2.5 Användarhandbok för IdP-administration


Revisionshistorik

 Visa revisionshistorik
VersionDatumAktörKommentar
0.1

  

Kopierad från tidigare version
0.2

 

Ändrat URL till administrationsgränssnittet
1.0

 

Godkänt
 Klicka här för att expandera ...



Inledning

Allmänt

Inera IdP är en autentiseringstjänst som tillhandahåller säker autentisering av användare via både SAML- och OIDC-standarden. Tjänsten finns installerad nationellt och kan även installeras lokalt av aktörer som slutit sådant avtal med Inera.

Handbokens målgrupp

Denna dokumentation riktar sig till applikationsförvaltare som skall administrera en redan installerad instans av Inera IdP och den tillhörande komponenten IdP Administration.

Konventioner i handboken

I detta dokument finns vissa typografiska markeringar för att klargöra instruktioner. Dessa bör tolkas enligt följande:

MarkeringBeskrivning
FetOrd och tecken i fet stil representerar termer från systemet, till exempel knappar, länkar och fält.
KursivOrd och tecken i kursiv stil representerar hänvisningar till avsnitt, vyer och menyalternativ.
[Ref nr]

Referensangivelse

Termer och begrepp

Term/begreppFörklaring
IdP/OPIdentity Provider / OpenID Provider (autentiseringstjänst)
SPService Provider (tjänsteleverantör)
RPRelying Party
HSAHälso- och Sjukvårdens Adressregister. Det är en elektronisk katalog som innehåller kvalitetssäkrade uppgifter om personer, funktioner och enheter i Sveriges kommuner, landsting och privata vårdgivare.
SITHSNationell lösning för säker IT i hälso- och sjukvården.
SAMLSecurity Assertion Markup Language
OIDCOpenID Connect
LOALevel of Assurance . Tillitsnivå för e-legitimation

Administrationsgränssnittet

Åtkomst

För att kunna administrera applikationen krävs dels att behörighetsregler finns konfigurerade, se avsnitt Behörighet, samt att administratörer har registrerad behörighet i HSA katalogen.

Uppbyggnad

Inloggning till administrationsgränssnittet sker via den publika URL:en till IdP Administration: "https://<hostname:port>/admin".

I produktion använder IdP den egna funktionaliteten (OIDC) för att autentisera användare. Det är användarens attribut (egenskaper) i HSA katalogen som utgör vad användaren får se och om den för över huvud taget har rätt att logga in.

Tjänsten kan vara konfigurerad att acceptera användarnamn och lösenord som inloggning, detta skall bara användas när applikationen konfigureras. Vilka användarnamn och lösenord som ger access konfigureras i systemkonfigurationen innan uppstart av systemet.

Det finns även möjlighet att helt inaktivera säkerheten, men denna inställning är framförallt framtagen för dem som utvecklar applikationen.

Administrationsgränssnittet är indelat i fyra delar:

  1. Sidhuvud med användarinformation för den användare som är inloggad i administrationssgränssnittet, samt en knapp för att Logga ut.
  2. Huvudmeny för funktionsval som den inloggade användaren har tillgång till.
  3. Utrymme för vyer och meddelanden beroende på funktionsvalet i menyn.
  4. Applikationens versionsnummer.

Första sida.

Bild 1. Administrationsgränssnittets förstasida efter en inloggning.

Referenser

Referens NrTitelKällhänvisning
Ref 1Anpassning av SP vid byte från nuvarande autentiseringstjänst till Inera IdP 1.xhttps://inera.atlassian.net/wiki/x/o4Mjzw, kap 2.2

Användning av administrationsgränssnittet

SAML klienter

Vyn SAML klienter hanterar SP-metadata för autentiseringstjänsten. Här kan metadata importeras, exporteras, ändras och tas bort. Vyn är uppdelad i tre delar: Importera metadata, Manuellt tillagd metadata samt Federationens metadata, se bild 2.

Bild 2. Vy för att hantera SP-metadata.

Importera metadata

För att manuellt importera metadata:

  1. Välj en fil genom att klicka på knappen Välj en fil eller genom att dra en fil till rutan.
  2. Klicka sedan på knappen Importera.

