Åtkomst till Personuppgiftstjänsten Webb
- Jimmy Fridh
- Mikael Ljungberg
Denna instruktion beskriver dels vilka tekniska förutsättningar som gäller för att komma åt Personuppgiftstjänsten Webb och dels vilka behörigheter i HSA-katalogen som krävs för att för att kunna utnyttja olika funktioner i systemet.
Instruktionen vänder sig främst till:
Förvaltare som behöver förstå vad som krävs för att ge användare åtkomst till Personuppgiftstjänsten Webb.
IT-tekniker som ska möjliggöra anrop mot Personuppgiftstjänsten Webb.
Lokala HSA-administratörer som skall tilldela användarbehörigheter till Personuppgiftstjänsten Webb.
Innehåll
Allmänt
För att en användare ska vara berättigad att arbeta i Personuppgiftstjänsten Webb behöver organisationen först ha avtal med Inera för att nyttja Personuppgiftstjänsten.
Varje användare behöver dessutom ha följande:
Giltigt SITHS-kort som är utgivet med Tillitsnivå 3 (LoA 3) och tillhörande inloggningskoder
Korrekta behörighetsegenskaper i HSA-katalogen
Adresser
Adresser till gränssnittet:
Miljö | URL |
|---|---|
Produktion | |
Test |
Autentisering
Personuppgiftstjänsten Webb använder Ineras IdP som autentiseringstjänst för inloggning i webbgränssnittet. Autentiseringstjänsten har som uppgift att tillgodose säker inloggning av medarbetare till vårdsystem. Denna inloggning sker med SITHS-kort eller SITHS eID.
Tjänsten innehåller en ”Single Sign-On” (SSO)-funktionalitet som gör att en medarbetare endast behöver logga in en gång för att bli inloggad automatiskt i andra system. Dessa system kan exempelvis vara NPÖ, Pascal eller andra nationella vårdtjänster. Systemet använder en ”Single Log-Out”, SLO- funktion när medarbetaren loggar ut. Den fungerar på liknande sätt som SSO. SLO avslutar SSO-sessionen även mot andra system, där medarbetaren är inloggad.
Figur: Autentisering vid inloggning i Personuppgiftstjänsten Webb
Läs mer
Mer information om Ineras IdP: IdP
SITHS-kort
Saknar användaren giltigt SITHS-kort, alternativt att man inte har sina koder, kontaktar man den egna enheten för utgivningen av SITHS-kort.
Läs mer
Mer information om SITHS: Identifieringstjänst SITHS
Mer information om SITHS eID: Autentisering via SITHS eID
Behörighetsgrundande egenskaper i HSA
Varje person som ska använda Personuppgiftstjänsten Webb måste finnas upplagd i HSA-katalogen. Administration i HSA görs av lokala HSA-administratörer i den egna organisationen, antingen via det nationella administrationsgränssnittet HSA Admin eller via ett administrationsgränssnitt mot den lokala HSA-katalogen. Kontakta din lokala HSA-förvaltning för att få veta vad som gäller hos er.
Personuppgiftstjänsten Webb erbjuder två möjligheter för att ge åtkomst via HSA-katalogen:
Åtkomst via ett vårdmedarbetaruppdrag kombinerat med “Individuell egenskap för it-tjänster” (för personer som arbetar med vårdinformation).
Åtkomst via ett administrativt medarbetaruppdrag (för personer som inte arbetar med vårdinformation).
Båda dessa alternativ beskrivs mer ingående i varsin sektion nedan. Sedan finns en lista på de specifika funktioner i Personuppgiftstjänsten Webb som kan ges via de två åtkomstsätten, och vilka attribut som behöver sättas i HSA-katalogen.
Användare ska endast ges behörigheter i HSA-katalogen till Personuppgiftstjänsten Webb utifrån användarens behov, rätt till åtkomst och i enlighet med de riktlinjer som finns angivna för respektive behörighet i HSA-katalogen.
Behörighetsalternativ 1: Vårdmedarbetaruppdrag
Med detta alternativ måste användaren ges följande i HSA-katalogen:
Minst ett vårdmedarbetaruppdrag med ändamålet Administration. Vårdmedarbetaruppdraget används för att loggningen av användarens aktiviteter ska knytas till korrekt uppdrag och organisation.
Minst en “Individuell egenskap för it-tjänster”, även känt som hsaSystemRole, som ger åtkomst till funktionalitet i Personuppgiftstjänsten Webb. Se behörighetslistan nedan för valmöjligheter.
Behörighetsalternativ 2: Administrativt medarbetaruppdrag
När behörigheter ges via detta alternativ skall det administrativa medarbetaruppdraget som ges till användaren i HSA-katalogen inkludera ett eller flera koder för behörighetsområdesegenskaper som ger åtkomst till funktioner hos Personuppgiftstjänsten Webb. Se behörighetslistan nedan för valmöjligheter.
Behörighetslista
Följande utfällbara lista visar vilka funktioner i Personuppgiftstjänsten Webb som ges via respektive koder i HSA-katalogen.
Användarinformation
För att se en inloggad användares användarinformation och tillgängliga behörigheter klicka på inloggade personens namn och menyvalet "Användarinformation".
I bilden nedan visas ett exempel där användaren har ett antal behörigheter i Personuppgiftstjänsten Webb. Dessa listas under “systemRoles” längst ned. Men användaren saknar också vissa behörigheter vilka redovisas under rubriken “Saknade behörigheter” högst upp.
Figur : Menyvalet "Användarinformation"
Figur : Användarinformation och behörigheter
Logga ut
Vid färdigt arbete är det rekommenderat att medarbetare loggar ut och stänger webbläsaren, för att på ett säkert sätt avsluta. Vid utloggning så bryts den aktiva SSO-sessionen, vilket innebär att medarbetaren blir utloggad från samtliga system medarbetaren har varit inloggad i (och som ingår i federationen).
När arbetet i Personuppgiftstjänsten Webb ska avslutas:
Klicka på inloggad person och valet "Logga ut" i toppmenyn. Personuppgiftstjänsten Webb:s SSO-session blir invalid och vid nästa inloggning i systemet får medarbetaren på nytt välja uppdrag igen.
Stäng ner webbsidan efter utloggningen. Ta ut eventuellt SITHS-kort ur kortläsaren när arbetsplatsen lämnas för att på ett säkert sätt avsluta arbetet.
Figur : Menyvalet "Logga ut"
Notera
Om medarbetaren istället för att logga ut endast stänger ned webbläsaren är SSO-sessionen fortfarande aktiv till dess att sessionstiden automatiskt går ut.
Om utloggning inte sker och medarbetaren lämnar sitt SITHS-kort i kortläsaren kan en obehörig person använda sig av systemets webbgränssnitt och andra anslutna system.
Om medarbetaren är inaktiv en längre tid behöver medarbetaren på nytt göra en autentisering.