Behörighet

Det är av största vikt att de behörighetsregler som används kontrollerar åtkomsten till den eller de vårdgivare och konsumentsystem som avses innan åtkomst till systemet ges. I Användarhandboken för Säkerhetstjänster [Ref 2] finns det mer information om systemets behörighetskriterier.

Säkerhetstjänster validerar vad en användare har behörighet att göra i systemet utifrån de egenskaperna som finns i dennes SAML-intyg. Användare som autentiserar sig till systemet med ett SITHS-kort får sina egenskaper från HSA-katalogen. En egenskap kan exempelvis vara BIF;Spärradministratör som innebär att användaren har behörighet att hantera spärrar.

Åtkomstkontrollen består av två delar.

Behörighetsregler som läses in i databasen via osgi consolen. Dessa regler kontrollerar behörighet för GUI och tjänster mot aktuell användare och system.

I SP-metadata anges vilka vårdgivare som ska få åtkomst från ett system. Här kommer resursens (spärr, samtyckes etc) vårdgivare att kontrolleras mot listade vårdgivare i SP-metadata för respektive system.

Gemensamt för dessa är kontrollen mot konsumentsystem där tillåtna vårdgivare ska specificeras på båda ställen, dvs i SP-metadata och behörighetsregler i XML-regelfil.

1.

2.

10.1. Behörighetsregler för användare

Säkerhetstjänster validerar vad en användare har behörighet att göra i systemet, utifrån de egenskaperna som finns i användarens SAML-intyg.

Användare som autentiserar sig till systemet med ett SITHS-kort får sina egenskaper från HSA-katalogen. En egenskap kan exempelvis vara BIF;

som innebär att användaren har behörighet att hantera spärrar. Dessutom måste man i den lokala Säkerhetstjänsten konfigurera in Spärradministratör

vilken/vilka vårdgivare denna instans representerar, denna information jämförs sedan med innehållet i användarens SAML-biljett för att på så vis avgöra om användaren är behörig eller ej.

I installationspaketet ingår det en mall för de behörighetsregler som en lokal installation behöver. Reglerna måste anpassas efter era vårdgivare och vad dessa ska få behörighet att göra i systemet.

10.1.1. Behörighet för slutanvändare i Säkerhetstjänsters admin-GUI

För att slutanvändare skall få tillgång till administrationssidan krävs minst ett medarbetaruppdrag i HSA, för de SITHS-kort som används. Var god kontakta Inera [Ref 1] för mer information kring anslutning och dokumentation.

Användaren och medarbetaruppdraget måste innehålla minst följande:

Namn Beskrivning

HSA Systemroll Användarens systemroll(er).

T ex För åtkomst till spärrar krävs rollen: BIF;Spärradministratör HSA-id för medarbetaren Användarens personliga HSA-id.

HSA-id för medarbetaruppdrag Det valda medarbetaruppdragets HSA-id.

Namn på medarbetaruppdrag Det valda medarbetaruppdragets namn.

HSA-id för vårdgivare HSA-id för vårdgivaren som medarbetaruppdraget gäller inom.

Namn på vårdgivare Namn på vårdgivaren som medarbetaruppdraget gäller inom.

HSA-id för vårdenhet HSA-id för vårdenheten som medarbetaruppdraget gäller inom.

Namn på vårdenhet Namn på vårdenheten som medarbetaruppdraget gäller inom.

Se Användarhandboken [Ref 2] för mer detaljerad information om åtkomst och regler i behörighetsadministrationen.

10.1.2. Skapande av behörighetsregler för användare

Från denna version kan man enkelt skapa behörighetsregler via administrationsgränssnittet, i tidigare versioner fanns endast möjlighet att göra detta i Säkerhetstjänsters OSGi-konsol (systemkonsol). Nedan beskrivs båda metoderna.

Skapa behörighetsregler via administrationsgränssnittet under Generell Konfiguration och menyn Behörighet, se bild nedan.

Det första som presenteras i menyn Behörighet är en panel där behöriga administratörer har möjlighet att anpassa systemets behörighetsregler efter en eller flera vårdgivare.

Vilken åtkomst som tilldelas till de olika tjänsterna som ingår i Säkerhetstjänster kommer att baseras per angivna vårdgivare.

Vårdgivarna används även vid generering av WS metadata. Detta är beskrivet mer i detalj i avsnitt Generera WS metadata.

Lägg till vårdgivare:

Fyll i vårdgivarens HSA-id i textfältet VårdgivarId.

2.

Klicka på knappen Lägg till. Observera att systemet inte är anpassat efter vårdgivaren i detta läge.

Återupprepa steg 1-2 för varje vårdgivare som ska tilldelas behörighet. Klicka sedan på knappen Spara lista. Säkerhetstjänsters

behörighetsregler kommer därefter att uppdateras efter de tillagda vårdgivarna. Det innebär att reglerna är inlästa och nästa steg är att slå på behörighetskontrollen, se kapitel 11.

Ta bort vårdgivare:

Klicka på soptunnan på den rad som vårdgivaren ni vill ta bort finns på.

Uppdatera behörighetsreglerna sedan genom att klicka på knappen Spara lista

Som alternativ till ovan nämnda metod kan man från installationspaketet hämta en mall för de behörighetsregler som en lokal installation behöver.

Reglerna måste anpassas efter era vårdgivare och vad dessa ska få behörighet att göra i systemet.

Mallen ligger under mappstrukturen: <Lokal_sakerhetstjanst>/rules/regler_default_lokal.xml.

