Elektronische Gesundheitskarte und Telematikinfrastruktur

Konzept TI-Föderation

Version
1.0.0_CC
Revision
1613623
Stand
28.05.2026
Status
zur Abstimmung freigegeben
Klassifizierung
öffentlich_Entwurf
Referenzierung
gemKPT_TI-Föderation

Dokumentinformationen

Gender-Hinweis
Aus Gründen der besseren Lesbarkeit wird in diesem Dokument überwiegend die männliche Form verwendet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

Änderungen zur Vorversion

Es handelt sich um eine Erstveröffentlichung.

Dokumentenhistorie

Inhaltsverzeichnis

1 Einordnung des Dokuments

1.1 Zielsetzung

Das Dokument beschreibt den Aufbau der TI-Föderation gemäß des Standards [OpenID Federation 1.1]. Die TI-Föderation ist der Vertrauensraum für eine Anwendungslandschaft im Gesundheitsheitswesen. Ziele dieses Vertrauensraum sind

• die Erhöhung der Sicherheit in der Kommunikation der Teilnehmer des Vertauensraum untereinander durch Einsatz etablierter und standardisierter Identifikations- und Authentisierungsverfahren
• die Reduktion der Komplexität von notwendigen Vertrauensbeziehungen durch Bildung von Vertrauensketten
• die Nutzung standardisierter Features zur Umsetzung von Vertrauensregeln (Policies) und Nachweisen (TrustMarks)

Die TI-Föderation bildet die Möglichkeit Technologie unabhängig die Authentifizierung von Anwendungen und Nutzern in einem Vertrauensraum abzubilden.

1.2 Zielgruppe

Das Dokument richtet sich an

• Hersteller, die Komponenten der TI-Föderation herstellen
• Anbieter, die Komponenten der TI-Föderation betreiben
• Architekten der gematik für das Verständnis des Vertrauensraum und die potentielle Nutzung für die Produkte der TI 2.0
• Sicherheitsexperten der gematik zur Bewertung der IT-Sicherheit der Gesundheitsanwendungen in der TI-Föderation
• Betriebsexperten der gematik zur Bewertung und Erfassung betrieblicher Rahmenbedingungen und Anforderungen
• Aufsichtsbehördern und Gesellschafter zur fachlichen und technischen Bewertung

1.3 Geltungsbereich

Wichtiger Schutzrechts-/Patentrechtshinweis

Die nachfolgende Spezifikation ist von der gematik allein unter technischen Gesichtspunkten erstellt worden. Im Einzelfall kann nicht ausgeschlossen werden, dass die Implementierung der Spezifikation in technische Schutzrechte Dritter eingreift. Es ist allein Sache des Anbieters oder Herstellers, durch geeignete Maßnahmen dafür Sorge zu tragen, dass von ihm aufgrund der Spezifikation angebotene Produkte und/oder Leistungen nicht gegen Schutzrechte Dritter verstoßen und sich ggf. die erforderlichen Erlaubnisse/Lizenzen von den betroffenen Schutzrechtsinhabern einzuholen. Die gematik GmbH übernimmt insofern keinerlei Gewährleistungen.

1.4 Abgrenzung des Dokuments

Diese Dokument enthält keine konkreten Anforderungen an ein Produkt der TI-Föderation. Diese Anforderungen sind in den Spezifikationsdokumenten der Produktypen [gemSpec_IDP_FedMaster] und [gemSpec_IDP_Sek] sowie in [gemSpec_IDP_FD] zur Berücksichtigung in den Produkttypen der Fachdienste beschrieben. 

Das Dokument beschreibt nicht allumfassend, wie Komponenten außerhalb der TI-Föderation mit den Komponenten der TI-Föderation interagieren bzw., wie Artefakte (z.B. ID-Token, Access-Token) außerhalb der TI-Föderation zu verwenden sind.

1.5 Methodik

1.5.1 Technische Beschreibung

Das Dokument beschreibt die technischen Konzepte der TI-Föderation auf verschiedenen Abstraktionsebenen:

• Beteiligte technische Systeme und deren Aufgaben
• Schnittstellen zwischen den Systemen
• Schnittstellen zu Systemen außerhalb der TI-Föderation
• Schnittstellen zu Nutzern

Die technische Beschreibung erfolgt auf verschiedenen Granularitätsebenen mit unterschiedlichen Sichten auf die Gesamtarchitektur.

1.5.2 Normative Festlegungen

Das Konzeptdokument enthält keine normativen Festlegungen. Die normativen Festlegungen der beteiligten Systeme sind in den betreffenden Spezifikationen beschrieben:

• gemSpec_IDP_FedMaster - Anforderungen an Trust Anchor und Intermediate (Superior Entity) und allgemeine Anforderungen an Teilnehmer der TI-Föderation
• gemSpec_IDP_Sek - Anforderungen an sektorale Identity Provider (OpenID Provider)
• gemSpec_IDP_FD - Anforderungen an Fachdienst Authorization Server (OpenID Relying Party) und Fachdienst Resources (OAuth Protected Resource)

1.5.3 Hinweis auf offene Punkte <<optional, nur bis einschl. Abstimmphase >>

2 Fachliche & technische Rahmenbedingungen

2.1 Fachliche Grundlagen

2.1.1 Begriffsbestimmungen

Zum weiteren Verständnis ist es notwendig zunächst die wesentlichen Begrifflichkeiten zu klären.

Identität: Eine Identität ist eine Menge von Identitätsattributen, die einer [Person oder Organisation] zugeordnet sind. Eine eindeutige Identität ist eine Identität, die innerhalb eines bestimmten Anwendungskontextes die zugehörige Entität eindeutig repräsentiert, unterschiedliche Entitäten haben unterschiedliche eindeutige Identitäten. Eine Identität (das heißt eine Menge von Identitätsattributen), die innerhalb eines Anwendungskontextes eindeutig ist, ist dies nicht notwendigerweise auch in einem anderen Kontext. (BSI TR-03107)

Attribut: Ein Identitätsattribut oder ein Identitätsdatum ist eine Charakteristik oder eine Eigenschaft einer Entität. Beispiele für Identitätsattribute einer natürlichen Person sind Name, Geburtsdatum oder die Eigenschaft, ein bestimmtes Alter erreicht zu haben. Identitätsattribute von Behörden umfassen etwa Bezeichnung der Behörde oder deren Webadresse. (BSI TR-03107)

Authentisierung/Authentifizierung: „Authentifizierung“ ist ein elektronischer Prozess, der die Bestätigung der elektronischen Identifizierung einer natürlichen oder juristischen Person oder die Bestätigung des Ursprungs und der Unversehrtheit von Daten in elektronischer Form ermöglicht. (eIDAS)

Eine Authentisierung ist das Versehen einer Identität oder anderer übermittelter Daten mit Metadaten, die es einer vertrauenden Entität ermöglichen, die Herkunft, Echtheit und Gültigkeit der Identität oder der Daten zu überprüfen. Der Überprüfungsvorgang durch die vertrauende Entität ist die Authentifizierung der Identität/der Daten. (BSI TR-03107)

Authentisierungsmittel: Authentisierungsmittel sind technische Mittel, die es dem Inhaber erlauben, eine Identität (das heißt eine Menge von Identitätsattributen) oder andere Daten zu authentisieren. Beispiele für Authentisierungsmittel sind Passwörter, der Personalausweis oder kryptographische Token. Sind mehrere technische Mittel notwendig (etwa Chipkarte und PIN), so besteht das vollständige Authentisierungsmittel aus mehreren Authentisierungsfaktoren. (BSI TR-03107).

Multifaktor-Authentisierung: Multifaktor-Authentisierung ist eine Form der Authentisierung, bei welcher zur Identitätsbestätigung mehrere unabhängige Merkmale (Faktoren) überprüft werden. Üblicherweise werden für eine Zwei-Faktor-Authentisierung unterschiedliche Merkmale aus Wissen, Besitz, Biometrie, Standort miteinander kombiniert. Am häufigsten kommt im Bereich der mobilen Anwendungen die Kombination aus Faktor Besitz (repräsentiert durch das Smartphone) und Faktor Biometrie (z. B. durch FaceID oder TouchID) bzw. Faktor Wissen (z. B. eine PIN) zum Einsatz.

Enrolment: Das Enrolment ist die Registrierung einer Entität in einem Authentisierungssystem, meist verbunden mit einer Identitätsprüfung, die in der Ausgabe von Authentisierungsmitteln mündet. (BSI TR-03107)

Identifizierung: Eine Identifizierung ist die Übermittlung von anwendungsbezogen geeigneten Identitätsattributen (einer Identität), einschließlich authentisierender Metadaten (Authentisierung), sowie die Überprüfung (Authentifizierung) dieser Identität durch die vertrauende Entität. (BSI TR-03107)

Identifizierungsdiensteanbieter: Diensteanbieter, deren Dienst darin besteht, für einen Dritten eine einzelfallbezogene Identifizierungsdienstleistung mittels des elektronischen Identitätsnachweises nach § 18 zu erbringen (§ 2 Abs. 3a PAuswG).

Autorisierung: Die Autorisierung einer Entität ist die Zuordnung und Überprüfung von Rechten zu einer Entität, zum Beispiel Zugriffsrechte oder das Recht, eine bestimmte Anwendung zu nutzen. Eine Autorisierung erfolgt immer anwendungsbezogen […]. (BSI TR-03107)

2.1.2 Technische Grundlagen

Für ein grundlegendes Verständnis des Konzeptes des föderierten Identitätsmanagements werden in diesem Kapitel zunächst die Grundlagen des eingesetzten Authentifizierungsprotokolls und die relevanten technischen Parameter kurz erläutert. Unter einem Authentifizierungsprotokoll versteht man im Allgemeinen eine Reihe an Befehlen, die zur Verifizierung einer Nutzeridentität zwischen zwei Entitäten verwendet werden. Für unterschiedliche Einsatzszenarien haben sich verschiedene Authentifizierungsprotokolle und De-Facto-Standards etabliert. Im Rahmen der Mensch-zu-Gerät-Authentisierung in der Telematikinfrastruktur wird das sog. OpenID Connect Protokoll verwendet, welches auf dem sog. OAuth 2.0-Standard basiert und diesen um Informationen zur Identität über Attribute erweitert.

OAuth 2.0: Hinter dem Begriff verbirgt sich ein Autorisierungsdienst, welcher es einem registrierten Nutzer ermöglicht, die Kontrolle über die Art und den Umfang der von ihm erteilten Freigaben zu steuern. Der Benutzer kann mittels OAuth der anfragenden Drittanwendung (dem sog. „Client“) erlauben, auf Daten des Nutzers auf einem Resource-Server (z. B. Bilder, Dokumente, u.ä.) zuzugreifen. Dazu authentisiert ein Authorization-Server den Nutzer z. B. mit username + Passwort und fordert von ihm die Erlaubnis (Consent) für den Zugriff des Client auf die Resource ein. Für den Zugriff auf die Daten des Nutzers vom Resource-Server erhält der Client ein Access-Token, welches dieser bei jedem Aufruf des Resource-Server mit übertragen muss. Vor Herausgabe der Daten prüft der Resource-Server durch eine Abfrage beim Authorization-Server, ob die Datenherausgabe an den Client legitim ist. OAuth 2.0 unterstützt scopes (Gruppe von Informationen), allerdings ohne diese weiter zu benennen. OAuth 2.0 kümmert sich ausschließlich um die Autorisierung von Zugriffen durch einen Nutzer, nicht aber um dessen Authentifizierung.

OpenID Connect (OIDC): Der OIDC-Standard erweitert OAuth 2.0 um die Fähigkeit der Nutzer-Authentisierung. Neben dem Zugriffstoken (Access-Token) liefert die Erweiterung OIDC nach erfolgreicher Nutzer-Authentisierung einen ID-Token, welche Informationen (claims) zum Nutzer selbst enthält. Claims sind Eigenschaftsattribute (z. B. der Vorname oder die Mailadresse). Die Zusammenfassungen von claims zu logischen Gruppen werden als scopes bezeichnet. Diese Identitätsdaten des Nutzers werden von einem Identity Provider in dem ID-Token verpackt und als JSON Web Token (JWT) einem anfragenden Client zur Verfügung gestellt.

2.1.3 Identifikationsmittel und -systeme

Es gibt je nach Schutzbedarf und Regulierungsniveau der zu verwendenden Anwendung unterschiedliche Möglichkeiten, eine Identifizierung des Nutzers durchzuführen. Gesundheitsdaten weisen nach DSGVO einen besonders schützenswerten Charakter auf. Folglich muss bei deren Zugriff zweifelsfrei sichergestellt sein, dass dieser nur durch berechtigte Personen möglich ist. Hierfür gibt es in Deutschland unterschiedliche hoheitliche Identifikationssysteme mit einer jeweiligen Zweckbindung. Sie dienen dazu, eine Person oder ein Objekt eindeutig innerhalb eines Nutzungskontextes zu identifizieren. Im Kontext des Gesundheitswesens dient die Gesundheitskarte mit zugehöriger Krankenversichertennummer als Identifikationsmittel mit entsprechender Zweckbindung. Diese kann über einen Chip entweder kontaktbehaftet oder mit NFC Funktionalität und einem auf ihr enthaltenen Lichtbild für Vor-Ort-Identifizierung bzw. eine PIN für eine Identifizierung online und vor Ort eingesetzt werden. Des Weiteren stellt der neue Personalausweis bzw. der elektronische Aufenthaltstitel bzw. die ID-Karte für EU/EWR-Bürger/innen mit integrierter eID-Funktionalität ein universell einsetzbares Identifikationssystem dar. Zu dessen digitaler Verwendung muss die zugehörige PIN durch den Nutzer freigeschaltet werden. Auf Basis des Personalausweises existieren unterschiedliche Identifizierungsverfahren. Das sicherste Verfahren ist das Online-Ausweisident-Verfahren, bei welchem das Auslesen des Datensatzes mittels NFC-Schnittstelle über die Eingabe der PIN abgesichert wird.