För att importen ska lyckas behöver filen vara av typen .xml eller .json och följa kraven för metadata enligt SAML specifikationen (samt de anpassningar som behövs enligt [Ref 1]). I tabellen under Manuellt tillagd metadata visas all metadata som importerats manuellt. Detta ska skiljas från metadata som automatiskt hämtas från federationen som visas i tabellen under Federationens metadata. Båda tabellerna innehåller funktionalitet för att visa, exportera och ta bort metadata.

Exportera metadata

Vid export av metadata finns två alternativ; användaren kan välja att exportera enskild metadata för en utvald SAML-klient eller att exportera all inläst metadata i en och samma fil. Både manuellt tillagd metadata samt federationens metadata kan exporteras.

Funktionalitet för att exportera all metadata i en tabellform sker genom att klicka på knappen Exportera alla som laddar ned all metadata till en enda fil. Beroende på vilket val användaren har gjort namnges filen till "nonfederated.json" eller "federated.json".

För att exportera enskilda metadata:

  1. Klicka på ikonen på den rad av metadata som ska Exporteras.
  2. Välj i vilket format filen skall laddas ner, XML eller .json
  3. Valt metadata laddas ner på lokala hårddisken.

Konfigurera metadata

Manuellt importerad metadata kan ändras direkt i webbläsaren genom att klicka på en rad i tabellen, se bild 3a. Då öppnas dialogrutan Konfigurera metadata där det är möjligt att se samt editera och Spara filen för valt metadata, se bild 3b. Notera att samma krav som gäller för import av metadata gäller för att ändra och spara metadata i denna dialogruta. Det ändrade metadatafilen valideras direkt i webbläsaren när användaren klickar på Spara. Federationens metadata finns ingen möjlighet att ändra.

För att konfigurera manuellt importerat metadata:

  1. Klicka på en rad i tabellen som representerar metadata som ska konfigureras.

    Bild 3a. Översikt av manuellt importerade metadata.

  2. Konfigurera metadata enligt önskemål.
  3. Ange om metadata ska vara aktiv samt vilka autentiseringsmetoder som ska användas 
  4. Klicka sedan på knappen Spara för att spara ändringarna.

    Bild 3b. Redigerare för metadata.

Filtrera metadata

För att filtrera värden i tabellerna anges ett värde i inmatningsfältet Filter. Filtreringsfunktionen finns för både den importerade- och federationens metadata. Filtrering sker på alla tre kolumnerna; Id, Ägare samt Senast använd.

Ta bort metadata

För att ta bort enskilda metadata:

  1. Klicka på ikonen .
  2. I efterföljande dialogruta bekräfta borttaget genom att klicka på knappen Ta bort.

OIDC klienter

I vyn OIDC Klienter kan klienter importeras, exporteras, ändras och tas bort. Tillgängliga klienter visas i en tabell, se bild 4a.



Bild 4a. Översikt av OIDC klienter.

Skapa klient

Alla obligatoriska fält måste fyllas i innan klienten kan sparas. En ny klient skapas enligt följande:

  1. Klicka på knappen Lägg till och formuläret på bild 4b visas.
  2. Välj att sätta klienten som Aktiv eller icke aktiv.
  3. Ange ett Id manuellt eller klicka på knappen Generera.
  4. Vidare anges Namn på klienten, en passande beskrivning samt en URL för Redirect URIs.
  5. Ange en klientautentisering.
  6. Skapa en Secret genom att klicka på Generera, Secret är inte obligatorisk om autentiseringsvalet är Private Key Jwt.
  7. Inloggningsmetoder väljs samt Userinfo Algoritm.
  8. Vilka claims som väljs är valfria. Dessa anger vilken information som begärs för den inloggade användaren.
  9. Välj att ange övrig information. Detta är inte obligatoriskt.
  10. Klickar på att spara klienten.

    Bild 4b. Formulär för att lägga till en OIDC klient.

I delen Autentisering väljs Klient Autentisering.

Det finns fyra val att göra :

  • Secret Basic
  • Secret JWT
  • Secret Post
  • Private Key JWT.

Rekommenderat är att använda autentiseringsmetoden Private Key JWT.

För autentiseringsmetoden Private Key JWT visas en ny meny för Nycklar, se bild 4c. Nycklar läggs till antingen genom att klicka på fliken Jwks (A) och sedan Välj en fil (B). Filen presenteras i fältet JWKSet (C). Filformat som accepteras är .pem, .p12, .key, .crt, .json

Man kan även skapa upp ett JWKSet själv och klistra in i rutan (C).

