на дію із методом аутентифікації залежить від операції, яку необхідно виконати із методом аутентифікації.
Будь-яка дія із методами аутентифікації повинна бути підтвердженою поточним основним методом аутентифікації персони, для якої виконується дія із методом аутентифікації (API: Approve auth method request) , що визначається за алгоритмом https://e-health-ua.atlassian.net/wiki/spaces/EH/pages/622133300 і не може бути підтвердженою іншим методом аутентифікації, наявним у персони. Підтвердження відбувається із використанням API: Approve authentication method request. Надаючи код або документи, персона чи її представник, від імені персони, для якої виконується запит:
підтвержує, що є тією персоноюперсону, для якої виконуються дії із методом аутентифікації, обрано коректно
дає згоду на виконання дії із методом аутентифікації користувачеві, який виконує запит на підтвердження
Додавання методу аутентифікації із типом Third person повинно бути підтвердженим за допомогою власного методу авторизації (OTP чи Offline) персони, яка встановлюється як метод авторизації (API: Approve auth method request). Надаючи код або документи, персона:
підтвержує, що є тією персоною, яку необхідно додати як метод аутентифікації іншій персоні
дає згоду на використання її як метода аутентифікації для персони, для якої додається такий метод аутентифікації
При додаванні методів аутентифікації із типами OTP або OFFLINE, якщо у персони вже існує метод із одним із таких типив, такий метод деактивується:
заміна номеру телефону для методу із типом ОТР відбувається через додавання методу аутентифікації із відповідним типом
номер, що додається, повинен попередньо бути верифікованим у системі (АРI: OTP Verification service )
при додаванні методу аутентифікації ОТР або Offline, поточний існуючий метод аутентифікації із одним із таких типів деактивується
додати метод аутентифікації Offline за наявного активного методу ОТР неможливо, тобто зниження рівня методу аутентифікації заборонено
метод аутентифікації із типом Third person не потребує підтвердження з боку персони, яка додається як такий метод аутентифікації
Зміна методу аутентифікації:
для будь-якого методу аутентифікації можлива зміна аліасу
для метода аутентифікації OTP можлива заміна номеру телефону, при цьому поточний метод аутентифікації із таким типом деактивується та створюється новий
Видалити можливо лише метод аутентифікації із типом Third person.
якщо персона, для якої видаляється метод аутентифікації, молодша за 14 років:
видалення методу аутентифікації можливе тільки за умови, що кількість її методів аутентифікації більше 1
якщо видаляється основний метод аутентифікації, то основним автоматично встановлюється останній доданий метод аутентифікації за виключенням того методу, що видаляється
можливо змінити аліас
Видалення методу аутентифікації:
можливе лише для методів аутентифікації із типом “Третя персона” за умови, що не видаляється останній активний метод аутентифікації персони
Отримання даних про наявні методи аутентифікації
Дані про наявні методи аутентифікації персони надаються у відповідь на запити на виконання дій із персоною у системі (створення/оновлення персони, створення декларації, створення дозволу на доступ до даних, тощо), а також можуть бути отриманими за допомогою API: Get Person Authentication methods
Підтвердження дій персоною за допомогою наявних методів аутентифікації
За замовчуванням для ідентифікованих персон при будь-яких запитах на виконання дій у системі використовується наявний активний метод аутентифікації, обраний за приорітетністю:
Власний - OTP
Власний - Offline
Third person - OTP
Детально алгоритм визначення методу аутентифікації за замовчанням наведений у документі https://e-health-ua.atlassian.net/wiki/spaces/EH/pages/622133300
Скидання методів аутентифікації
У випадку, коли персона не може скористуватися методами аутентифікації (наприклад, втрачено телефон), можливе скидання методів аутентифікації силами співробітників НСЗУ через адміністративну панель на підставі звернення від персони.