Den nationale sundhedsføderation - Kort fortalt

Den nationale sundhedsføderation anvendes når en medarbejder indenfor sundhedsvæsenet skal tilgå en patients sundhedsdata via de nationale sundhedsportaler (eksempelvis Sundhed.dk, FMK-online, SEI2, Dansk PatientSikkerhedsDatabase, Den Nationale Henvisningsformidling mm.) eller via Service-integration til nationale sundhedsservices (eksempelvis fra et EPJ, EOJ eller LPS fagsystem).

De primære komponenter i den nationale sundhedsføderationer er SEB og SOSI STS.

SEB (Sundhedsvæsenets elektroniske brugerstyring) har to funktioner:

IdP-Broker – sender medarbejder videre til login hos hjemme-IdP (Nemlogin, regional-IdP eller kommunal-IdP)
Bruger-rettigheds-administration. Lokal administrator kan tildele specifikke roller rettet mod en konkret web-applikation (fx sagsbehandler i DPSD), samt Nationale roller rettet mod service-integration (‘ikke autoriseret’, der skal have adgang til patientdata qua arbejdsfunktionen. Fx sekretær)

SOSI STS udsteder adgangsbilletter (SOSI IdKort). Et SOSI IdKort er medarbejderens personlige adgangsbillet der medsendes ved service-integration og knapløsningsadgang. SOSI IdKortet er et bevis for at medarbejderen:

Er autentificeret
Har en sundhedsfaglig autorisation (læge, sygeplejerske, Social- og sundhedsassistent)
eller national rolle (ikke autoriseret, men skal have adgang til patientdata qua arbejdsfunktionen. Fx sekretær)

Den nationale sundhedsføderation er adskilt fra den fælles offentlige føderation (OCES/NemId/Nemlog-in).

SOSI føderationen benytter den fælles offentlige føderation til bruger-autentifikation (log-in)
SOSI føderationen har eget adgangsrolle-koncept, sessionsmodel og adgangsbilletter (SOSI IdKort).

Den fællesoffentlige føderation - Overgangen fra NemID/OCES2 til MitId/OCES3

Ved overgangen fra NemID/OCES2 til MitId/OCES3 ændres den fællesoffentlige føderation:

NemId bliver til MitId
OCES2 bliver til OCES3 (MOCES2 bliver til MOCES3 og FOCES2 samt VOCES2 bliver til VOCES3)
Nemlogin understøtter ikke medarbejdersignatur (MOCES3)
Store brugerorganisationer kan etablere egne IdentityProviders (IdP’er)
NSIS erstatter NIST (Standard for Identiteters Sikringsniveauer)

Den nationale sundhedsføderation, som benytter den fællesoffentlige føderation til bruger-autentifikation, skal tilpasse sig ovenstående ændringer.

Hvad påvirkes/påvirkes ikke i den nationale sundhedsføderation ved overgangen fra NemID/OCES2 til MitId/OCES3

Et bærende princip har været at minimere forandringerne i SOSI føderationen, som følge af overgangen fra NemID/OCES2 til MitId/OCES3.

Da den nationale sundhedsføderation benytter den fællesoffentlige føderation til bruger-autentifikation, så sker de største ændringer i forhold til bruger-autentifikation, samt i forhold til omveksling af tokens der kan benyttes i SOSI føderationen. Tokens (SOSI IdKort) og sikkerhedsprotokol (DGWS) indenfor sundheds føderationen ændres ikke.

Ovenstående er illustreret i nedenstående figur og uddybes i teksten nedenfor.

Klargøring til MitID og NemLog-in3 > FAQ - Klargøring til MitID/NemLog-in3 på sundhedsområdet - OBS: OCES2 certifikater kan ikke benyttes efter 31. oktober 2023 på NSP > Untitled.png

Medarbejder- og borger-autentifikation (Ændres)

Som illustreret på figuren så ændres konceptet for medarbejder- og borger-autentifikation, og dette påvirker alle brugerorganisationer indenfor sundhedsområdet.

Medarbejder-authentifikation:

Indenfor sundhedsområdet skal de enkelte brugerorganisationer vælge eller etablere en Identity Provider (IdP) samt egen model til 2-faktor nøgler (eksempelvis chip-, kodeviser- eller app-baseret 2-faktor).

