Versions Compared

Old Version 98

changes.mady.by.user Henrik Danielsen

Saved on

compared with

New Version Current

changes.mady.by.user Helle Mørch

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Kommentarer til denne FAQ kan stiles til Helle Mørch på HELM@sundhedsdata.dk


Table of Contents

Den nationale sundhedsføderation - Kort fortalt

Den nationale sundhedsføderation anvendes når en medarbejder skal tilgå en patients sundhedsdata via de nationale sundhedsportaler (eksempelvis Sundhed.dk, FMK-online, SEI2, Dansk PatientSikkerhedsDatabase, Den Nationale Henvisningsformidling mm.) eller via service-integration til nationale sundhedsservices (eksempelvis fra et EPJ-, EOJ- eller LPS-fagsystem).

...

  • Den nationale sundhedsføderation benytter den fælles offentlige føderation til bruger-autentifikation (log-in)
  • Den nationale sundhedsføderation har eget adgangsrolle-koncept, egen sessionsmodel og egne adgangsbilletter (SOSI idkort).

Den fællesoffentlige føderation - Overgangen fra NemID/OCES2 til MitID/OCES3

Ved overgangen fra NemID/OCES2 til MitID/OCES3 ændres den fællesoffentlige føderation:

...

Den nationale sundhedsføderation, som benytter den fællesoffentlige føderation til bruger-autentifikation, er blevet tilpasset til de ovenstående ændringer.

Hvad påvirkes/påvirkes ikke i den nationale sundhedsføderation ved overgangen til MitID/OCES3?

Et bærende princip har været at minimere forandringerne i den nationale sundhedsføderationen, som følge af overgangen fra NemID/OCES2 til MitID/OCES3.

...

Ovenstående er illustreret i nedenstående figur og uddybes i teksten nedenfor.



Medarbejder- og borger-autentifikation

Som illustreret på figuren så ændres konceptet for medarbejder- og borger-autentifikation, og dette påvirker alle brugerorganisationer indenfor sundhedsområdet.

...

Virksomhedscertifikater VOCES2 erstattes med VOCES3.

SEB: IdentityProvider

SEB-IdP'en er en såkaldt broker, der forbinder en ServiceProvider (SP, den tjeneste brugeren tilgår - eksempelvis en webportal som Sundhed.dk, FMK-online, DPSD, SEI2, eller et fagsystem som EOJ eller LPS) med brugerens login-sted (brugerens hjemme-IdP, hvilket kan være NemLog-in, en regional IdP eller kommunernes Context-Handler).

...

De fleste forventes dog at hente SOSI IdKort via den nye SOSI STS grænseflade BST2SOSI (se step 5-6 på figuren nedenfor). Denne grænseflade tager et Bootstraptoken (BST) som input og returnere et SOSI idkort. BST tokenet udleveres fra medarbejderens hjemme-IdP,  evt. via SEB-medarbejder-IdP (se step 2-4 på figuren nedenfor). SEB-medarbejder-IdP aktiveres via SAML WEB-SSO protokollen, og forudsætter en web-server i tilknytning til fagsystemet, samt at medarbejderen har adgang til en browser. 

Omveksling til SOSI idkort via SOSI STS

OIOSAML2SOSI snitfladen på SOSI STS’en udfases. Udfasningen bunder i at OIOSAML2SOSI snitfladen bryder med føderation-modellen og korrekt anvendelse af tokens. Sundhedsvæsenets sikkerhedsføderation (SOSI) er adskilt fra den fælles offentlige NemLog-in føderation. Et OIOSAML token fra NemLog-in til en webportal er målrettet trust-relationen mellem NemLog-in og webportalen. Men tokenet bør ikke anvendes udenfor denne trust-relation, og brug mod sundhedsføderationen (SOSI STS) udfases derfor.

...

SOSI Gateway udvides med en snitfalde til udstedelse af SOSI IdKort ud fra et BST token.

SEB: Bruger-rettigheds-administration

En lokal brugerorganisation kan udnævne en lokal SEB administrator, som har til opgave at tildele roller til organisationens medarbejdere. Dette gøres via SEB administrationsgrænseflade. Der skelnes mellem nationale rolle og applikationsspecifikke roller. 

...

Bruger-rettigheds-administration via SEB ændres ikke. Dog tilføjes et enkelt 'Globalt medarbejder UUID' til medarbejderens konto i SEB. 'Globalt medarbejder UUID' er indført i forbindelse med MitID Erhverv.

Sikkerhedsprotokol anvendt til service-integration - DGWS / IDWS

Der laves ingen ændringer til Den Gode Web-service sikkerhedsprotokollen og SOSI idkort, som anvendes til service-integration fra et fagsystem til en sundhedsservice.

Bogerrettede IDWS tokens og protokol ændres heller ikke.

Som brugerorganisation, hvordan påvirkes jeg?

Den enkelte brugerorganisationer skal vælge MitID Erhverv eller etablere egen Identity Provider (IdP). Se afsnit Medarbejder- og borger-autentifikation.

Som systemejer af et fagsystem, hvordan påvirkes jeg?

Der laves ingen ændringer til Den Gode Web-service sikkerhedsprotokollen og SOSI idkort, som anvendes ved kald af sundhedsservice fra et fagsystem.

...

Har din organisation flere fagsystemer som tilgår sundhedsdata, så overvej om fagsystemerne kan anvende samme løsning til login og hentning af SOSI idkort.