2.2 Die Ausgangslage im deutschen Gesundheitswesen

Die Telematikinfrastruktur (TI) ist die Plattform für Gesundheitsanwendungen in Deutschland. Millionen Versicherte profitieren durch die digitalen Anwendungen der TI von einer verbesserten medizinischen Versorgung. Ziel und Aufgabe der gematik ist es, diese Infrastruktur auszubauen, zu modernisieren und so fit für das digitale Gesundheitswesen der Zukunft zu machen.

Im Jahr 2005 wurde mit dem Aufbau der Telematikinfrastruktur durch die gematik begonnen. Mit dem Whitepaper zur Telematikinfrastruktur 2.0 wurde 2020 von der gematik ein Impuls veröffentlicht, die TI als zukunftsfähige Arena für digitale Medizin voranzutreiben.

Die Architektur der TI 2.0 basiert demnach auf sechs fundamentalen Säulen:

1. Einem föderierten Identitätsmanagement, weil mit dieser "Brücke" mehr Flexibilität und Nutzerfreundlichkeit durch die einfache Nutzung von Identitätsbestätigungen der TI für eigene digitale Angebote der Nutzergruppen möglich ist.
2. Der universellen Erreichbarkeit der Dienste, weil der Wegfall proprietärer IT-Lösungen (z. B. Konnektor) Kosten senkt und den Betrieb stabilisiert.
3. Einer modernen Sicherheitsarchitektur, weil diese die eigenständige Bereitstellung von Diensten durch unterschiedliche Anbieter ermöglicht und sowohl sicherer als auch effizienter ist.
4. Verteilten Diensten, weil aus Sicht optimierter Versorgungsprozesse die Verknüpfung von Daten aus verschiedenen Quellen notwendig ist.
5. Interoperabilität und strukturierte Daten, weil die anwendungsfallbezogene Versorgung und Forschung eine Verbesserung der Datenqualität erfordert. Standardbasierte strukturierte Daten und Schnittstellen erhöhen die Verfügbarkeit bei Produkten und Services.
6. Einem automatisiert verarbeitbaren Regelwerk der TI, weil eine automatisierte Überprüfung der Sicherheit und des Datenschutzes sowie der Interoperabilität und Verfügbarkeit das Vertrauen in die TI stärken.

Das vorliegende Dokument stellt die spezifikatorische Grundlage für die erste Säule des föderierten Identitätsmanagements.

Zu deren Verständnis werden im weiteren Verlauf dieses Kapitels zunächst die elementaren Grundpfeiler des Identitätsmanagements im Gesundheitswesen vorgestellt und soweit notwendig erläutert.

2.2.1 Identitätsherausgeber, Identitätsträger und Trust Service Provider

Unter Identitätsherausgeber versteht man diejenigen Instanzen, welche die Datenhoheit über die (digitalen) Identitäten und deren zugehörige Attribute besitzen. Für unterschiedliche Sektoren gibt es unterschiedliche Identitätsherausgeber, welche im SGB V geregelt werden. Je Sektor existieren spezifische Identitätsträger, welche in der Telematikinfrastruktur 1.0 über Smartcards repräsentiert werden und in der TI 2.0 durch digitale Identitäten bereitgestellt werden sollen.

Im gesetzlichen Versichertensektor agieren die Krankenkassen als Identitätsherausgeber, welche für ihre Versicherten die elektronische Gesundheitskarte als Identitätsträger herausgeben. Die gesetzliche Grundlage hierfür bildet §291 SGB V. In Deutschland gibt es derzeit rund 95 gesetzliche Krankenkassen (Stand 01.01.2026). Jede Kasse ist selbst für die Ausgabe der Identitätsträger zuständig. Eine Ausgabe von elektronischen Gesundheitskarten als Identitätsträger durch private Krankenversicherer und sonstige Kostenträger gibt es derzeit nicht. 

Im Leistungserbringerbereich wird die Identitätsherausgabe, im engeren Sinne die Ausgabe von elektronischen Heilberufs- und Berufsausweisen sowie von Komponenten zur Authentifizierung von Leistungserbringerinstitutionen, in § 340 SGB V geregelt. In der praktischen Umsetzung ergibt sich hieraus die Zuständigkeit für die Herausgabe der elektronischen Heilberufsausweise durch die Kammern auf Landesebene (z. B. Landesärztekammern, Landeszahnärztekammern, Psychotherapeutenkammern, Apothekerkammern, Handwerkskammern). Darüber hinaus übernehmen die gematik und das elektronische Gesundheitsberufsregister (eGBR) für ausgewählte Gruppen die Rolle des Identitätsherausgebers, sodass sich in Summe für den Identitätsträger eHBA rund 100 Identitätsherausgeber ergeben. Die Herausgabe der SMC-Karte als Identitätsträger für Leistungserbringerinstitutionen übernehmen je Sektor die Kassenärztlichen Vereinigungen, Kassenzahnärztliche Vereinigungen, Apothekerkammern, DKTIG, gematik, Gesundheitsberufsregister und Handwerkskammern. Hier agieren in Summe rund 70 Identitätsherausgeber für den Identitätsträger der SMC-B-Karte.

Mit der Bereitstellung der Identitätsträger werden bei Bedarf sog. Trust Service Provider beauftragt. Ein Trust Service Provider oder Vertrauensdiensteanbieter ist eine Organisation, welche digitale Zertifikate bereitstellt, um elektronische Signaturen zu erstellen und zu validieren und ihre Unterzeichner im Allgemeinen zu authentifizieren.

Elektronische Gesundheitskarte (eGK)

Die elektronische Gesundheitskarte (eGK) ist eine personenbezogene Smartcard. Die eGK gilt seit Anfang 2015 als ausschließlicher Krankenversicherungsnachweis für gesetzlich Versicherte. Neben den kryptographischen Schlüsseln und dazugehörigen Zertifikaten zur Authentisierung gegenüber der TI dient sie abhängig des Ausgabezeitpunktes auch als dezentraler Speicher für die Datensätze Notfalldaten-Management, Datensatz Persönliche Erklärung, Organspendeerklärung, E-Medikationsplan und den Versichertenstammdaten (gemäß §291 Absatz 2 Nummer 3 SGB V ermöglicht die eGK - sofern sie nach dem 1. Januar 2023 ausgestellt wurde, nur noch die Speicherung von Daten nach § 291a Absatz 2 Nummer 1 bis 3 und 6). 

Elektronischer Heilberufsausweis (HBA)

Der elektronische Heilberufsausweis ist eine personenbezogene Smartcard, welche an Leistungserbringer wie Ärzte, Zahnärzte oder Apotheker ausgegeben wird. Er enthält das kryptographische Schlüsselmaterial und die zugehörigen Zertifikate zur Authentisierung gegenüber der TI, zum Ausstellen einer qualifizierten elektronischen Signatur für die E-Rezept-Ausstellung, die Signatur von KIM-Nachrichten, Notfalldaten und dem elektronischen Arztbrief sowie der Verschlüsselung, Entschlüsselung und Umschlüsselung von Nachrichten.

Institutionsbezogene Identität SM(C)-B

Die Security Module (Card) Typ B ist eine institutionsbezogene Identität, welche an eine Smartcard oder als Zertifikatsbundle gekoppelt herausgegeben wird. Sie repräsentiert eine Institution innerhalb der TI und sie stellt Zertifikate für Authentisierung, Ver-, Ent- und Umschlüsselung sowie elektronische Signaturen zur Verfügung. 

2.2.2 Der Weg zur TI 2.0

Die drei genannten Smartcard-Typen stellen in der Telematikinfrastruktur 1.0 die primären Identitätsträger dar. Jedoch bringt die Anwendung (ausschließlich) kartenbasierter Identitätsträger eine Reihe an Nachteilen und Einschränkungen mit sich. Als wesentliche Grenzen seien an dieser Stelle genannt:

• Smartcards schränkten die Usability ein, insbesondere im Einsatz mit mobilen Endgeräten
• In mobilen Szenarien ist die Einsetzbarkeit von Smartcards abhängig von der Gerätehardware (Vorhandensein und Platzierung des NFC-Moduls)
• Änderungen an Rollen oder Attributen in Zertifikaten auf Smartcards können nur schwer nachgerüstet werden. Für neue Nutzergruppen müssen neue Smartcards durch Herausgeber und TSPs bereitgestellt werden. Insbes. unter den aktuellen Lieferengpässen von Hardware und Chipkarten stellt dies eine große Einschränkung der Nutzeranbindung dar.
• Lange (Wieder-)beschaffungszeiten, insbesondere bedingt durch den aktuellen Engpass von Chipkarten.

Auch auf Seite des Gesetzgebers wurden diese Einschränkungen erkannt und die Einführung digitaler Identitäten vorgesehen. Die Konzeption der digitalen Identitäten strebt an, die Gesamtheit der relevanten Use Cases in Bezug auf die Authentisierung zu betrachten, welche zuvor für den aktuellen Einsatz der Smartcards vorgestellt wurden. Diese sollen auch um die Einsatzszenarien der digitalen Identitäten erweitert werden. 

Darüber hinaus kommen mit gSMC-K und gSMC-KT zwei gerätespezifische Sicherheitsmodulkarten in der TI zum Einsatz. Für das föderierte Identitätsmanagement finden diese jedoch keine Anwendung und werden deswegen nicht weiter betrachtet.

2.2.3 Gesetzliche Rahmenbedingungen

In diesem Kapitel folgt eine Übersicht über die relevantesten rechtlichen Grundlagen der vorliegenden Konzeption. Sie erhebt keinen Anspruch auf Vollständigkeit. Zum 01.01.2023 trat das Krankenhauspflegeentlastungsgesetz (KHPflEG) in Kraft, welches zu einer Änderung der §§291 und 340 SGB V führte. Die Neuerungen finden bereits Berücksichtigung in diesem Kapitel. 

Die Begründung der verpflichtenden Einführung der digitalen Identitäten im Gesundheitswesen findet sich im fünften Sozialgesetzbuch. Hier heißt es:

„Spätestens ab dem 1. Januar 2024 stellen die Krankenkassen den Versicherten ergänzend zur elektronischen Gesundheitskarte auf Verlangen eine sichere digitale Identität für das Gesundheitswesen barrierefrei zur Verfügung, die die Vorgaben nach Absatz 2 Nummer 1 und 2 erfüllt und die Bereitstellung von Daten nach § 291a  Absatz 2 und 3 durch die Krankenkassen ermöglicht.“ (§291 Absatz 8 Satz 1 SGB V).

Eine analoge Vorgabe für Leistungserbringer und deren Institutionen findet sich in Paragraph 340:

„(6) Spätestens ab dem 1. Januar 2024 haben die Stellen nach Absatz 1 Satz 1 Nummer 1 sowie den Absätzen 2 und 4 ergänzend zu den Heilberufs- und Berufsausweisen auf Verlangen des Leistungserbringers eine digitale Identität für das Gesundheitswesen zur Verfügung zu stellen, die nicht an eine Chipkarte gebunden ist“ (§340 Absatz 6 Satz 1 SGB V).

„(7) Spätestens ab dem 1. Januar 2025 haben die Stellen nach Absatz 1 Satz 1 Nummer 3 sowie den Absätzen 2 und 4 ergänzend zu den Komponenten zur Authentifizierung von Leistungserbringerinstitutionen auf Verlangen der Leistungserbringerinstitution eine digitale Identität für das Gesundheitswesen zur Verfügung zu stellen, die nicht an eine Chipkarte gebunden ist.“ (§340 Absatz 7 Satz 1 SGB V).

Des Weiteren definieren die jeweiligen Paragraphen die Rolle der Verantwortlichkeiten:

„Die Gesellschaft für Telematik legt die Anforderungen an die Sicherheit und Interoperabilität der digitalen Identitäten fest. Die Festlegung der Anforderungen an die Sicherheit und den Datenschutz erfolgt dabei im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragen für den Datenschutz und die Informationsfreiheit auf Basis der jeweils gültigen Technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik und unter Berücksichtigung der notwendigen Vertrauensniveaus der unterstützten Anwendungen.“ (§291 Absatz 8 Satz 3 und 4 SGB V bzw. sinngemäß §340 Absatz 8 Satz 1 und 2 SGB V).

Sowohl für digitale Identitäten für Versicherte nach § 291 Abs. 8 SGB V als auch für Leistungserbringende und Leistungserbringerinstitutionen nach § 340 Abs. 8 SGB V muss das '[...] Sicherheits- und Vertrauensniveau der Ausprägung einer digitalen Identität [...] mindestens dem Schutzbedarf der Anwendung entsprechen, bei der diese eingesetzt wird (§ 291 Absatz 8 Satz 6 bzw. § 340 Absatz 8 Satz 4 SGB V, gleichlautend).

Mit den Änderungen des KHPflEG wurde des Weiteren Satz 7 in §291 SGB V aufgenommen: "Abweichend von Satz 6 kann der Versicherte nach umfassender Information durch die Krankenkasse über die Besonderheiten des Verfahrens in die Nutzung einer digitalen Identität einwilligen, die einem anderen angemessenen Sicherheitsniveau entspricht." (§291 Absatz 8 Satz 7 SGB V)

Die entsprechenden Technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik beziehen sich auf:

• BSI TR-03107-1 Elektronische Identitäten und Vertrauensdienste im E-Government
• BSI TR-03147 Vertrauensniveaubewertung von Verfahren zur Identitätsprüfung natürlicher Personen.

Allgemein gilt nach EU-DSGVO, dass Gesundheitsdaten von besonders schützenswertem Charakter sind. Entsprechend ist das Vertrauensniveau nach TR-03107-1 mit einem hohen Vertrauensniveau zu bewerten.

