Versions Compared

Old Version 27

changes.mady.by.user Helle Mørch

Saved on

compared with

New Version Current

changes.mady.by.user Gitte Nørgaard Aidt

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Introduktion

Nuværende NemID for borgere og erhvervspersoners medarbejdersignatur bliver fra fællesoffentlig side afløst af henholdsvis MitID og MitID Erhverv, hvilket medfører en række ændringer til den nationale infrastruktur på sundhedsområdet, som tilpasses til at kunne understøtte MitID, NemLog-in3 og OCES3.

...

Ved overgangen fastholdes på sundhedsområdet de nuværende protokoller og adgangsbilletter, herunder DGWS og SOSI idkort for medarbejdere og systemer, samt IDWS på borgerområdet. Med der sker ændringer i forhold til hvordan det nye MitID, NemLog-in3 og OCES3 anvendes i integrationerne og t det følgende gennemgås de ændringer overgangen medfører for de forskellige typer løsninger på sundhedsområdet.

Borgervendte (web)løsninger

For borgervendte webløsninger, som eksempelvis webapoteker og praksislægers borgerportaler, der anvender NemLog-in via SEB IdP og tilgår nationale services som FMK via IDWS protokollen sker der kun minimale ændringer. Konkret kommer det indlejrede bootstraptoken, som webløsninger i dag omveksler via SOSI-STS'ens BST2IDWS snitflade, fremover til at være krypteret til SOSI-STS'en, dvs. tokenet modtages som <saml:EncryptedAssertion> fremfor som almindelig <saml:Assertion>. Der bemærkes, at kun bootstraptokenet som alene anvendes til omveksling vil være krypteret til SOSI-STS - selve OIOSAML assertionen med borgerens attributter, vil fortsat kunne læses.

...

Se også Snitfladeændringer i SEB ved overgang til MitID NemLog-in3 og OCES3 v01.pdf.

System-til-system integrationer

System-til-system integrationer baseret på DGWS og SOSI systemidkort videreføres og udbygges til at understøtte OCES3. SOSI-STS'ens (New)SecurityTokenService snitflade udsteder fremover SOSI systemidkort ikke kun på baggrund af FOCES2/VOCES2 signerede idkortrequests, men også på baggrund af FOCES3/VOCES3 signerede requests.

Medarbejdervendte løsninger - fagsystemer

Nuværende MOCES medarbejdersignatur anvendes til autentifikation af medarbejdere på sundhedsområdet i forhold til deres tilgang fra fagsystemer (EPJ, EOJ, LPS, apotekssystemer mfl.) til nationale services som fx FMK. Medarbejdersignaturen anvendes til at signere idkortrequests til SOSI-STS'ens (New)SecurityTokenService snitflade, som udsteder SOSI useridkort, se i øvrigt STS - Guide til anvendere: DGWS for detaljerne omkring autorisations- og rollehåndtering i udstedelsesprocessen. Lokalt håndteres medarbejdersignaturen typisk enten i en signatur-mobilitetsløsning eller som nøglefiler.

...

  • MitID Erhverv, hvor autentifikation af brugerne foregår i NemLog-in (enten med et personligt MitID identifikationsmiddel eller med et dedikeret MitID Erhverv identifikationsmiddel)
  • Lokal IdP, hvor brugerorganisations selv står for autentifikation af brugerne i egen NSIS-anmeldt IdP og med egne identifikationsmidler (fx smartcards)
  • MOCES3 certifikater, hvor autentifikation i SOSI-STS foregår efter samme flow som med nuværende MOCES2. MOCES3 understøttes som overgangsløsning for de brugerorganisationer, som tidsmæssigt endnu ikke når at etablere har etableret egne lokale IdP'er. 

    Sundhedsdatastyrelsen har tidligere udmeldt, at understøttelsen af MOCES3-identifikationsmidler ville blive udfaset pr. 31. december 2024.  Denne udfasning er udskudt og der er endnu ikke fastsat en ny dato. Det vil sige, at sundhedsfaglige medarbejdere fortsat vil kunne benytte MOCES3-Identifikationsmidler. Sundhedsdatastyrelsen vil snarest muligt oplyse ny dato for udfasning af overgangsløsningen.

Se i øvrigt også Snitfladeændringer i NSP komponenter ved overgang til MitID NemLog-in3 og OCES3 v03.pdf.

...