JwkSet:et ska bara innehålla den publika nyckeln.

Bild 4c. Nyckelimport för JWKSet.


Alternativt anges en URI för nyckeln in under fliken Jwks URI (D). RP:n är ansvarig för att ett giltigt JWKSet exponeras på den angivna adressen. Bara den publika nyckeln ska exponeras.

Bild 4d. URI för nyckeln.


För övriga autentiseringsmetoder används Secret fältet i formuläret, se bild 4e.

Det finns olika scopes under Claims. Användaren har valen att välja alla, authorization_scope, personal_identity_number scope eller commission scope. Claims är inte obligatoriska men anger vad klienten är behörig att se för information.

Bild 4e. Val av inloggnings metod och olika Claims för en klients behörigheter.


För delen Övrigt längre ner i formuläret kan Kontakter, Logout Redirect URIs, Klient URI, Logo URI, Policy URI och Terms Of Service URI anges för klienten. Dessa fält är inte obligatoriska, se bild 4f.

För att kunna spara en klient behöver obligatoriska fält vara ifyllda och ha rätt format, först då aktiveras knappen Spara. Efter att ha tryckt på knappen Spara visas tabellen med klienter igen och det nya värdet listas. Användaren kan när som helst backa tillbaka utan att spara genom att klicka på knappen Avbryt.

Bild 4f. Övrig information för en klientregistrering.

Ändra klientkonfiguration

En OIDC-klients information kan ändras genom att skriva i inmatningsfälten eller klicka i markeringsrutorna för de Claims som finns. Efter ändringen har sparats visas klientlistan återigen. Det finns ingen restriktion för mängden information som kan ändras så länge användaren har behörigheten.

  1. Klicka på en befintlig klient.
  2. Ändra de värden som ska ändras.
  3. Klicka på knappen Spara.

Exportera klient

Användare kan välja att exportera en enskild OIDC-klient eller alla från den befintliga tabellen. Vid klick på exportknapparna laddas filerna ner automatiskt i webbläsaren. Filer för klienter är av filtypen JSON.

  1. Enskild klient exporteras genom att klicka ikonen på klientens rad.
  2. Vid val att exportera alla klienter klicka på knappen Exportera alla.

Importera klient

För att importen ska lyckas behöver filen vara av typen JSON. Användaren behöver vara uppmärksam på vilken typ av import som sker beroende på innehållet i JSON-filen.

Är JSON-filen exporterad från en befintlig OIDC klient innehåller den ett id-tagg som lagras i databasen. Raderas inte detta id från JSON-filen innan import kommer all data om klienten skrivas över vid en import. Är id:et borttagen från JSON-filen kommer importen resultera i att en ny OIDC-klient skapas och sparas.

  1. Klicka på Välj en fil och välj en fil.
  2. Klicka på knappen Importera.

    Bild 5. Import av OIDC-klient.

Filtrera värden

Värden i tabellen kan filtreras genom att ange ett värde i inmatningsfältet Filter. Filtrering sker på alla tre kolumnerna; Namn, Id samt Senast använd.

Ta bort klient

  1. Klicka på ikonen på en klientrad.
  2. Klicka på knappen Ta bort i efterföljande dialog.

Certifikatsutfärdare

I vyn Certifikatsutfärdare finns de utfärdare som stöds av IdP. Här läggs nya utfärdare till och administreras beroende på hur de ska användas.  Från listan kan användaren välja att exportera samt ta bort enskilda utfärdare.

Bild 6. Översikt av tillagda certifikatsutfärdare.

Lägga till utfärdare

För att lägga till utfärdare:

  1. Klicka på knappen Lägg till.
  2. En ny vy visas. Klicka på knappen Välj en fil, välj certifikatsfil och därefter Spara. Filformat som accepteras är .pem, .cer, .key, .crt.
  3. För att IdP ska veta vad certifikatet används till så anges 0..* alternativ i fliken Förtroendekällor. Detta kan även konfigureras i efterhand, se avsnitt Konfigurera utfärdare.



Bild 7. Import av ny certifikatutfärdare.

Exportera utfärdare

För att Exportera enskilda certifikat:

  1. Klicka på ikonen i tabellen.
  2. Webbläsaren laddar automatiskt ner certifikatfilen.

Konfigurera utfärdare

Utfärdare konfigureras efter vilket användningsområde de ska användas i. Vidare förklaring finns i tabellen nedan.

