4.1. Behörighet externa system
Kommunikation med externa system sker alltid med mutual TLS vilket innebär att även den anropande tjänsten presenterar sig med ett certifikat. I vårdsverige är detta för detta certifikat ofta ett SITHS-certifikat.
Traditionellt har Säkerhetstjänster alltid använt front-end-certifikatet för huvud-domänen för extern kommunikation. När det inte längre är rekommenderat att använda SITHS-certifikat i front-end så går inte detta längre utan det blir WebService-certifikatet som måste användas.
Se alltså till att ange rätt certifikat vid beställning av accesser i NTjP och andra externa system.
HSA
Lokala Säkerhetstjänster har traditionellt använt HSA's äldre gränssnitt kallat HSA-WS. Detta gränssnitt är dock under avveckling och nya anslutningar tillåts därför inte. Som ny anslutning räknas även en befintlig installation som byter certifikat. Det är därför rekommenderat att man som ansvarig för en lokal installation av Säkerhetstjänster planerar en övergång till det nyare gränssnittet HSA-TK. Se nedan vilka av HSA's tjänstekontrakt man via Inera's elektroniska beställningsstöd måste ansöka om access till. Se även 2.17 Release Notes
4.2. HSA-WS
HSA-WS är under avveckling!
HSA-WS är en webbtjänsteanslutning till underliggande HSA-katalog. Lokala Säkerhetsjänster är kompatibelt med HSA-WS version 2.27 eller senare.
Lokala Säkerhetstjänster ansluter sig till HSA-WS för att hämta information om användare, användares medarbetaruppdrag, vilka vårdenheter som tillhör en vårdgivare, namn på vårdenheter m.m. Applikationsserverns funktionscertifikat för legitimering behöver finnas i HSA-katalogen med behörighet att anropa följande operationer:
GetCareUnit GetCareUnitList GetHsaPerson GetHsaUnit GetMiuForPerson Ping
För att en användare ska kunna autentisera sig krävs det att användaren finns upplagd i HSA-katalogen. Det finns dock inget krav på att användaren måste ha ett medarbetaruppdrag. Om användaren saknar medarbetaruppdrag kommer en ”tom” SAML-biljett att skapas, d.v.s utan egenskaper för användaren och det är upp till konsumenten av SAML-biljetten, SP:n, att avgöra vad som som då skall ske (t.ex. visa ett felmeddelande).
Notera: För att få behörigheterna till HSA-WS behöver man dels ha uppdaterat sin HPTA där ovanstående operationer finns med. Därefter får man skicka ett ärende till nationell kundservice med det HSA-id på det certifikat som säkerhetstjänster ska använda för att systemet ska få access till ovanstående operationer. Observera att dessa ärenden måste begäras av den/de som är HSA-ansvarig.
Adresser till HSA-WS:
Miljö Adress
Test https://wstest.hsa.sjunet.org/svr-hsaws2/hsaws Produktion https://ws.hsa.sjunet.org/svr-hsaws2/hsaws
4.3. HSA-RIVTA
Från och med version 2.15 finns möjlighet att använda sig av HSA-RIVTA kontrakt. Kontakta Inera för mer information om ni funderar över anslutning till HSA-RIVTA.
Behörighet att via NTjP anropa HSA-kontrakt via Nationella Tjänsteplattformen:
•GetEmployeeIncludingProtectedPerson
•GetCredentialsForPersonIncludingProtectedPerson
•GetHealthCareUnit
•GetHealthCareUnitList Patch krävs
För att kunna använda HSAs tjänstekontrakt via NTjP krävs en installation av en rättning
4.4. Revokeringskontroll av certifikat
Applikationsservern för lokala Säkerhetstjänster använder i första hand OCSP och i andra hand CRL för att kontrollera om ett certifikat är spärrat och därmed inte godkänt för användning. Adressen till servrarna som används för OCSP och CRL hämtas från certifikaten och kan därför variera beroende på vilka certifikat som används. Dessa servrar måste kunna anropas från applikationsservern över HTTP (default port 80).