Små brugerorganisationer, som eksempelvis lægepraksis og apoteker, forventes at anvendes Nemlog-in som IdP samt at anvende MitId enhver til brugeradministration. Nemlog-in tilbyder forskellige standard 2-faktor nøgler (jf. https://migrering.nemlog-in.dk og https://www.mitid.dk/kom-i-gang-med-mitid/mitid-identifikationsmidler/)
Regionerne realiserer egen lokale IdP’er til medarbejder-autentifikation. Et par af regionerne forventer at blive klar med en såkaldt NSIS registreret IdP. Resten af regionerne forventer i en overgang at erstatte deres MOCES2 infrastruktur med en MOCES3 infrastruktur.
Kommunerne samarbejder om at blive klar med en fælles kommunal NSIS registreret IdP (omtalt Context-handleren), som den enkelte kommune IdP tilkobles.

Borger-autentifikation:

Borgere anvender Nemlog-in som IdP, hvorfra det anvendes deres nye MitId og MitId app som 2-faktor.

System-autentifikation:

Funktioncertifikaterne (FOCES2) nedlægges.

Virksomhedscertifikater VOCES2 erstattes med VOCES3.

SEB: IdentityProvider

SEB-IdP'en er en såkaldt broker, der forbinder en serviceprovider (den tjeneste brugeren tilgår - eksempelvis en webportal som sundhed.dk, fmk-online, DPSD, SEI2, eller et fagsystem som EJO, EPJ eller LPS) med brugerens login-sted (brugerens hjemme-IdP, hvilket kan være Nemlog-in, en regional IdP eller kommunernes context-handler).

Web-portaler som har været tilsluttet SEB-IdP fra før MitId:

De fleste af de Web-portaler, som har været tilsluttet SEB-IdP'en fra før overgangen til MitId, de skal ikke lave ændringer i overgangen til MitID. Dvs. deres tilslutning til SEB-IdP vil være den samme OIOSAML2-baserede snitflade som de benytte idag.

Medarbejderen vil derimode opleve en anden brugerrejse, da medarbejderen skal tage stillig til hvilke hjemme-IdP der skal anvendes til log-in. Tidligere havde SEB ingen brugergrænseflade og sendte bare brugeren videre til login i Nemlog-in. I fremtiden vil medarbejdere skulle vælge hjemme-IdP (Nemlog-in, en regional IdP eller en kommunal IdP) via en grænsefalde i SEB.

Nye Web-portaler som har været tilsluttet SEB-IdP fra før MitId:

Nye SP'er, som ikke før har været tilsluttet SEB-IdP, de tilbydes nogle nye OIOSAML3 baserede snitflader til SEB.

Fagsystemer

Deres brugere vil opleve

SOSI føderationen benytter den fælles offentlige føderation til bruger-autentifikation (log-in).

De enkelte brugerorganisationer skal vælge en IdP-løsning.

Hvad påvirkes ? (Autorisation af medarbejder, omveksling til SOSI IdKort)

Hvad påvirkes ikke i den nationale sundhedsføderation ved overgangen fra NemID/OCES2 til MitId/OCES3

Der er mange ting i sundhedsføderationen som ikke påvirkes. Følgende påvirkes ikke:

SOSI Id-kort (Et SOSI IdKort er medarbejderens personlige adgangsbillet)
Den Gode WebService (DGWS).
Lokal SEB administrators opgave med at tildele roller i SEB til organisationens medarbejdere.
Nationale roller administreres forsat i SEB.
Applikationsspecifikke roller administreres forsat i SEB.
Sikker Browser Opstart (SBO) - også omtalt Knapløsningen

Hvad ændres der ikke på ? (SOSI IdKort, DGWS, autorisationer, nationale roller, Applikationsspecifikke roller i SEB, eksisterende SEB tilslutninger (SP-siden)

Hvad påvirkes ? (Autorisation af medarbejder, omveksling til SOSI IdKort)

Som anvender at en webportal sundhedsservice, hvordan påvirkes jeg ? (På virkes ikke, med mindre du også er brugerorganisation)

Som anvender af fagsystem, hvordan påvirkes jeg ?(DGWS ændres ikke, men anskaffelse af SOSI IdKort ændres)

Som anvender at en system2system sundhedsservice, hvordan påvirkes jeg ? (VOCES2/FOCES2->VOCES3,

Som anvender af fælles patientforløb, fællesstamkort eller graviditetsmappen, hvordan påvirkes jeg (komplekse) ?

Som brugerorganisation, hvordan påvirkes jeg ? (IdP, omveksling til SOSI IdP, adgang til SEB)

Som fagsystemleverandør, hvordan påvirkes jeg ?

Som kommune, hvordan påvirkes jeg ?

Som lægepraksissystem, hvordan påvirkes jeg ?

Hvad sker der med VOCES2/FOCES2

Hvad sker der med DGWS

Hvad sker der med Trust og claim af roller

Hvordan får et fagsystem fat i et SOSI IdKort

Hvordan får en webløsning fat i et SOSI Id-kort

Roller