Bilden illustrerar övergripande hur informationsförsörjning sker. Regionala kataloger informationsförsörjer tjänsten.
Behörighetstjänsten är en tjänst för att skapa s.k. åtkomstintyg. Ett åtkomstintyg används av t.ex. e-tjänst för behörighetsstyrning. Åtkomstintyget är en samling "behörighetsområden" (roller). Genom att använda behörighetstjänsten slipper e-tjänsten själv ansluta eller utveckla komponenter som:
- Autentisering av användare
- Användare autentiseras av behörighetstjänsten via Inera Säkerhetstjänster (IdP).
- Behörighetsmodell
- HSA Administrativa uppdrag ligger till grund för behörighetsmodell (implementerad i HSA).
- Administrationsklient (webbaserad)
- En central administrationsklient tillhandahålls av HSA för de parter som inte gör detta i sin regionala katalog.
- Behörighetsdatabas
- Behörighetsinformation lagras i HSA (regionala kataloger).
| Informationsförsörjning | Sker via HSA-infrastruktur (via regionala kataloger).
|
|---|---|
| Autentisering | Sker via Inera Säkerhetstjänster.
Anslutande part behöver inte skapa egen anslutning till IdP, detta hanteras av behörighetstjänsten. |
| Åtkomsthantering/Åtkomstintyg | Sker via protokoll OpenID Connetc (OIDC)
|
Exempel åtkomstintyg (observera att ren JSON inte levereras utan Double quote ersätts enligt \")
Escaped
{
\"authorization scope\": [
{
\"attribute\": \"FullAdmin_code\",
\"name\": \"FullAdmin\",
\"description\": \"Huvudadministratör\",
\"organizational_scope\": [
{
\"unit\": {
\"org-id\": \"SE110000016-1111\",
\"name\": \"Enheten Beta\",
\"include_units_below\": \"false\"
}
},
Unescaped
(unescape måste hanteras av mottagande system)
{
"authorization scope": [
{
"attribute": "FullAdmin_code",
"name": "FullAdmin",
"description": "Huvudadministratör",
"organizational_scope": [
{
"unit": {
"org-id": "SE110000016-1111",
"name": "Enheten Beta",
"include_units_below": "false"
}
},