...

1. En medarbejder tilgår organisationens fagsystem. Via fagsystemet ønsker medarbejderen at tilgå patientdata fra en national sundhedstjeneste, eksempelvis det Fælles MedicinKort (FMK). Fagsystemet skal have medarbejderens SOSI idkort for at kunne tilgå patientdata fra en national sundhedstjeneste (step 7 på figuren). SOSI idkort udstedes af SOSI STS’en via omveksling fra et Bootstraptoken (BST) (step 5-6 på figuren). Derfor skal fagsystemet hente medarbejderens BST (step 2-4), før fagsystemet kan hente patientdata fra en national sundhedstjeneste. 
2. SEB (Sundhedsvæsenets Elektroniske Brugerstyring) er en IdP-broker, som viderestiller medarbejderen til arbejdspladsens valgte IdentityProvider (IdP). For mindre sundhedsorganisationer vil det være Nemlog-in. SEB og Nemlig-in er web-applikationer, der initieres via SAML WEB-SSO protokollen, og forudsætter dermed at medarbejderen har adgang til en browser. For fagssystem, som ikke er web-baseret, skal der etableres web-server og funktionalitet der initierer at medarbejderen via browser videresendes til SEB.
3. SEB redirecter medarbejderen til Nemlog-in, hvorfra brugeren logger på og efterfølgende sendes tilbage til SEB
4. SEB opbygger et OIOSAML-H-3.0 token og returnerer dette til web-serveren tilknyttet fagsystemet. OIOSAML-H-3.0 er et OIOSAML3 token udvidet med sundhedsattributter. Fra tokenet kan medarbejderens identitet og organisatoriske tilknytning aflæses (på CVR-niveau). Desuden kan medarbejderens sundhedsfaglige autorisationer, ydertilknytning og nationale sundhedsroller aflæses. Tokenet indeholder desuden et såkaldt Bootstraptoken, der kan anvendes til SOSI STS’ens nye BST2SOSI snitflade.
5. Fagsystemet kalder SOSI STS’ens BST2SOSI snitflade for at omveksle BST tokenet til et SOSI IdKort. I kaldet er det muligt at ’claime’ den autorisation eller nationale rolle som medarbejderen ønsker at agerer på vegne af. Dette er kun relevant hvis medarbejderen har flere autorisationer eller nationale roller. Om dette er tilfældet kan aflæses af OIOSAML-H-3.0 tokenet. 
6. SOSI STS validerer BST tokenet og returnerer et SOSI Idkort til fagsysemet. 

7. Fagsystemet modtager medarbejderens SOSI IdKortet.

8. Med SOSI idkortet kan fagsystemet lave et Den Gode WebService (DGWS) kald til sundhedstjenesten, og sundhedstjenesten kan returnere de ønskede patientdata til fagsystemet. 

SAML WEB-SSO kald til SEB (trin 2-4 på figuren)

Som beskrevet ovenfor så initieres SEB via SAML WEB-SSO protokollen, og forudsætter en web-server i tilknytning til fagsystemet, samt at medarbejderen har adgang til en browser.

...

Efter medarbejderens succesfulde login returnere SEB et OIOSAML-H-3.0 token til web-serveren i tilknytning til fagsystemet.

Web-serveren skal validere OIOSAML-H.3.0 tokenet for gyldig signatur, trust til signatur og gyldighed i tid. Dette håndteres af standard SAML biblioteker og bør ikke kræve udvikling af applikationsspecifik kode.

OIOSAML-H-3.0 er et OIOSAML3 token udvidet med sundhedsattributter. Fra tokenet kan medarbejderens identitet og organisatoriske tilknytning aflæses (på CVR-niveau). Desuden kan medarbejderens sundhedsfaglige autorisationer, ydertilknytning og nationale sundhedsroller aflæses. Tokenet indeholder desuden et såkaldt Bootstraptoken, der kan anvendes til SOSI STS’ens nye BST2SOSI snitflade.

Bootstraptokenet er et såkaldt 'Audience restricted' 'Holder off key' token.

'Audience' er den part som skal validere og omveksle tokenet. Dvs. her er det SOSI STS'en.

'Holder of key' er den part som SEB udsteder token til. Dvs. her er det fagsystem eller den tilknyttede web-service, som har initieret SAML WEB-SSO kaldet til SEB.

Linket nedenfor peger på OIOSAML-H-3.0 profilen, som dokumenterer tokenets attributindhold. 

Linket nedenfor peger på OIOSAML-H-3.0 profilen, som dokumenterer tokenets attributindhold. 

https://www.nspop.dk/https://www.nspop.dk/display/KLMIDNLIN3/Profiler?preview=/154767530/154774859/OIOSAML_Attribute_Profiles_for_Healthcare-v30.pdf

I bilagsafsnittet nederst i denne vejledning ses et eksempel på et OIOSAML-H-3.0 token.Indlejret i XML-elementet <AttributeStatement> findes de attributter som beskriver brugeren og brugerens organisatoriske tilknytning samt brugerens et OIOSAML-H-3.0 token.

Indlejret i XML-elementet <AttributeStatement> findes de attributter:

• som beskriver brugeren (navn, cpr, cpruud)
• som beskriver brugerens organisatoriske tilknytning (oragvnisations navn, rid, professionel UUID)
• brugerens autorisationer, ydertilknytning og nationale roller (encoded som Base64 og indlejret i attributten privilegesIntermediate) - decoded eksempel findes i bilag.
• det BST som kan omveksles til et SOSI IdKort (encoded som Base64 og indlejret i attributten bootstrapToken)

BST er et såkaldt 'Audience restricted' 'Holder off key' token.
'Audience' er den part som skal validere og omveksle tokenet. Dvs. her er det SOSI STS'en.
'Holder of key' er den part som SEB udsteder token til. Dvs. her er det fagsystemet eller den tilknyttede web-server, som har initieret SAML WEB-SSO kaldet til SEB.

WS-trust kald til BST2SOSI snitfladen på SOSI STS (trin 5-6 på figuren)

Afsnit '1.4.2 BST2SOSI billetomveksling' i Logiske beskrivelser af snitfladeændringer give et eksempel BST,  samt reguest og response fra BST2SOSI omvekslingskaldet.

...