是否可以在FHIR存储中进行授权/访问控制? 让我举一个例子:
保险公司从 3 个不同的合作伙伴接收临床信息,但公司需要为每个合作伙伴创建不同的角色。
- 因此,第一个合作伙伴可以得到任何患者,并且POST只遇到资源。
- 第二个合作伙伴可以获得几个患者和POST遭遇和条件资源。
- 第三个合作伙伴可以得到一些病人,并在条件资源中放置一些元素
每个合伙人将负责验证保险公司。 这可能是通过相互 TLS 证书验证、OAuth 或其他方式实现的。 一旦保险公司通过认证,临床系统将确定公司拥有什么"授权"。 每个数据源都可以完全控制确定给定请求者有权接收的内容。 理想情况下,服务器将在请求者进行身份验证后向请求者公开一个不同的功能声明,以反映允许他们执行的操作。 任何不允许的请求都将导致适当的错误,或将导致返回的数据被适当过滤。 确定发生的筛选类型由内部业务规则管理,不由 FHIR 定义,但在某些情况下,FHIR 资源(如合同或同意(可能包含将影响筛选的术语。