Uthoppsfunktionen som är 1177 Vårdguidens SSO-lösning (Single Sign On) möjliggör att invånaren endast behöver logga in en gång i 1177 Vårdguiden e-tjänster (eller annat anslutet system). När invånaren sedan klickar på länkar till andra system kommer invånaren automatisk vara inloggad även i dem.
Tekniskt består SSO-lösningen av idP (identityProvider) som är baserad på SAML2-biljetter, vilket är en etablerad standard. SAML2-biljetten ger då tillgång till alla system som ingår i federationen. Det är i dagsläget 1177 Vårdguiden som bestämmer vilka som får vara med i denna federation.
Alla som vill ansluta till 1177 Vårdguidens e-tjänster kommer även att behöva ansluta sig till leverantören av inloggning som är CGI.
För frågor och stöd kring teknik och anslutning, gå till CGI:s hemsida.
Allmän beskrivning av SAML
Autentisering mellan 1177 Vårdguidens e-tjänster och så kallade uthoppstjänster görs med hjälp av den öppna standarden SAML. Förenklat kan man säga att en anslutning med hjälp av SAML består av tre parter, en användare (dess webbläsare), en Identity Provider (IdP), och en eller flera Service Providers (SP).
En förbindelse som är betrodd av båda parter, en så kallad trust, är etablerad mellan IdP och SP, det vill säga SP:n har ett certifikat som är genererat av IdP:n och all kommunikation dem emellan är signerad med detta certifikat
Användaren loggar in mot IdP:n med sina inloggningsuppgifter (till exempel e-legitimation)
Användaren väljer en tjänst i 1177 Vårdguidens e-tjänster, det vill säga SP
IdP returnerar ett svar innehållande en signerad SAML-biljett
Användarens webbläsare postar vidare detta svar till SP, som bekräftar att SAML-biljetten är signerad på ett korrekt sätt, varefter användaren ges tillgång till SP:n (det vill säga tjänsten ifråga)
I vårt scenario är punkt 2 och 3 transparent för användaren. Denne upplever att hen loggar in i 1177 Vårdguidens e-tjänster.
Inom konceptet för 1177 Vårdguidens e-tjänster har leverantören CGI valts som IdP.
Hur kommer då en uthoppstjänst in i sammanhanget?
En uthoppstjänst kommer alltså att vara ytterligare en SP som ingår i en så kallad federation med 1177 Vårdguidens e-tjänster. En användare loggar in i 1177 Vårdguidens e-tjänster via CGI’s IdP. Vid uthopp till en e-tjänst ska denna göra en redirect till IdP, på samma sätt som 1177 Vårdguidens e-tjänster. Om e-tjänsten får tillbaka en signerad SAML-biljett etableras kontakt mellan parterna, annars gör e-tjänsten en redirect till 1177 Vårdguidens e-tjänsters inloggningssida. Det senare inträffar alltid vid en direktlänkning till uthoppstjänsten.
1177 Vårdguidens e-tjänster har stöd för inloggning med både e-legitimation och så kallad tvåfaktor-inloggning med lösenord och sms (OTP, One Time Password). Det är upp till e-tjänsten ifråga att verifiera dess säkerhetsnivå, om den till exempel kräver e-legitimation, med hjälp av attribut i SAML-biljetten.
Beskrivningen ovan av SAML och dess möjligheter är mycket översiktlig. För mer detaljerad information om både SAML generellt och CGI’s IdP i synnerhet, hänvisar vi till CGI’s informationssida om inloggning med SAML.
Äldre SSO-lösning
Från och med 2016 finns det en ny teknisk lösning för tillgängliggörande av tjänster i 1177 Vårdguidens e-tjänster. Den nya lösningen är en SAML-lösning. Den gamla, centralt administrerade SSO-lösningen är på väg att fasas ut och 1177 Vårdguiden rekomenderar alla anslutna parter att gå över till SAML. Alla nya anslutningar ansluts via SAML.
Konsekvenser för befintliga uthoppstjänster
Befintliga tjänster som använder 1177 Vårdguidens lösning för uthoppstjänster kommer att behöva utveckla dessa så att de har en service provider-komponent som hanterar inloggning och sessioner. Befintliga uthoppstjänster kommer också att behöva ansluta sig till leverantören av inloggning som är CGI.
För frågor och stöd kring teknik och anslutning, gå till CGI:s hemsida.
