Aktueller Paket-Graph des Produktionsservers
Aktueller Paket-Graph des Produktionsservers aus dem CRMI-Tool

Veröffentlicht: 12.11.2024. 🔗 Permalink

Der neue Produktionsserver der SU-TermServ

Seit dem 11.11.2024 ist der neue Produktionsserver der Service Unit Terminological Services (SU-TermServ) in Betrieb. Hiermit stellt die SU-TermServ nun eine leistungsfähige Plattform für die Bereitstellung von Terminologiediensten innerhalb der Medizininformatik-Initiative (MII) und des Netzwerks Universitätsmedizin (NUM) zur Verfügung. Der neue Server ist unter der Adresse https://ontoserver.mii-termserv.de/fhir 🔐 für FHIR-Clients erreichbar.

Bislang hat die SU-TermServ die Dienste unter der Adresse https://terminology-highmed.medic.medfak.uni-koeln.de/fhir 🔐 bereitgestellt. Gestartet hat dieser Server entsprechend aus dem HiGHmed-Projekt. Mit dem Beginn der aktuellen Förderphase der MII im Januar 2023 wurde im Rahmen einer Verstetigung innerhalb eines eigenständigen 2b-Projekts der Betrieb dieses Server professionalisiert und die Zielgruppe auf die gesamte MII und das NUM ausgeweitet.

Abschaltung alter Server

Der alte HiGHmed-Server wird bis Ende des Jahres 2024 weiter betrieben und dann in den ersten Wochen des neuen Jahres abgeschaltet. Bitte migrieren Sie auf die neuen Dienste. Alle bisherigen Ressourcen sollten weiterhin verfügbar sein. Wenn Sie Probleme mit der Anbindung an den neuen Dienst haben, kontaktieren Sie uns in unserem Zulip-Channel oder per E-Mail.
Sie benötigen ein entsprechendes Zertifikat für den Zugriff auf den Server.
Der Ballot-Server wird in Zukunft weiter betrieben, um eine öffentliche Plattform für die Weiterentwicklung der Ressourcen bereitzustellen.
Eine IP Allow List wird in Zukunft nicht mehr unterstützt, wir können aber bei Bedarf auch eigene Zertifikate ausstellen.

Authentifizierung

Alle durch Mutual TLS gesicherten Endpunkte sind mit einem Schloss 🔐 gekennzeichnet.

Dienste auf dem Server

Ontoserver

Der Terminologieserver nutzt für die Bereitstellung von Terminologien und Ontologien die Software Ontoserver. Der Server ist unter der Adresse https://ontoserver.mii-termserv.de/fhir 🔐 erreichbar. Als FHIR-Terminologieserver setzt Ontoserver die Teilspezifikation des FHIR Terminology Module in der Version von FHIR R4 um. Für mehr Informationen zur Nutzung dieser Dienste sei auf die Folien unseres letzten Workshops im Juli 2024 und unsere Onboarding-Folien verwiesen. Dokumentation zum Ontoserver inklusive einer Postman-Collection zum Ausprobieren finden Sie auch beim Hersteller 🇦🇺.

Neben den FHIR-Diensten stellt Ontoserver auch die Syndication-Funktion bereit. Damit können Ontoserver-Instanzen vernetzt werden, um Ressourcen einer Upstream-Instanz (d.h. die Instanz der SU-TermServ) in Downstream-Instanzen (z.B. innerhalb der Datenintegrationszentren) bereitzustellen. Den Syndication-Feed finden Sie im XML-Format unter https://ontoserver.mii-termserv.de/synd/syndication.xml 🔐. Syndication nutzt das Atom-Format nach RFC 4287 🇬🇧, während die Syndication-spezifischen Anpassungen durch den australischen National Clinical Terminology Service (NCTS) spezifiziert wurden 🇦🇺. Die Australian Digital Health Agency stellt auch einen Syndication-Client für Java und .NET bereit, um den Feed in anderen Anwendungen als Ontoserver zu konsumieren.

Launchpad

Unter www.ontoserver.mii-termserv.de finden Sie einen Überblick über die bereitgestellten Dienste und weitere Software, die mit dem Ontoserver kommunizieren kann. Hier ist keine Authentifizierung per mTLS notwendig.

Canonical Resource Management Infrastructure (CRMI)

Mit dem Canonical Resource Management Infrastructure-ImplementationGuide 🇬🇧 hat die Arbeitsgruppe Clinical Decision Support von HL7 International werden Profile, Operationen und Handlungsanweisungen zum Umgang mit kanonischen Ressourcen (FHIR knowledge artifacts, insbesondere ValueSets und Profile) spezifiziert.