Ferner beeinflussen Inhalte der Verordnung „über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ (kurz: eIDAS-Verordnung, [eIDAS]) die Anforderungen an die Bereitstellung der digitalen Identitäten.

2.3 Fachliche Einordnung der sektoralen Identity Provider

Aufbau, Funktionsumfang und Schnittstellen der Identity Provider, sollen im Rahmen einer Föderation den Zugang zur Telematikinfrastruktur alternativ der kartengebundenen Identitäten ermöglichen.

Abbildung 1 : Idee des Aufbaus einer TI-Föderation auf Basis des OpenID Federation Standards

Unter Föderation versteht sich, dass jeder Sektor, und innerhalb der Sektoren die jeweiligen Identitätsherausgeber einen eigenen Identity Provider für dessen Mitglieder bereitstellt. Bei den digitalen Identitäten für den Sektor „Versicherte“ stellen die Kostenträger, sprich die gesetzlichen Krankenversicherungen und die privaten Versicherungsunternehmen jeweils eigene Identity Provider zur Verfügung, über welchen sich deren Versicherte gegenüber den Diensten der TI und kasseneigenen sowie Drittdiensten authentisieren können. Dabei ist es auch möglich, dass mehrere Institutionen auf freiwilliger Basis einen gemeinsamen IDP bereitstellen. Die Anforderungen an die Identity Provider der unterschiedlichen Sektoren unterscheiden sich. Dies liegt vor allem darin begründet, dass die Anwendungsfälle und Anwendungen, welche eine Authentifizierung eines Nutzers über einen IDP erfordern für Versicherte andere sind als z.B. für Ärzte in Praxen und Krankenhäusern oder für andere medizinische Berufe wie Hebammen und Pflegedienste.

Die Orchestrierung der unterschiedlichen Identity Provider in der Föderation erfolgt über den sog. Federation Master. Ziel der Föderation aus Versichertensicht ist es, dass sich jeder Nutzer an jedem relevanten Dienst der TI, der Kassen und an digitalen Gesundheitsanwendungen (DiGAs) mit einem zentralen Zugang über den IDP seiner Krankenversicherung authentisieren kann. Hierbei soll der IDP einen relevanten Basisdatensatz an Attributen, welcher zur Anwendungsnutzung benötigt wird, bereitstellen und in Form eines Tokens an die jeweilige Anwendung übergeben. Auf diese Weise soll den Versicherten über den zentralen Zugang eine komfortable und niederschwellige Nutzung ermöglicht sowie auf Seiten der Anwendungen eine Konzentration auf deren Kernprozesse vereinfacht werden.

2.4 Rahmenbedingungen des Authentisierungs-Flows

2.4.1 Relevante Anwendungen der IDP-Nutzung

Die Einführung digitaler Identitäten in Föderation beschreibt keinen Selbstzweck. Es geht dabei vordergründig darum, über einen zentralen Zugang die Nutzung sämtlicher Anwendungen des Gesundheitswesens sicher und komfortabel nutzen zu können. Dabei kommen Anwendungen zum Einsatz, welche kassenspezifisch und kassenübergreifend bereitgestellt werden.

Kassenübergreifende Anwendungen werden dadurch charakterisiert, dass die gleiche Anwendung für jeden Versicherten unabhängig seiner Krankenversicherung angeboten wird. Dabei müssen sich Versicherte unterschiedlicher Kassen über deren jeweiligen Kassen-IDP authentisieren können. Als kassenübergreifende Anwendungen sind insbesondere relevant:

• E-Rezept: Hierbei handelt es sich um eine kassenübergreifende Anwendung, welche zentral durch die gematik für alle Kassen bereitgestellt wird. Die entsprechenden Regelungen finden sich in §360 SGB V. Das E-Rezept ist eine zentrale Anwendung der Telematikinfrastruktur und somit eine der Kernnutzungsanwendung der digitalen Identitäten.
  
• Digitale Gesundheitsanwendungen: Der Leistungsanspruch auf digitale Gesundheitsanwendungen (kurz: DiGA) begründet sich auf das Digitale-Versorgung-Gesetz. In der zugehörigen DiGA-Verordnung ist u.a. festgeschrieben, dass DiGA-Hersteller eine Authentisierung über die Kassen-IDPs ermöglichen müssen.
  
• Drittanwendungen mit Gesundheitsbezug: Des Weiteren soll es über die Kassen-IDPs auch ermöglicht werden, kassenübergreifende Dritt-Anwendungen, vordergründig mit einem Bezug zum Gesundheitswesen, nutzbar zu machen. Beispielsweise könnte dies eine kassenunabhängige App zur digitalen Terminbuchung von Arztterminen sein, an welcher sich ein Versicherter mit seinem Zugang des Kassen-IDPs authentisieren kann. Die Nutzung dieser Anwendungen ist nicht gesetzlich reguliert und obliegt der Hoheit der jeweiligen Kasse.
  

Darüber hinaus sollen über die digitalen Identitäten kasseneigene Anwendungen für Versicherte nutzbar gemacht werden. Diese müssen jeweils nur eine Authentisierung über den eigenen IDP ermöglichen. Versicherte anderer Kostenträger müssen an dieser Stelle nicht berücksichtigt werden. Es handelt sich insbesondere um folgende Anwendungen:

• Elektronische Patientenakte: Die Bereitstellung der elektronischen Patientenakte (kurz: ePA) durch die Kassen wird in §341 SGB V geregelt. Folglich ist diese Anwendung kassenspezifisch und muss entsprechend nur mit dem eigenen IDP kommunizieren können.
  
• Kasseneigene Service-Anwendungen: Dies können beispielsweise kasseneigene Service-Apps, Online-Geschäftsstellen oder Informations-Apps sein. Aus nutzerorientierten und wirtschaftlichen Gesichtspunkten heraus soll es den Kassen nach eigenem Ermessen möglich sein, auch für diese Anwendungen eine Nutzung mittels sektoralem Kassen-IDP zu implementieren.
  

Die im Februar 2023 veröffentlichte Spezifikation der gematik richtet sich aufgrund der gesetzlichen Anforderungen vordergründig an den Anwendungen E-Rezept, DiGAs und ePA aus. Die Erweiterung des Funktionsumfangs eines Kassen-IDPs zur Nutzung weiterer, insbes. kasseneigener Anwendungen obliegt dem Kostenträger und ist außerhalb des Anwendungsbereichs der Spezifikation der gematik zu sehen, sofern sicherheitskritische Aspekte nicht beeinträchtigt werden.

Vertrauensniveaus

Das Vertrauensniveau einer Anwendung definiert sich aus dem Schutzbedarf der Daten, welche innerhalb der Anwendung verarbeitet werden. Die Zuordnung zu einem Vertrauensniveau berücksichtigt dabei u.a. die technische und organisatorische Sicherheit des Verfahrens sowie rechtliche Rahmenbedingungen. Die zugrundeliegende TR-03107 des BSI definiert hierbei 3 Vertrauensniveaus: normal, substantiell, hoch. Die zuvor beschriebenen Fokusanwendungen E-Rezept, DiGAs und ePA haben das Vertrauensniveau hoch inne. Folglich fokussiert sich die Spezifikation auf dieses Vertrauensniveau. Die Unterstützung von weiteren Vertrauensniveaus obliegt der Kasse und wird nicht durch die Spezifikation tangiert, sofern sicherheitskritische Aspekte nicht beeinträchtigt werden.

Bereitstellung von claim

Anwendungen fragen im Rahmen der Authentisierung spezifische scopes beim IDP an, welche sich aus vordefinierten claims zusammensetzen. Damit sichergestellt ist, dass der IDP für die Fokusanwendungen E-Rezept, DiGAs und ePA die erforderlichen scopes bereitstellen kann, wird ein sog. minimal claims Set definiert, welches ein IDP mindestens vorhalten muss, um an der Föderation teilzunehmen.

Zugriffsmedien

Die zuvor beschriebenen Anwendungen sollen über unterschiedliche Medien und Anwendungstypen ermöglicht werden. Im Grunde unterscheiden sich die Zugriffsmedien zwischen Smartphone (und hier weiter zwischen mobiler App und Browseranwendung) und zwischen Desktop-PCs. Sämtliche betrachteten Anwendungen können sowohl über eine App als auch über eine Browseranwendung bereitgestellt werden.

Hieraus ergibt sich der Bedarf an unterschiedlichen Flows, welche durch die IDPs zu unterstützen sind.

• App-App-Flow: Der App-App-Flow beschreibt die Einzelschritte für die Authentifizierung eines Nutzers im Rahmen einer Fachanwendung, bei der die Fachanwendung eine App ist, welche auf demselben Gerät wie die Authenticator-App installiert ist. Beispielsweise kommt dieser Flow zum Tragen, wenn ein Nutzer die E-Rezept-App auf seinem Smartphone benutzen möchte und sich mit der Kassen-App auf dem gleichen Gerät authentisiert.
  
• Web-App-Flow auf einem Gerät: Der Web-App-Flow beschreibt die Einzelschritte für die Authentifizierung eines Nutzers im Rahmen einer Web-Anwendung, welche im Browser desselben Geräts ausgeführt wird, auf dem auch die Authenticator-App installiert ist. Ein Beispiel hierfür ist eine DiGA als Webanwendung, für welche die Authentisierung per Kassen-App auf demselben Smartphone erfolgt.
  
• Zwei-Geräte-Flow: Der Zwei-Geräte-Flow beschreibt die Einzelschritte für die Authentifizierung eines Nutzers im Rahmen einer Fachanwendung, wobei die Fachanwendung eine App oder Web-Anwendung sein kann, welche auf einem anderen Gerät als die Authenticator-App ausgeführt wird. Als Beispiel ist hier ein Zugriff auf die ePA über einen Desktop-Browser zu nennen, für welche die Authentisierung per Kassen-App auf dem Smartphone erfolgt.
  

2.4.2 Ablauf der Authentisierung

Der genaue Ablauf der Authentisierung hängt von den beschriebenen Rahmenbedingungen ab. Diese entscheiden maßgeblich darüber, für welche Anwendung, über welches Medium und mit welchen Authentisierungsmitteln zugegriffen werden kann. Unabhängig der Rahmenbedingungen kommt der zuvor beschriebene Standard des OpenID Connect Protokolls zum Einsatz. In dessen Kontext wird nach erfolgreicher Authentifizierung des Nutzers beim IDP ein ID-Token generiert und an die Fachanwendung übermittelt. Dieser Token enthält die durch den Client angefragten scopes einschließlich weiterer relevanter Daten. Nach Erhalt des ID-Token ist das eigentliche Zugriffsmanagement in der Verantwortung der Fachanwendung. Diese prüft, welche Berechtigungen und ggf. Bevollmächtigungen für die Entität des ID-Token vorliegen. Das Ergebnis dieser Prüfung äußert sich in der Ausstellung des Access-Token durch die Fachanwendung, über welchen der authentisierte Nutzer die Zugriffsberechtigung auf die Daten der Fachanwendung erhält.

3 Systemüberblick

3.1 Allgemeiner Überblick

Zentrales Merkmal der zu entwickelnden Gesamtlösung der sektoralen IDP ist das Prinzip der Föderation. Die Funktionalität des IDP wird nicht von einem einzigen zentralen Dienst bereitgestellt, sondern kollektiv durch eine Menge von sektoralen IDP, für die jeweils die entsprechenden identitätsherausgebenden Institutionen verantwortlich sind, welche auch für die jeweiligen Nutzergruppen zuständig sind.

Um eine Gesamtlösung sicherzustellen, bei der Anwendungen in möglichst einfacher Weise die verschiedenen sektoralen IDP nutzen können, sind in bestimmten Bereichen einheitliche Vorgaben für die technische und organisatorische Umsetzung zu erstellen:

• Einheitliche Identitätsattribute für die Nutzergruppen (Scopes, Claims),
• Einheitliche Verfahren zum Auffinden von sektoralen IDP (IDP Discovery),
• Grundstruktur der Vertrauensbeziehungen der Föderierung (zwischen Fachdiensten und IDP),
• Einheitliche Vertrauensniveaus (Trust Framework).

Die Abbildung "Beispiel des Aufbau der TI-Föderation" zeigt, wie eine TI-Föderation strukturiert werden könnte. Alle sektoralen Identity Provider der Föderation sind beim Federation Master registriert. Wenn bei Erweiterung der TI-Föderation um andere Sektoren signifikat andere Anforderungen an sektoralen IDPs gestellt werden, kann es sinnvoll sein die sektoralen IDP der unterschiedlichen Sektoren unter Intermediates zusammenzufassen.  Alle Authorization Server der Fachanwendungen, welche die bei den Identity Providern hinterlegten digitalen Identitäten nutzen möchten, sind ebenfalls beim Federation Master oder bei einem Intermediate registriert. Alle Intermediate sind bei einem anderen Intermediate oder beim Federation Master registriert.

Hinweis: Abweichend zum dargestellten Beispiel sind aktuell alle sektoralen IDPs und auch alle DiGA-Authorization Server sowie der OGR Authorization Server direkt am Federation Master registriert. Die Spezifikation und Umsetzung von Intermediates erfolgt, wenn ein Bedarf, z.B. speziell für einen Teil der TI-Föderationsteilnehmer geltende Policies oder benötigte TrustMarks, besteht.

Abbildung 2 :Beispiel des Aufbau der TI-Födeartion

Die TI-Föderation besteht aus unterschiedlichen Systemen, welche untereinander über standardisierte Schnittstellen kommunizieren. Zusammen bilden die beteiligten Systeme einen Vertrauensraum.

