/
1. Introduktion (utkast)

1. Introduktion (utkast)

Owned by Marco de Luca (Unlicensed)
Last updated: feb. 05, 2018


Bilden illustrerar övergripande hur informationsförsörjning sker. Regionala kataloger informationsförsörjer tjänsten. Inera tillhandahåller en administrationsklient baserat på CDA(CDA klienten är framtagen av Cybercom på uppdrag av ett antal landsting).


Behörighetstjänsten är en tjänst för att skapa s.k. åtkomstintyg. Ett åtkomstintyg används av t.ex. e-tjänst för behörighetsstyrning. Åtkomstintyget är en samling "behörighetsområden" (roller). Genom att använda behörighetstjänsten slipper e-tjänsten själv ansluta eller utveckla komponenter som:

  • Autentisering av användare
    • Användare autentiseras av behörighetstjänsten via Inera Säkerhetstjänster (IdP).
  • Behörighetsmodell
    • HSA Administrativa uppdrag ligger till grund för behörighetsmodell (implementerad i HSA).
  • Administrationsklient (webbaserad)
    • En central administrationsklient tillhandahålls av HSA för de parter som inte gör detta i sin regionala katalog.
  • Behörighetsdatabas
    • Behörighetsinformation lagras i HSA (regionala kataloger).


Informationsförsörjning

Sker via HSA-infrastruktur (via regionala kataloger).

  • Administrativa uppdrag ligger till grund för behörighetsområden (åtkomstintyg).
  • Inera tillhandahåller en administrationsklient baserat på CDA (CDA klienten är framtagen av Cybercom på uppdrag av ett antal landsting. Se 2. Användarmanual Adminklient).
Autentisering

Sker via Inera Säkerhetstjänster.

  • SITHS/EFOS

Anslutande part behöver inte skapa egen anslutning till IdP, detta hanteras av behörighetstjänsten.

Åtkomsthantering/Åtkomstintyg

Sker via protokoll OpenID Connetc (OIDC)

  • Id-token/UserInfo
  • AccessToken


Exempel åtkomstintyg (observera att ren JSON inte levereras utan Double quote ersätts enligt \").

Förklaring åtkomstintyg (Se även 4. Åtkomstintyg - claims (utkast))

  • Attribute = Kod för behörighetsområde eller roll
  • Name = Namn behörighetsområdets namn
  • Description = Beskrivning av behörighetsområdet/roll
  • Organizational_scope = Organisation (hsa-id) där behörighetsområdets gäller
  • Include_units_below = Indikerar att behörighetsområdets gäller för alla organisationer som är kopplade.
Escaped
{
    \"attributes\":
    [
        {
            \"attribute\": \"NMT HJV;001\",
            \"name\": \"Redaktör e-tjänst\",
            \"description\": "En liten notering...\",
            \"organizational_scope\":
            [
                {
                    \"org_id\": \"TSTNMT2321000156-10D7\",
                    \"name\": "STB_VG2_VE1\",
                    \"include_units_below\": true
                }
            ]
        },


Unescaped

(unescape måste hanteras av mottagande system)

{
    "attributes":
    [
        {
            "attribute": "NMT HJV;001",
            "name": "Redaktör e-tjänst",
            "description": "En liten notering...",
            "organizational_scope":
            [
                {
                    "org_id": "TSTNMT2321000156-10D7",
                    "name": "STB_VG2_VE1",
                    "include_units_below": true
                }
            ]
        },