/
2. Teknisk översikt (utkast)

2. Teknisk översikt (utkast)

Owned by Marco de Luca (Unlicensed)
Last updated: feb. 28, 2018

Dokumenten sammanfattar de funktionella och icke funktionella krav för anslutning till behörighetstjänsten.

 Bilden illustrerar övergripande flöden för autentisering och auktorisering. Detaljer i det tekniska flödet Authorization Code visas inte i bilden.


Övergripande flöde:

Personal försöker starta en e-tjänst t.ex. Hitta och jämför vård kontaktkortsadmin (HJV-KKA).

  1. E-tjänstens säkerhetslager autentiserar och auktoriserar användaren.
    1. Anger e-tjänstens behörighetsområde ”HJV KKA” (authorization_scope).
  2. Behörighetstjänsten (OIDC).
    1. Autentiserar användaren genom att tjänstens SP-komponent skickar användaren till IdP.
    2. Användarens ”Personal” HSA-id hämtas från IdP Sessionsens SAMBI profil.
  3. Behörighetstjänsten anropas HSA för att hämta användarens (Personal) behörighetsområdesegenskaper (roller).
  4. En Id-token/UserInfo med claims (kallas åtkomstintyg) returneras till e-tjänsten.
    1. E-tjänsten auktoriserar användaren baserat på åtkomstintyg.

Teknisk lösningen 

Behörighetstjänsten är en gemensam komponent för behörighetshantering (utställande av åtkomstintyg). Stödtjänsten är baserad på protokollen OpenID Connect (OIDC är en utökning av OAuth2).

 Lösningen består av följande delar:

  1. Behörighetstjänst (Standard OpenID Connect).
  2. IdP (Inera Säkerhetstjänster - SAMLv2).
  3. Attributkälla för behörighetsområde - HSA.
    1. Informations försörjs via gemensam administrationsklient.
    2. Informations försörjs via regional katalog.

Följande användningsfall stödjer behörighetstjänsten:

  1. Autentisering av användare.
    1. Behörighetstjänsten sköter detta med hjälp av Inera’s IdP.
  2. Skapa åtkomstintyg för användaren (underlag för auktorisation i e-tjänst).
    1. Id-token (authorization_scope(claim) innehållande behörighetsstyrande attribut som roller).
    2. AccessToken.

 Anslutande e-tjänst kan använda ett generellt ramverk för OpenID Connect Resource Provider eller använda färdiga adaptrar som tillhandahålls av leverantör av mjukvara eller som öppen källkodsprojekt. Se Adapters och ramverk.

  

Sammanställning tekniska krav.

Specifikation

Tillämpning

Protokoll

OpenID Connect

Flöde

Authorization Code

Klient typ

  • Secret
  • Certifikat – ”Signed Json Web Token” (JWT)

   

Säkerhet i den lokala e-tjänsten

Behörighetstjänsten levererar endast ett s.k. åtkomstintyg. Respektive e-tjänst säkerställer att protokollet implementeras på ett säkert sätt samt auktoriserar användaren baserat på åtkomstintyget.



Related content

1.3 Anslutningsguide till Autentiseringstjänsten
1.3 Anslutningsguide till Autentiseringstjänsten
Inera - Identitet och åtkomst
More like this
2.3 Anslutningsguide till IdP
2.3 Anslutningsguide till IdP
Inera - Identitet och åtkomst
More like this
1.2 Anslutningsguide till Autentiseringstjänsten
1.2 Anslutningsguide till Autentiseringstjänsten
Inera - Identitet och åtkomst
More like this
1.0 Anslutningsguide till Autentiseringstjänsten
1.0 Anslutningsguide till Autentiseringstjänsten
Inera - Identitet och åtkomst
More like this
2.6 Anslutningsguide till IdP
2.6 Anslutningsguide till IdP
Inera - Identitet och åtkomst
More like this
1.4 SAD - Autentiseringstjänsten
1.4 SAD - Autentiseringstjänsten
Inera - Identitet och åtkomst
More like this