Page History
Introduktion
Nuværende NemID for borgere og erhvervspersoners medarbejdersignatur bliver fra fællesoffentlig side afløst af henholdsvis MitID og MitID Erhverv, hvilket medfører en række ændringer til den nationale infrastruktur på sundhedsområdet, som tilpasses til at kunne understøtte MitID, NemLog-in3 og OCES3.
...
Ved overgangen fastholdes på sundhedsområdet protokoller og adgangsbilletter, herunder DGWS og SOSI idkort for medarbejdere og systemer, samt IDWS på borgerområdet. I det følgende gennemgås de ændringer overgangen medfører for de forskellige typer løsninger på sundhedsområdet.
Borgervendte (web)løsninger
For borgervendte webløsninger, som eksempelvis webapoteker og praksislægers borgerportaler, der anvender NemLog-in via SEB IdP og tilgår nationale services som FMK via IDWS protokollen sker der kun minimale ændringer. Konkret kommer det indlejrede bootstraptoken som webløsninger i dag omveksler via SOSI-STS'ens BST2IDWS snitflade fremover til at være krypteret til SOSI-STS'en, dvs. tokenet modtages som <saml:EncryptedAssertion> fremfor som almindelig <saml:Assertion>. Der bemærkes, at kun bootstraptokenet som alene anvendes til omveksling vil være krypteret til SOSI-STS - selve OIOSAML assertionen med borgerens attributter, vil fortsat kunne læses.
...
Se også Snitfladeændringer i SEB ved overgang til MitID NemLog-in3 og OCES3 v01.pdf.
System-til-system integrationer
System-til-system integrationer baseret på DGWS og SOSI systemidkort videreføres og udbygges til at understøtte OCES3. SOSI-STS'ens (New)SecurityTokenService snitflade udsteder fremover SOSI systemidkort ikke kun på baggrund af FOCES2/VOCES2 signerede idkortrequests, men også på baggrund af FOCES3/VOCES3 signerede requests.
Medarbejdervendte løsninger - fagsystemer
Nuværende MOCES medarbejdersignatur anvendes til autentifikation af medarbejdere på sundhedsområdet i forhold til deres tilgang fra fagsystemer (EPJ, EOJ, LPS, apotekssystemer mfl.) til nationale services som fx FMK. Medarbejdersignaturen anvendes til at signere idkortrequests til SOSI-STS'ens (New)SecurityTokenService snitflade, som udsteder SOSI useridkort, se i øvrigt STS - Guide til anvendere: DGWS for detaljerne omkring autorisations- og rollehåndtering i udstedelsesprocessen. Lokalt håndteres medarbejdersignaturen typisk enten i en signatur-mobilitetsløsning eller som nøglefiler.
...
- MitID Erhverv, hvor autentifikation af brugerne foregår i NemLog-in (enten med personligt MitID eller med et dedikeret MitID Erhverv identifikationsmiddel)
- Lokal IdP, hvor brugerorganisations selv står for autentifikation af brugerne i egen NSIS-anmeldt IdP og med egne identifikationsmidler (fx smartcards)
- MOCES3 certifikater, hvor autentifikation som hidtil foregår med samme flow i SOSI-STS. MOCES3 understøttes som overgangsløsning for de brugerorganisationer, som tidsmæssigt ikke når at etablere egne lokale IdP'er.
Se i øvrigt også Snitfladeændringer i NSP komponenter ved overgang til MitID NemLog-in3 og OCES3 v02.pdf.
Anvendelse af MitID Erhverv
...
Flowet for autentifikation med MOCES3 er identisk med nuværende MOCES2 autentifikation i SOSI-STS, se STS - Guide til anvendere: DGWS. Bemærk, at SOSI-STS kræver at MOCES3 certifikater udstedes med medarbejderens globale UUID fra MitID Erhvervsadministrationen (EIA) og ikke et certifikatspecifik UUID. (Dette styres via en indstilling i EIA for den pågældende brugerorganisation.)
Integration via SOSI-Gateway
Udover at SOSI-Gateway kan understøtte oprettelse af idkort på baggrund af MOCES3 certifikater er SOSI-Gateway blevet udvidet med en ny 'createIdCardFromBST' snitflade, der kan oprette SOSI idkort i SOSI-Gateway'ens cache ud fra et bootstraptoken, som STS'en truster (fx fra en lokal IdP eller SEB IdP'en). Snitfladen 'createIdCardFromBST' tager samme WS-Trust request som input som SOSI-STS'ens BST2SOSI, se SOSI-GW - Guide til anvendere.
Medarbejdervendte løsninger - webbaserede
Webapplikationer der benytter enten NemLog-in IdP'en eller SEB IdP'en til autentifikation af brugerne vil fortsæt kunne anvende de to IdP'er. I første omgang med de nuværende OIOSAML2 baserede protokoller/attributter, som skal migreres til OIOSAML3 baserede protokoller/attributter - for SEB-tilslutninger dog først på sigt.
For SEB IdP'en er