Uthopp - Teknisk beskrivning

Uthoppsfunktionen som är 1177:s SSO-lösning (Single Sign On) möjliggör att invånaren endast behöver logga in en gång på 1177.se (eller annat anslutet system). När invånaren sedan klickar på länkar till andra system kommer invånaren automatisk vara inloggad även i dem.

Tekniskt består SSO-lösningen av idP (identityProvider) som är baserad på SAML2-biljetter, vilket är en etablerad standard. SAML2-biljetten ger då tillgång till alla system som ingår i federationen. Det är i dagsläget 1177 som bestämmer vilka som får vara med i denna federation.

Alla som vill ansluta till e-tjänsterna på 1177 kommer även att behöva ansluta sig till inloggningsleverantören som är CGI.

För frågor och stöd kring teknik och anslutning, gå till CGI:s hemsida.

 

Tekniska termer

Term

Beskrivning

Term

Beskrivning

URL för metadata - Om nåbar från Internet. Alt. Bifoga en fil.

Metadatan är en beskrivning på var uthoppstjänstens autentisering ska hanteras. I metadatan finns information om alla de sex parametrarna nedan förutom ”Tillåta SSO”. Det finns även ett certifikat som används för att kommunicera säkert mellan CGI och uthoppstjänsten.

AssertionConsumerServiceURL - Krav på https.

Den här URL:en berättar var vi ska skicka autentiseringsinformationen när användaren autentiserat sig. Vi använder det också som en nyckel för att identifiera vilket system som försöker identifiera användaren.

Saml:Issuer (entityID) - (Vid IdP-initierad inloggning, ange Audience.)

Den här URL:en berättar vilket system som utfärdat identifieringsförfrågan. Även denna använder vi som en nyckel för att identifiera vilket system som försöker identifiera användaren.

Single Logout - SLO request:/SLO response:

De här URL:erna hanterar utloggning ur SP:n (och även federationen). Jätteviktigt att detta fungerar för en uthoppstjänst.

Tillåta SSO: - SSO mellan olika SP är möjligt under 60 minuter, men är default konfigurerat på IdP:n som Nej för varje SP. Ange om SSO skall tillåtas.

Denna parameter bestämmer om man ska tillåtas logga in på andra tjänster utan att slå sin kod för ex BankID igen. En uthoppstjänst är ett exempel på SSO.

 

Login Page URL: - (Hit skickas användare om SAML request saknas i anrop, ex. vid sparad länk i favoriter).

Om användaren försöker komma åt en sida som skyddas av inloggning, men inte går via inloggningssidan, eller om det tar för lång tid att slutföra inloggningen, Skickas användaren till denna URL.

Övrig information: - Exempelvis SP-produkt som används.

Informationen här ger oss möjlighet att lättare hjälpa kunden vi eventuella problem vid anslutningen. Vi har ett antal produkter som vi testat, som vi nämner i vår dokumentation. Dessa vet vi att de fungerar bra med våra system. Det kan även vara andra saker som kunden vill delge oss.

 


Allmän beskrivning av SAML

Autentisering mellan e-tjänsterna på 1177 och så kallade uthoppstjänster görs med hjälp av den öppna standarden SAML. Förenklat kan man säga att en anslutning med hjälp av SAML består av tre parter, det vill säga en användare (dess webbläsare), en Identity Provider (IdP) och en eller flera Service Providers (SP).

  1. En förbindelse som är betrodd av båda parter, en så kallad trust, är etablerad mellan IdP och SP, det vill säga SP:n har ett certifikat som är genererat av IdP:n och all kommunikation dem emellan är signerad med detta certifikat.

  2. Användaren loggar in mot IdP:n med sina inloggningsuppgifter (till exempel e-legitimation).

  3. Användaren väljer en tjänst på 1177.se, det vill säga SP.

  4. IdP:n returnerar ett svar innehållande en signerad SAML-biljett.

  5. Användarens webbläsare skickar vidare detta svar till SP, som bekräftar att SAML-biljetten är signerad på ett korrekt sätt, varefter användaren ges tillgång till SP:n (det vill säga tjänsten ifråga).

I vårt scenario är punkt 2 och 3 synlig för användaren. Denne upplever att hen loggar in på 1177.se.

Inom konceptet för e-tjänsterna på 1177 har leverantören CGI valts som IdP.

Hur kommer då en uthoppstjänst in i sammanhanget?

En uthoppstjänst kommer alltså att vara ytterligare en SP som ingår i en så kallad federation med e-tjänsterna på 1177. En användare loggar in på 1177.se via CGI:s IdP. Vid uthopp görs en omdirigering till IdP. Om e-tjänsten får tillbaka en signerad SAML-biljett etableras kontakt mellan parterna. Annars gör e-tjänsten en omdirigering till inloggningssidan. Det senare inträffar alltid vid en direktlänkning till uthoppstjänsten.

E-tjänsterna på 1177 har stöd för inloggning med e-legitimation. Det är upp till e-tjänsten ifråga att verifiera dess säkerhetsnivå med hjälp av attribut i SAML-biljetten.

Beskrivningen ovan av SAML och dess möjligheter är mycket översiktlig. För mer detaljerad information om både SAML generellt och CGI:s IdP i synnerhet, hänvisar vi till CGI:s informationssida om inloggning med SAML.

Exponering av tjänster mot invånare

Placering av tjänst

De flesta tjänster på 1177.se exponeras antingen genom att de tillhandahålls av en mottagnings kontaktkort (HSA-id) under "Mottagningar" eller att de kategoriseras som en tjänstekategori (med hjälp av HSA-id) under ”Övriga tjänster” (se Bild 1).