Nutzer verwenden verschiedene Fachdienste der Telematik Infrastruktur (TI).  Die Fachdienste sind Apps oder Browseranwendungen. Hier werden Nutzern spezielle, in der Regel medizinische, digitale Services angeboten. Die Fachdienste nutzen sektorale IDP zur Überprüfung, ob ein Anwender zur Nutzung des Fachdienstes befugt (autorisiert) ist. Jeder Fachdienst verfügt dazu über einen eigenen Authorization Server, welcher basierend auf den Informationen der sektoralen Identity Provider über den jeweiligen Nutzer dessen Zugriffsrechte definiert. Diese Fachdienst Autorization Server sind OpenID Relying Parties gemäß [OpenID Federation 1.1] Komponenten der TI-Föderation.

Als sektoraler IDP wird ein Dienst zur Authentifizierung von Nutzern bezeichnet. Nach erfolgreichem Durchlaufen des Authentifizierungsprozesses stellt der sektorale IDP Identitätsinformationen für die Nutzer in Form eines ID-Token aus. Der Inhalt der Informationen ist spezifisch für eine bestimmte Gruppe von Nutzern, welche einem Sektor innerhalb der Telematikinfrastruktur des Gesundheitswesens zuzuordnen sind. Die Identitätsinformationen der Nutzer werden durch den anfordernden Fachdienst zur Prüfung verwendet, auf welche Fachdaten und -prozesse der Nutzer zuzugreifen darf. Insbesondere umfasst ein Sektor die Krankenkassen mit den Versicherten als Nutzer. Es ist nicht ausgeschlossen, dass ein sektoraler IDP Identitätsinformationen mehrerer Nutzergruppen bedienen kann (siehe auch Parameter "user_type_supported" als claim der Entity Configuration eines sektoralen IDP in [gemSpec_IDP_Sek]).  Diese sektoralen IDP sind OpenID Provider gemäß [OpenID Federation 1.1] ebenfalls Komponenten der TI-Föderation.

Der TI-Vertrauensraum wird durch Superiors Entities gemäß [OpenID Federation 1.1] aufgespannt, die entweder als Trust Anchor oder Intermediates ausgeprägt sein können. Alle Teilnehmer der TI-Föderation sind bei einem Superior registriert, nur registrierte Teilnehmer sind berechtigt, die Dienste der TI-Föderation in Anspruch zu nehmen. 

Der Trust Anchor der TI-Föderation ist der Federation Master (siehe [gemSpek_IDP_FedMaster]). Der Federation Master ist eine zentrale Komponente für alle Teilnehmer - Intermediates, Fachdienste Authorization Server und sektoralen IDPs - in der TI-Föderation. Intermediates sind Trust Anchor für einen Teil der TI-Föderation, der sich durch spezielle Regeln von andern Teilnehmern unterscheidet (z.B. ZETA-Intermediate für alle ZETA-Authorization Server, DiGA-Intermediate für alle DiGA Authorization Server).

Neben Fachdienst Authorization Servern (Relying Party) sektoralen IDP (OpenID Provider), Intermediates und Federation Master (Superior) können weitere Komponenten (Entity Types) Teil der TI-Föderation werden, z.B. TI-Fachdienste selbst als OAuth-Resource gemäß [OpenID Federation 1.1].

Die Kommunikation zwischen den Systemen in der TI-Föderation basiert auf den Standards für OpenID Federation, OpenID connect (OIDC), OAuth 2, JWT und weitere.

Neben den Systemen der TI-Föderation sind im Gesamtkontext weitere Systeme über Schnittstellen an die TI-Föderation angeschlossen (ohne selbst Bestandteil der Föderation zu sein). Das sind u. a. die Bestandssysteme, in denen aktuell die Informationen zu Nutzern gepflegt werden.

Abbildung 3 : TI-Föderation und Nachbarsysteme 

Anwender / Versicherte: Anwender sind die Versicherten, die einen Fachdienst(über ein FdV)  nutzen möchten. Um diesen Fachdienst nutzen zu können, müssen sich die Anwender authentifizieren. Die Authentifizierung mit GesundheitsID erfolgt dabei über die Komponenten der TI-Föderation. Zur Einwilligung in die Datenweitergabe an einen Fachdienst und bei der Nutzung eines Authentisierungsmittel sind die Anwender aktiv in den Authentifizierungsablauf eingebunden.

Fachdienst-Client: Fachdienst-Client ist in der derzeitigen TI-Föderation, die ausschließlich die Authentifizierung von Versicherten unterstützt, das Frontend des Versicherten (FdV). Anforderungen zur Nutzerauthentifizierung werden aus dem FdV an eine Relying Party der TI-Föderation geschickt. Je nach konkreter Umsetzung des Fachdienstes wird das Ergebnis der Authentifizierung dem Fachdienst-Client zurückgegeben. Ist  die Kommunikation zwischen Fachdienst-Client und Relying Party z.B. nach OAuth-Standard umgesetzt erhält der Fachdienst-Client ein Access-Token. Zum anderen ist die Frontend-Komponente des OpenID-Provider, das Authenticator-Modul, für die Interaktion mit dem Nutzer im Authentifizierungsprozess in ein FdV integriert.

Kassenysteme: Die Kassensysteme sind die Datenquellen für die zu authentifizierenden Versicherten. Die für die Versicherten Authentifizierung notwendigen Daten werden von den sektoralen IDPs der Krankenkassen aus deren Kassensystemen bezogen.

Registrierungskomponente: Die Registrierung von Teilnehmern in der TI-Föderation wird über eine Registierungskomponenten durchgeführt. Aktuell ist dies ein organisatorischer Prozess mit mehreren beteiligten Organisationen und Systemen. Zukünftig wird dieser organisatorische Prozess automatisiert.

Certificate Transparency (CT) Logs: Die TI-Föderation bezieht von Anbietern Certificate Transparency (CT) Logs für die Überprüfung der TLS-Schlüssel von sektoralen IDPs.

Ident-Verfahren: Zur sicheren Identifikation von Versicherten müssen diese sich mit einem sicheren Identifikationsverfahren (z.B. Online-Ausweisfunktion, Post-Ident, eGK mit PIN) gegenüber sektoraler IDPs identifizieren.

3.2 Schnittstellen zu Umsystemen

Tabelle 1 : Schnittstellen zu Umsystemen 

4 Lösungsstrategie

4.1 Anwendungsfälle

Superior Entities (federation_entity)  können gemäß [OpenID Federation] (Kapitel "Introduction") entweder Trust Anchor oder Intermedieate sein. Jeder Teilnehmer der TI-Föderation, so auch die Superior Entities, müssen eine Selbsauskunft (Entity Configuration) in einem das Entity Statement veröffentlichen. Die Inhalte des Entity Statement sind im [OpenID Federation] Standard festgelegt (Kapitel "Claims that MUST or MAY Appear in both Entity Configurations and Subordinate Statements", "Federation Entity").

Superior Entities sind Komponenten, welche in den Kommunikationsfluss bei der Nutzung von Fachdiensten der TI eingebunden sind. Zudem sind Superior Entities an notwendigen organisatorischen Prozessen beteiligt. Folgende Anwendungsfälle dienen der Beschreibung der Anforderungen an Superior Entities:

Tabelle 2 : Übersicht über die Anwendungsfälle im Gesamtkontext Federation Master

* Die sektoralen IDPs der Krankenversicherungen sind bzw. werden direkt beim Federation Master (TI-Trust Anchor) registriert. Registrierungen von Fachdienst Authorization Server am Federation Master bleiben bestehen. Alle neu zu registrierenden ZETA-Authorization Server werden bei einem ZETA-AS Intermediate registriert. Dafür muss der ZETA-AS Intermediate beim Federation Master registriert sein. Weiter Intermediate z.B. zur Gruppierung aller DiGA-Authorizaton Server können je nach Bedarf implementiert werden.

** Die Automatisierung der Registrierungskomponente erfolgt über ein eigens Produkt, die Registrierungs-Engine. Diese befindet sich aktuell in der Spezifikation. Bis zur Produktivsetzung der Registrierungs-Engiene erfolgt die Registrierung von Teilnehmern durch einen manuellen Prozess, gesteuert über das ITSM.

Abbildung 4 : Anwendungsfälle TI-Föderation 

4.2 Aufbau und Kommunikation

Der Aufbau der und die Kommunikation in der TI-Föderation sind am Standard [OpenID Federation 1.1] und weiterer dort referenzierter Standards ausgerichtet. Die Ausrichtung an [OpenID Federation 1.1] liefert die Vorgaben und Rahmenbedingungen für den Aufbau des TI-Föderation Vertrauensraums. Die TI-Föderation weicht nur dort vom Standard ab, wo spezifische Anforderungen der gematik notwendig sind, entweder durch Verschärfung optionaler Anforderungen des Standards oder Erweiterungen bzw. Präzisierung von Anforderungen angepasst an die Rahmenbedingungen der gematik.

Jeder TI-Föderation Teilnehmer muss eine OpenID Federation Standard konforme Entity Configuration in Form eines Entity Statement öffentlich bereitstellen.

Federation Enities (Superior-Entity) sind Komponenten des Produkttyp "Federation Master". Dies ist einerseits der Federation Master selbst (Trust Anchor) und andererseits sind Intermediate (siehe Abbildung "Beispiel des Aufbau der TI-Födeartion").

Die Identity Provider (Produkttyp "sektoraler IDP") der TI-Föderation stellen sicher, dass nur identifizierte Nutzer für anfragende Fachdienste authentifiziert werden. Ebenso wird sichergestellt, dass die Nutzer den Anwendungen Zugriff auf eine Teilmenge ihrer Daten gewähren (Consent). 

Die in der TI-Föderation registrierten Fachdienste (Fachdienst Authorization Server) nutzen die sektoralen Identity Provider, um Nutzer ihrer Anwendungen über die Verfahren der sektoralen Identity Provider eindeutig zu authentifizieren und die Zustimmung der Datennutzung von den Nutzern einzuholen. Fachdienst Authorization Server sind Komponenten der jeweiligen Fachdienst-Produkttypen.

Der Vertrauensraum der TI-Föderation wird etabliert, indem sich jeder Teilnehmer (Leaf-Entity) über einen organisatorischen Prozess in der TI-Föderation registriert. Diese initiale Registrierung erfolgt unabhängig vom späteren Ablauf. 

Intermediate als Komponenten des Produkttyp "Federation Master" müssen nicht über den organisatorischen Registrierungsprozess laufen. Die Registrierung im Vertrauensraum der TI-Föderation erfolgt technisch innerhalb des Produkttypes.

Zur Laufzeit kann jeder Teilnehmer prüfen, ob das System, mit dem er kommunizieren möchte ebenfalls registrierter TI-Föderationsteilnehmer ist und welche Eigenschaften das System innerhalb der TI-Föderation besitzt. Jeder Teilnehmer stellt die Vertraulichkeit einer Kommunikation sicher, indem die Vertrauensbeziehungen bis hoch zum Trust Anchor der TI-Föderation validiert werden (Trust Chain).

Abbildung 5 : Komponenten der TI-Föderation im Überbrlick

Im Prozess der Authentifizierung eines Nutzers für eine Anwendung ist der Federation Master als Vertrauensstelle eingebunden. Die Voraussetzung für die Kommunikation zwischen Fachdienst Authorization Server und sektoralen Identity Providern ist deren Registrierung im Vertrauensbereich der TI- Föderation.

Voraussetzungen für die Prüfung der beteiligten Komponenten im Kontext eines Nutzungsflows:

• Die aktuellen Signaturschlüssel der beteiligten sektoralen Identity Provider und Fachdienste Authorization Server wurden über den Registrierungsprozess bei der Superior Entity hinterlegt (Federation Master oder Intermediate) bei welcher der Teilnehmer registriert ist.
• Jeder Teilnehmer (Leaf-Entity) hat als Ergebnis der Registrierung den öffentlichen Schlüssel, mit dem der Federation Master (Trust Anchor) sein Entity Statement signiert, zugestellt bekommen.
• Die Entity Statements der beteiligten sektoralen Identity Provider und Fachdienste Authorization Server entsprechen den Vorgaben [OpenID Federation1.0]
• Der Identifier des Federation Master wurde vom Anbieter des Federation Master veröffentlicht.

Das folgende Übersichtsschaubild gibt einen Überblick über das Zusammenspiel der unterschiedlichen Komponenten der TI-Föderation.

Die Kommunikation des Anwenders über das Anwendungsfrontend mit dem Fachdienst Authorization Server entspricht der OAuth-2.0-Spezifikation ([RFC6749]) mit PKCE ([RFC7636]) und wird hier nicht detailliert beschrieben.

Die Kommunikation zwischen dem Fachdienst Authorization Server (Relying Party) und dem sektoralen Identity Provider (OpenID-Provider) entspricht den Spezifikationen zu OpenID Connect (Final: OpenID Connect Core 1.0) und Pushed Authorization Request (https://datatracker.ietf.org/doc/html/rfc9126) und wird hier nicht detailliert beschrieben.

Abbildung 6 : Komponenten der TI-Föderation mit Schnittstellen 

Erläuterungen zur obigen Abbildung:

Die jeweiligen Teilnehmer Typen (entity_type) sind farblich unterscheidlich dargestellt.

Die Authorization Server der Fachdienste (gelb), welche eine Nutzerauthentifizierung benötigen sind in der TI-Föderation Relying Parties (entity_type = openid_relying_party). Der Reource Server der Fachanwendung kann ebenfalls im Vertrauensraum der TI-Föderation (entity_type = oauth_resource) registriert werden. 

Blau dargestellt sind die sektoralen IDP (entity_type = openid_provider). Diese halten die Identitätsinformationen der Nutzer und führen den Prozess der Nutzerauthetifizierung durch.