För övriga frågor, kontakta 1177 Vårdguidens e-tjänsters support, e-tjanster@1177.se eller 0771-25 10 10 tonval 1.
Bakgrund
Denna förändring är ett led i underhåll och modernisering av 1177 Vårdguidens e-tjänster.
Den nya lösningen kommer att hanteras av CGI. Tekniskt är det en idP (identityProvider) som är baserad på SAML2-biljetter, vilket är en etablerad standard. Idp-lösningen möjliggör en så kallad SSO (single sign on) för anslutna parter.
Idag finns det en intern identitetshantering i 1177 Vårdguiden (MVK SSO). MVK SSO är en egenutvecklad biljettmetod som togs fram i ett tidigt skede då det inte fanns några andra alternativ. Förutom att det är en lösning som inte bygger på någon standard så har MVK SSO även några funktionella brister:
• Information i biljetten saknas, t ex namn på personen
• Begränsning i hur flöden kan utformas mellan olika tjänster beroende på när biljetter skapas
• En så kallad intygsväxling sker i den befintliga lösningen, vilket inte kommer vara tillåtet i de framtida avtalsmodellerna.
Det har fram tills nu funnits ett behov av att behålla den interna identitetshanteringen eftersom lösningen med idP och SAML2 endast har haft stöd för inloggning med e-legitimationer och inte för inloggning med lösenord och sms. Under hösten 2014 flyttades hanteringen av engångskoder så att även dessa hanteras via CGI.
Som ett led i att renodla strukturen i 1177 Vårdguidens e-tjänsters leverans och dessutom höja kvaliteten så har beslut tagits att avveckling av MVK SSO ska ske.
Exponering av tjänster mot invånare i 1177 Vårdguidens e-tjänster
Placering av tjänst
De flesta tjänster i 1177 Vårdguidens e-tjänster exponeras endera genom att de tillhandahålls av en mottagnings kontaktkort (HSA-id) under "Mottagningar" eller att de kategoriseras som en tjänstekategori (med hjälp av HSA-id) under ”Övriga tjänster” (se Bild 1).
Bild 1: Startsidan för invånare i 1177 Vårdguidens e-tjänster.
På mottagningens kontaktkort visas en så kallad uthoppstjänst (se Bild 2) tillsammans med andra tjänster knutna till mottagningen. Mottagningen måste finnas i 1177 Vårdguidens e-tjänster, vilket innebär att den måste finnas i HSA-katalogen och ha ett HSA-id.
Bild 2: En mottagnings kontaktkort i 1177 Vårdguidens e-tjänster.
Under ”Övriga tjänster” visas de tjänster som inte är knutna direkt till en mottagning. Dessa grupperas inom olika tjänstekategorier. En tjänstekategori (se Bild 3) hanteras som en mottagning i 1177 Vårdguidens e-tjänster, vilket innebär att denna måste finnas i HSA-katalogen och ha ett HSA-id. Beskrivningen av en tjänstekategori under i-symbolen (se Bild 3) hanteras lokalt (av administratören på mottagningen i verktyget Mina vårdkontakter) på samma sätt som ”Övrig information” för en mottagning (se Bild 4).
Bild 3: Tjänst exponeras under Övriga tjänster för invånare.
Bild 4: Funktionen Övrig information på vårdpersonalsidan. Det som skrivs här visas under i-symbolen vid tjänstekategorin.
Hur ska invånarna få tillgång till tjänsten?
Oavsett hur en tjänst exponeras görs konfigureringen gällande för vilka den ska visas för på den mottagningen eller tjänstekategorin som tjänsten är kopplad till. En invånare kan ges åtkomst till en mottagning eller tjänstekategori på de sätt som beskrivs nedan.
Geografiskt betjäningsområde
En mottagning kan sätta upp kriterier som ålder, kön och geografisk tillhörighet för att välja vilka användargrupper man vill exponera sig för. En person med behörigheten lokal administratör på mottagningen i personalens verktyg i e-tjänsterna kan bestämma och ändra vilket geografiskt betjäningsområde som gäller och på så vis styra vilka som ska kunna använda tjänsterna (se Bild 7).
Bild 7: Funktionen Geografiskt betjäningsområde på vårdpersonalsidan.
Individuellt anpassad åtkomst
Behörighet kan ges till en mottagning baserat på en invånares personnummer genom att använda funktionen Godkänn för kommunikation i personalens verktyg. (se Bild 8).
