<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman",serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p

        {mso-style-priority:99;

        mso-margin-top-alt:auto;

        margin-right:0in;

        mso-margin-bottom-alt:auto;

        margin-left:0in;

        font-size:12.0pt;

        font-family:"Times New Roman",serif;}

p.msonormal0, li.msonormal0, div.msonormal0

        {mso-style-name:msonormal;

        mso-margin-top-alt:auto;

        margin-right:0in;

        mso-margin-bottom-alt:auto;

        margin-left:0in;

        font-size:12.0pt;

        font-family:"Times New Roman",serif;}

span.EmailStyle19

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri",sans-serif;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif">In this time of mandated e-prescribing, I expect that any caregiver with the ability to order/prescribe would already have an electronic identity credential with metadata that states his prescribing

 authorities.  I’m thinking of something analogous to X.509-2000 attribute certificates, where the granting authorities can be authenticated in order to prevent fraud.  Such identity credentials should also be available for non-physician licensed practitioners,

 e.g., dentists, NPs, chiropractors, clinical psychologists, first responders, etc.   I’d prefer that sort of identity plus professional credentials to the more general OpenID credential like one gets from having a Google account, especially if I’m granting

 permission to a person to create, view, or share my clinical data.  <o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif">From a personal perspective, I want my clinical data arising from my PCP, dentists, drugstore-based clinics, and massage therapy to be shared among all care-providers.  And, if needed, I want

 first responders to be included in that group.  Maybe that’s utopian today, but it is not unreasonable.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif">However, a more robust federated professional identity infrastructure is an obviously large and expensive operational burden.  I am keenly interested in best practices as well as viable economic

 models for it. <o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Glen F. Marshall<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Consultant<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Security Risk Solutions, Inc.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">698 Fishermans Bend<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Mount Pleasant, SC 29464<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Tel: (610) 644-2452

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Mobile: (610) 613-3084<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">gfm@securityrs.com<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><a href="http://www.securityrisksolutions.com/"><span style="color:#0563C1">www.SecurityRiskSolutions.com</span></a><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Debbie Bucci [mailto:debbucci@gmail.com]

<br>

<b>Sent:</b> Wednesday, May 4, 2016 05:40<br>

<b>To:</b> Adrian Gropper <agropper@healthurl.com><br>

<b>Cc:</b> openid-specs-heart@lists.openid.net; Glen Marshall [SRS] <gfm@securityrs.com><br>

<b>Subject:</b> Re: [Openid-specs-heart] AS authentication<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p>Open service(s)  available that contains the information and metadata that would enable a service to whitelist and/or methods to  dynamically add new oidc provider information on the fly  is exactly what is needed imo.<o:p></o:p></p>

<p>If I grant access to Dr Bob's office to access my PHR it seems quite ok to me to accept a credential that Bob is already using for his everyday activities.<o:p></o:p></p>

<p>It wasn't obvious to me while glancing through the dynamic registration spec (s) ,in which folks  on this list were actively engaged/credited in developing , cover these issue.  We learned early on that many the specs assume some info is already in hand.<o:p></o:p></p>

<p>Lessons learned -  running a federation definately (!) ;  eased the burden on the researcher or consumer for easy access  but put a huge burden on operations. 

<o:p></o:p></p>

<p>If there are already best practices and techniques in place to handle Metadata and key management  then we should point to it.  If not I think it's in scope to address some of these painpoints. 

<o:p></o:p></p>

<p>I glanced at the spec but it's not obvious to me if any of that is there.  <o:p>

</o:p></p>

<div>

<p class="MsoNormal">On May 4, 2016 12:05 AM, "Adrian Gropper" <<a href="mailto:agropper@healthurl.com">agropper@healthurl.com</a>> wrote:<o:p></o:p></p>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<div>

<div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt">I don't see any problem here. <br>

<br>

The use of OpenID Connect as a recommended standard for provider authentication at the AS seems obvious and uncontroversial.<o:p></o:p></p>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt">Every AS (be it institutional or patient-owned) can choose which ID providers to white-list as an OIDC IdP..