Für die Arbeit der SU-TermServ sind folgende Aspekte dieses ImplementationGuides besonders relevant:

  1. In den Abschnitten Packaging und Publishing wird die Paketierung und Distribution von FHIR-Ressourcen durch FHIR-NPM-Pakete [Spezifikation] beschrieben.
  2. Innerhalb des Abschnittes Distribution werden Regeln angegeben, mit denen Abhängigkeiten zwischen den Ressourcen identifiziert werden können (Dependency Tracing).
  3. Durch die Spezifikation innerhalb des Teils Syndication des Distributionskonzeptes wird eine Anpassung des Syndication-Konzepts mittels Atom-Feeds beschrieben. Verglichen mit dem Syndication-Konzept des Ontoservers wird hierbei keine ressourcenbasierte, sondern eine paketbasierte Syndication beschrieben.
  4. Durch die Extension http://hl7.org/fhir/StructureDefinition/cqf-scope soll die Verknüpfung zwischen den Ressourcen und den Paketen, durch die sie veröffentlicht werden, hergestellt werden.
  5. Durch den IG werden weiterhin Regeln zur Versionierung von Artefakten und Paketen spezifiziert.

Durch die SU-TermServ wurde zum einen die Paketierung der Ressourcen vollumfänglich und unter Berücksichtigung der durch die Dependency-Tracing-Regeln identifizierten Abhängigkeiten umgesetzt (wie in unserem vorherigen Blogbeitrag zur Kommentierung des vorherigen Servers ausführlich beschrieben), zum anderen wurde das Syndication-Profil auf Basis der NPM-Pakete implementiert.

Authentifizierung 🔐

Die Authentifizierung mit dem neuen Server ist nunmehr nur noch per mTLS möglich. Die bisherige Möglichkeit zur Authentifizierung per IP-Allow-List wird aufgrund des hohen Wartungsaufwandes nicht mehr unterstützt. Stattdessen stellen wir nun die Möglichkeit bereit, aus unserer eigenen Zertifikatschain Zertifikate, sowohl für Personen als auch für Organisationen, auszustellen. Wenden Sie sich hierzu per E-Mail oder MII-Zulip an die SU-TermServ.

Die von uns akzeptierten Aussteller sind auf der Seite des Ontoservers stets aktuell hinterlegt. Wir unterstützen aktuell folgende Aussteller:

  • GÉANT
  • Sectigo Organization Validation Secure Server CA
  • USERTrust
  • DFN-PKI
  • unsere eigene CA

Von unserer Seite gibt es keine Vorgaben zu unterstützten Zertifikatsprofilen. Insbesondere unterstützen wir die Nutzung von Serverzertifikaten, die auch für HTTPS genutzt werden, sowie persönlichen Zertifikaten für z.B. Dokumentensignaturen und verschlüsselte/signierte E-Mails per S/MIME.

Alle Zertifikate müssen für Entitäten in Deutschland ausgestellt werden, diese Angabe finden Sie im Distinguished Name des Zertifikats. Wir prüfen auf die Präsenz des Attributs C=DE. Ein Zugriff für Entitäten außerhalb der Bundesrepublik Deutschland ist aufgrund unserer vertraglichen Situation mit CSIRO, dem Hersteller von Ontoserver, nicht möglich.

Aktuelle Situation um GÉANT und Sectigo

Kurz vor Veröffentlichung dieser Ankündigung wurde bekannt, dass Sectigo ihre Vertragsbeziehung mit dem GÉANT-Verbund aufgrund von Differenzen gekündigt hat. Seit einigen Jahren wurde die bisherige PKI des Deutschen Forschungsnetz (DFN) durch die Dienste der GÉANT abgelöst, wofür durch GÉANT wiederum ein Auftrag zur Ausstellung von Zertifikaten an Sectigo vergeben wurde. Nach aktuellem Kenntnisstand am 14.11.2024 ist voraussichtlich ab spätestens dem 10.01.2025 keine Beantragung von Zertifikaten über Sectigo mehr möglich. Bislang ist nicht bekannt, inwiefern GÉANT eine neue Vertragsbeziehung zu einem Subunternehmer eingeht, oder ob durch die DFN ein anderer Partner gesucht wird. Fest steht, dass im kommenden Jahr alle Server-Zertifikate ablaufen werden (diese werden nur für ein Jahr ausgestellt), ggf. auch persönliche Zertifikate (in der Regel sind diese drei Jahre gültig), und somit ein Handlungsbedarf bei allen Standorten, die die Zertifizierungsdienste der GÉANT nutzen, anfallen wird. Das DFN empfiehlt daher, noch in den kommenden Wochen bis zum Jahreswechsel die Verlängerung aller Zertifikate vor dem Ablaufdatum vorzunehmen, um die notwendigen Arbeiten in die Zukunft zu verschieben. Die SU-TermServ wird die Situation verfolgen, und selbstverständlich neue Zertifizierungs-Chains in die Liste der zulässigen Aussteller aufnehmen. Die Sicherheit des Zugriffs auf unsere Dienste ist durch diese Umstellung zu keinem Zeitpunkt gefährdet. Wir werden über weitere Schritte über die Kanäle der Koordinierungsstelle und auf dieser Website informieren.