AnvändningsområdeBeskrivning
serverAnger om certifikatet ska användas som trust vid server till server kommunikation. T ex vid kommunikation mellan IdP och HSA

user

Anger om certifikatet ska användas som trust för användare som vill autentisera sig.

user-siths-eidAnger om certifikat skall användas som trusts för SITHS eID
federation

Anger om certifikatet ska användas för validering av signerat federations metadata samt som trust vid kommunikation med federationen.

siths-eidAnger om certifikat skall användas som trusts mot Autentiseringsserver i SITHS eID lösningen


För att Konfigurera enskilda utfärdare:

  1. Klicka på fliken Förtroendekällor i menyn Certifikatshantering.
  2. Välj vilken typ av förtroendekälla som ska sättas och klicka på Editera.

    Bild 8a. Förtroendekällor.
  3. Lägg till certifikatet till förtroendekällan genom att välja det i listan för tillagda certifikatsutfärdare och klicka på Lägg till.
  4. Markera certifikatets checkbox under kolumnen Aktiv, därefter klicka på Spara.

    Bild 8b. Konfigurera utfärdare.

Filtrera utfärdare

För att filtrera bland utfärdarna i tabellerna anges ett värde i inmatningsfältet Filter i vyn Utfärdare i Certifikatshantering. Filtrering sker på kolumnen Namn.

Ta bort utfärdare

För att Ta bort enskilda certifikatsutfärdare:

  1. Klicka på ikonen för det certifikat som skall tas bort.
  2. Klicka sedan på knappen Ta bort i efterföljande dialogruta.

LOA regler

Med version 2.0 och senare av IdP:n kan man styra LoA-nivåer på utfärdarnivå med möjlighet till att finjustera efter behov. Med justering av O.I.D-typer kan man specificera andra nivåer inom en och samma utfärdare.

Denna konfiguration kan sättas utan att behöva deploya om autentiseringstjänsten.   

Bild 9. Tillitsnivåer (LoA)

Lägga till utfärdare för LoA-hantering

För att lägga till utfärdare där LoA-nivåer ska hanteras efter så är det samma steg som i kap. 2.3.1 Lägga till utfärdare. Se bild 6 och 7.

  1. Ställ dig i menyn för Certifikatsutfärdare
  2. Klicka på knappen Lägg till
  3. I nästföljande dialog, klicka på Välj en fil
  4. Välj att importera certifikats-fil för den utfärdare som ska hanteras
  5. Spara importen
  6. Välj fliken för Förtroendekällor
  7. Välj USER eller USER-SITHS-EID som användningsområde, klicka på knappen Editera


Bild 10. Konfiguration av utfärdare

  1. Klicka på Lägg till
  2. Markera den som aktiv när den har lagts till i listan 
  3. Klicka på Spara

Skapa regel för utfärdare

En regel skapas för att sätta den tillitsnivå som en användares SITHS-kort med matchande utfärdare ska erhålla. En förutsättning är att utfärdarens certifikat är importerat så som det är beskrivet i kap. 2.4.1 Lägga till utfärdare för LoA-hantering.

För att skapa en regel, gå in i LoA Regler i menyn:

  1. Markera det certifikat som regel ska skapas för
  2. I rutan för Redigering, välj den tillitsnivå som ska erhållas av användaren i listvyn
  3. Klicka på Spara ändringarna

Nu har utfärdarens certifikat fått den tillitsnivå som sattes i regeln.

 

Bild 11. Skapa regel för tillitsnivå. 

Justera regel för certifikatsfält

Vårdgivare har ibland behov av att finjustera reglerna för tillitsnivåer. Detta är nu möjligt genom att ange Regex-värden styrda efter de OID-typer som SITHS-kort har. De certifikatsfält som kan användas är certifikatsprinciper samt SITHS attribute OID.

För att justera finjustera reglerna för en utfärdare:

  1. Markera den certifikatsutfärdare som regeln skall gälla för
  2. Välj att klicka på editera regeln
  3. Justera regeln för värde/Regex alternativt klicka på plustecknet för att lägga till ytterligare en regel
  4. Ange tillitsnivå
  5. Klicka på Uppdatera
  6. Klicka på att Spara ändringar den nya regeln

OBS! Notera att ett Regex-värde inte är nödvändigt för att skapa en regel utan ett värde kan vara godtyckligt beroende på vad kortets certifikatsfält har. 