 

Bild 1: Startsidan för invånare i 1177 Vårdguidens e-tjänster.

På mottagningens kontaktkort visas en så kallad uthoppstjänst (se Bild 2) tillsammans med andra tjänster knutna till mottagningen. Mottagningen måste finnas i 1177 Vårdguidens e-tjänster, vilket innebär att den måste finnas i HSA-katalogen och ha ett HSA-id.

 

 

Bild 2: En mottagnings kontaktkort i 1177 Vårdguidens e-tjänster.

Under ”Övriga tjänster” visas de tjänster som inte är knutna direkt till en mottagning. Dessa grupperas inom olika tjänstekategorier. En tjänstekategori (se Bild 3) kan skapas genom beställning till den nationella förvaltningen. Beskrivningen av en tjänstekategori under i-symbolen (se Bild 3) hanteras lokalt (av administratören på mottagningen i Personalverktyget) på samma sätt som ”Övrig information” för en mottagning (se Bild 4).

Bild 3: Tjänst exponeras under Övriga tjänster för invånare.

Bild 4: Funktionen Övrig information på vårdpersonalsidan. Det som skrivs här visas under i-symbolen vid tjänstekategorin.

Hur ska invånarna få tillgång till tjänsten?

Oavsett hur en tjänst exponeras görs konfigureringen gällande för vilka den ska visas för på den mottagningen eller tjänstekategorin som tjänsten är kopplad till. En invånare kan ges åtkomst till en mottagning eller tjänstekategori på de sätt som beskrivs nedan.

Geografiskt betjäningsområde

En mottagning kan sätta upp kriterier som ålder, kön och geografisk tillhörighet för att välja vilka användargrupper man vill exponera sig för. En person med behörigheten lokal administratör på mottagningen i personalens verktyg i e-tjänsterna kan bestämma och ändra vilket geografiskt betjäningsområde som gäller och på så vis styra vilka som ska kunna använda tjänsterna (se Bild 7).

Bild 7: Funktionen Geografiskt betjäningsområde på vårdpersonalsidan.

Individuellt anpassad åtkomst

Behörighet kan ges till en mottagning baserat på en invånares personnummer genom att använda funktionen Godkänn för kommunikation i personalens verktyg. (se Bild 8).

Det finns även möjlighet att ge vissa invånare tillgång till specifika tjänster på mottagningen helt individuellt genom att använda funktionen Dela ut ärendetyp (se Bild 8). Vårdpersonal på mottagningen kan dela ut behörigheter både till mottagningen och specifika tjänster. En lokal administratör på mottagningen bestämmer vilka tjänster som behöver delas ut till specificerade invånare.

Bild 8: Funktionen Godkänn invånare på vårdpersonalsidan.

Aktivera tjänsten

Innan det går att tillgängliggöra tjänsten måste den lokala administratören på mottagningen aktivera tjänsten.Det gör hen under fliken Ärendetyper som hör till menyvalet Inställningar för mottagningen (se Bild 9).

Bild 9: Funktionen där den lokala administratören aktiverar tjänsten.

Möjliga anpassningar i användargränssnittet

Det finns en mängd information som går att anpassa kring tjänster som exponeras i 1177 Vårdguidens e-tjänster. En del av informationen kan anpassas av de lokala administratörerna på mottagningen i vårdpersonalens verktyg, annan basinformation måste anpassas av centrala och/eller regionala administratörer vid anslutning av tjänsten.

Krav på vad som måste vara på plats och vilka inställningar som är möjliga:

Värde (för att läsa mer om värdet klicka på det)

Beskrivning

Exempel

Utförare

Värde (för att läsa mer om värdet klicka på det)

Beskrivning

Exempel

Utförare

HSA-id

Tjänsten behöver vara kopplad till en mottagning som finns i HSA-katalogen eller en tjänstekategori

SE2321000016-XXXX

Anslutande part tillsammans med regionalt ansvarig i den aktuella regionen.

Mottagning eller tjänstekategori

Tjänsten måste vara kopplad till en mottagnings kontaktkort eller till en tjänstekategori

Övriga tjänster

Anslutande part tillsammans med regionalt ansvarig i den aktuella regionen.

Namn på mottagning eller tjänstekategori

Namn på mottagning eller tjänstekategorin

Internetpsykiatri

Anslutande part tillsammans med regionalt ansvarig i den aktuella regionen.

Tjänst

Namn på tjänsten

Anmälan: KBT - Depression

Anslutande part tillsammans med regionalt ansvarig i den aktuella regionen. Se Namngivningsprinciper för enskilda e-tjänster.

Övrig information eller i-symbol

Om tjänsten finns på en mottagning kan ytterligare information om tjänsten presenteras under Övrig information på mottagningens kontaktkort i e-tjänsterna. Hör den till en tjänstekategori kan ytterligare information om tjänsten presenteras under i-symbolen vid tjänstekategorin

-

Anslutande part tillsammans med regionalt ansvarig i den aktuella regionen.

Aktivera

Aktivera tjänsten för invånare

-

Anslutande part tillsammans med regionalt ansvarig i den aktuella regionen.

Målgrupp

För vilka ska tjänsten vara synlig för? Alla invånare i ett län? Vissa invånare ska ha tillgång till mottagningen och tjänsten? Vissa invånare ska ha tillgång till enbart den aktuella tjänsten på mottagningen

Alla invånare i Stockholms län

Anslutande part tillsammans med regionalt ansvarig i den aktuella regionen.