IAM - Eisen (en aanbevelingen) voor Identity Provisioning

#	Eis	FHIR service	Domein
001	Of er sprake is van toegevoegde identificatie van de gebruiker door middel van een Identity Provider (IdP) hangt af van wat de module(s) in de applicatie verwerken. De koppeltaal standaard bepaalt dit niet; hiervoor wordt er verwezen naar de eIDAS-verordening en de Wet Digitale Overheid (WDO), die op dit moment vorm krijgt is. Het is uiteindelijk de verantwoordelijkheid van het domein om hierin de juiste keuze te maken.		X
002	De Identity Provisioning maakt gebruik van de Open Id Connect (OIDC) standaard.	X	X
003	De Identity Provisioning wordt door de autorisatie service geïntegreerd in de /authorize stap van de SMART on FHIR app launch flow. Zowel de lancerende party als de ontvangende partij van de launch hoeft niets specifieks te ondernemen.
004	Het is binnen een domein te adviseren om de portal applicaties aan dezelfde IdP oplossing te koppelen als de autorisatie service om zo Single Sign On (SSO) te bewerkstelligen.		X
005	In het domeinbeheer moet de Identity Provider geconfigureerd worden op de volgende drie-eenheid: domein - gebruikerstype - applicatie-instantie.	X
006	Per drie-eenheid kan ingesteld worden: Of een IdP vereist is, zo ja: welk type (vooralsnog enkel OIDC), indien er meerdere typen in de toekomst worden gebruikt kan dit veld meervoudig worden ; welk veld het identifier attribuut bevat, hiermee wordt geconfigureerd welke attribuut van de user-assertion wordt gebruikt; voor welk type FHIR resource deze IdP is (Patient/Practitioner), op welke identifier van de FHIR resource de identiteit gemapped is (Patient.identifier.system/Practitioner.identifier.system); de kenmerken van de Identity Provider (URL, public key/JWKS URL etc.).	X
007	Het domeinbeheer mag gebruik maken van defaults om de configuratiecomplexiteit te vereenvoudigen.	X