Bild 12. Justera regel för certifikatsfält.

Ta bort regel

När behovet inte finns längre eller om en regel är felaktigt kan tillitsreglerna enkelt tas bort.

  1. Markera det certifikat där regeln ska tas bort/ändras
  2. Klicka på ikonen för soptunnan i redigeringsvyn
  3. Klicka på Spara ändringen

Bild 13. Ta bort regel.

Nyckelhantering

I vyn Nyckelhantering hanteras nycklar som applikationen använder. En Nyckel är en lagringsenhet för certifikat och tillhörande kryptografiska nycklar.

Varje nyckelgrupp kan innehålla flera nycklar men det är endast en nyckel i varje grupp som är Aktiv, d.v.s används av systemet. Den aktiva nyckeln går ej att ta bort utan att ta bort hela nyckelgruppen.

Bild 14a. Vy över nyckelgrupper.

Lägga till nyckelgrupp

Observera att tomma grupper utan certifikat inte kan skapas!

För att lägga till ny nyckelgrupp:

  1. Klicka på knappen Lägg till.
  2. En ny vy visas. Klicka på knappen Välj en fil och välj lagringsfil. Filformat som stöds är .p12 och .jks.
  3. Ange ett nytt gruppnamn.
  4. Ange lösenord för lagringsfilen.
  5. Ange det privata lösenordet för certifikatets tillhörande privata nyckel.

    Bild 14b. Import av nyckel.

Lägga till nyckel till befintlig grupp

För att lägga till nyckel till nyckelgrupp:

  1. Klicka på knappen Lägg till.
  2. En ny vy visas. Klicka på knappen Välj en fil och välj lagringsfil. Filformat som stöds är .p12 och .jks.
  3. Välj grupp dit nyckel skall läggas till i listrutan.
  4. Ange lösenord för lagringsfilen.
  5. Ange det privata lösenordet för certifikatets tillhörande privata nyckel.

    Bild 14c. Import av nyckel.

Byta aktiv nyckel

Att byta aktiv nyckel sker genom att klicka på knappen Sätt aktiv för ett värde i tabellen och välja Byt i dialogrutan. Det kan bara finnas en aktiv nyckel per grupp åt gången.

Ta bort nyckel

Inaktiva nycklar tas bort genom att:

  1. Klicka på ikonen i tabellen för den nyckel som ska tas bort.
  2. Klicka sedan på knappen Ta bort i dialogrutan.

Ta bort nyckelgrupp

Hela nyckelgrupper kan tas bort genom att klicka på knappen Ta bort grupp för den grupp som önskas tas bort, klicka sedan på knappen Ta bort i efterföljande dialogruta.

Standard nyckelgrupper

Följande grupper är de som behövs för att IdP skall fungera.

Grupp IDBeskrivning
idpAnger de certifikat som används av IdP för SAML och OIDC. Det aktiva certifikatet används för signering och övriga certifikat ingår som en del av IdP metadata (inom både SAML och OIDC).
hsaAnger de certifikat som används för Mutual-TLS med HSA.
idp-secureAnger de certifikat som används av mTLS-connectorn på secure-subdomänen för användarautentisering via mTLS.
idp-authenticationAnger de certifikat som används av admin gränssnittets klient för anslutning mot IDP.

Konfiguration

I vyn Konfiguration kan organisation och kontaktpersoner redigeras. Nuvarande värden visas i vyns formulär. Det kan endast finnas en Organisation och denna måste ha ett Namn, Visningsnamn och en URL.

Det som anges i denna vy blir en del av IDP metadatat.

Bild 16. Formulär för att redigera/hantera organisation och kontaktpersoner.

Lägga till kontaktperson

Det kan finnas flera kontaktpersoner och det måste finnas minst en av typen Technical och en av typen Support. Samma kontaktperson kan stå som ansvarig för båda typerna. Varje kontaktperson måste ha minst en e-post adress, utöver det är informationen frivillig.

För att lägga till kontaktperson:

  1. Klicka på ikonen .
  2. Fyll i formuläret.
  3. Klicka på knappen Spara för att ändringarna skall tas i bruk av systemet.

