<div dir="ltr"><h3 id="markdown-header-roll-call-stats" style="margin:0px;padding:0px;color:rgb(51,51,51);font-size:18px;font-weight:normal;line-height:1.38888889;font-family:Arial,sans-serif">Roll call stats</h3><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px"><a href="http://hg.openid.net/heart/wiki/Roll_Call" rel="nofollow" style="color:rgb(53,114,176);text-decoration:none">http://hg.openid.net/heart/wiki/Roll_Call</a></p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">18 in attendance - 7 struggled to listen on web meeting</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Listserv count : 110 IP count 30</p><h3 id="markdown-header-openid-foundation-and-openid-connect-conformance-news" style="margin:20px 0px 0px;padding:0px;color:rgb(51,51,51);font-size:18px;font-weight:normal;line-height:1.38888889;font-family:Arial,sans-serif">OpenID Foundation and OpenID Connect Conformance News</h3><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Don Thibeau opened with some news about the self-certification/conformance program and the OIX registry. Eve commented that this is all part of the “identity singularity”: things going faster and maturity happening faster.</p><h3 id="markdown-header-note-well" style="margin:20px 0px 0px;padding:0px;color:rgb(51,51,51);font-size:18px;font-weight:normal;line-height:1.38888889;font-family:Arial,sans-serif">Note Well</h3><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">The Note Well was verbally given to the group by Justin</p><h3 id="markdown-header-introductions" style="margin:20px 0px 0px;padding:0px;color:rgb(51,51,51);font-size:18px;font-weight:normal;line-height:1.38888889;font-family:Arial,sans-serif">Introductions</h3><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">We went around the room.</p><h3 id="markdown-header-argonaut" style="margin:20px 0px 0px;padding:0px;color:rgb(51,51,51);font-size:18px;font-weight:normal;line-height:1.38888889;font-family:Arial,sans-serif">Argonaut</h3><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Josh gave the group a quick overview: In August 2014, this got started to explore the next round of Meaningful Use -- the Meaningful Use Common Data Set. It was about 18 specific elements. A call went out to the FHIR community. People knew the schedule might slip. Members from the Federal Advisory Committees (FACAs) kicked in some funding to mitigate that risk. Six big vendors founded Argonaut through May of 2015 to ensure authorization specs would be ready and possibly included in regulations that were anticipated to come out around that time.</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">There was an idea to form an implementation community. There could be test servers, sample data, automated testing, and so on. About 100 organizations joined. Some details are still to be determined. Graham Grieve, core author of FHIR, stood up some servers (?). The goal is to lay in some anonymized patient data for testing.</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">There are still a lot of questions. Openness and transparency are the goal. There’s a Google Group. There are monthly or every-six-weeks sponsored phone calls that aren’t yet open to the public. The Argonaut sponsors don’t yet know how this will play out, and transparancy still isn’t 100%.</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Focus on 4 primary use cases Apps that can be run by patients or by clinicians, and that launch inside inside or outside EHRs.</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Debbie comments: At MIT, the MITREid Connect implementation, often used in SMART demonstrations , has been extended to implement UMA (<a href="http://healthauth.org">healthauth.org</a>) also available for testing.</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Adrian would like to generate wide scalability across the network, in the JASON sense.</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Debbie describes ONC: It’s in charge of driving health IT strategy for the nation and it's role in rule-making such as Meaningful Use. NPRM is Notice of Proposed Rule-Making. APIs made it into the NPRM.</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Josh fleshes out: ONC certifies what products have to do. When ONC said that patients have to have access to health data through portals, that was key. The mention of APIs was good, but it didn’t mention which API.</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Debbie checked for good measure - <a href="https://s3.amazonaws.com/public-inspection.federalregister.gov/2015-06612.pdf" rel="nofollow" style="color:rgb(53,114,176);text-decoration:none">https://s3.amazonaws.com/public-inspection.federalregister.gov/2015-06612.pdf</a> -bottom page 207 "... The intent behind this certification criterion is to allow for, but not require, health IT developers to implement the Fast Health Interoperability Resource (FHIR®) REST API and accompanying FHIR standard ..." A reminder that FHIR is just one API used for Health and there could be more but for the scope of this effort we will focus on scope profiles for FHIR as an exemplar as how we may create others as referenced below. </p><h3 id="markdown-header-oauth-profile" style="margin:20px 0px 0px;padding:0px;color:rgb(51,51,51);font-size:18px;font-weight:normal;line-height:1.38888889;font-family:Arial,sans-serif">OAUTH Profile</h3><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Justin and Eve started walking through the OUATH spec using the layered diagram. </p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">We need to be certain that the core profiles are generic and separate profiles for API specific scopes. Core generic profiles may cover 90% thus the adoption curve should be much faster given both OpenID Connect and UMA are built upon OAUTH </p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Some examples may be:</p><ul style="margin:10px 0px 0px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px"><li style="word-wrap:break-word">42CFR part 3, HIPPA non HIPPA covered entities </li><li style="word-wrap:break-word">payers/claims</li><li style="word-wrap:break-word">Health IOT</li><li style="word-wrap:break-word">research - discretionary era of health</li></ul><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">We believe that Payer - claims vertical is in scope.