Versions Compared

Old Version 47

changes.mady.by.user Søren Mikkelsen

Saved on

compared with

New Version 48

changes.mady.by.user Christian Gasser

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  1. IdP-Broker – sender bruger videre til login hos brugerens hjemme-IdP (NemloginNemLog-in, en regional-IdP eller en kommunal-IdP).
  2. Bruger-rettigheds-administration.  Lokal administrator administratorer kan tildele specifikke roller rettet mod en konkret web-applikation (fx rollen 'sagsbehandler' i DPSD), samt Nationale samt nationale roller rettet mod service-integration (dvs. en ikke sundhedsfaglig autoriseret medarbejder, der skal have adgang til patientdata qua arbejdsfunktionen. Fx sekretær).

SOSI STS udsteder adgangsbilletter (SOSI IdKortidkort).  Et Et SOSI IdKort idkort er medarbejderens personlige adgangsbillet der medsendes ved service-integration og knapløsningsadgang.  SOSI IdKortet SOSI idkortet er et bevis for at medarbejderen: 

...

  • Den nationale sundhedsføderation benytter den fælles offentlige føderation til bruger-autentifikation (log-in)
  • Den nationale sundhedsføderation har eget adgangsrolle-koncept, egen sessionsmodel og egne adgangsbilletter (SOSI IdKortidkort).

Den fællesoffentlige føderation - Overgangen fra NemID/OCES2 til

...

MitID/OCES3

Ved overgangen fra NemID/OCES2 til MitIdMitID/OCES3 ændres den fællesoffentlige føderation:

  • NemId erstattes af MitIdMitID
    • Medarbejdere oprettes i MitId MitID Erhverv
  • OCES2 erstattes af OCES3 (MOCES2 erstattes af MOCES3 og FOCES2 samt VOCES2 erstattes af VOCES3)
  • Nemlogin understøtter ikke medarbejdersignatur (MOCES3)
  • Store brugerorganisationer kan etablere egne IdentityProviders (IdP’er)
  • NSIS erstattes af NIST (Standard for Identiteters Sikringsniveauer)
  • OIOSAML2 erstattes af OIOSAML3

Den nationale sundhedsføderation, som benytter den fællesoffentlige føderation til bruger-autentifikation, skal tilpasse sig ovenstående ændringer.

Hvad påvirkes/påvirkes ikke i den nationale sundhedsføderation ved overgangen til

...

MitID/OCES3?

Et bærende princip har været at minimere forandringerne i den nationale sundhedsføderationen, som følge af overgangen fra NemID/OCES2 til MitIdMitID/OCES3.

Da den nationale sundhedsføderation benytter den fællesoffentlige føderation til bruger-autentifikation, så sker de største ændringer i forhold til bruger-autentifikation, samt i forhold til omveksling af adgangsbilletter(tokens) fra den fællesoffentlige føderation til adgangsbilletter, der kan benyttes i den nationale sundhedsføderationen. Tokens (SOSI IdKortidkort) og sikkerhedsprotokol (DGWS) anvendt indenfor sundhedsføderationen ændres ikke.

...

  • Små brugerorganisationer, som eksempelvis lægepraksis og apoteker, forventes at anvendes Nemlog-in som IdP samt at anvende MitId MitID Erhverv til brugeradministration. Nemlog-in tilbyder forskellige standard 2-faktor nøgler (jf. https://migrering.nemlog-in.dk og https://www.mitidMitID.dk/kom-i-gang-med-mitidMitID/mitidMitID-identifikationsmidler/)
  • Regionerne realiserer egne lokale IdP’er til medarbejder-autentifikation. Et par af regionerne forventer at blive klar med en såkaldt NSIS registreret IdP. Resten af regionerne forventer i en overgang at erstatte deres MOCES2 infrastruktur med en MOCES3 infrastruktur. 
  • Kommunerne samarbejder, via Kombit, om at etablere en fælleskommunal NSIS registreret IdP (omtalt Context-handler), som den enkelte kommune IdP tilkobles.

...

Borgere anvender Nemlog-in som IdP, hvorfra de anvender deres nye MitId MitID og MitId MitID app som 2-faktor.

System-autentifikation:

...

SEB-IdP'en er en såkaldt broker, der forbinder en ServiceProvider (SP, den tjeneste brugeren tilgår - eksempelvis en webportal som sundhed.dk, FMK-online, DPSD, SEI2, eller et fagsystem som EOJ eller LPS) med brugerens login-sted (brugerens hjemme-IdP, hvilket kan være Nemlog-in, en regional IdP eller kommunernes context-handler).

Ved overgange til MitId MitID opdeles SEB i en SEB-borger-IdP og en SEB-medarbejder-IdP. Med opsplitningen opnås en mere robust løsning, hvor medarbejderlogin ikke påvirket af høj trafik på borgerlogin.

...

Web-portaler, som har været tilsluttet SEB-medarbejder-IdP, fra før MitIdMitID:

De fleste af de Web-portaler, som har været tilsluttet SEB-IdP'en fra før overgangen til MitIdMitID, de skal ikke lave ændringer i overgangen til MitID. De eksisterende snitflader til disse web-portaler bevares, hvor der et muligt.