För att ångra ändringar klickar man på knappen Återställ och formuläret går tillbaka till senast sparade version.

Ändra kontaktperson

En kontaktperson kan ändras genom att ändra värden i formuläret och klicka på knappen Spara.

Ta bort kontaktperson

Kontaktpersoner tas bort genom att klicka på kryss-ikonen ovanför respektive kontaktperson.

Statistik

I vyn Statistik listas statistik för de klienter som nyttjar tjänsten, OIDC samt SAML. Här visas alla de in- och utloggningar som skett och eventuellt misslyckade sådana försök. Användare kan välja att filtrera fram statistik för ett angivet tidsspann med hjälp av en datumfiltrering för start- och slutdatum.

Det går att på fil (.csv format) exportera summeringen samt den detaljerade informationen om varje in- och utloggning som har skett.


Bild 17. Statistiktabell där varje klients in- samt utloggningar listas.

Exportera summering

Ett klick på knappen Exportera summering skapar en CSV-fil som innehåller data i enlighet med den summering som visas på skärmen. Filen laddas ner automatiskt.

Exportera allt

Ett klick på knappen Exportera allt skapar en CSV-fil som innehåller alla in- och utloggnings detaljer för varje klient för det angivna tidsspannet. Filen laddas ner automatiskt, men beroende på vald tidsperiod och antalet poster kan nedladdningen ta några minuter.

Detaljerad information

För att se detaljerad information om varje klient klickar användaren på önskad rad. En tabell visas där varje Händelse skapar en rad med Status, Metod, Utfärdare, Användare, Fel och tid, se bild 18 om detaljerad vy över klients statistik.

Användaren kan välja att filtrera tabellen genom att skriva i inmatningsfältet Filter. Filtrering sker på alla kolumner. Klicka på Tillbaka knappen för att komma tillbaka till Statistik vyn.

Genom att klicka på knappen Exportera skapas en CSV-fil som innehåller det underliggande data för enbart den valda klienten. Filen laddas ner automatiskt, men beroende på vald tidsperiod och antalet poster kan nedladdningen ta några minuter.

Bild 18. Detaljerad information om en specifik klients statistik.

Behörighetsstyrd statistiksida

En användare som inte är administratör för autentiseringstjänsten kan få behörighet att se statistik i användargränssnittet för Idp Administration. Denna behörighet sätts i menyn Behörighet, se kap 2.9.3 Behörighet för statistik.

Vyn för statistiken begränsas inte i och med att denna behörighet är satt på användarens HSA-id. De vanliga funktionaliteterna är tillgängliga som för en administratör.

 

Bild 19. Vy för en behörighetsstyrd användare av statistiksidan.

Behörighet

I vyn Behörighet visas behörighetsreglerna för IdP. Här kan en användare administrera behörighetsträdet vilket innehåller de rättigheter en användare kan erhålla i systemet genom att uppfylla attributvillkor.

I bild 20. Behörighetsträdet visas resursen ADMIN som en användare kan ha genom att uppfylla kriterierna för READ eller WRITE eller båda. T ex för att en användare skall få ADMIN med READ behörighet krävs att den har attributen "commissionPurpose" med värde "Administration", "systemRole" med värde "BIF;Administratör" och "employeeHsaId" för att lägga accessen på fingranulär nivå.

Observera! IdP skall endast ha en resurs med namn ADMIN.

Bild 20. Behörighetsträdet.

Editera behörighet

Ny resurs

I detta exempel skapas en ny resurs med namn "Ny resurs", se bild 21a. För att en användare skall få tillgång till denna resurs med READ behörighet krävs att den har ett attribut med
namnet "attributnamn", se bild 21b, samt att värdet för detta attribut skall vara antingen "värde1" eller "värde2", se bild 21c.

  1. Klicka på knappen Ny resurs. Editera vyn aktiveras.
  2. Ange namnet på den nya resursen.
  3. Välj ACTION i listrutan. Möjliga val är READ, WRITE och DENY.

    Bild 21a. Ny resurs.

  4. Klicka på den action du valde ovan i behörighetsträdet för att kunna lägga till villkor. Editera vyn aktiveras.
  5. Klicka på knappen + för att lägga till villkor.
  6. Ange attributnamnet som ska ha ett villkor t ex commissionPurpose.