Der Federation Master (grün) enthält Komponenten (entity_type = federation_entity) mit Funktionen zur Prüfung der Vertrauenskette eines Teilnehmers bis hin zum Vertrauensanker, sowie Funktionen zur Beauskunftung zu Teilnehmern der TI-Föderation und Abbildung von Regeln (Policies) und Vertrauensnachweisen (Trust Marks).

Die Schnittstellen zwischen den Komponenten der TI-Föderation sind durchgezogene Linien während die gestrichelt dargestellten Schnittstellen organisatorische Prozesse und Verfahren mit Komponenten außerhalb der TI-Föderation visualisieren. Die Schnittstellen zwischen der Registierungs-Engine und dem Federation Master sind jedoch Teil der Schnittstellenspezifikation.

Im Vertrauensraum der TI-Föderation müssen beteiligte Teilnehmer sicherstellen, dass der jeweilige Kommunikationspartner ebenfalls ein Mitglied der TI-Föderation ist. Jeder Teilnehmer stellt dazu ein selbst signiertes Entity Statement bereit. Zur Herstellung der Vertrauensbeziehung laden die Teilnehmer jeweils das Entity Statement des Kommunikationspartners von dessen öffentlich erreichbaren /.well-known/openid-federation Schnittstelle. Von der Superior-Entity (Federation Master oder Intermediate), dem der Kommunikationspartner direkt untergeordnet ist, lädt der anfragende Teilnehmer ein Subordinate Statement mit Auskunft zu Eigenschaften des Kommunikationspartners in der TI-Föderation. Jeder Teilnehmer prüft die Vertrauensstellung vom Kommunikationsteilnehmern über die Validierung der Trust-Chain vom Entity Statement des Teilnehmers bis zum TI-Trust Anchor (Federation Master).    

4.3 Akteure und Rollen

Im Systemkontext der TI-Föderation interagieren verschiedene Akteure (Nutzer und aktive Komponenten) in unterschiedlichen OAuth2-Rollen gemäß [RFC6749#section-1.1] und OpenID-Connect-Rollen gemäß [OpenID Connect Core 1.0] und [OpenID Federation 1.1].

Als sektoraler IDP wird ein Dienst bezeichnet, welcher die Nutzerauthentifizierung durchführt. Nach erfolgreicher Nutzerauthentisierung stellt der sektorale IDP Identitätsinformationen zum Nutzer bereit. Die Identitätsinformationen werden von den Fachdiensten zur Durchführung einer Nutzerautorisierung verwendet, also zur Feststellung, auf welche Fachdaten und -prozesse des Fachdienstes dem Nutzer Zugriff gewährt wird. Die bereitgestellten Identitätsinformationen sind spezifisch für die unterschiedlichen Gruppen von Nutzern bzw. Sektoren innerhalb der TI des Gesundheitswesens. Einen Sektor stellen insbesondere die Krankenkassen mit den Versicherten als Nutzer dar. Es können allerdings auch andere Personengruppen wie z. B. Ärzte oder Pflegeinstitutionen über sektorale IDP angebunden werden.

Die Abläufe zur Nutzerauthentifizierung für einen Fachdienst sowie der Herausgabe der Identitätsinformationen durch den sektoralen IDP sind als der innere und der äußere Flow im Kapitel "Interaktionen" erläutert.

Tabelle 3 : Akteure und Rollen

Nutzer (Rolle: Resource Owner) 

Der Resource Owner ist eine natürliche Person, welcher auf die beim Fachdienst (Resource Server) für ihn bereitgestellten Daten und Prozesse (Protected Resource) zugreift.

Der Resource Owner verfügt über die folgenden Komponenten:

• Endgerät des Nutzers,
• App mit Authenticator-Modul auf dem Endgerät,
• Anwendungsfrontend des Fachdienstes auf dem gleichen oder einem anderen Endgerät.

Fachdienst (Rolle: Authorization Server)

Der Authorization Server des Fachdienstes (OIDC Relying Party) stößt die Authentifizierung des Nutzers beim sektoralen IDP an und erhält als Ergebnis einen Authorization Code, den er gegen ein ID Token und Access Token beim sektoralen IDP eintauschen kann. Der Authorization Server des Fachdienstes verwendet die Informationen aus dem ID Token für die Feststellung der Zugriffsrechte des Anwendungsfrontend auf die Ressourcen des Fachdienstes. Der Authorization Server des Fachdienstes stellt eigene Access Token und Refresh Token für das Anwendungsfrontend aus.

Fachdienst (Rolle: Resource Server)

Der Resource Server ist der Fachdienst, der dem Nutzer (Resource Owner) Zugriff auf seine Fachdaten und Prozesse (Protected Resource) gewährt. Der Fachdienst, der die geschützten Fachdaten (Protected Resources) anbietet, ist in der Lage, auf Basis von Access Token Zugriff für Clients zu gewähren. Ein solches Token repräsentiert die delegierte Identifikation der Zugriffsberechtigung des Clients im Auftrag des Resource Owner.

Anwendungsfrontend (Rolle: OAuth-Client)

Das Anwendungsfrontend (OAuth2 Client) greift auf Fachdienste (Resource Server) und ihre geschützten Fachdaten (Protected Resource) zu. Das Anwendungsfrontend kann auf einem Server als Webanwendung, auf einem Desktop-PC oder einem mobilen Gerät (z. B. Smartphone) oder als App auf einem mobilen Gerät ausgeführt werden. Finden für die Anwendung relevante Prozesse (Businesslogik) in einem Hintergrundsystem statt, so ist die Backend-Komponente, welche die UI für die Visualisierung auf dem Gerät des Nutzers realisiert, ebenfalls Teil des Clients.

Sektoraler IDP mit dem Authenticator-Modul als Frontend (Rolle: OpenID Provider)

Der Authorization Server des sektoralen IDP authentifiziert den Resource Owner (Nutzer) und stellt einen Authorization Code aus. Dieser Authorization Code kann später gegen ein ID Token beim sektoralen IDP eingetauscht werden. Das ID Token enthält die Informationen über den Nutzer (Scopes bzw. Claims), die für den Authorization Server der Fachanwendung zur Zugriffsentscheidung über den vom Resource Owner erlaubten Anwendungsbereich (Scope) benötigt werden.

Weitere Akteure im Kontext des sektoralen IDP sind:

Attributbestätigende Stelle

Attributbestätigende Stellen sind legitimierte Organisationen, welche die Korrektheit der Attribute verantworten, die durch sie für einen Nutzer beim sektoralen IDP bestätigt werden.

Als Teilprozess der Registrierung ist die zuverlässige und eindeutige Identifikation der Nutzer zwingend notwendig. Hierbei werden eindeutige Identifikationsmerkmale der realen Identitäten benötigt und letztlich als Identitätsinformationen dem sektoralen IDP zur Verfügung gestellt.

Die eindeutigen Identitäten von natürlichen Personen (Versicherte, Leistungserbringer) bzw. juristischen Personen (medizinische Institutionen, Gesellschafterorganisations- und Kostenträger) werden innerhalb der TI über die Krankenversichertennummer des Versicherten und die Telematik-ID eines Leistungserbringers bzw. einer medizinischen Institution oder Organisation des Gesundheitswesens repräsentiert.

Federation Master (Rolle: Trust Anchor, Superior)

Der Federation Master ist eine zentrale Komponente und ein eigener Produkttyp [gemSpec_IDP_FedMaster] in der TI-Föderation. Der Federation Master bietet die Anwendungsfälle:

• Teilnehmer registrieren, deregistrieren und Teilnehmerdaten ändern
• Liste der direkt registrierten Teilnehmer bereitstellen,
• Liste der registrierten sektoralen IDPs IDP-Liste bereitstellen,
• Entity Statement bereitstellen,
• Subordinate Statements zu direkt registrierten Teilnehmern bereitstellen
• Trust-Marks zu direkt registrierten Teilnehmern bereitstellen
• Schlüssel der TLS-Zertifikate abgleichen,
• Schlüssel von direkt registrierten Teilnehmern verwalten.

Alle Teilnehmer der Föderation müssen bei einem Superior registriert sein. Teilnehmer der Föderation sind in diesem Kontext alle Fachdienste Authorization Server und sektoralen IDP (Leaf-Entities). Die Registrierung erfolgt durch Prozesse der Registrierungs-Engine und Schnittstellen am Federation Master*. Der Federation Master verwaltet die öffentlichen Schlüssel aller direkt registrierten Teilnehmer und zusätzlich für direkt registrierte Fachdienste Authorization Server die jeweils zugelassenen Scopes und Claims. Er stellt auf Anfrage Teilnehmerbestätigungen in Form von Subordinate Statements für direkt bei ihm registrierte Teilnehmer der TI-Föderation aus. Der Federation Master agiert als Trust Anchor im Sinne der [OpenID Federation 1.1] Spezifikation. Der Federation Master ist bei keiner weiteren Superoir Entity registriert und bildet somit das Ende einer Trust Chain gemäß [OpenID Federation 1.1] Die Vertrauenskette aller Teilnehmer der TI-Föderation muss sich auf den Federation Master zurückführen lassen [OpenID Federation 1.1] ("Trust Chain"). Der Federation Master stellt zusätzlich eine Schnittstelle bereit, über die eine Liste aller in der TI-Föderation registrierten sektoralen IDP abgerufen werden kann.

* Bis zur Produktivsetzung der Registrierungs-Engine erfolgt die Teilnehmerregistrierung über einen organisatorischen Prozess, der vom Anbieter des Produkttyp Federation Master bereitgestellt wird.

Intermediate (Rolle: Superior)

Die Eigenschaften eines Intermediate der TI-Föderation sind ebenfalls im Produkttyp [gemSpec_IDP_FedMaster] definiert. Ein Intermediate ist der Knotenpunkt für eine Teilstruktur der TI-Föderation und wie der Federation Master ebenfalls vom Typ Federation Entity. Alle Teilnehmer mit bestimmten Eigenschaften können bei einen entsprechenden Intermediate registriert sein. Ein Intermediate selbst ist ebenfalls ein Teilnehmer der TI-Föderation und muss demnach ebenfalls selbst bei einem anderen Intermediate oder beim Federation Master registriert sein. Die Registrierung erfolgt technisch innerhalb des Produkttype "Federation Master".  Wie der Federation Master, verwaltet ein Intermediate die öffentlichen Schlüssel aller direkt bei ihm registrierten Teilnehmer und zusätzlich für registrierte Fachdienst Authorization Server, die jeweils zugelassenen Scopes und Claims. Er stellt auf Anfrage Teilnehmerbestätigungen in Form von Subordinate Statements für direkt bei ihm registrierte Teilnehmer der TI-Föderation aus. Intermediates der TI-Föderation unterstützen die Anwendungsfälle:

• Teilnehmer registrieren, deregistrieren und Teilnehmerdaten ändern
• Liste der direkt registrierten Teilnehmer bereitstellen,
• Entity Statement bereitstellen,
• Subordinate Statements zu direkt registrierten Teilnehmern bereitstellen
• Trust-Marks zu direkt registrierten Teilnehmern bereitstellen
• Schlüssel von direkt registrierten Teilnehmern verwalten.

Registrierungskomponente:

Die Registrierungskomponente übernimmt die Aufgabe, Registrierungsanträge der Teilnehmer der TI-Föderation entgegen zunehmen, zu validieren, mit anderen Systemen zu synchronisieren. Die Registrierungskomponente hat Schnittstellen zur TI-Föderation, zum Data Warehouse (DWH) der gematik, zum TI-ITSM der gematik und dem gematik myServices-Portal. Die TI-Föderation stellt Schnittstellen bereit, über die Registrierungskomponente Teilnehmer Konfigurationen (Entity Configuration) prüfen kann. Des weiteren stellt die TI-Föderation Schnittstellen für die Neuregistrierung, Registrierungsänderungen und Deregistrierung für Teilnehmer der TI-Föderation zur Verfügung. Die Registrierungskomponente bedient das Data Warehouse (DWH) der gematik mit den Teilnehmerdaten der TI-Föderation für Business Intelligence (BI), Berichterstellung und Analysen zur Unterstützung der Betriebsführung der gematik.

Nach erfolgreicher Prüfung von Teilnehmeranträgen erfolgt die Aktualisierungs des Vertrauensraum der TI-Föderation über Schnittstellen am Federation Master.

4.4 Schnittstellen

Tabelle 4 : Schnittstellen zwischen den Teilnehmern und Komponenten der TI-Föderation

4.5 Schlüsselmanagement

In der Kommunikation zwischen den Teilnehmern der TI-Föderation im Ablauf einer Nutzerauthentifizierung kommen unterschiedliche Verschlüsselungsmechanismen und Schlüssel zum Einsatz

Abbildung 7 : Schlüsselmanagement für die Nutzerauthentifizierung in der TI-Föderation

Tabelle 5 : Schlüsselmanagement

Teilnehmer können im Metadatenblock weitere Schlüssel veröffentlichen. Für das Key-rollover werden ebenfalls die claims "jwks" im commen-block des Entity Statement - für den Federation Entity signing key - und "jwks" oder "signed_jwks_uri" im jeweiligen Metadatenblock des Entity Statements für alle anderen Keys verwendet.

5 Abläufe & Interaktionen

5.1 Kurzbeschreibung

Der gesamte Authentifizierungsprozess basiert aus Gründen der Entkoppelung zwischen den Authentifizierungsmethoden und Token-Formaten der sektoralen IDP und des Fachdienstes aus zwei ineinander geschachtelten Abläufen. Zum einen den äußeren Flow zwischen Anwendungsfrontend und Authorization Server der Fachanwendung. Dieser Ablauf ist ist anwendungsspezifisch, sollte aber ein OAuth2-Flow mit Authorization Code-Flow sein. Der innere Flow ist ein OpenID-Connect (OIDC-Flow) zwischen registrierten Teilnehmern der TI-Föderation. Der inner Flow ist ein OAuth2 Authorization Code-Flow.