...

Eksisterende og nye SP'er tilsluttet SEB-borger-IdP'en vil ikke opleve ændringer i forbindelse med overgangen til MitidMitID.

Fagsystemer (i kommuner, lægepraksis og apoteker) skal tilsluttet SEB-medarbejder-IdP ved adgang til patientdata fra en en national sundhedstjeneste:

Fagsystemer skal anvende medarbejderens SOSI Idkort idkort (adgangsbillet) ved adgang til patientdata fra en national sundhedstjeneste (se step 7 på figuren nedenfor).

Enten skal fagsystemer selv hente SOSI IdKortetidkortet, eller alternativt kan fagsystemer trække andre infrastrukturkomponenter, der på forhånd har hentet SOSI IdKortetidkortet, og eventuelt har placeret det i en Gateway, hvorfra flere fagsystemer kan deles om samme SOSI IdKortetidkortet.

I det følgende antages at fagsystemet selv henter SOSI IdKortidkort.

Før overgangen til MitIdMitID, kunne fagsystemerne hente et SOSI IdKort idkort via SOSI STS grænsefladen NewSecurityToken. Grænsefladen tager et MOCES2 selvsigneret SOSI IdKort idkort og omveksler det til et STS signeret SOSI IdKortidkort, som er krævet af DGWS.

Med udfasningen af MOCES2, så er der kun kendskab til to regioner, som midlertidig etablere en MOCES3 infrastruktur. SOSI STS grænsefladen NewSecurityToken vil også understøtte MOCES3 i en midlertidig periode.

...

Disse parter vil derimod hente SOSI IdKort idkort via SOSI STS grænsefladen BST2SOSI (se step 5-6 på figuren nedenfor). Denne grænseflade tager et Bootstraptoken (BST) som input og returnere et SOSI IdKortidkort. BST tokenet udleveres fra medarbejderens hjemme-IdP, evt. via SEB-medarbejder-IdP (se step 2-4 på figuren nedenfor). SEB-medarbejder-IdP aktiveres via SAML WEB-SSO protokollen, og forudsætter en web-server i tilknytning til fagsystemet, samt at medarbejderen har adgang til en browser. 

Omveksling til SOSI

...

idkort via SOSI STS

OIOSAML2SOSI snitfladen på SOSI STS’en udfases. Udfasningen bunder i at OIOSAML2SOSI snitfladen bryder med føderation-modellen og korrekt anvendelse af tokens. Sundhedsvæsenets sikkerhedsføderation (SOSI) er adskilt fra den fælles offentlige Nemlog-in føderation. Et OIOSAML token fra Nemlog-in til en webportal er målrettet trust-relationen mellem Nemlog-in og webportalen. Men tokenet er ikke gyldigt udenfor denne trust-relation og kan derfor ikke anvendes mod SOSI føderationen.

BST2SOSI er en ny snitfladen på SOSI STS'en. Snitfladen kan omveksle et BST token modtaget fra SEB-medarbejder-IdP'en eller en lokale NSIS registreret IdP til et SOSI IdKortidkort.

NewSecurityToken snitfladen på SOSI STS'en ændres så den accepterer signering med MOCES3 tokens. Vær opmærksom på at understøttelse af MOCES3 bliver midlertid og forventes udfaset.

...

Der laves ingen ændringer til Den Gode Web-service sikkerhedsprotokollen og SOSI IdKortidkort, som anvendes til service-integration fra et fagsystem til en sundhedsservice.

...

Den enkelte brugerorganisationer skal vælge MitId MitID Erhverv eller etablere egen Identity Provider (IdP). Se afsnit "Medarbejder- og borger-autentifikation".

...

Der laves ingen ændringer til Den Gode Web-service sikkerhedsprotokollen og SOSI IdKortidkort, som anvendes ved kald af sundhedsservice fra et fagsystem.

Men konceptet for login og hentning af SOSI IdKort idkort ændres, og du skal sikre dig at dit fagsystem tager højde for dette. Se afsnit "Medarbejder- og borger-autentifikation", "SEB: IdentityProvider" og "Omveksling til SOSI IdKort idkort via SOSI STS".

Din fagsystemsleverandør bør være opmærksom på ovenstående og bør kunne hjælpe med nødvendige tilpasninger.

Har din organisation flere fagsystemer som tilgår sundhedsdata, så overvej om fagsystemerne kan anvende samme løsning til login og hentning af SOSI IdKortidkort.

Som fagssystemleverandør, hvordan påvirkes jeg?

Som fagssystemleverandør skal du sikre at dit fagsystem har adgang til komponenter, der håndtere brugerlogin og hentning af SOSI IdKortetidkortet. Enten skal du selv udvikle disse komponerer, eller alternativt skal du undersøge om markedet tilbyder løsninger eller om kunderne allerede har løsninger, som kan genbruges. 

...

