| Observera |
|---|
Den här sidan har flyttats till Uthopp - Teknisk beskrivning . Denna sida uppdateras inte längre och kommer att tas bort den 15 maj 2024. Om du har lagt till sidan som en favorit i webbläsaren eller i Confluence, se till att byta ut den till den rätta länken Uthopp - Teknisk beskrivning . Om du har blivit länkad hit, rapportera gärna till e-tjänsternas support var länken finns så att nationella förvaltningen kan kontakta sidans ägare. Här kan du kontakta supporten: https://etjanster.inera.se/oversikt/flow/4221 |
Uthoppsfunktionen som är 1177 Vårdguidens :s SSO-lösning (Single Sign On) möjliggör att invånaren endast behöver logga in en gång i 1177 Vårdguiden e-tjänster på 1177.se (eller annat anslutet system). När invånaren sedan klickar på länkar till andra system kommer invånaren automatisk vara inloggad även i dem.
Tekniskt består SSO-lösningen av idP (identityProvider) som är baserad på SAML2-biljetter, vilket är en etablerad standard. SAML2-biljetten ger då tillgång till alla system som ingår i federationen. Det är i dagsläget 1177 Vårdguiden som bestämmer vilka som får vara med i denna federation.
Alla som vill ansluta till 1177 Vårdguidens e-tjänster tjänsterna på 1177 kommer även att behöva ansluta sig till leverantören av inloggning inloggningsleverantören som är CGI.
För frågor och stöd kring teknik och anslutning, gå till CGI:s hemsida.
| Innehållsförteckning |
|---|
Tekniska termer
Term | Beskrivning |
|---|---|
URL för metadata - Om nåbar från Internet. Alt. Bifoga en fil. | Metadatan är en beskrivning på var uthoppstjänstens autentisering ska hanteras. I metadatan finns information om alla de sex parametrarna nedan förutom ”Tillåta SSO”. Det finns även ett certifikat som används för att kommunicera säkert mellan CGI och uthoppstjänsten. |
AssertionConsumerServiceURL - Krav på https. | Den här URL:en berättar var vi ska skicka autentiseringsinformationen när användaren autentiserat sig. Vi använder det också som en nyckel för att identifiera vilket system som försöker identifiera användaren. |
Saml:Issuer (entityID) - (Vid IdP-initierad inloggning, ange Audience.) | Den här URL:en berättar vilket system som utfärdat identifieringsförfrågan. Även denna använder vi som en nyckel för att identifiera vilket system som försöker identifiera användaren. |
Single Logout - SLO request:/SLO response: | De här URL:erna hanterar utloggning ur SP:n (och även federationen). Jätteviktigt att detta fungerar för en uthoppstjänst. |
Tillåta SSO: - SSO mellan olika SP är möjligt under 60 minuter, men är default konfigurerat på IdP:n som Nej för varje SP. Ange om SSO skall tillåtas. | Denna parameter bestämmer om man ska tillåtas logga in på andra tjänster utan att slå sin kod för ex BankID igen. En uthoppstjänst är ett exempel på SSO.
|
Login Page URL: - (Hit skickas användare om SAML request saknas i anrop, ex. vid sparad länk i favoriter). | Om användaren försöker komma åt en sida som skyddas av inloggning, men inte går via inloggningssidan, eller om det tar för lång tid att slutföra inloggningen, Skickas användaren till denna URL. |
Övrig information: - Exempelvis SP-produkt som används. | Informationen här ger oss möjlighet att lättare hjälpa kunden vi eventuella problem vid anslutningen. Vi har ett antal produkter som vi testat, som vi nämner i vår dokumentation. Dessa vet vi att de fungerar bra med våra system. Det kan även vara andra saker som kunden vill delge oss. |
...
Allmän beskrivning av SAML
Autentisering mellan 1177 Vårdguidens e-tjänster tjänsterna på 1177 och så kallade uthoppstjänster görs med hjälp av den öppna standarden SAML. Förenklat kan man säga att en anslutning med hjälp av SAML består av tre parter, det vill säga en användare (dess webbläsare), en Identity Provider (IdP) , och en eller flera Service Providers (SP).
En förbindelse som är betrodd av båda parter, en så kallad trust, är etablerad mellan IdP och SP, det vill säga SP:n har ett certifikat som är genererat av IdP:n och all kommunikation dem emellan är signerad med detta certifikat.
Användaren loggar in mot IdP:n med sina inloggningsuppgifter (till exempel e-legitimation).
Användaren väljer en tjänst
...
på 1177.se, det vill säga SP.
IdP:n returnerar ett svar innehållande en signerad SAML-biljett.
Användarens webbläsare
...
skickar vidare detta svar till SP, som bekräftar att SAML-biljetten är signerad på ett korrekt sätt, varefter användaren ges tillgång till SP:n (det vill säga tjänsten ifråga).