Im äußeren Flow wendet sich das Anwendungsfrontend als Client initial an den Authorization Server des Fachdienstes und signalisiert diesem über einen zusätzlichen Parameter, hier benannt mit idp_iss,  den zur Authentifizierung zu verwendenden sektoralen IDP. Der innere Flow beginnt mit einem Pushed Authorization Request und endet mit der Herausgabe eines ID-Token vom sektoralen IDP an den Authorization Server des Fachdienstes.

Der Authorization Server des Fachdienstes tritt bzgl. des inneren Flow als Client auf. Die erste Anfrage an den sektoralen IDP geht am PAR-Endpunkt [RFC9126#section-2] ein. Der Authorization Server des Fachdienstes übermittelt am Endpunkt den Authorization Request zur Authentifizierung des Nutzers sowie zur Bestätigung von Scope und Claims der anfragenden Anwendung. Zusätzlich wird eine code_challenge eingereicht.

Der Scope und die Claims der angefragten Nutzdaten, die ein Fachdienst beim sektoralen IDP anfragen darf, sind im Entity Statement des Fachdienst Authorization Server hinterlegt. Dieses ist dem sektoralen IDP bekannt.  

Im Ablauf des inneren (OIDC) Flow wird der Nutzer aufgefordert, sich unter Verwendung des Authenticator-Moduls des sektoralen IDP, zu authentisieren. Dies erfolgt über eine Schnittstelle zwischen dem Authenticator-Modul und Authorization-Endpunkt des sektoralen IDP. 

Nach Consent-Freigabe durch den Nutzer und erfolgreicher Authetifizierung erstellt der sektorale IDP einen Authorization Code. Dieser wird an den Authorization Server des Fachdienstes übermittelt, welcher ihn am Token-Endpunkt [RFC6749#section-3.2] des sektoralen IDP einreicht. der sektorale IDP überprüft den Authorization Code und stellt bei positiver Validierung einen ID-Token aus.

Ist der äußere Flow ebenfalls ein OAuth2-Flows vom Typ grant_type=authorization_code erstellt der Authorization Server des Fachdienstes einen eigenen Authorization Code, der an das Anwendungsfrontend zurückgegeben wird. Der äußere Flow endet mit der Herausgabe eines Access-Token an das Anwendungsfrontend. Das Anwendungsfrontend verwendet das Access-Token für die anwendungsspezifischen Aufrufe bei eigentlichen Fachdienst.

In diesem Kapitel werden die Abläufe für App2App Kommunikation, Web-App Kommunikation und Kommunikation unter Beteiligung von zwei Geräten beschrieben.

Vorbereitende Maßnahmen:

• Die sektoralen IDPs haben bei der Registrierung am Federation Master in der TI-Föderation den öffentlichen Schlüssel ihres "federation entity signing key" hinterlegt und den öffentlichen Schlüssel des "federation entity signing key" des Trust Anchors der TI-Föderation (Federation Master) zur Validierung der Trust Chain bekommen.
• Der Fachdienst Authorization Server hat bei der Registrierung an einem Superior (Federation Master oder Intermediate) der TI-Föderation den öffentlichen Schlüssel seines "federation entity signing key" hinterlegt und den öffentlichen Schlüssel des "federation entity signing key" des Trust Anchors der TI-Föderation (Federation Master) zur Validierung der Trust Chain bekommen.
• Der Fachdienst Authorization Server hat bei der Registrierung an einer Superior-Entity (Federation Master oder Intermediate) die Scopes hinterlegt, welche er für die Autorisierung eines Nutzers zwingend benötigt.

5.2 App2App-Flow

5.2.1 Vorbedingungen

• Registrierung des App-Link/Universal-Link für das Frontend auf dem Gerät des Nutzers (auf redirect Adresse des Fachdienst) - oder einreichen über Web.
• Registrierung des App-Link/Universal-Link für das Authenticator-Modul des IDP auf dem Gerät des Nutzers (auf Adresse des IDP) - oder Anfragen über Web.

5.2.2 Flow - OIDC

5.2.2.1 Flow Diagramm

Abbildung 8 :  Ablauf App2App-Flow

5.2.2.2 Ablaufbeschreibung App2App-Flow

Tabelle 6 : Ablaufbeschreibung App2App-Flow

5.2.2.3 Schnittstellenbeschreibung

(0) Vorbedingung - Abruf der Schlüssel des Federation Master

Das selbst signierte Entity Statement des Federation Master wird von einem Teilnehmer der TI-Föderation abgerufen und gegen den bei der Registrierung bekanntgemachten Signaturschlüssel des Federation Master geprüft.

• Request zum Abruf des Entity Statements des Federation Masters

GET /.well-known/openid-federation
Host: app-ref.federationmaster.de 

• Response mit beispielhaften Werten
• HTTP 200
• Content-Type: application/entity-statement+jwt

• Signatur Header des JWS

{
  "typ": "entity-statement+jwt",
  "kid": "puk_fedmaster_sig",
  "alg": "ES256"
}

• Payload 

Die Tabelle zeigt und erläutert einige wichtige Attribute der Entity Configuration des Federation Masters

Tabelle 7 : Entity Configuration des Federation Maste

6 Metadata

Liste aller registrierten sektoralen IDPs

Jede Krankenversicherung unterhält einen eigenen sektoralen IDP. Die Liste aller in der TI-Föderation registrierten sektoralen IDPs kann am idp_list_endpoint des Federation Master abgefragt werden. Die Integrität der Liste wird mittels Signatur über einen Schlüssel aus dessen Keyset sichergestellt.

(0 a/b) Abfrage der Liste aller in der TI-Föderation registrierten sektoralen IDPs

Die Liste aller in der TI-Föderation registrierten sektoralen IDPs wird von Anwendungen verwendet, um ihren Nutzern die Auswahl ihrer Krankenversicherung anzubieten. Die Auswahl der richtigen Krankenversicherung ist notwendig, da die Authentifizierung mit der GesundheitsID über den sektorale IDP der Krankenversicherung erfolgt.

• Request zum Abruf in der in der TI-Föderation registrierten sektoralen IDPs über den Federation Masters

GET /federation/listidps

Host: app-ref.federationmaster.de

• Response mit beispielhaften Werten
• HTTP 200
• Content-Type: idp-list+jwt

• Signatur Header des JWS

{
  "typ": "idp-list+jwt",
  "kid": "puk_fedmaster_sig",
  "alg": "ES256"
}

• Payload

Die Tabelle zeigt und erläutert die Attribute in der Auskunft des Federation Master zur Liste registrierten sektoralen IDPs

Tabelle 8 : Liste registrierten sektoralen IDPs

(1) Anfrage vom Anwendungsclient  an den Fachdienst Authorization Server

Das Anwendungsfrontend sendet ein Request an Fachdienst Authorization Server.  Da des Anwendungsfrontend selbst nicht Teil der TI-Föderation ist, liegt es bei der Anwendung selbst, wie das Vertrauensverhältnis zwischen Fachdienst-Client und Fachdienst Authorization Server sichergestellt wird.

Hier kann z.B. auf den Standard aufsetzend der OAuth-Authorization-Code-Flow zur Sicherstellung der Vertrauensbeziehung verwendet werden.

(1 a/b) Laden der Entity Configuration des sektoralen IDP

Der Fachdienst Authorization Server benötigt die Entity Configuration des sektoralen IDP, um einen Authorization Request zu formulieren, den der sektorale IDP akzeptiert. Der Fachdienst Authorization Server erhält die Entity Configuration, indem er das Entity Statement des sektoralen IDP lädt

• Request zum Abruf des Entity Statements des Federation Masters

GET /.well-known/openid-federation
Host: gsi-ref.dev.gematik.solutions 

• Response mit beispielhaften Werten
• HTTP 200
• Content-Type: application/entity-statement+jwt

• Signatur Header des JWS

{
  "typ": "entity-statement+jwt",
  "kid": "puk_idp_sig",
  "alg": "ES256"
}

• Payload 

Die Tabelle zeigt und erläutert einige wichtige Attribute der Entity Configuration eines sektoralen IDP

Tabelle 9 : Entity Configuration eines sektoralen IDP

(1 c) Validieren des Entity Statment des sektoralen IDP und Prüfung der Trust Chain

Der Fachdienst Authorization Server validiert die gesamte Trust Chain ausgehend vom Entity Statement des sektoralen IDP bis zum Trust Anchor der TI-Föderation.

Unter anderem ruft der Fachdienst Authorization Server dazu das Subordinate Statement zum sektoralen IDP beim Federation Master ab. In dem vom Federation Master ausgestellten und signierten Subordinate Statement liefert der Federation Master dem Fachdienst Authorization Server Informationen zu sektoralen IDP als Teilnehmer der TI-Föderation. Für die Anfrage muss die ID (iss) des Federation Master und die ID (sub) des Teilnehmers, zu dem die Anfrage gestellt wird, angegeben werden.

• Request zum Abruf des Entity Statements des Federation Masters

GET /federation/fetch?iss=https://app-ref.federationmaster.de&sub=https://gsi-ref.dev.gematik.solutions
Host: app-ref.federationmaster.de 

• Response mit beispielhaften Werten
• HTTP 200
• Content-Type: application/entity-statement+jwt

• Signatur Header des JWS 

{
  "typ": "entity-statement+jwt",
  "kid": "puk_fedmaster_sig",
  "alg": "ES256"
}

• Payload 

Die Tabelle zeigt und erläutert einige wichtige Attribute der Teilnehmerauskunft (subordinate Statement) zum sektoralen IDP

Tabelle 10 : Subordinate Statement zu einem sektoralen IDP

(2) Der Autorisierungsserver des Fachdienstes sendet ein Pushed Authorization Request

Der innere Flows startet mit dem Pushed Authorization-Request (RFC9126) des Fachdienst an den pushed_authorization_request_endpoint des sektoralen IDP.  Als client_assertion  wird  self_signed_tls_client_auth  verwendet (siehe OIDC Standard OpenID Connect Core 1.0 (section-9)).

• Pushed Authorization Request

POST /PAR_Auth
Host: gsi-ref.dev.gematik.solutions
Content-Type: application/x-www-form-urlencoded scope=urn%3Atelematik%3Adisplay_name+urn%3Atelematik%3Aversicherter+openid&acr_values=gematik-ehealth-loa-high&response_type=code&state=yyystateyyy&redirect_uri=https%3A%2F%2Fredirect.testsuite.gsi&code_challenge_method=S256&nonce=vy7rM801AQw1or22GhrZ&client_id=https%3A%2F%2Fidpfadi.dev.gematik.solutions&code_challenge=Shfl63eRGqtkndBuvWSFWqnue67tHYSEgQozlntaoJQ

Der Pushed Authorization Request des Fachdienst zum sektoralen IDP enthält die folgenden Parameter:

Tabelle 11 : Inhalte eines Pushed Authorization Request

(2 a/b) Laden der Entity Configuration des Fachdienst Authorization Server

Der sektorale IDP benötigt die Entity Configuration des Fachdienst Authorization Server, um zu prüfen, ob der Sender vertrauenswürdiger Teilnehmer der TI-Föderation und der empfangene Authorization Request korrekt ist. Der sektorale IDP erhält die Entity Configuration, indem er das Entity Statement des Fachdienst Authorization Server lädt.

• Request zum Abruf des Entity Statements des Fachdienst Authorization Server

GET /.well-known/openid-federation
Host: idpfadi.dev.gematik.solutions

• Response mit beispielhaften Werten
• HTTP 200
• Content-Type: application/entity-statement+jwt

• Signatur Header des JWS

{
  "typ": "entity-statement+jwt",
  "kid": "puk_fd_sig",
  "alg": "ES256"
}

• Payload 

Die Tabelle zeigt und erläutert einige wichtige Attribute der Entity Configuration eines Fachdienst Authorization Server

Tabelle 12 : Entity Configuration eines Fachdienst Authorization Server

6.1 OpenID Connect Relying Party

(2 c) Validieren des Entity Statment des Fachdienst Authorization Server und Prüfung der Trust Chain

Der sektoralen IDP validiert die gesamte Trust Chain ausgehend vom Entity Statement des Fachdienst Authorization Server bis zum Trust Anchor der TI-Föderation.

Unter anderem ruft der sektorale IDP dazu das Subordinate Statement zum Fachdienst Authorization Server bei der Superior-Entity ab, bei welcher der Fachdienst Authorization Server registiert ist. In dem vomder Superior-Entity ausgestellten und signierten Subordinate Statement liefert diese dem sektoralen IDP Informationen zum Fachdienst Authorization Server als Teilnehmer der TI-Föderation. Für die Anfrage muss die ID (iss) der Superior-Entity und die ID (sub) des Teilnehmers, zu dem die Anfrage gestellt wird, angegeben werden.

• Request zum Abruf des Entity Statements des Federation Masters

GET /federation/fetch?iss=https://app-test.federationmaster.de&sub=https://idpfadi.dev.gematik.solutions

Host: app-test.federationmaster.de 

• Response mit beispielhaften Werten
• HTTP 200
• Content-Type: application/entity-statement+jwt

• Signatur Header des JWS

{
  "typ": "entity-statement+jwt",
  "kid": "puk_fedmaster_sig",
  "alg": "ES256"
}

• Payload 

Die Tabelle zeigt und erläutert einige wichtige Attribute der Teilnehmerauskunft (subordinate Statement) zum Fachdienst Authorization Server

Tabelle 13 : Subordinate Statement zu einem Fachdienst Authorization Server

(3) Anwort des sektoralen IDP auf den Pushed Authorization Request

Des sektoralen IDP antwortet dem Fachdienst Authorization Server auf den Pushed Authorization Request mit einer Request URI. Die Request-URI ist ein für einen einmaligen  Authentifizierungsvorgang generierter Wert, der keine weiteren Informationen aus dem ursprünglichen Pushed Authorization Request enthält. 

