Gå till slutet av bannern
Gå till början av bannern

2. Teknisk översikt (utkast)

Hoppa till slutet på meta-data
Gå till början av metadata

You are viewing an old version of this content. View the current version.

Jämför med nuvarande View Version History

« Föregående Version 9 Nästa »

Dokumenten sammanfattar de funktionella och icke funktionella krav för anslutning till behörighetstjänsten.

 Bilden illustrerar övergripande flöden för autentisering och auktorisering. Detaljer i det tekniska flödet Authorization Code visas inte i bilden.


Övergripande flöde:

Personal försöker starta en e-tjänst t.ex. Hitta och jämför vård kontaktkortsadmin (HJV-KKA).

  1. E-tjänstens säkerhetslager autentiserar och auktoriserar användaren.
    1. Anger e-tjänstens behörighetsområde ”HJV KKA” (authorization_scope).
  2. Behörighetstjänsten (OIDC).
    1. Autentiserar användaren genom att tjänstens SP-komponent skickar användaren till IdP.
    2. Användarens ”Personal” HSA-id hämtas från IdP Sessionsens SAMBI profil.
  3. Behörighetstjänsten anropas HSA för att hämta användarens (Personal) behörighetsområdesegenskaper (roller).
  4. En Id-token/UserInfo med claims (kallas åtkomstintyg) returneras till e-tjänsten.
    1. E-tjänsten auktoriserar användaren baserat på åtkomstintyg.

Teknisk lösningen 

Behörighetstjänsten är en gemensam komponent för behörighetshantering (utställande av åtkomstintyg). Stödtjänsten är baserad på protokollen OpenID Connect (OIDC är en utökning av OAuth2).

 Lösningen består av följande delar:

  1. Behörighetstjänst (Standard OpenID Connect).
  2. IdP (Inera Säkerhetstjänster - SAMLv2).
  3. Attributkälla för behörighetsområde - HSA.
    1. Informations försörjs via gemensam administrationsklient.
    2. Informations försörjs via regional katalog.

Följande användningsfall stödjer behörighetstjänsten:

  1. Autentisering av användare.
    1. Behörighetstjänsten sköter detta med hjälp av Inera’s IdP.
  2. Skapa åtkomstintyg för användaren (underlag för auktorisation i e-tjänst).
    1. Id-token (authorization_scope(claim) innehållande behörighetsstyrande attribut som roller).
    2. AccessToken.

 Anslutande e-tjänst kan använda ett generellt ramverk för OpenID Connect Resource Provider eller använda färdiga adaptrar som tillhandahålls av leverantör av mjukvara eller som öppen källkodsprojekt. Se Adapters och ramverk.

  

Sammanställning tekniska krav.

Specifikation

Tillämpning

Protokoll

OpenID Connect

Flöde

Authorization Code

Klient typ

Certifikat – ”Signed Json Web Token” (JWT)

   

Säkerhet i den lokala e-tjänsten

Behörighetstjänsten levererar endast ett s.k. åtkomstintyg. Respektive e-tjänst måste säkerställa att protokollet implementeras på ett säkert sätt.


 

  • Inga etiketter