Schreibender Zugriff

Es ist Ihnen nicht möglich, Ressourcen auf dem Server anzulegen. Hierzu ist eine weitergehende Authentifizierung notwendig, die nur für Mitarbeitende des SU-TermServ-Projekts gewährt wird. Sofern Sie einen Bedarf an Ressourcen haben, der durch weitere Parteien innerhalb von MII und NUM geteilt wird, können Sie jedoch in Absprache mit uns eigene FHIR-Packages erstellen (hierbei können wir natürlich auch unterstützen), die dann durch uns hochgeladen werden. Weitere Informationen sind hier verfügbar.

Updates

Die SU-TermServ ist in die Weiterentwicklung der Kerndatensatzmodule eingebunden und somit über neue Releases informiert. Stabile Paket-Versionen werden durch uns alsbald umpaketiert, und dann auf dem Server bereitgestellt. Standardmäßig unterstützen wir dabei stets nur die aktuellste Version, alte Pakete werden aber auf unserem GitLab-Bereich weiter verfügbar sein, sodass diese auch durch die Standorte bei Bedarf verwendet werden können. Sofern ein dringender Bedarf an der gleichzeitigen Bereitstellung einzelner Pakete identifiziert wird, ist aber auch das umsetzbar.

Aufgrund der Re-Paketierung durch die SU-TermServ sind einige Abhängigkeiten, d.h. externe Terminologien, durch neue Pakete abgedeckt. Wir werden diese Pakete wie folgt aktualisieren:

  • ICD-10-GM, OPS, Alpha-ID zum Jahreswechsel
  • Die International Edition von SNOMED CT halbjährlich mit der Januar- und Juli-Version
  • Die Germany Edition von SNOMED CT halbjährlich im Turnus des BfArM, d.h. aktuell im Mai und November
  • LOINC bei Release

Weitere externe Abhängigkeiten, z.B. die Schlüsseltabellen der KBV, die deutschen Basisprofile, oder die DICOM-ValueSets werden wir bei Veröffentlichung von neuen Versionen aktualisieren, und davon abhängige Pakete auf Kompatibilität mit den neuen Versionen testen. Notwendige Anpassungen werden wir mit den zuständigen Personen kommunizieren und gemeinsam eine Strategie für Updates erarbeiten.

Umstellung

Sofern Sie bereits an unsere Dienste, d.h. insbesondere an den FHIR-Endpunkt https://terminology-highmed.medic.medfak.uni-koeln.de/fhir 🔐 und/oder an Syndication https://terminology-highmed.medic.medfak.uni-koeln.de/synd/syndication.xml 🔐 angebunden sind, ist auf Ihrer Seite eine Anpassung erforderlich.

Der neue FHIR-Endpunkt ist https://ontoserver.mii-termserv.de/fhir 🔐, der Syndication-Feed ist unter https://ontoserver.mii-termserv.de/synd/syndication.xml 🔐 erreichbar.

Sofern Sie bereits ein Zertifikat zur Authentifizierung einsetzen, können Sie dieses auch für den neuen Server verwenden—falls nicht, kontaktieren Sie uns bitte!

Falls Sie bislang die IP-Allow-List verwenden, weil Sie kein Zertifikat über GÉANT erhalten können, kontaktieren Sie uns bitte, damit wir Ihnen ein entsprechendes Zertifikat aus unserer CA ausstellen können. Die Laufzeit dieses Zertifikats werden wir aktuell nicht länger als bis Ende 2027 bemessen.

Zum Jahreswechsel werden wir den alten Server dann abschalten und darüber gesondert informieren.

Bitte beachten Sie auch die Situation um Sectigo und GÉANT, die oben beschrieben ist.