I vårt scenario är punkt 2 och 3 transparent synlig för användaren. Denne upplever att hen loggar in i 1177 Vårdguidens e-tjänsterpå 1177.se.
Inom konceptet för 1177 Vårdguidens e-tjänster tjänsterna på 1177 har leverantören CGI valts som IdP.
...
En uthoppstjänst kommer alltså att vara ytterligare en SP som ingår i en så kallad federation med 1177 Vårdguidens e-tjänstertjänsterna på 1177. En användare loggar in i 1177 Vårdguidens e-tjänster via CGI’s på 1177.se via CGI:s IdP. Vid uthopp till en e-tjänst ska denna göra en redirect till IdP, på samma sätt som 1177 Vårdguidens e-tjänstergörs en omdirigering till IdP. Om e-tjänsten får tillbaka en signerad SAML-biljett etableras kontakt mellan parterna, annars . Annars gör e-tjänsten en redirect till 1177 Vårdguidens e-tjänsters inloggningssidaomdirigering till inloggningssidan. Det senare inträffar alltid vid en direktlänkning till uthoppstjänsten.
1177 Vårdguidens e-tjänster E-tjänsterna på 1177 har stöd för inloggning med både e-legitimation och så kallad tvåfaktor-inloggning tvåfaktorsinloggning med lösenord och sms (OTP, One Time Password). Det är upp till e-tjänsten ifråga att verifiera dess säkerhetsnivå, om den till exempel kräver e-legitimation, med hjälp av attribut i SAML-biljetten.
Beskrivningen ovan av SAML och dess möjligheter är mycket översiktlig. För mer detaljerad information om både SAML generellt och CGI’s CGI:s IdP i synnerhet, hänvisar vi till CGI’s CGI:s informationssida om inloggning med SAML.
Äldre SSO-lösning
Från och med 2016 finns det en ny teknisk lösning för tillgängliggörande av tjänster i 1177 Vårdguidens e-tjänster. Den nya lösningen är en SAML-lösning. Den gamla, centralt administrerade SSO-lösningen är på väg att fasas ut och 1177 Vårdguiden rekomenderar alla anslutna parter att gå över till SAML. Alla nya anslutningar ansluts via SAML.
Konsekvenser för befintliga uthoppstjänster
Befintliga tjänster som använder 1177 Vårdguidens lösning för uthoppstjänster kommer att behöva utveckla dessa så att de har en service provider-komponent som hanterar inloggning och sessioner. Befintliga uthoppstjänster kommer också att behöva ansluta sig till leverantören av inloggning som är CGI.
För frågor och stöd kring teknik och anslutning, gå till CGI:s hemsida.
För övriga frågor, kontakta 1177 Vårdguidens e-tjänsters support, e-tjanster@1177.se eller 0771-25 10 10 tonval 1.
Bakgrund
Denna förändring är ett led i underhåll och modernisering av 1177 Vårdguidens e-tjänster.
Den nya lösningen kommer att hanteras av CGI. Tekniskt är det en idP (identityProvider) som är baserad på SAML2-biljetter, vilket är en etablerad standard. Idp-lösningen möjliggör en så kallad SSO (single sign on) för anslutna parter.
Idag finns det en intern identitetshantering i 1177 Vårdguiden (MVK SSO). MVK SSO är en egenutvecklad biljettmetod som togs fram i ett tidigt skede då det inte fanns några andra alternativ. Förutom att det är en lösning som inte bygger på någon standard så har MVK SSO även några funktionella brister:
• Information i biljetten saknas, t ex namn på personen
• Begränsning i hur flöden kan utformas mellan olika tjänster beroende på när biljetter skapas
• En så kallad intygsväxling sker i den befintliga lösningen, vilket inte kommer vara tillåtet i de framtida avtalsmodellerna.
Det har fram tills nu funnits ett behov av att behålla den interna identitetshanteringen eftersom lösningen med idP och SAML2 endast har haft stöd för inloggning med e-legitimationer och inte för inloggning med lösenord och sms. Under hösten 2014 flyttades hanteringen av engångskoder så att även dessa hanteras via CGI.
Som ett led i att renodla strukturen i 1177 Vårdguidens e-tjänsters leverans och dessutom höja kvaliteten så har beslut tagits att avveckling av MVK SSO ska ske.
Exponering av tjänster mot invånare
...
Placering av tjänst
De flesta tjänster i 1177 Vårdguidens e-tjänster exponeras endera på 1177.se exponeras antingen genom att de tillhandahålls av en mottagnings kontaktkort (HSA-id) under "Mottagningar" eller att de kategoriseras som en tjänstekategori (med hjälp av HSA-id) under ”Övriga tjänster” (se Bild 1).