Zuvor verifiziert der IDP das TLS CLientzertifikat gegen einen Schlüssel aus dem Entity Statement des Fachdienstes.

• Response mit beispielhaften Werten
• HTTP 201
• Content-Type: application/json
• {
    "request_uri":
      "urn:https://idpfadi.dev.gematik.solutions:2f4c9dc66dcf350e",
      "expires_in": 90
   }

Die Tabelle zeigt und erläutert die Attribute in der Anwort des sektoralen IDP auf den Pushed Authorization Request

Tabelle 14 : Request URI, ausgestellt vom sektoralen IDP

Diese URI wird vom Fachdienst Authorization Server als redirect an das Anwendungsfrontend gesendet um über das Authenticator Modul den sektoralen IDP zu erreichen.

(4) Redirect der Request URI

• HTTP-302
• Location: https://gsi-ref.dev.gematik.solutions?client_id=https://idpfadi.dev.gematik.solutions &
   request_uri=urn:https://idpfadi.dev.gematik.solutions:2f4c9dc66dcf350e
  

Die Tabelle zeigt und erläutert die Attribute im Redirekt zum sektoralen IDP

Tabelle 15 : Inhalte des Redirekt zum sektoralen IDP

(5) Das Anwendungsfrontend sendet den Authentication Request

• Request zum Abruf des Authorization Request

GET /urn:https://idpfadi.dev.gematik.solutions:2f4c9dc66dcf350e?client_id=https://idpfadi.dev.gematik.solutions

Host: gsi-ref.dev.gematik.solutions

Das Authenticator Modul des sektoralen IDP fängt diesen Request dadurch das er diese Adresse für App2App Kommunikation im Betriebssystem registriert hat.

(6) Das Authenticator Modul leitet den Authentication Request an den IDP weiter. (proprietär)

Die Schritte zur Nutzer-Authentifizierung und zur Erstellung des Authoritation Code durch den IDP sind Hersteller spezifisch.

(7) Der Authorization-Endpunkt des sektoralen IDP antwortet dem Authenticator Modul mit einem Redirect zum Fachdienst. (proprietär)

Der der sektoralen IDP antwortet dem Authenticator Modul mit einem Redirect zum Fachdienst Authorization Server und übergibt den generierten Authorization Code.

• Response
• HTTP-302
• Location: https://redirect.testsuite.gsi?state=yyystateyyy &
   code=cyd6LM-GUE2y0ce313g-A3NVE4
  

Die Tabelle zeigt und erläutert die Attribute im Redirekt zum Fachdienst Authorization Server

Tabelle 16 : Inhalte des Redirekt zum Fachdienst Authorization Server

(8) Das Authenticator Modul sendet den Request

• Request zum Aufruf des Fachdienst Authorization Server vom Authenticator Modul des sektoralen IDP

GET ?state=yyystateyyy&code=cyd6LM-GUE2y0ce313g-A3NVE4

Host: redirect.testsuite.gsi 

Das Anwendungsfrontend fängt diesen Request dadurch das er diese Adresse für App2App Kommunikation im Betriebssystem registriert hat.

(9) Aufruf des Fachdienst Authorization Server

Das Anwendungsfrontend ruft den Fachdienst Authorization Server auf und sendet asl Parameter den vom sektoralen IDP ausgestellten Authorization Code sowie den state-Parameter.

• Request zum Aufruf des Fachdienst Authorization Server vom Anwendungsfrontend der Fachanwendung

POST state=yyystateyyy&code=cyd6LM-GUE2y0ce313g-A3NVE4

Host: redirect.testsuite.gsi

state=yyystateyyy&code=cyd6LM-GUE2y0ce313g-A3NVE4

(10) Abruf des ID-Token

Der Fachdienst Authorization Server reicht den Authorization Code beim Token-Endpunkt des sektoralen IDP ein. 

• Request zum Abruf des ID-Token beim sektoralen IDP durch den Fachdienst Authorization Server

POST /token 

Host: gsi-ref-mtls.dev.gematik.solutions

grant_type=authorization_code&code=cyd6LM-GUE2y0ce313g-A3NVE4?code_verifier=e8ctQxmrak13OHv8dAlQyBKlrN2E6F-Bx3h48RaRX3lJURyD6Be1ehfNpiiJwz9zGehVW0DjoW87JZfwZooAjg-jeA858qWr_Fd7EnK-xxkVc8zdomFJJTcjt9xIQdC4&client_id=https://idpfadi.dev.gematik.solutions&redirect_uri=https://redirect.testsuite.gsi

Die Tabelle zeigt und erläutert die Attribute für den Abruf des ID-Token vom sektoralen IDPs durch den Fachdienst Authorization Server

Tabelle 17 : Attribute für den Abruf des ID-Token vom sektoralen IDP

(11) Ausstellung des ID_TOKEN

Der Fachdienst Authorization Server erhält vom Token-Endpunkt des sektoralen IDP ein ID-Token mit den gewünschten Claims. Das ID-Token ist mit einem Verschlüsselungsschlüssel des Fachdienst Authorization Server verschlüsselt. Der sektorale IDP verwendt für die Verschlüsselung einen Encrytion Key aus dem Metadaten Block im Entity Statement des Fachdienst Authorization Server. Der sektorale IDP signiert das ID-Token mit einem Signaturschlüssel dessen öffentlicher Teil im  Metadaten Block seines Entity Statements veröffentlicht ist.

• Response
• HTTP-200
• Content-Type=application/json
• Cache-Control=no-store
• Pragma=no-cache
• JSON

{

"id_token": "eyJhbGciOiJSUzI1NiIsIm.ewogImlzc
    yI6ICJodHRwOi8vc2VydmVyLmV4YW1wbGUuY29tIiwKICJzdWIiOiAiMjQ4Mjg5
    NzYxMDAxIiwKICJ...",

"token_type": "Bearer",

"expires_in": 300

}

• Encryption Header des JWS

{
  "use": "enc",
  "kid": "puk_fd_enc",
  "alg": "ES256"
}

• Signatur Header des JWS

{
  "use": "sig",
  "kid": "puk_fed_idp_token",
  "alg": "ES256"
}

• Payload

Die Tabelle zeigt und erläutert die Attribute des ID-Token

Tabelle 18 : Attribute des ID-Token

(12) Authorization Code für das Anwendungsfrontend

Erfolgt die Kommunikation zwischen dem Anwendungsfrontend, dem Authorization Server und der eigentlichen Anwendung eines Fachdienstes ebenfalls über OAuth, so erzeugt der Fachdienst Authorization Server nun einen eigenen Authorization Code (AUTHORIZATION_CODE_AS) und sendet diesen an das Anwendungsfrontend zum Einreichen beim Token Endpunkt des Fachdienst Authorization Server.

• Response
• HTTP-200
• Content-Type: application/json
  {
    "code":"
      "urn:https://idpfadi.dev.gematik.solutions:2f4c9dc66dcf350e",
      "state": "state_frontend"
   }
  

Die Tabelle zeigt und erläutert die Attribute der Response vom Fachdienst Authorization Server mit dem Authorization Code

Tabelle 19 : Response vom Fachdienst Authorization Server an den Fachdienst-Client (Authorization-Code-Flow)

(13)Abruf des Access-Token

Das Anwendungsfrontend des Fachdienstes reicht den Authorization Code beim Token-Endpunkt des Fachdienst Authorization Server ein.

• Request zum Abruf des Access-Token beim Fachdienst Authorization Server durch das Anwendungsfrontend des Fachdienstes

POST /token

Host: redirect.testsuite.gsi

Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=eaf8NQ-IWG4a2eg535i-C5PXG6?code_verifier=cwYI3ZkRp0JXArqKPxKJGB7QKOuI-EqFPqzjZhoZ441Q5yMFt8imhra8uS3UwjE67lVsBjStk1AYxL2AfysCdQZgTE_2pXSwupv84RCvXyHiMGshN0SAyLXc6k-LX2yX&client_id=xyz_fachdients_frontend_id

Die Tabelle zeigt und erläutert die Attribute zum Abruf des Access-Token am Fachdienst Authorization Server

Tabelle 20 : Abruf des Access-Token am Fachdienst Authorization Server

(14) Ausgabe des Access-Tokenauf Fachdienst

Anwendungsfrontend erhält vom Fachdienst Authorization Server ein Access-Token. Das weiteren kann dwer Fachdienst Authorization Server auch ein Refresh-Token ausstellen.

• Response

• HTTP-200
• Content-Type=application/json
• Cache-Control=no-store
• Pragma=no-cache

• JSON

{

"access_token" : "f72f1if22ceh919ce621f7012hee98881d949g85",
"token_type" : "Bearer",
"expires_in" : 12000,
"refresh_token" : "VXxl4axvYNPR8DxI8WE7WMJZA4Ga8gGq02HUAcz8Ax0"

}

(15) Verwendung des Access-Token

Greift das Anwendungsfrontend auf die Fachdienst API zu, so wird bei jedem Zugriff das Access-Token mitgegeben. Der Fachdienst validiert das Access Token und autorisiert den Zugriff. 

• Request
• POST /resource HTTP/1.1
  Authorization: Bearer f72f1if22ceh919ce621f7012hee98881d949g85
  Host: idpfadi.dev.gematik.solutions
  

6.2 Web2App-Flow

Der OAuth 2.0 Flow ist im Detail abhängig von der konkreten Anwendungsarchitektur. Die Spezifikation OAuth 2.0 for Browser based APPs  unterscheidet hier drei mögliche Architekturansätze, mit unterschiedlichen Auswirkungen auf den OAuth 2.0 Flow und den damit verknüpften Bedingungen. 

• Die Fälle OAuth 2.0 for Browser based APPs - 6.1 (BFF), OAuth 2.0 for Browser based APPs - 6.2 (Token mediating backend) müssen in unserer Betrachtung nicht unterschieden werden.

• Der Fall, dass eine Fachanwendung nur im Browser läuft ( OAuth 2.0 for Browser based APPs - 6.3) - also eine reine Browseranwendung darstellt - wird nicht als relevanter UseCase für eine Anwendung des Gesundheitswesens mit Bedarf einer Nutzerauthenitisierung betrachtet.

Bei Web-Anwendungen sollten auf Seiten des jeweiligen Fachdienstes die in OAuth 2.0 Security Best Current Practice beschriebenen Sicherheitsaspekte berücksichtigt werden. 

Der Ablauf des OIDC Flow ist prinzipiell identisch mit dem App-zu-App-Flow. 

6.2.1 Vorbedingungen

• Registrierung des Fachdienst Authorization Server als RP in der TI-Föderation
• Registrierung des App-Link/Universal-Link für das Authenticator-Modul des sektoralen IDP auf dem Gerät des Nutzers (auf Adresse des sektoralen IDP) - oder Anfragen über Web.
• Der Fachdienst besitzt ein Web-Backend welches Anwendungslogik realisiert.

6.2.2 Flow - OIDC

6.2.2.1 Flow Diagramm

Abbildung 9 : Ablauf Web2App-Flow

6.2.2.2 Ablaufbeschreibung Web2App-Flow

Tabelle 21 : Ablaufbeschreibung Web2App-Flow

Schnittstellendetails analog App-zu-App Flow (10)   Web-zu-App Flow

6.3 2-Geräte-Flow

Der 2-Geräte-Flow bildet den Fall ab, wenn die Anwendungen, für die sich ein Nutzer authetifizieren muss, auf einem anderen Geräte läuft als die App mit dem Authenticator-Modul des sektoralen IDP.

6.3.1 Vorbedingungen

• Registrierung des Fachdienst Authorization Server als RP in der TI-Föderation
• Registrierung des App-Link/Universal-Link für das Authenticator-Modul des sektoralen IDP auf dem Gerät des Nutzers (auf Adresse des sektoralen IDP) - oder Anfragen über Web.
• Der Fachdienst besitzt ein Backend welches Anwendungslogik realisiert.
• Authenticator-Modul des sektoralen IDP (APP) läuft auf einem anderen Gerät als die Fachanwendung (z.B. App → Smartphone, Anwendung → PC-Browser)

6.3.2 Flow - OIDC

6.3.2.1 Flow Diagramm

Abbildung 10 : Ablauf 2-Geräte-Flow

6.3.2.2 Ablaufbeschreibung 2-Geräte-Flow

Tabelle 22 : Ablaufbeschreibung 2-Geräte-Flow

6.4 Flow Desktop-Anwendung mit integriertem Authenticator-Modul

Für Anwendungen, die auf einem Desktop-PC laufen ist neben der Authentifizierung des Nutzers über den 2-Geräte-Flow auch eine Authentifizierung in der Desktop-Anwendung selb möglich, wenn diese ein entsprechendes Authenticator-Modul implementiert. Diese Implementierung ist derzeit nur für ePA-Desktop-FdV umgesetzt. Die Authenticator-Module für die ePA-Desktop-FdV Anwendungen sind für alle gängigen Betriebssysteme verfügbar. Nutzer authetifizieren sich in diesen Fällen über angeschlossene Kartenleser mit ihrer eGK.

6.4.1 Vorbedingungen

• Registrierung des Fachdienst Authorization Server als RP in der TI-Föderation
• Authenticator Modul ist als Teil der Desktop Anwendung implementiert

6.4.2 Flow - OIDC

6.4.2.1 Flow Diagramm

Abbildung 11 : Ablauf Desktop-App-Flow

6.4.2.2 Ablaufbeschreibung Desktop-App-Flow

Tabelle 23 : Ablaufbeschreibung Desktop-App-Flow

6.5 Unterstützung Single-Sign-On auf Anwendungsebene

Ein Single-Sign-On (SSO) auf Anwendungeben bedeutet, dass sich der Nutzer innerhalb der Anwendung nur einmalig aktiv authentifizieren muss und dann auf jeden TI-Fachdienst zugreifen kann.

