Authentifications on DevBox-Santé

Authentification Indirecte (via certificat serveur)

Mon, 01 Jan 0001 00:00:00 +0000

Il s’agit de l’authentification par certificat serveur provenant de l’IGC Santé (Infrastructure de gestion de clés) qui est délivré aux différents établissements de santé.

Ce mode d’authentification ne permet que l’alimentation de documents dans le DMP et pas la consultation.

Description scénario : L’intégrateur héberge le Proxy DevBox-santé dans son environnement, et l’intégre comme une passerelle vers le DMP.

Version REST

Diagramme de composants

!theme aws-orange
!define DEVBOX_COLOR #278ef5
!define DMP_COLOR #35D9C0
!define MSS_COLOR #DE5D80
!define INS_COLOR #07A2CF
!define CPS_COLOR #D34A3C
!define VITALE_COLOR #5FD67A
!define PSC_COLOR #ff7765
!define APCV_COLOR #c6e66d
!define ANNUAIRE_COLOR #7613e0
!define DATA_COLOR #ffa800

[FrontEnd intégrateur] as frontend

node "Environnement intégrateur" {
   [BackEnd intégrateur] as backend
    package "DevBox-Santé Proxy REST"  DEVBOX_COLOR {
        package "DevBox-sante DMP" as dmpFacade DMP_COLOR {
            [P12Manager] as P12Manager DMP_COLOR
        }
    }
}
cloud "**DMP**" as DMP

frontend -down-> backend
backend -right-> dmpFacade: REST
dmpFacade -down-> DMP : SOAP

Version Embedded [Deprecated]

Diagramme de composants

L’architecture du mode embedded peut être représentée par ce schéma :

Authentification Indirecte Renforcee AIR

Mon, 01 Jan 0001 00:00:00 +0000

Point de vue de l’intégrateur

Techniquement, il s’agit de la même authentification que l’authentification Indirecte. L’impact majeur se situe sur le jeton VIHF.

Il s’agit pour l’intégrateur de mettre en place une authentification forte des utilisateurs de l’établissement. Une fois authentifiée, l’autorisation de l’utilisateur à solliciter le système DMP doit être vérifiée par la structure de soins. Une fois autorisée l’utilisateur se connecte sur le serveur DMP avec le certificat de l’établissement et un jeton VIHF spécifique :

Authentification Directe (via carte CPx)

Mon, 01 Jan 0001 00:00:00 +0000

Ce mode d’authentification nécessite l’installation sur le poste client d’un lecteur de carte CPS ainsi que le composant DevBox-santé. Le professionnel de santé doit posséder une carte CPS.

Scénario possible : Le frontend/client lourd s’exécutant sur le poste client de l’utilisateur accède au DMP grâce à la DevBox-Santé DMP installé sur le poste client._

Version REST

Diagramme de composants

!theme aws-orange
!define DEVBOX_COLOR #278ef5
!define DMP_COLOR #35D9C0
!define MSS_COLOR #DE5D80
!define INS_COLOR #07A2CF
!define CPS_COLOR #D34A3C
!define VITALE_COLOR #5FD67A
!define PSC_COLOR #ff7765
!define APCV_COLOR #c6e66d
!define ANNUAIRE_COLOR #7613e0
!define DATA_COLOR #ffa800

node "Poste Client (Windows/Mac/Linux)" {
    [FrontEnd intégrateur] as frontend

    package "DevBox-Santé Proxy REST"  DEVBOX_COLOR {
        component "DevBox-sante DMP" as dmpFacade #35D9C0 {
            [DevBox-sante CPS] as cps #D34A3C

        }
    }
    [Cryptolib CPS (ANS)] as cryptolibCPS
}
[BackEnd intégrateur] as backend
cloud "**DMP**" as DMP

frontend -right-> dmpFacade : REST
cps <-up-> cryptolibCPS : appel natif
dmpFacade -down-> DMP : SOAP
frontend  -down-> backend

Version Embedded [Deprecated]

Diagramme de composants

!theme aws-orange
!define DEVBOX_COLOR #278ef5
!define DMP_COLOR #35D9C0
!define MSS_COLOR #DE5D80
!define INS_COLOR #07A2CF
!define CPS_COLOR #D34A3C
!define VITALE_COLOR #5FD67A
!define PSC_COLOR #ff7765
!define APCV_COLOR #c6e66d
!define ANNUAIRE_COLOR #7613e0
!define DATA_COLOR #ffa800

node "Poste Client (Windows/Mac/Linux)" {
    component "Client de l'intégrateur" {
        component "DevBox-Santé Proxy REST"  DEVBOX_COLOR {
            component "DevBox-sante DMP" as dmpFacade #35D9C0 {
                [DevBox-sante CPS] as cps #D34A3C

            }
        }
    }
    [Cryptolib CPS (ANS)] as cryptolibCPS
}
cloud "**DMP**" as DMP

cps <--> cryptolibCPS : appel natif
dmpFacade --> DMP : SOAP

Diagramme de séquences

!theme aws-orange
!define DEVBOX_COLOR #278ef5
!define CPS_COLOR #D34A3C
!define VITALE_COLOR #5FD67A
!define DMP_COLOR #35D9C0
!define MSS_COLOR #DE5D80
!define INS_COLOR #07A2CF

box "Poste Client"
participant frontend
participant "DevBox-Santé DMP" as dbxdmp DMP_COLOR
participant "DevBox-Santé CPS" as dbxCps CPS_COLOR
end box

participant "**DMP**" as dmp

frontend -> dbxdmp : /dmp/td21SubmitDocuments
==  initialisation d'une connexion SSL en authentification mutuelle avec le DMP ==
dbxdmp -> "DMP" as dmp : [SSL] 1. Client Hello
dmp -> dbxdmp : [SSL] 2. Server Hello (certificat du DMP server inclus)
dmp -> dbxdmp : [SSL] 3. Client certificate request
dbxdmp -> dbxCps : readAuthenticationCertificate
dbxCps -> dbxdmp : {certificate authentification}
dbxdmp -> dmp : [SSL] 4. Client certificate
dbxdmp -> dmp : [SSL] 5. Client sends key info \n(encrypted with DMP server public's key)
dbxdmp -> dbxCps : signForAuthentication(SHA256WithRSA, hanshake data)
dbxCps -> dbxdmp : {signed handshake data}
dbxdmp -> dmp : [SSL] 6. Certificate verify \n (with Digital Signature)
dbxdmp -> dmp : [SSL] 7. Finnished message \n (encrypted with symmetric key)
dmp -> dbxdmp : [SSL] 8. Finnished message \n (encrypted with symmetric key)
== fin de l'initialisation de la connexion ssl avec le DMP ==
dbxdmp -> dmp : POST SOAP message de soumission (XDS/CDA)
dmp -> dbxdmp : SOAP response OK
dbxdmp -> frontend : ok