Validering av användare vid Uthopp

Bilden nedan ger en översikt över ekosystemet kring uthoppstjänster:

Open

En uthoppstjänst behöver alltid validera aktiv användare. Det finns då egentligen två anslutningsvägar att välja emellan såsom åskådliggörs i bilden.

Nedan är en beskrivning av ett ”tekniskt” användningsfall över hur en e-tjänst använder GetUserProfile respektive GetUserProfileByAgent:

• För autentisering valideras godkänd SAML-biljett

• Om objectId finns i url förutsätter vi ombudsläge. Web service GetUserProfileByAgent ska anropas för att validera både vårdnadshavare och barn. Både vårdnadshavare och barn ska ha flaggan ”IsActive” = true. Dom uppgifter som e-tjänsten visar, t ex namn, ska hämtas ur response från ws-anropet

• Om objectId INTE finns i url ska web service GetUserProfile anropas. Flaggan ”IsActive” ska vara true. Dom uppgifter som e-tjänsten visar, t ex namn, ska hämtas ur response från ws-anropet

• Om flaggan ”IsActive” är false ska båda web service returnera ett resultCode = INFO och ett meddelande på svenska i elementet ”resultText”. Jag tror att meddelandet idag lyder ”Användarens konto i 1177 Vårdguiden e-tjänster är låst”

• Om inga användaruppgifter returneras saknas konto i 1177. Skulle kunna inträffa vid direktlänkning. Det borde inte bli ett helt tomt response, utan även här ett resultCode = INFO och ett meddelande i stil med ” Användaren saknar konto i 1177 Vårdguiden e-tjänster”. Då skulle man kunna hänvisa till 1177 inloggningssida. 

Fallback och felhantering vid driftstörning eller servicefönster i 1177: 

• Autentisering via SAML-biljett

• Web service GetUserProfile… svarar inte

• Plocka namnuppgift från ”biljett” (t ex Shibboleth) eller annan fallback mot t ex Inera PU