  1. Identificer hvilke koncepter dine kunder benytter til bruger-autentifikation (Se afsnit "Medarbejder- og borger-autentifikation", "SEB: IdentityProvider" og "Omveksling til SOSI IdKort idkort via SOSI STS").
  2. Beslut hvilke bruger-autentifikations-koncepter dit fagsystem skal understøtte og hvordan SOSI IdKort idkort hentes.
  3. Overvej om du selv skal udvikle hele konceptet eller dele kan indkøbes eller allerede er indkøbt af kunden.
  4. Lav de nødvendlige tilpasninger til fagsystemet og implementer det ude hos kunderne.

...

Fagsystemer skal anvende medarbejderens SOSI Idkort idkort (adgangsbillet) ved adgang til patientdata fra en national sundhedstjeneste. Som systemejer skal du sikre, at dit fagsystem fortsat har adgang til SOSI IdKort idkort efter overgangen til MitIdMitID.

Enten skal fagsystemer selv hente SOSI IdKortetidkortet, eller alternativt kan fagsystemer trække andre infrastrukturkomponenter, der på forhånd har hentet SOSI IdKortetidkortet, og eventuelt har placeret det i en Gateway, hvorfra flere fagsystemer kan deles om samme SOSI IdKortetidkortet.

Kontakt din fagsystemsleverandør, så du sikre at leverandøren har en plan for ovenstående.

...

Fagsystemer skal anvende medarbejderens SOSI Idkort idkort (adgangsbillet) ved adgang til patientdata fra en national sundhedstjeneste. Som systemejer skal du sikre, at dit fagsystem fortsat har adgang til SOSI IdKort idkort efter overgangen til MitIdMitID.

Enten skal fagsystemer selv hente SOSI IdKortetidkortet, eller alternativt kan fagsystemer trække andre infrastrukturkomponenter, der på forhånd har hentet SOSI IdKortetidkortet, og eventuelt har placeret det i en Gateway, hvorfra flere fagsystemer kan deles om samme SOSI IdKortetidkortet.

Figuren og den tilhørende tekst i afsnit "Omveksling til SOSI IdKort idkort via SOSI STS" illustrere hvordan fagsystemer fremover selv kan hente SOSI Id-kort.

...

Web-portaler som har været tilsluttet SEB-medarbejder-IdP fra før MitIdMitID:

De fleste af de Web-portaler, som har været tilsluttet SEB-IdP'en fra før overgangen til MitIdMitID, de skal ikke lave ændringer i overgangen til MitID. De eksisterende snitflader til disse web-portaler bevares, hvor der et muligt.

...

OIOSAML-H-3.0 er et OIOSAML3 token udvidet med sundhedsattributter. Fra tokenet kan medarbejderens identitet og organisatoriske tilknytning aflæses (på CVR-niveau). Desuden kan medarbejderens sundhedsfaglige autorisationer, ydertilknytning og nationale sundhedsroller aflæses. Tokenet indeholder desuden et Bootstraptoken (BST), der kan omveksles til et SOSI IdKort idkort via  SOSI STS’ens nye BST2SOSI snitflade. SOSI Idkort idkort er den adgangsbillet som medsendes, når patientdata skal hentes fra en national sundhedstjeneste.

...

Eksisterende og nye SP'er tilsluttet SEB-borger-IdP'en vil ikke opleve ændringer i forbindelse med overgangen til MitidMitID.

Som anvender af VOCES2 og FOCES2, hvordan påvirkes jeg?

...

Der laves ingen ændringer til Den Gode Web-service sikkerhedsprotokollen og SOSI IdKortidkort, som anvendes til service-integration fra et fagsystem til en sundhedsservice.

Vær opmærksom på, at der laves ændring til snitfladerne på SOSI STS, og dermed hvordan SOSI IdKort idkort udstedes (se afsnit "Medarbejder- og borger-autentifikation", "SEB: IdentityProvider" og "Omveksling til SOSI IdKort idkort via SOSI STS").

Som anvender af SEB til bruger-retttigheds-administration, hvordan påvirkes jeg?

...

  1. Der kører baggrundsjobs til opdatering af data i DokumentDelingsServicen, hvor sikkerhedsmodellen er baseret på VOCES2 eller FOCES2. Disse integrationer skal fremad anvendes VOCES3 (se "Som anvendes af VOCES2 og FOCES2, hvordan påvirkes jeg?").
  2. Der er service-integrationer baseret på DGWS og SOSI IdKortidkort. DGWS ændres ikke, men der er ændringer til hvordan medarbejdere logger på og hvordan SOSI IdKort idkort hentes (se afsnit "Medarbejder- og borger-autentifikation", "SEB: IdentityProvider" og "Omveksling til SOSI IdKort idkort via SOSI STS" ovenfor).
  3. Endeligt har Graviditetsmappen en administrativ web-portal, hvor login håndteres via SEB-medarbejder-IdP. Dine bruger vil enten logge på via en regional IdP, en kommunal IdP eller Nemlog-in. Det skal sikres at din brugerorganisation er tilsluttet SEB-medarbejder-IdP (se afsnit "SEB: IdentityProvider").

...