Versions Compared

Old Version 8

changes.mady.by.user Søren Mikkelsen

Saved on

compared with

New Version 9

changes.mady.by.user Søren Mikkelsen

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

SEB-IdP'en er en såkaldt broker, der forbinder en serviceprovider (den tjeneste brugeren tilgår - eksempelvis en webportal som sundhed.dk, fmk-online, DPSD, SEI2, eller et fagsystem som EJO, EPJ eller EOJeller LPS) med brugerens login-sted (brugerens hjemme-IdP, hvilket kan være Nemlog-in, en regional IdP eller kommunernes context-handler).

Ved overgange til MitId opdeles SEB i en SEB-borger-IdP og en SEB-medarbejder-IdP. Med opsplitningen opnås en mere robust løsning, hvor medarbejdere login ikke påvirket af høj trafik på borger login.

Web-portaler som har været tilsluttet SEB-medarbejder-IdP fra før MitId:

De fleste af de Web-portaler, som har været tilsluttet SEB-IdP'en fra før overgangen til MitId, de skal ikke lave ændringer i overgangen til MitID. Dvs. deres tilslutning til SEB-IdP vil være den samme OIOSAML2-baserede snitflade som de benytte idag.

Medarbejderen vil derimode opleve en anden brugerrejse, da medarbejderen skal tage stillig til hvilke hjemme-IdP der skal anvendes til log-in. Tidligere havde SEB ingen brugergrænseflade og sendte bare brugeren videre til login i Nemlog-in. I fremtiden vil medarbejdere skulle vælge hjemme-IdP (Nemlog-in, en regional IdP eller en kommunal IdP) via en grænsefalde i SEB. 

Nye Web-portaler som ikke tidligere har været tilsluttet SEB-medarbejder-IdP fra før MitId:

Nye SP'er, som ikke før tidligere har været tilsluttet SEB-IdP, de tilbydes nogle nye OIOSAML3 baserede snitflader til SEB.

Fagsystemer

Deres brugere vil opleve

 

SOSI føderationen benytter den fælles offentlige føderation til bruger-autentifikation (log-in).

De enkelte brugerorganisationer skal vælge en IdP-løsning.

Hvad påvirkes ? (Autorisation af medarbejder, omveksling til SOSI IdKort)

Hvad påvirkes ? (Autorisation af medarbejder, omveksling til SOSI IdKort)

Hvad påvirkes ikke i den nationale sundhedsføderation ved overgangen fra NemID/OCES2 til MitId/OCES3

Der er mange ting i sundhedsføderationen som ikke påvirkes. Følgende påvirkes ikke:

  1. SOSI Id-kort (Et SOSI IdKort er medarbejderens personlige adgangsbillet)
  2. Den Gode WebService (DGWS).
  3. Lokal SEB administrators opgave med at tildele roller i SEB til organisationens medarbejdere.
  4. Nationale roller administreres forsat i SEB.
  5. Applikationsspecifikke roller administreres forsat i SEB.
  6. Sikker Browser Opstart (SBO) - også omtalt Knapløsningen

Hvad ændres der ikke på ? (SOSI IdKort, DGWS, autorisationer, nationale roller, Applikationsspecifikke roller i SEB, eksisterende SEB tilslutninger (SP-siden)

Hvad påvirkes ? (Autorisation af medarbejder, omveksling til SOSI IdKort)

...

Web-portaler tilsluttet SEB-borger-IdP:

Eksisterende og nye SP'er tilsluttest SEB-borger-IdP vil ikke opleve ændringer i forbindelse med overgangen til Mitid.

Fagsystemer (i kommuner, lægepraksis og apoteker) skal tilsluttet SEB-medarbejder-IdP ved adgang til patientdata fra en en national sundhedstjeneste:

Fagsystemer skal anvende et SOSI idkort på medarbejderen for at kunne tilgå patientdata fra en national sundhedstjeneste. Fremover skal kommuner, lægepraksis og apoteker hente en Bootstraptoken fra SEB-medarbejder-IdP'en, som efterfølgende kan omveksles til et SOSI IdKort via SOSI STS'en.

Omveksling til SOSI IdKort via SOSI STS

OIOSAML2SOSI snitfladen på SOSI STS’en udfases. Udfasningen bunder i at OIOSAML2SOSI snitfladen bryder med føderation-modellen og korrekt anvendelse af tokens. Sundhedsvæsenets sikkerhedsføderation (SOSI) er adskilt fra den fælles offentlige Nemlog-in føderation. Et OIOSAML token fra Nemlog-in til webportal er målrettet trust-relationen mellem Nemlog-in og webportalen. Men tokenet er ikke gyldigt udenfor denne trust-relation og bør derfor ikke anvendes mod SOSI føderationen.

BST2SOSI er en ny snitfladen på SOSI STS'en. Snitfladen kan omvikle et BST token modtaget fra SEB-medarbejder-IdP'en eller en lokale NSIS registreret IdP til et SOSI IdKort.

NewSecurityToken snitfladen på SOSI STS'en ændres så den acceptere signering med MOCES3 tokens. Vær opmærksom på at understøttelse af MOCES3 bliver midlertid og forventes udfaset.

SOSI2OIOSAML snitfladen på SOSI STS'en ændres ikke. Snitfladen anvendes i forbindelse med Knapløsninger (SikkerBrowserOpstart).

SOSI Gateway ændre ikke.

SEB: Bruger-rettigheds-administration

En lokal brugerorganisation kan udnævne en lokal SEB administrators, som har til opgave at tildele roller til organisationens medarbejdere. Dette gøres via SEB administrationsgrænseflade. Der skelnes mellem nationale rolle og applikationsspecifikke roller. 

De nationale roller anvendes af sundhedspersoner, der ikke har en sundhedsautorisation i autorisationsregisteret, men som skal have adgang til patientdata qua deres arbejdsfunktion. Fx en lægesekretær.

De applikationsspecifikke roller er rolle målrette en specifik SP tilsluttet SEB-medarbejder-IdP'en.

Bruger-rettigheds-administration via SEB ændres ikke. Dog tilføjes et enkelt 'Globalt medarbejder UUID' til medarbejderens konto i SEB. 'Globalt medarbejder UUID' er indført i forbindelse med MitID Erhverv.

Sikkerhedsprotokol anvendt til service-integration - DGWS

Der laves ingen ændringer til Den Gode Web-service sikkerhedsprotokollen og SOSI IdKort, som anvendes service-integration fra et fagsystem til en sundhedsservice.


Som brugerorganisation, hvordan påvirkes jeg?


anvender at en webportal sundhedsservice, hvordan påvirkes jeg ? (På virkes ikke, med mindre du også er brugerorganisation) 

Som anvender af fagsystem, hvordan påvirkes jeg ?(DGWS ændres ikke, men anskaffelse af SOSI IdKort ændres)

...