När samtliga vårdgivare (som ska ha behörighet att hantera de installerade tjänsterna) är inlagda i de lokala behörighetsreglerna, ska de läsas in i Säkerhetstjänster, antingen via administrationsgränssnittet eller OSGi-konsollen.

Läs in regler via administrationsgränssnittet:

Klicka på Övriga behörighetsfunktioner längst ner på sidan Behörghet. Välj sedan er anpassade regel-fil och importera den.

Via konsol:

Logga in till systemkonsolen. Ange den adress och port till konsolen som valdes i installationsskedet:

telnet localhost 1111

Läs in reglerna med kommandot:

osgi> acc -import file:///<sökväg till er anpassade regel-fil>

Reglerna är nu inlästa, Avsluta systemkonsolen med kommandot:

osgi> disconnect

10.1.3. SP-metadata

Förutom att ge andra system (SP) rätt att autentisera sig mot IdP:n används även SP-metadata för att kontrollera att externa vårdsystem och

tjänsteplattformen har behörighet att nyttja Säkerhetstjänsternas tjänster. Denna kontroll sker på resursnivå och kontrollerar att resursens (spärr, samtycke etc) vårdgivare är listad i SP-metadata. Det som menas med vårdsystem är ett externt system som ska ha behörighet att anropa någon av de tjänster som ingår i Säkerhetstjänster (dvs. Samtycke, Logg och Spärr) som är definierade i tjänstekontrakten.

I leveransen ingår det en mall för SP-metadata. Metadata-filen anpassas efter följande kriterier:

Systemets HSA-id (entityID).

Systemroll (SystemRole) som kan anta värdet Internal System, eller SystemIgnoreCareProvider. Bara ett alternativ anges för respektive metadatafil.

Internal: Är tänkt att bara används av proxy och internt av systemet (SP SAML). Alla vårdgivare är tillåtna på alla tjänster

SystemIgnoreCareProvider: Är tänkt att användas av TP, NPÖ och ev. andra konsumentsystem. Alla vårdgivare är tillåtna men saknar åtkomst till vissa tjänster såsom rapportstatus, loggrapportinfo, loggstatus.

System: Övriga konsumentsystem där även vårdgivare kontrolleras. Tillåtna vårdgivare listas i metadatafilen.

HSA-id för de vårdgivare som som ett systemet ska vara behörig till och då anges urn:sambi:names:attribute:

careProviderHsaId=VårdgivareID. Används bara tillsammans med systemRole=System

Mallen ligger under mappstrukturen: <sakerhetstjanst>/example/metadata/example-system-metadata.xml.

Bilden nedan visar exempel på hur en metadata-fil för ett konsumentsystem ser ut för dessa alternativ. Värdet i entityID är det som ska ersättas med konsumentsystemets HSA-id. OBS! Lista med behöriga vårdgivare ska ej anges om systemrollen ärInternal eller SystemIgnoreCareProvider.

1.

Exempel på SP-metadata fil som kan läsas in i systemet Figur:

10.1.4. Läs in SP-metadata

Läs in SP-metadata för de system som ska ha behörighet till Säkerhetstjänsten. Behörighet ska ges till Tjänsteplattformen om man väljer att ansluta sig via den.

Ta filerna som finns i katalogen:

/tmp/Sakerhetstjanster<version>/metadata

Läs in dessa metadatafiler via Admin GUI. Se avsnitt Inläsning av metadata

10.1.5. Generera WS metadata

Menyn Behörighet innehåller en panel där behöriga administratörer kan generera webservice (WS) metadata. Som tidigare beskrivet används WS metadata för att tilldela åtkomst för externa vårdsystem och andra tjänster. Detta är beskrivet i djupare detalj i Användarhandbokens avsnitt Behörighet för externa vårdsystem och framåt.

Panelen innehåller alternativ för att generera WS metadata anpassat per vårdgivare eller WS metadata där anrop från, oavsett vårdgivare, tillåts.

Behörighetsstyrningen sker i det senare alternativet istället i tjänsteplattformen (TP).

Figur: Panelen för att generera WS metadata.

Ett krav för att generera WS metadata, som behörighetsstyr per vårdgivare, är att dessa vårdgivare redan är konfigurerade. En rekommendation är att först kontrollera den listan innan generering sker. Se avsnitt Hantera vårdgivare i Användarhandboken. Om det anropande systemet ska tilldelas åtkomst, oavsett vårdgivare, ska kryssrutan Tillåt alla vårdgivare (TP) vara ikryssad.

Fyll i fältet Entity-id som WS metadata-filen ska gälla för. Entity-id är en unik identifierare för det anslutande systemets funktionscertifikat. Detta id listas under ”SERIALNUMBER” under ”Subject” i certifikatets detaljerade information. Man kan exempelvis använda en webbläsare för att ta del av informationen, förutsatt att certifikatet är installerat.

Klicka på knappen Generera metadata. En WS metadata-fil kommer nu att genereras och exporteras till ett XML-format. Se avsnitt WS Metadata i Användarhandboken för inläsning av filen.

10.1.6. Ta reda på HSA-id

Det går att ta reda på HSA-id:et för vårdsystemet eller tjänsteplattformens funktionscertifikat om man har tillgång till certifikatfilen.

Har man tillgång till certifikatfilen kan man öppna denna och ta reda på id:t genom:

Öppna certifikatets leg.cer fil och klicka på Details.

Bläddra i listan som visas. Klicka på informationsfältet Subject.

En informationsruta visas. Det Serial number som visas i rutan är certifikatets serienummer, dvs. det HSA-id som ni ska specificera i metadata-filen som ni anpassar till systemet.