Der Zugriff auf einem TI-Fachdienst aus einer Anwendung erfordert eigentlich jeweils eine aktive Authentifizierung des Nutzers. Allerdings ist unter bestimmten Voraussetzungen ein Single-Sign-On auf Anwendungeben möglich:

• Die Anwendung ist ein von der gematik zugelassenes FdV (z.B. ePA-FdV)
• Der Nutzer hat eingewilligt, SSO für einen TI-Fachdienst zu nutzen

Die Matrix zeigt ein Beispiel für eine Nutzerauthentifizierung mit SSO im ePA-FdV. In diesem Beispiel kann der Nutzer drei TI-Funktionen  - E-Rezept, TI-Messenger und Patienten-Akte - und eine Kassen eigene Funktion aus dem ePA-FdV aufrufen. Allerdings hat in diesem Beispiel der Nutzer die Authentifizierung über SSO für das Öffnen seiner Patientenakte verweigert (will also beim Öffnen der Patientenakte eine aktive Authetifizierung durchführen).

Das Single-Sign-On (SSO) ist spezifisch für eine Anwendung (ePA-FdV) und nicht übergreifend über weitere Anwendungen z.B. der E-Rezept App oder einer DiGA-App wirksam.

Abbildung 12 : Beispiel Entscheidungsmatrix für SSO im ePA-FdV

Beim Single-Sign-On (SSO) authentisiert sich der Nutzer spätestens beim Start des ersten TI-Fachdienstes der Anwendung einmalig gegenüber dem sektoralen IDP. Anschließend kann der Nutzer TI-Fachdienste (und Kassen spezifische Funktionen) innerhalb der Anwendung ohne weitere Interaktion zur Authentisierung für einen festgelegten Zeitraum nutzen. Der sektorale IDP stellt dabei sicher, dass jeder TI-Fachdienst sein eigenes ID Token erhält.

Die fehlende Interaktion des Nutzers bei der Authentifizierung je TI-Fachdienst erfordert für ein SSO-Verfahren zusätzliche Sicherungsmaßnahmen zur Gewährleistung der Widerstandsfähigkeit gegen das vom Fachdienst geforderten Angriffspotentials.

Eine Möglichkeit der spezifikationskonformen Umsetzung ist die Verwendung einer vom sektoralen IDP generierten SessionID und eines an die Instanz des Anwendungskontext und die SessionID gebundenen Schlüsselpaares.

Informationen zu den SSO-Nutzerpreferenzen sowie zur Identifizierung der anfordernden Anwendung werden standardkonform als Request Parameter "authorization_details[1]" (siehe [RFC9396#name-request-parameter-authorization-details], [draft-ietf-oauth-rar-03.html#name-authorization-data-types]) in den Authorization Requests mitgeteilt.

Ein Single-Sign-On ist aktuell nur für im ePA-FdV gebundene Fachdienste zulässig. Deshalb wird die Umsetzung anhand eines möglichen ePA-FdV mit integrierten TI-Anwendungen vorgestellt.

Abbildung 13 : ePA-FdV mit mehreren integrierten TI-Anwendungen

6.5.1 Prinzipieller Ablauf mit SessionID und Schlüsselpaar

Beim ersten Funktionsaufruf auf einen TI-Fachdienst aus dem ePA-FdV durch den Nutzer 

• werden die im ePA-FdV erstellten SSO-Nutzerpräferenz für alle an das ePA-FdV gebundenen Fachdienste und eine eindeutig Instance-ID zur aufrufenden Instanz des ePA-FdV im Request Parameter "authorization_details^[1]" im Authorization Request an den Authorization Server übermittelt.
• werden die SSO-Nutzerpräferenz für alle an das ePA-FdV gebundenen Fachdienste und die eindeutig Instance-ID im Request Parameter "authorization_details^[1]" im Pushed Authorization Request an den sektoralen IDP übermittelt.
• muss sich der Nutzer über das Authenticator-Modul aktiv authentifizieren. Wenn in einer früheren Sitzung die Einwilligung noch nicht erklärt wurde, wird der Einwilligungsdialog für den TI-Fachdienst, zum Einholen der Einwilligung durch den Nutzer, geöffnet.
• wird die vom sektoralen IDP erstellte und übertragene SessionID vom Authenticator-Modul gespeichert.
• wird über Plattformmechanismen ein Schlüsselpaar im System eigenen Schlüsselspeicher erzeugt und an die laufende Instanz des ePA-FdV gebunden.
• wird die SessionID zum Authenticator-Modul mit dem PK des zugehörigen Schlüsselpaares signiert.
• wird der öffentliche Schlüssel des Schlüsselpaares und die signierte SessionID beim Authentifizierungsprozess dem sektoralen IDP übermittelt und dort an die ausgestellte Identität gebunden.
• erhält der TI-Fachdienst einen spezifischen einmaligen Authorization-Code.
• erhält der TI-Fachdienst ein fachdienst- und nutzerspezifisches ID Token und Access Token.
• bei APP-APP Konstellation wird die im Authorization Request (URI-PAR) in "authorization_details^[1]" übergebene eindeutige Instance-ID des ePA-FdV an SessionID gebunden, um sicherzustellen, dass die Authorization Requests immer vom diesem ePA-FdV kommen.

Jeder weitere Funktionsaufruf auf einen Fachdienst aus der Anwendung

• wird die eindeutige Instance-ID zur aufrufenden Instanz des ePA-FdV im Request Parameter "authorization_details^[1]" im Authorization Request an den Authorization Server übermittelt.
• wird die eindeutige Instance-ID zur aufrufenden Instanz des ePA-FdV im Request Parameter "authorization_details^[1]" im Pushed Authorization Request an den sektoralen IDP übermittelt.
• wird vom Authenticator-Modul, über den im Authorization Request (URI-PAR) übergebene SSO-Parameter, geprüft, ob der Nutzer einem SSO für den relevanten Fachdienst zugestimmt hat.
• wird die SessionID zum Authenticator-Modul aus dem Speicher geladen.
• wird die SessionID zum Authenticator-Modul mit dem PK des zugehörigen Schlüsselpaares signiert.
• wird die signierte SessionID im Authorization Request an den IDP übertragen.
• erhält der TI-Fachdienst einen spezifischen einmaligen Authorization-Code.
• erhält der TI-Fachdienst eine fachdienst- und nutzerspezifisches ID Token (und Access Token).
• bei APP-APP Konstellation wird vom sektoralen IDP die im Authorization Request (URI-PAR) übergebene ePA-FdV Instance-ID gegen die der SessionID zugeordneten ePA-FdV Instance-ID geprüft.

IN-APP-Konstellation vs. APP-APP-Konstellation

Die Varianten IN-APP (Authenticator-Modul ist in ePA-FdV integriert) und APP-APP (Authenticator-Modul als eigene APP neben dem ePA-FdV) unterscheiden sich ausschließlich durch den Aufruf und durch die eindeutige Zuordnung zu einem ePA-FdV.

In der APP-APP-Konstellation muss sichergestellt werden, dass die Authorization Request, die ein SSO erlauben, immer vom ePA-FdV kommen. Dazu wird die eindeutige ID der APP (ePA-FdV Instance-ID) im Authorization Request (URI-PAR) als Parameter an das Authenticator-Modul übergeben. Die Instance-ID muss dabei ein UUID V4 [https://www.rfc-editor.org/rfc/rfc9562.html#name-uuid-version-4]  generierter Wert und unique für den Anwendungskontext sein. Die Instance-ID muss nach Beendigung der App (Beenden des Anwendungskontextes durch Nutzer oder Betriebssystem) ungültig sein. Der Anwendungskontext ist die Laufzeit des ePA-FdV vom Start bis zum Beenden auf dem Gerät des Nutzers.

Tabelle 24: Unterschiede im Ablauf IN-APP-Konstellation vs. APP-APP-Konstellation

6.5.2 SSO-Unterstützung auf Anwendungsebene innerhalb einer APP

Das Authenticator-Modul ist in das ePA-FdV integriert.

Abbildung 14: Beispiel für SSO bei Ausführung ePA Client Modul mit aktiver und E-Rezept Client Modul ohne aktive Nutzerauthentisierung aus dem ePA-FdV mit integriertem Authenticator-Modul

6.5.3 SSO-Unterstützung auf Anwendungsebene bei separater Authenticator-APP

Das Authenticator-Modul ist als eigene App implementiert.

Abbildung 15: Beispiel für SSO bei Ausführung ePA Client Modul mit aktiver und E-Rezept Client Modul ohne aktive Nutzerauthentisierung aus dem ePA-FdV mit Authenticator-Modul in separater APP

6.5.4 Ablaufbeschreibung SSO-Flow

Tabelle 25: Ablauf der Aufrufe der TI-Client Module aus dem ePA-FdV 

^[1] [A_23208*] aus [gemSpec_IDP_Sek] und [A_23209*], [A_25047*] aus [gemSpec_ePA_FdV] fordern jeweils das Einholen der Nutzerzustimmung für ein SSO. In Abstimmung mit dem BSI muss der Nutzerkonsent nicht über das ePA-FdV und das Authenticator-Modul eingeholt werden (siehe auch [FAQ Eintrag zu "doppeltes Einholen des SSO-Konsent" in der IDP Wissensdatenbank]). In der aktuellen Umsetzung wird die Nutzerzustimmung über das ePA-FdV eingeholt. Perspektivisch sollen jedoch die Nutzerpräferenzen im Authenticator-Modul gepflegt werden. Für einen Übergangszeit wird deshalb der Parameter authorization_details nicht benötigt.

7 Betriebliche Aspekte

Abbildung 16 : Deploymentview TI-Föderation

7.1 Verfügbarkeiten

7.1.1 Sektorale IDPs

Unabhängig vom Fachdienst ist bei jeder Nutzerauthentifizierung mit GesundheitsID der sektorale IDP involviert. Die Nutzung von TI-Fachdiensten über mobile Endgeräte soll für Versicherte 24x7 möglich sein. Eine Nutzerauthentifizierung mit GesundheitsID muss eine demensprechend hohe Ausfallsicherheit gewährleisten. Daraus ergeben sich folgerichtig Anforderungen an Georedundanz und Wiederherstellungszeiten (siehe auch Kapitel "9 Qualitätsszenarien").

7.1.2 Federation Master

7.1.2.1 TI-Trust Anchor

Der TI-Trust Anchor stellt Schnittstellen zur Abfrage von Subordinate-Statements, historical Keys und der Liste der registrierten sektoralen IDP bereit. Diese Abfragen erfolgen bei den Teilnehmern nicht bei jedem Autnetifizierungsprozess sondern einaml täglich. Die abgefragten Informatinen können 24h durch die Teilnehmer gecached. Die Anforderungen an die Verfügbarkeit des TI-Trust Anchor können entsprechend dieser Rahm,enbedingungen gestaltet werden.

7.1.2.2 Intermediate Entities

Intermediate Entities stellen Schnittstellen zur Abfrage von Subordinate-Statements und Trust Marks bereit. Die Anforderung an Verfügbarkeit richtet sich nach den fachlichen Anwendungsfällen und müssen entsprechend bei Design der Intermediate Entities berücksichtigt werden.

7.1.3 Fachdienst Authorization Server

Anforderungen an Verfügbarkeit von Fachdienst Authorization Server richtet sich nach den fachlichen Anwendungsfällen und müssen entsprechend bei Design der Fachdienst Authorization Server berücksichtigt werden.

7.2 Bearbeitungszeiten

7.2.1 Sektorale IDPs

Das Monitoring der sekt. IDPs umfasst die Verarbeitungszeit innerhalb der sektoralen IDPs aufgrund eingehender Requests. An die unterschiedlichen Requests (Use-Cases) werden betrieblich Anforderungen zur Performance gestellt.

Abbildung 17 : Messpunkte der Bearbeitungsziten sekt. IDPs

Tabelle 26:  Use-Cases für Bearbeitungszeitvorgaben sektorale IDPs

7.2.2 Federation Master

7.2.2.1 TI-Trust Anchor

Das Monitoring des TI-Trust Anchor umfasst die Verarbeitungszeit innerhalb des TI-Trust Anchor aufgrund eingehender Requests. An die unterschiedlichen Requests (Use-Cases) werden betrieblich Anforderungen zur Performance gestellt.

Abbildung 18 : Messpunkte der Bearbeitungsziten Trust Anchor

Tabelle 27:  Use-Cases für Bearbeitungszeitvorgaben Federation Master

7.2.2.2 Intermediate Entities

Anforderungen an Performance der Intermediate Entities richtet sich nach den fachlichen Anwendungsfällen und müssen entsprechend bei Design der Intermediate Entities berücksichtigt werden.

7.2.3 Fachdienst Authorization Server

Anforderungen an Performance der Fachdienst Authorization Server richtet sich nach den fachlichen Anwendungsfällen und müssen entsprechend bei Design der Intermediate Entities berücksichtigt werden.

8 Querschnittsliche Konzepte

Die TI-Föderation setzt auf folgende Konzepte der Telematik-Infrastruktur auf:

• gemSpec_Perf
• gemKPT_Betr
• gemKPT_Test
• gemSpec_DS_Hersteller
• gemSpec_Krypt
• gemSpec_OM
• gemSpec_PKI
• gemSpec_Systemprozesse_dezTI

9 Qualitätsszenarien

Tabelle 28 : Qualitätskriterien

10 Anhang – Verzeichnisse

10.1 Abkürzungen

10.2 Glossar

10.3 Abbildungsverzeichnis

10.4 Tabellenverzeichnis

10.5 Referenzierte Dokumente

Die nachfolgende Tabelle enthält die Bezeichnung der in dem vorliegenden Dokument referenzierten Dokumente der gematik zur Telematikinfrastruktur.

Weitere Referenzierungen: