ЕСОЗ - публічна документація
Процес керування методами аутентифікації
Методи аутентифікації, заявлені для персони, використовуються виключно для отримання згоди на дії із даними у системі (погодження створення/оновлення персони, створення декларації, надання доступу до даних, отримання номеру електронного рецепту чи направлення, тощо). Погодження будь-яких інших дій, наприклад, отримання згоди на операційне втручання, повинне відбуватися за існуючими правилами та протоколами поза рамками системи.
Кожний метод аутентифікації має аліас: назву, за якою персона може ідентифікувати метод (наприклад, для дитини це може бути “мати” або “тато”).
Типи методів аутентифікації: вимоги та обмеження
Власні методи
OTP
Один і той же номер телефону може бути встановленим як номер для аутентифікації не більше N разів (де N - конфігураційна змінна, попередньо дорівнює 1)
У однієї персони може бути тільки один метод аутентифікації із таким типом
Такий метод аутентифікації не може бути встановленим для персони, молодшої за Х років (де Х - конфігураційна змінна, попередньо дорівнює 14)
Offline
У однієї персони може бути тільки один метод аутентифікації із таким типом
Такий метод аутентифікації не може бути встановленим для персони, молодшої за Х років
OTP та Offline методи взаємно виключають один одного, тобто, у персони не може бути одночасно методів аутентифікації із типами OTP та Offline
Third person (третя персона)
Вказується ідентифікатор персони, яка буде авторизувати дії від імени персони, для якої вона додається як метод авторизації
Така персона має бути наявною та активною у системі та мати встановлений метод аутентифікації
Така персона має бути старшою за Y років (де Y - конфігураційна змінна, попередньо дорівнює 14)
Одна і та ж персона може бути встановленою як метод аутентифікації для іншої персони не більше M разів (де M - конфігураційна змінна)
Такий метод аутентифікації має строк дії який встановлюється залежно від віку персони, для якої він додається:
якщо вік персони, якій додається такий метод менше Х років, метод аутентифікації діє до настання віку в Х років
якщо вік персони, якій додається такий метод більше за Х років, метод аутентифікації діє фіксований строк (встановлюється конфігураційною змінною, попередньо дорівнює 2 роки)
У однієї персони може бути більше одного методу аутентифікації із таким типом
Підтвердження дій над персоною, за допомогою такого методу, виконується тільки за допомогою власного (OTP чи offlinе) методу аутентифікації третьої персони, незалежно від наявності чи відсутності в неї методів аутентифікації із типом “Третя персона”.
Персона, яка вказана як метод авторизації для іншої персони, має право від імені цієї персони підтверджувати дії зі створення декларації між нею та лікарем та підтвержувати запити на доступ до медичних даних такої персони.
Додавання, зміна та видалення методів аутентифікації для ідентифікованої персони
За необхідності у системі можливе виконання операцій із методами аутентифікації ідентифікованої персони. Для виконання будь-якої дії із методами аутентифікації використовується API: Create authentication method request. Склад запиту на дію із методом аутентифікації залежить від операції, яку необхідно виконати із методом аутентифікації.
Будь-яка дія із методами аутентифікації повинна бути підтвердженою методом аутентифікації, що визначається за алгоритмом Determination of a default authentication method and return person's active auth_methods і не може бути підтвердженою іншим методом аутентифікації, наявним у персони. Підтвердження відбувається із використанням API: Approve authentication method request. Надаючи код або документи, персона чи її представник, від імені персони, для якої виконується запит:
підтвержує, що персону, для якої виконуються дії із методом аутентифікації, обрано коректно
дає згоду на виконання дії із методом аутентифікації користувачеві, який виконує запит
Додавання методу аутентифікації:
заміна номеру телефону для методу із типом ОТР відбувається через додавання методу аутентифікації із відповідним типом
номер, що додається, повинен попередньо бути верифікованим у системі (АРI: OTP Verification service )
при додаванні методу аутентифікації ОТР або Offline, поточний існуючий метод аутентифікації із одним із таких типів деактивується
додати метод аутентифікації Offline за наявного активного методу ОТР неможливо, тобто зниження рівня методу аутентифікації заборонено
метод аутентифікації із типом Third person не потребує підтвердження з боку персони, яка додається як такий метод аутентифікації
Зміна методу аутентифікації:
для будь-якого методу аутентифікації можливо змінити аліас
Видалення методу аутентифікації:
можливе лише для методів аутентифікації із типом “Третя персона” за умови, що не видаляється останній активний метод аутентифікації персони
Отримання даних про наявні методи аутентифікації
Дані про наявні методи аутентифікації персони надаються у відповідь на запити на виконання дій із персоною у системі (створення/оновлення персони, створення декларації, створення дозволу на доступ до даних, тощо), а також можуть бути отриманими за допомогою API: Get Person Authentication methods
Підтвердження дій персоною за допомогою наявних методів аутентифікації
За замовчуванням для ідентифікованих персон при будь-яких запитах на виконання дій у системі використовується наявний активний метод аутентифікації, обраний за приорітетністю:
Власний - OTP
Власний - Offline
Third person - OTP
Детально алгоритм визначення методу аутентифікації за замовчанням наведений у документі Determination of a default authentication method and return person's active auth_methods
Скидання методів аутентифікації
У випадку, коли персона не може скористуватися методами аутентифікації (наприклад, втрачено телефон), можливе скидання методів аутентифікації силами співробітників НСЗУ через адміністративну панель на підставі звернення від персони.
ЕСОЗ - публічна документація