<o:p></o:p></p>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt">Every RS can choose to provide OIDC IdP services to the ASs that patients introduce.<o:p></o:p></p>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt">A state medical society or HIE can choose to operate an OIDC IdP for their members. In MA, we actually have funding for such a project at the medical society waiting for HEART and related standards to make that

 practical.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">Dynamic OIDC Client registration should be required by HEART to make it easy for all AS to participate.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt">Adrian<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">On Tue, May 3, 2016 at 10:05 AM, Debbie Bucci <<a href="mailto:debbucci@gmail.com" target="_blank">debbucci@gmail.com</a>> wrote:<o:p></o:p></p>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif">I was actually focused on the authentication burden by the providers that will want/need to support their patient/consumers. 

</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif">We had discussed a webfinger like flow to enable discover consumer resources as part of the introduction piece ...which in turn may indeed be an OIDC provider-AS for the consumer.</span><o:p></o:p></p>

</div>

<p><o:p> </o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">On Tue, May 3, 2016 at 9:49 AM, Glen Marshall [SRS] <<a href="mailto:gfm@securityrs.com" target="_blank">gfm@securityrs.com</a>> wrote:<o:p></o:p></p>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Calibri",sans-serif">Debbie,</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Calibri",sans-serif"> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Calibri",sans-serif">I share your concern.  A secure AS registry infrastructure is needed for multiple AS instances, especially at scale. 

</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Calibri",sans-serif"> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Calibri",sans-serif">  I am very leery of the business case for them.  In particular, what financial burden should the patients/subjects take-on for the

 AS(s) they choose, and how does the consumer evaluate AS product offerings?  Also, since the chosen AS URIs can be used to help re-identify patients, we probably need a scheme to pseudonymize them in shared patient EHR & PHR data.</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Calibri",sans-serif"> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Calibri",sans-serif">Glen</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Calibri",sans-serif"> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Glen F. Marshall</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Consultant</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Security Risk Solutions, Inc.</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">698 Fishermans Bend</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Mount Pleasant, SC 29464</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Tel:

<a href="tel:%28610%29%20644-2452" target="_blank">(610) 644-2452</a> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Mobile:

<a href="tel:%28610%29%20613-3084" target="_blank">(610) 613-3084</a></span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><a href="mailto:gfm@securityrs.com" target="_blank">gfm@securityrs.com</a></span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><a href="http://www.securityrisksolutions.com/" target="_blank">www.SecurityRiskSolutions.com</a></span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Calibri",sans-serif"> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Openid-specs-heart [mailto:<a href="mailto:openid-specs-heart-bounces@lists.openid.net" target="_blank">openid-specs-heart-bounces@lists.openid.net</a>]

<b>On Behalf Of </b>Debbie Bucci<br>

<b>Sent:</b> Tuesday, May 3, 2016 09:37<br>

<b>To:</b> <a href="mailto:openid-specs-heart@lists.openid.net" target="_blank">openid-specs-heart@lists.openid.net</a><br>

<b>Subject:</b> [Openid-specs-heart] AS authentication</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Are there a methods to register additional OIDC Providers as part of the dynamic client registration "dance" or open multiprotocol (sambits ?) registries  in place today  where

 OIDC providers can register in advance to aide these type of interactions? <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">The thought of a provider (or researcher) having to authenticate to potentially hundreds of [UMA] AS  is worrisome and seems unmanageable at scale.  

<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Perhaps I'm missing something ...

<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">  <o:p></o:p></p>

</div>

</div>

</div>

</div>

</blockquote>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

_______________________________________________<br>

Openid-specs-heart mailing list<br>

<a href="mailto:Openid-specs-heart@lists.openid.net" target="_blank">Openid-specs-heart@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-heart" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-heart</a><o:p></o:p></p>

</blockquote>

</div>

<p class="MsoNormal"><br>

<br clear="all">

<br>

-- <o:p></o:p></p>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">Adrian Gropper MD<br>

<br>

<span style="font-family:"Arial",sans-serif;color:#1F497D">PROTECT YOUR FUTURE - RESTORE Health Privacy!<br>

HELP us fight for the right to control personal health data.<br>

DONATE: <a href="http://patientprivacyrights.org/donate-2/" target="_blank"><span style="color:#0563C1">http://patientprivacyrights.org/donate-2/</span></a></span>

<o:p></o:p></p>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</blockquote>

</div>

</div>

</body>

</html>