Flowet for autentifikation med MOCES3 er identisk med nuværende MOCES2 autentifikation i SOSI-STS, se  STS - Guide til anvendere: DGWS. Bemærk, at SOSI-STS kræver at MOCES3 certifikater udstedes med medarbejderens globale UUID fra MitID Erhvervsadministrationen (EIA) og ikke et certifikatspecifik UUID. (Dette styres via en indstilling i EIA for den pågældende brugerorganisation.)

Integration via SOSI-Gateway

Udover at SOSI-Gateway kan understøtte oprettelse af idkort på baggrund af MOCES3 certifikater er SOSI-Gateway blevet udvidet med en ny 'createIdCardFromBST' snitflade, der kan oprette SOSI idkort i SOSI-Gateway'ens cache ud fra et bootstraptoken, som STS'en truster (fx fra en lokal IdP eller SEB IdP'en). Input til snitfladen 'createIdCardFromBST' er samme WS-Trust request som anvendes i kald til SOSI-STS'ens BST2SOSI, se også SOSI-GW - Guide til anvendere.

Medarbejdervendte løsninger - webbaserede

Webapplikationer der benytter enten NemLog-in IdP'en eller SEB IdP'en til autentifikation af brugerne vil fortsæt kunne anvende de to IdP'er. I første omgang med de nuværende OIOSAML2 baserede protokoller/attributter, som skal migreres til OIOSAML3 baserede protokoller/attributter - for SEB-tilslutninger dog først på lidt længere sigt. Bemærk, at nuværende OIOSAML2SOSI snitflade på SOSI-STS (som kan anvendes til at omveksle en OIOSAML2 assertion fra NemLog-in IdP'en) ikke opdateres til OIOSAML3. I det omfang, der fra webapplikationen er behov for at kunne kalde videre via DGWS, bør applikationen i stedet omveksle det bootstraptoken, som modtages fra henholdsvis NemLog-in IdP'en eller SEB IdP'en, til et SOSI idkort som beskrevet i ovenstående.

Derimod vil nye tilslutninger til SEB IdP'en skulle basere sig på OIOSAML3, konkret er det 'OIOSAML Assertion Profile for Healthcare' (som findes her: OIOSAML Attribute Profiles for Healthcare v3.0.), som beskriver attributsættet, som webløsninger kan modtage. 

Adgang via sikker browseropstart (SBO)

Overgangen ændrer ikke ved sikker browseropstart konceptet. Uanset om en brugeres SOSI idkort er blevet udstedt på baggrund af et bootstraptoken eller en autentifikation med MOCES2 eller MOCES3 vil idkortet forsat kunne omveksles til et SBO token (et til webapplikationen krypteret OIOSAML token) i SOSI-STS'ens SOSI2OIOSAML snitflade.

Biblioteksunderstøttelse

Såvel Seal.java og Seal.NET bibliotekerne er opdateret til at kunne understøtte håndtering af bootstraptokens og OCES3 certifikater (fra version 2.6.0 for Seal.Java og fra version 4.2.0 for Seal.NET). Anvendere bør om muligt altid anvende seneste version af Seal bibliotekerne.

...

Eksempelkode - omveksling af bootstraptokens til SOSI idkort

I de to biblioteker og i eksemplerne anvendes følgende akronymer til de forskellige typer at bootstraptokens:

...

https://svn.nspop.dk/src/libraries/seal/net/trunk/SealTest/Model/ 

Eksempelkode - oprettelse af SOSI idkort i SOSI-Gateway på baggrund af et bootstraptoken

Java eksempler findes som som del af integrationstests til SOSI-Gateway, se

...

https://svn.nspop.dk/src/libraries/seal/net/trunk/SealTest/SosiGWTest.cs

Eksempelkode - anvendelse af OCES3 ved autentifikation i STS

Java eksemplerne er en del af Seal.java, se fx

...

https://svn.nspop.dk/src/libraries/seal/net/trunk/SealTest/Model/FederationTest.cs

Eksempelkode - anvendelse af MOCES3 ved oprettelse af idkort i SOSI-Gateway

Java eksemplerne er en del af SOSI-Gateway, se

...

https://svn.nspop.dk/src/libraries/seal/net/trunk/SealTest/SosiGWTest.cs

Spørgsmål og fejl

Spørgsmål til løsningen eller dokumentationen heraf rettes til projektleder i Sundhedsdatastyrelsen Helle Mørch: HELM@sundhedsdata.dk.

...