14. FAQ - teknik (utkast)
- Marco de Luca (Unlicensed)
- Thomas Fafoutis
- Former user (Deleted)
Autentisering
Fråga: Behöver e-tjänsten göra en egen anslutning till en autentiseringstjänst t.ex. Inera Säkerhetstjänster?
Svar: Nej, behörighetstjänsten hanterar detta.
Fråga: Hur får e-tjänsten tillgång till "SAMBI"-profilen?
Svar: I nuvarande version kommer endast valda delar av "SAMBI"-profilen levereras som s.k. claims. Detta kan komma att utökas vid behov.
Fråga: Fungerar behörighetstjänsten i en sk. federation t.ex. SAMBI?
Svar: Ja, Behörighetstjänsten ansluter till IdP via SAMLv2 protokollet. Idag är Behörighetstjänsten ansluten till Inera säkerhetstjänster och använder endast attribut definierade enligt SAMBI.
Miljöer
Fråga: Finns det några öppna testmiljöer vi kan använda för att testa behörighetstjänsten.
Svar: Ja, det finns öppna miljöer. Tjänsten kräver dock att du har ett SITHS testcert som accepteras av IdP. Mer om miljöer här: 5. Anslutning av tjänst (utkast)
Fråga: När vi använder testmiljön får vi varningar om osäker tjänst. Hur skall vi hantera det?
Svar: För att slippa varningen måste er dator lita på certifikatsutfärdaren. Detta kan man lösa genom att "installera" eller "lita" på SITHS CA. Certifikaten finns här: https://www.inera.se/kundservice/dokument-och-lankar/tjanster/identifieringstjanst-siths/ca-certifikat-siths/
Säkerställa att ni godkänner följande certifikat:
- SITHS Root CA v1 (Produktion)
- SITHS Root CA v1 (PP)
- SITHS Type 3 (PP) (Test, SHA-2 512)
Kontakta er lokala IT-support innan ni installera certifikaten.
Auktorisering
Fråga: Vad är ett behörighetsområde? Hur skall vi använda dessa?
Svar: Ett behörighetsområde är att likställa med en roll. Tjänsten returnerar användarens roller för den specifika e-tjänsten. Se 4. Åtkomstintyg - claims (utkast).
Exempel: Användaren startar e-tjänst Adam, efter autentisering skapar behörighetstjänsten ett åtkomstintyg innehållande identitet + användarens behörighetsområde(roll). t.ex "Administratör". E-tjänsten Adam ger användaren tillgång till funktionalitet baserat att användaren har rollen "Administratör".
Fråga: Vem bestämmer vilka behörighetsområden/roller som skall användas för en e-tjänst?
Svar: Varje tjänst som använder behörighetstjänsten definierar sina behörighetsområden/roller. Det är upp till varje e-tjänst att behörighetsstyra baserat på dessa.
Fråga: Vår e-tjänst hanterar patientuppgifter? Räcker det det behörighetsområden för att leva upp till PDL? Hur gör vi?
Svar: Behörighetsområden är ett komplement till s.k. "medarbetaruppdrag/vårduppdrag" (medarbetaruppdrag är utformade för att styra sekretessområden enligt PDL). I nuvarande version så levereras inte medarbetaruppdrag via behörighetstjänsten. Detta kan dock komma att ändras i framtiden och innehållet i SAMBI-profil (inkl. medarbetaruppdrag) kan levereras i åtkomstintyget. Diskussion pågår.
Informationsförsörjning - Administration av behörigheter
Fråga: Hur administreras behörighetsområden/roller?
Svar: Administration sker i HSA/Regionala kataloger. HSA/Regionala regelverk tillämpas.
Fråga: Vilken katalog använder Behörighetstjänsten?
Svar: Behörighetstjänsten är idag ansluten till HSA via Nationella tjänsteplattformen (NTjP). Detta innebär att anslutning är enligt "lös koppling" vilket möjliggör för olika tjänsteproducenter. En förutsättning är tjänsteproducenten är godkänd för Infrastructure.directory.authorization: GetAdminCredentialsForPersonIncludingProtectedPerson.
Behörighetsområden och domäner
Fråga: Måste alla e-tjänster definiera sina egna behörighetsområden? Vi vill att alla e-tjänster använder samma behörighetsområden.
Svar: Det finns ingen begränsning i själva Behörighetstjänsten, om ett generellt behörighetsområde tas fram t.ex. område: "Standard_1177" kommer denna kunna användas av e-tjänster. Det är dock upp till varje e-tjänst att definiera vilka roller som behövs. Projektet är positiva till att standardisering tillämpas där det är möjligt.