<p dir="ltr">Eve posted a great visual a few weeks back.  Both UMA and OpenID Connect are layered on TOP of OAuth.<br>
 <br>
We need to start somewhere and focusing on the base seems the appropriate place to start from my POV.</p>
<p dir="ltr">I personally need to build to see...in order to understand the changes/adjustments that may need to be made to the base as we build upon it.<br></p>
<p dir="ltr">Agile right? </p>
<div class="gmail_quote">On Jul 21, 2015 8:51 AM, "Aaron Seib" <<a href="mailto:aaron.seib@nate-trust.org">aaron.seib@nate-trust.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I am in the same boat as Justin – Dragon and I had a sidebar about this a week or so back and came to the same conclusion.  <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">The Use case should determine what is employed.  I am a visual guy – if we had a set of concentric circles OAUTH would be the center, a band of both OAUTH and UMA would surround that and then UMA would be the outer band.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Probably not helpful without some arrows that label the use case supported by each band but that is the way I have pictured it.  I am not sure that visualization stands up as I don’t know that you ever have a use case with UMA in isolation of OAUTH.  Can someone correct me?<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">It might help to spell out a specific use case in the legacy language of disclosure based on push:<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p><u></u><span style="color:black"><span>1.<span style="font:7.0pt "Times New Roman"">      </span></span></span><u></u><span style="color:black">EMR<sub>1</sub> sends protected health data to PHR<sub>A</sub>; <u></u><u></u></span></p><p><u></u><span style="color:black"><span>2.<span style="font:7.0pt "Times New Roman"">      </span></span></span><u></u><span style="color:black">Consumer using PHR<sub>A </sub>sends content from (1) to EMR<sub>2</sub><u></u><u></u></span></p><p><u></u><span style="color:black"><span>3.<span style="font:7.0pt "Times New Roman"">      </span></span></span><u></u><span style="color:black">EMR<sub>2</sub> receives content and its workflow can differentiate between PGHD and data that is unchanged since it left EMR<sub>1</sub>.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Could anyone on this thread convert this transaction into the OAUTH\UMA domain so that a layman would understand?<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Aaron Seib, CEO<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">@CaptBlueButton <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> (o) <a href="tel:301-540-2311" value="+13015402311" target="_blank">301-540-2311</a><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">(m) <a href="tel:301-326-6843" value="+13013266843" target="_blank">301-326-6843</a><u></u><u></u></span></p><p class="MsoNormal"><a href="http://nate-trust.org" target="_blank"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d;text-decoration:none"><img border="0" width="205" height="48" src="cid:image003.jpg@01D0C392.6334CA70"></span></a><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u><u></u></span></p></div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><div><div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in"><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Openid-specs-heart [mailto:<a href="mailto:openid-specs-heart-bounces@lists.openid.net" target="_blank">openid-specs-heart-bounces@lists.openid.net</a>] <b>On Behalf Of </b>Justin Richer<br><b>Sent:</b> Tuesday, July 21, 2015 3:54 AM<br><b>To:</b> Adrian Gropper<br><b>Cc:</b> <a href="mailto:openid-specs-heart@lists.openid.net" target="_blank">openid-specs-heart@lists.openid.net</a><br><b>Subject:</b> Re: [Openid-specs-heart] Public FHIR Endpoints - are there any OAUTH endpoints to register and test<u></u><u></u></span></p></div></div><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">That’s not true: We’re doing UMA where UMA makes sense. We’re doing OAuth where OAuth makes sense. We’re doing both in parallel when both in parallel make sense.<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">At least, that’s what I got from the discussion of the previous thread of options, though I’m potentially biased because this is the direction that I thought we should go.<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"> — Justin<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p><div><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt"><div><p class="MsoNormal">On Jul 21, 2015, at 12:52 AM, Adrian Gropper <<a href="mailto:agropper@healthurl.com" target="_blank">agropper@healthurl.com</a>> wrote:<u></u><u></u></p></div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">I'm confused. Either HEART is doing UMA or we're not. OAuth alone, at least as I understand it does not meet key issues of the HEART Charter.<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">What am I missing here? Is HEART just going to tag along behind FHIR or are we going to lead?<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Adrian<br><br>On Monday, July 20, 2015, Debbie Bucci <<a href="mailto:debbucci@gmail.com" target="_blank">debbucci@gmail.com</a>> wrote:<u></u><u></u></p><p class="MsoNormal">I would also like to propose that we look at the Argonaut backend services because it's closest to our profiles .  Let's pretend a phr is a trusted back end service.<u></u><u></u></p><p class="MsoNormal">If I am way off base - correct me.<u></u><u></u></p><div><p class="MsoNormal">On Jul 20, 2015 5:42 PM, "Debbie Bucci" <<a>debbucci@gmail.com</a>> wrote:<u></u><u></u></p><div><div><p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial","sans-serif"">Hi everyone</span><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial","sans-serif"">I see this is the current list </span><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial","sans-serif""><a href="http://wiki.hl7.org/index.php?title=Publicly_Available_FHIR_Servers_for_testing" target="_blank">http://wiki.hl7.org/index.php?title=Publicly_Available_FHIR_Servers_for_testing</a>    </span><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial","sans-serif"">I know for certain some of you are building your own Sandboxes (+1).  Is it possible to get an informal interop going?   May help us with the profile discussions.   </span><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial","sans-serif"">Deb</span><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></div><p class="MsoNormal"><br><br>-- <u></u><u></u></p><div><p class="MsoNormal">Adrian Gropper MD<span style="font-size:7.5pt"><br></span><span style="font-size:10.0pt">Ensure Health Information Privacy. Support Patient Privacy Rights.<br><a href="http://patientprivacyrights.org/donate-2/" target="_blank">http://patientprivacyrights.org/donate-2/</a><u><span style="color:blue">  </span></u></span><span style="font-size:11.0pt"><u></u><u></u></span></p><p class="MsoNormal"><u></u> <u></u></p></div><p class="MsoNormal"><br>_______________________________________________<br>Openid-specs-heart mailing list<br><a href="mailto:Openid-specs-heart@lists.openid.net" target="_blank">Openid-specs-heart@lists.openid.net</a><br><a href="http://lists.openid.net/mailman/listinfo/openid-specs-heart" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-heart</a><u></u><u></u></p></div></blockquote></div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></div><br>_______________________________________________<br>
Openid-specs-heart mailing list<br>
<a href="mailto:Openid-specs-heart@lists.openid.net">Openid-specs-heart@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-heart" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-heart</a><br>
<br></blockquote></div>