Dokumenten sammanfattar de funktionella och icke funktionella krav för anslutning till behörighetstjänsten.
Bilden illustrerar övergripande flöden för autentisering och auktorisering. Detaljer i det tekniska flödet Authorization Code visas inte i bilden.
Övergripande flöde:
Personal försöker starta en e-tjänst t.ex. Hitta och jämför vård kontaktkortsadmin (HJV KKA).
- E-tjänstens säkerhetslager autentiserar och auktoriserar användaren.
- Anger e-tjänstens behörighetsområde ”HJV KKA” (authorization_scope)
- Behörighetstjänsten (OIDC)
- Autentiserar användaren genom att tjänstens SP komponent skickar användaren till IdP.
- Användarens ”Personal” hsa-id hämtas från IdP Sessionsens SAMBI profil.
- Behörighetstjänsten anropas HSA för att hämta användarens (Personal) behörighetsområdes egenskaper (roller).
- En Id-token/UserInfo med claims(kallas åtkomstintyg) returneras till e-tjänsten.
- E-tjänsten auktoriserar användaren baserat på åtkomstintyg.
Teknisk lösningen
Behörighetstjänsten är en gemensam komponent för behörighetshantering(utställande av åtkomstintyg). Stödtjänsten är baserad på protokollen OpenID Connect (OIDC är en utökning av OAuth2).
Lösningen består av följande delar:
- Behörighetstjänst (Standard OpenID Connect)
- IdP (Inera Säkerhetstjänster - SAMLv2)
- Attributkälla för behörighetsområde – HSA
- Informations försörjs via gemensam administrationsklient
- Informations försörjs via regional katalog
Följande användningsfall stödjer behörighetstjänsten
...
Anslutande e-tjänst kan använda ett generellt ramverk för OpenID Connect Resource Provider eller använda färdiga adaptrar som tillhandahålls utan support via av leverantör av mjukvara eller som öppen källkodsprojekt. Se Adapters och ramverk.
...