</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">No experience to draw from thus a big effort for profile. Gather bits and pieces together - best practices not know There have been small pilots. Much had been defined to define pre/FHIR - OAUTH scopes for Hdata - BB+ for limited FHIR scope. Argonaut security profiles- pulled what needed to work end to end for their specific use cases.</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Real difference between web and native may need another class Implicit easier but less secure - designed for limited use case where app is running inside browser running cross domain session server</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Direct access - not delegate access -example HIE bulk transfers - back end server communications Full/Direct - need to talk to OAUTH token endpoint - </p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">client secret/password not allowed. We assume there is aREQUIRED higher level of security - JWT - protected claims information - Key pair signed - validate. JOSE suite - MUST </p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Note: Argonaut profile does use shared secrets - use authorization code flow - do not use implicit. Has not considered the JOSE suite</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">confidential client public - all clients must authenticate</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Debbie asked if client implementing Argonaut could register with a HEART resource. The current answer is no. If server enforces HEART - will reject non key pairs - client secret/password.</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Debbie noted this is an issue that needs to be addressed. Justin suggested, although not currently in the spec, there has been some conversation re: the push of a key pair to a client. </p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Justin is adamant that key pair is necessary because it sets up a series of other flows and functionalities as we move through the specs.</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">A good dialog between a number of participants (John, William, Cathy) and others around Identity management related concerns, business approvals and required processes such as Auditing. We need to determine what is in scope for a profile. Some areas that perhaps are out of scope for inclusion in the of profile - but will need to be detailed in the use cases or a best practices. Perhaps some of this could be included in the binding obligations. Debbie noted that the binding obligations sounded similar to SAML AuthNContext. As the conversation was getting really interesting - we ran out of time!</p><h3 id="markdown-header-general" style="margin:20px 0px 0px;padding:0px;color:rgb(51,51,51);font-size:18px;font-weight:normal;line-height:1.38888889;font-family:Arial,sans-serif">General</h3><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Huge thanks to our sponsors for the face to face -  Forgerock and OpenID Foundation. To those of you that were on the web meeting for so long - we apologize for the communication difficulties</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Debbie will hand over the publishing of notes to the wiki to others so we can get these out in a timely manner. (will post the March 30th and update roster shortly)</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px"><strong>NO</strong> meeting next Monday - many of us will be at RSA recap of sessions for this that may be interested:</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Adrian Gropper (P2P Privacy on FHIR group in attendance) Emergent Privacy Models in Healthcare April 21, 2015 | 4:40 PM – 5:30 PM | West | Room: 3002</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">David Staggs (Joined by Eve) UMA in Health Care: Providing Patient Control or Creating Chaos? April 24, 2015 | 11:20 AM – 12:10 PM | West | Room: 300</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Eve Maler<br>On the Care and Feeding of Human and Device Relationships April 23, 2015 | 8:00 AM – 8:50 AM | West | Room: 3008</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Use Context to Improve Your User Identification Odds April 23, 2015 | 10:20 AM – 11:10 AM | West | Room: 3009</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Identithication: Convergence of Identity and Authentication - A Rock Opera April 23, 2015 | 11:30 AM – 12:20 PM | West | Room: 2002</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Debbie Bucci  Lock Your Front Door: Protecting Patient Portals April 23, 2015 | 11:30 AM – 12:20 PM | West | Room: 3006</p><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Listing potential agenda items:</p><ul style="margin:10px 0px 0px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px"><li style="word-wrap:break-word">Wrap up OAUTH profile discussion - move to OpenID Connect</li><li style="word-wrap:break-word">UMA Alpha spec</li><li style="word-wrap:break-word">Trust Framework/Trust Marks/VoT/Binding Obligations</li><li style="word-wrap:break-word">Consent receipt</li><li style="word-wrap:break-word">Demonstrations of Reference implementations</li><li style="word-wrap:break-word">Pilots?</li></ul><p style="margin:10px 0px 0px;padding:0px;word-wrap:break-word;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">Other topics of interest that may touch the HEART WG effort - please send Debbie or Eve your suggestions</p></div>