Som fagssystemsleverandør, hvordan påvirkes jeg?

Som fagssystemsleverandør skal du sikre at dit fagsystem har adgang til komponenter, der håndtere brugerlogin og hentning af SOSI idkortet. Enten skal du selv udvikle disse komponerer, eller alternativt skal du undersøge om markedet tilbyder løsninger eller om kunderne allerede har løsninger, som kan genbruges. 

...

OBS: Såvel den nuværende nationale sikkerhedsinfrastruktur baseret på OCES2/Medarbejdersignatur og den kommende MitID/OCES3 infrastruktur er baseret på ikke-trivielle teknologier og standarder. Som fagsystemsleverandør bør du derfor sikre dig at du har de fornødne kompetencer indenfor bl.a. SAML (fx WebSSO protokollen, holder-of-key tokens), WS-Security og X509Certifikater. NSP-supporten yder således ikke generel udviklingssupport, men håndterer alene indmeldte fejl og konfigurationsændringer (fx i forbindelse med whitelisting-anmodninger, se Whitelisting og overgang fra OCES2 til OCES3).

Som region, hvordan påvirkes jeg?

Som region er du både brugerorganisation og systemejer for et eller flere fagsystemer.

...

Kontakt din fagsystemsleverandør, så du kan sikre at leverandøren har en plan for ovenstående.

Som kommune, hvordan påvirkes jeg?

Som kommune er du både brugerorganisation og systemejer for et eller flere fagsystemer.

...

Kontakt din fagsystemsleverandør, så du sikre at leverandøren har en plan for ovenstående.

Som lægepraksis, apotek mm. (altså en mindre sundhedsorganisation), hvordan påvirkes jeg?

Ved overgangen til MitID forventes mindre sundhedsorganisationer at vælge:

...

Kontakt din fagsystemsleverandør, så du sikre at leverandøren har en plan for ovenstående.

Som web-portal tilsluttet SEB, hvordan påvirkes jeg?

Web-portaler som har været tilsluttet SEB-medarbejder-IdP fra før MitID:

...

Eksisterende og nye SP'er tilsluttet SEB-borger-IdP'en vil ikke opleve ændringer i forbindelse med overgangen til MitID.

Som anvender af  virksomheds- og funktionscertifikater (VOCES2 og FOCES2), hvordan påvirkes jeg?

I OCES3 videreføres både VOCES og FOCES certifikater, men VOCES3 certifikater bliver nu kaldt 'organisationscertifikater' i sted for virksomhedscertifikater og FOCES3 certifikater bliver nu kaldt 'systemcertifikater'.

...

Se også Whitelisting og overgang fra OCES2 til OCES3.

Som anvender af DGWS, hvordan påvirkes jeg?

Der laves ingen ændringer til Den Gode Web-service sikkerhedsprotokollen og SOSI idkort, som anvendes til service-integration fra et fagsystem til en sundhedsservice.

Vær opmærksom på, at der laves ændring til snitfladerne på SOSI STS, og dermed hvordan SOSI idkort udstedes (se afsnit Medarbejder- og borger-autentifikation, SEB: IdentityProvider og Omveksling til SOSI idkort via SOSI STS).

Som anvender af SEB til bruger-retttigheds-administration, hvordan påvirkes jeg?

Bruger-rettigheds-administration via SEB ændres ikke (se SEB: Bruger-rettigheds-administration).

Med integrationer til aftaledeling, fællesstamkort eller graviditetsmappen, hvordan påvirkes jeg?

De tre (Aftaledeling, Fællesstamkort eller Graviditetsmappen) er kendetegnet ved at have flere typer af integrationer til de nationale sundhedsservices.

  1. Der kører baggrundsjobs til opdatering af data i DokumentDelingsServicen, hvor sikkerhedsmodellen er baseret på VOCES2 eller FOCES2. Disse integrationer skal fremad anvendes VOCES3 eller FOCES3 (se Som anvendes af VOCES2 og FOCES2, hvordan påvirkes jeg?).
  2. Der er service-integrationer baseret på DGWS og SOSI idkort. DGWS ændres ikke, men der er ændringer til hvordan medarbejdere logger på og hvordan SOSI idkort hentes (se afsnit Medarbejder- og borger-autentifikation, SEB: IdentityProvider og Omveksling til SOSI idkort via SOSI STS ovenfor).
  3. Endeligt har Graviditetsmappen en administrativ web-portal, hvor login håndteres via SEB-medarbejder-IdP. Dine bruger vil enten logge på via en regional IdP, den  fælleskommunale IdP/Contexthandler eller NemLog-in. Det skal sikres at din brugerorganisation er tilsluttet SEB-medarbejder-IdP (se afsnit SEB: IdentityProvider).

Tilslutningsaftaler og whitelistning

SOSI STS

Kald til nogle SOSI STS omvekslingsgrænseflader kræver at anvender systemet er whitelistet. Dvs. ved kald af SOSI STS grænsefladerne BST2SOSI, BST2IDWS, JWT2IDWS og JWT2OIOSAML.

...

Yderligere information vedrørerende tilslutningsaftale og udveksling af tilslutningsmetadata findes her: Tilslutning til SEB.

Whitelisting og overgangen fra OCES2 til OCES3

I den nationale sundhedsinfratstruktur anvendes der forskellige typer for whitelistings-mekanismer:

...