    Bild 21b. Ny action + villkor.

  7. I behörighetsträdet har nu ett villkor lagts till. Klicka på attributnamnet. Editera vyn aktiveras.
  8. Klicka på knappen + för att lägga till attributvärden.
  9. I behörighetsträdet har nu värden för villkoret (attributet) lagts till.
  10. Klicka sedan på knappen Spara för att den nya behörighetsträdet skall tas i bruk av systemet.

    Bild 21c. Villkoret attribut + värde.

Editera befintlig resurs

I detta exempel editeras resursen ADMIN och READ behörigheten, se bild 22a. Här läggs ett nytt attributvärde för attributet systemRole, se figur 22b.

  1. Expandera den resurs som ska editeras i behörighetsträdet genom att trycka på plus tecknet.
  2. Expandera READ genom att klicka på plustecknet.
  3. Klicka på attributet systemRole. Editera vyn aktiveras.

                     

           Bild 22a. Editera ADMIN resurs.

  1. Klicka på knappen + för att lägga till ett nytt attributvärde.
  2. Lägg till nytt attributvärde.
  3. Klicka sedan på knappen Spara för att spara ändringen.

    Bild 22b. Tillägg av nytt attributvärde.

DENY

Nedan exempel visar hur en DENY regel kan användas, se bild 23a. I detta fall ska användare som har attributet "employeeHsaId" och värde "employee1" eller "employee2" eller "employee3" inte få tillgång till ADMIN resursen, se bild 23b.

  1. Expandera och klicka på resursen som ska editeras. Editera vyn aktiveras.
  2. Välj i listrutan DENY.
  3. Lägg till de attribut som skall utgöra villkoret för DENY.

    Bild 23a. Tillägg av DENY villkor för ADMIN resursen.

  4. Klicka på attributet i behörighetsträdet.
  5. Lägg till värden för attributet.
  6. Spara genom att klicka på knappen Spara.

    Bild 23b. Redigering av villkoret.

Importera behörighetsfil (json format)

  1. Klicka på knappen Välj en fil, välj sedan filen som ska importeras.
  2. Klicka på knappen Importera för att importera nya behörigheter till det grafiska behörighetsträdet.
  3. Granska de nya behörigheterna.
  4. Klicka sedan på Spara för att de nya behörigheterna skall tas i bruk av systemet eller klicka på knappen Återställ ifall ändringarna inte skall sparas.

Behörighet för statistik

Användare som är i behov av att se statistik för autentiseringstjänsten har möjlighet till det i och med version 1.2 av IdP. 

Denna behörighet sätts som behörighetsregel ADMIN.STATISTICS i behörighetsträdet med READ-rättighet, samt attributvillkoret employeeHsaId.

RP Information

I vyn RP Information visas den konfiguration som Relying Party (RP) klienten (admin. gränssnittet) använder för att autentisera användare via en OpenID Provider (OP).

Informationen här är främst till för att underlätta klientregistreringen av RP klienten hos OP. Se tabellen nedan för beskrivning av de olika attributen.

Bild 24. Information om RP klienten.


NamnBeskrivning
Klient IDRP klientens ID. Måste finnas registrerad hos OP
Openid konfiguration URLIndikerar för RP vart OP konfiguration finns att hämta.
JWK URLAnger vart RP JWK uppsättningen finns att hämta. Denna URL skall registreras hos OP.
Redirect URLAnger vart OP ska dirigera om användaren vid lyckad inloggning. Denna URL skall registreras hos OP
Logout Redirect URLAnger vart OP ska dirigera om användaren vid lyckad utloggning. Denna URL skall registreras hos OP.
NyckelgruppNamnet på den nyckelgrupp där JWK uppsättningen hämtas ifrån.
Nyckel finnsAnger om nyckelgruppen finns och är konfigurerad.

Hjälp

Hjälpavsnittet visar information om användaren samt ger åtkomst till denna användarhandbok.

Bild 25. Hjälpmenyns användarinformation.

Användarinformation

I vyn Användarinformation visas information om den inloggade medarbetaren. Informationen listar några av de viktigaste egenskaper som den inloggade användaren har samt vilken IdP som har autentiserat användaren.

Användarhandbok

Genom att klicka på Användarhandbok kommer användaren automatiskt till denna användarhandbok i en separat webbläsarflik.


Publik Information