Bild 8: Funktionen Godkänn invånare på vårdpersonalsidan.
Det finns även möjlighet att ge vissa invånare tillgång till specifika tjänster på mottagningen helt individuellt genom att använda funktionen Dela ut ärendetyp (se Bild 9). Vårdpersonal på mottagningen kan dela ut behörigheter både till mottagningen och specifika tjänster. En lokal administratör på mottagningen bestämmer vilka tjänster som behöver delas ut till specificerade invånare.
Bild 9: Funktionen Dela ut ärendetyp på vårdpersonalsidan.
Aktivera tjänsten
Innan det går att tillgängliggöra tjänsten måste den lokala administratören på mottagningen aktivera tjänsten.Det gör hen under fliken Ärendetyper som hör till menyvalet Inställningar för mottagningen (se Bild 10).
Bild 10: Funktionen där den lokala administratören aktiverar tjänsten.
Säkerhetsnivå
Med säkerhetsnivå menas den tillåtna nivån av säkerhet som konfigureras i e-tjänsterna. I SAML finns även säkerhetsnivå som ett attribut i biljetten som gäller den särskilda inloggningen. E-tjänsterna jämför det värdet med den säkerhetsnivå som konfigurerats och ansvarar för att gråmarkera tjänsten om säkerhetsnivån för tjänsten ifråga inte är uppfylld, det vill säga om tjänsten kräver inloggning med e-legitimation men användaren loggat in med lösenord och sms. Det är däremot uthoppstjänstens ansvar att också verifiera säkerhetsnivån och övriga krav för att få tillgång till uthoppstjänsten gentemot SAML-biljetten, då användaren till exempel kan direktlänka till e-tjänsten.
Möjliga anpassningar i användargränssnittet
Det finns en mängd information som går att anpassa kring tjänster som exponeras i 1177 Vårdguidens e-tjänster. En del av informationen kan anpassas av de lokala administratörerna på mottagningen i vårdpersonalens verktyg, annan basinformation måste anpassas av centrala och/eller regionala administratörer vid anslutning av tjänsten.
Krav på vad som måste vara på plats och vilka inställningar som är möjliga:
Värde (för att läsa mer om värdet klicka på det) | Beskrivning | Exempel | Utförare |
|---|---|---|---|
Tjänsten behöver vara kopplad till en mottagning eller en tjänstekategori som finns i HSA-katalogen | SE2321000016-XXXX | Anslutande part tillsammans med regionalt ansvarig i det aktuella länet | |
Tjänsten måste vara kopplad till en mottagnings kontaktkort eller till en tjänstekategori | Övriga tjänster | Anslutande part tillsammans med regionalt ansvarig i det aktuella länet | |
Namn på mottagning eller tjänstekategorin | Internetpsykiatri | Anslutande part tillsammans med regionalt ansvarig i det aktuella länet | |
Namn på tjänsten | Anmälan: KBT - Depression | Anslutande part tillsammans med regionalt ansvarig i det aktuella länet tillhandahåller förvaltningen för 1177 Vårdguidens e-tjänster namnet på tjänsten. Se Namngivningsprinciper för enskilda e-tjänster. Det är förvaltningen som därefter lägger in namnet på tjänsten | |
Om tjänsten finns på en mottagning kan ytterligare information om tjänsten presenteras under Övrig information på mottagningens kontaktkort i e-tjänsterna. Hör den till en tjänstekategori kan ytterligare information om tjänsten presenteras under i-symbolen vid tjänstekategorin | - | Anslutande part tillsammans med regionalt ansvarig i det aktuella länet | |
Anger om tjänsten kräver inloggning med e-legitimation | Lösenord och sms | Anslutande part tillsammans med regionalt ansvarig i det aktuella länet och förvaltningen för 1177 Vårdguidens e-tjänster | |
Aktivera tjänsten för invånare | - | Anslutande part tillsammans med regionalt ansvarig i det aktuella länet | |
För vilka ska tjänsten vara synlig för? Alla invånare i ett län? Vissa invånare ska ha tillgång till mottagningen och tjänsten? Vissa invånare ska ha tillgång till enbart den aktuella tjänsten på mottagningen | Alla invånare i Stockholms län | Anslutande part tillsammans med regionalt ansvarig i det aktuella länet |