...
Under ”Övriga tjänster” visas de tjänster som inte är knutna direkt till en mottagning. Dessa grupperas inom olika tjänstekategorier. En tjänstekategori (se Bild 3) hanteras som en mottagning i 1177 Vårdguidens e-tjänster, vilket innebär att denna måste finnas i HSA-katalogen och ha ett HSA-idkan skapas genom beställning till den nationella förvaltningen. Beskrivningen av en tjänstekategori under i-symbolen (se Bild 3) hanteras lokalt (av administratören på mottagningen i verktyget Mina vårdkontakterPersonalverktyget) på samma sätt som ”Övrig information” för en mottagning (se Bild 4).
...
Behörighet kan ges till en mottagning baserat på en invånares personnummer genom att använda funktionen Godkänn för kommunikation i personalens verktyg. (se Bild 8).
...
Bild 8: Funktionen Godkänn invånare på vårdpersonalsidan.
Det finns även möjlighet att ge vissa invånare tillgång till specifika tjänster på mottagningen helt individuellt genom att använda funktionen Dela ut ärendetyp (se Bild 98). Vårdpersonal på mottagningen kan dela ut behörigheter både till mottagningen och specifika tjänster. En lokal administratör på mottagningen bestämmer vilka tjänster som behöver delas ut till specificerade invånare.
...
Bild 98: Funktionen Dela ut ärendetyp Godkänn invånare på vårdpersonalsidan.
Aktivera tjänsten
Innan det går att tillgängliggöra tjänsten måste den lokala administratören på mottagningen aktivera tjänsten.Det gör hen under fliken Ärendetyper som hör till menyvalet Inställningar för mottagningen (se Bild 109).
...
Bild 109: Funktionen där den lokala administratören aktiverar tjänsten.
Säkerhetsnivå
Med säkerhetsnivå menas den tillåtna nivån av säkerhet som konfigureras i e-tjänsterna. I SAML finns även säkerhetsnivå som ett attribut i biljetten som gäller den särskilda inloggningen. E-tjänsterna jämför det värdet med den säkerhetsnivå som konfigurerats och ansvarar för att gråmarkera tjänsten om säkerhetsnivån för tjänsten ifråga inte är uppfylld, det vill säga om tjänsten kräver inloggning med e-legitimation men användaren loggat in med lösenord och sms. Det är däremot uthoppstjänstens ansvar att också verifiera säkerhetsnivån och övriga krav för att få tillgång till uthoppstjänsten gentemot SAML-biljetten, då användaren till exempel kan direktlänka till e- tjänsten.
Möjliga anpassningar i användargränssnittet
...
Krav på vad som måste vara på plats och vilka inställningar som är möjliga:
Värde (för att läsa mer om värdet klicka på det) | Beskrivning | Exempel | Utförare |
|---|---|---|---|
Tjänsten behöver vara kopplad till en mottagning |
som finns i HSA-katalogen eller en tjänstekategori | SE2321000016-XXXX | Anslutande part tillsammans med regionalt ansvarig i |
den aktuella |
regionen. | |||
Tjänsten måste vara kopplad till en mottagnings kontaktkort eller till en tjänstekategori | Övriga tjänster | Anslutande part tillsammans med regionalt ansvarig i |
den aktuella |
regionen. | |||
Namn på mottagning eller tjänstekategorin | Internetpsykiatri | Anslutande part tillsammans med regionalt ansvarig i |
den aktuella |
regionen. | |||
Namn på tjänsten | Anmälan: KBT - Depression | Anslutande part tillsammans med regionalt ansvarig i |
den aktuella regionen. Se /wiki/spaces/OVET/pages/2551000. | |||
Om tjänsten finns på en mottagning kan ytterligare information om tjänsten presenteras under Övrig information på mottagningens kontaktkort i e-tjänsterna. Hör den till en tjänstekategori kan ytterligare information om tjänsten presenteras under i-symbolen vid tjänstekategorin | - | Anslutande part tillsammans med regionalt ansvarig i |
Anger om tjänsten kräver inloggning med e-legitimation
Lösenord och sms
Anslutande part tillsammans med regionalt ansvarig i det aktuella länet och förvaltningen för 1177 Vårdguidens e-tjänster
den aktuella regionen. | |||
Aktivera tjänsten för invånare | - | Anslutande part tillsammans med regionalt ansvarig i |
den aktuella |
regionen. | |||
För vilka ska tjänsten vara synlig för? Alla invånare i ett län? Vissa invånare ska ha tillgång till mottagningen och tjänsten? Vissa invånare ska ha tillgång till enbart den aktuella tjänsten på mottagningen | Alla invånare i Stockholms län | Anslutande part tillsammans med regionalt ansvarig i |
den aktuella |
regionen. |