Exempel på adresser till crl och ocsp (Produktion):
Certifikat CRL-adress OCSP-adress
SITHS Type 1 CA v1 http://crl1.siths.se/sithsrootcav1.crl http://crl2.siths.sjunet.org/sithsrootcav1.crl
http://ocsp1.siths.se/
http://ocsp2.siths.sjunet.org/
SITHS CA v3 SITHS CA v4
http://www.carelink.se/siths-ca/ca003.crl http://sithsocsp.trust.telia.com/
Exempel på adresser till crl och ocsp (Test):
Certifikat CRL-adress OCSP-adress
SITHS_Type_1_CA_v1_PP http://crl1pp.siths.se/sithsrootcav1pp.crl http://crl2pp.siths.sjunet.org/sithsrootcav1pp.crl
http://ocsp1pp.siths.se/
http://ocsp2pp.siths.sjunet.org/
SITHS CA TEST v3 SITHS CA TEST v4
http://www.carelink.se/siths-ca/test-crl0003.crl http://sithsocsp.preprod.trust.telia.com/
4.5. Personuppgiftstjänsten - Personuppgiftstjänsten
Personuppgiftstjänsten är en tjänst som innehåller personuppgifter. Lokala Säkerhetstjänster använder Personuppgiftstjänsten via NTjP för att hämta patienters namn i användargränssnittet.
Behörighet krävs för att via NTjP anropa följande metod:
GetPersonsForProfile v3
Adresser till Personuppgiftstjänsten via tjänsteplattformen:
Miljö Adress
Test Sjunet https://qa.esb.ntjp.sjunet.org:443/vp/strategicresourcemanagement/persons/person/GetPersonsForProfile/3/rivtabp21 Test Internet https://qa.esb.ntjp.se:443/vp/strategicresourcemanagement/persons/person/GetPersonsForProfile/3/rivtabp21 Produktion Sjunet https://esb.ntjp.sjunet.org:443/vp/strategicresourcemanagement/persons/person/GetPersonsForProfile/3/rivtabp21 Produktion Internet https://esb.ntjp.se:443/vp/strategicresourcemanagement/persons/person/GetPersonsForProfile/3/rivtabp21
Uppgifter som matas in under Generell konfiguration PU - V3 WS Proxy Impl 1.0.0
4.6. Nationell Spärrtjänst*
Den lokala Spärrtjänsten har inbyggd funktionalitet för synkronisering av spärrdata mot den nationella Spärrtjänsten. Innan replikeringen aktiveras måste förvaltningsorganisationen för nationell Spärrtjänst kontaktas för att öppna upp access till den nationella Spärrtjänsten. Kontakta Ineras förvaltning i god tid före driftstart [Ref 1].
Behörighet krävs för att via NTjP anropa följande metoder:
GetBlocks v4 RegisterBlock v4 UnregisterBlock v4
RegisterTemporaryRevoke v4 UnregisterTemporaryRevoke v4
Adresser spärreplikering:
Miljö Adress
Test Sjunet https://qa.esb.ntjp.sjunet.org:443/vp/informationsecurity/authorization/blocking Test Internet https://qa.esb.ntjp.se:443/vp/informationsecurity/authorization/blocking Produktion Sjunet https://esb.ntjp.sjunet.org:443/vp/informationsecurity/authorization/blocking Produktion Internet https://esb.ntjp.se:443/vp/informationsecurity/authorization/blocking
Uppgifter som matas in under Generell konfiguration Block National V4 WS ProxyImpl for RIV 2.1 1.0.0.
Obs! Replikering av spärrar ska ske via tjänsteplattformen. För adresser/portar se kapitel Tjänsteplattformen nedan.Om det finns en existerande lokal installation av säkerhetstjänster och det inte är konfigurerat replikering via tjänsteplattformen, kan nedanstående adresser användas.
4.7. Nationell Loggtjänst*
Den lokala Loggtjänsten har inbyggd funktionalitet för att hämta hem den egna vårdgivarens PDL-loggar från den nationella Loggtjänsten via dess hämtningstjänst. Detta för att man lokalt ska kunna köra och få en loggrapport med loggar, både från de nationella systemen och ens lokala vårdsystem.
Innan hämtningstjänsten aktiveras måste förvaltningsorganisationen för nationell Loggtjänst kontaktas, för att öppna upp access till tjänsten. Kontakta Ineras förvaltning i god tid före driftstart [Ref 1].
Följande adresser används för hämtningstjänsten:
Miljö Adress
Acceptanstest https://ws.acctest.sakerhetstjanst.sjunet.org/
Produktion https://ws.sakerhetstjanst.sjunet.org/
Tjänsterna Spärr och Samtycke behöver logga sina PDL-loggar till en loggtjänst. Detta kan vara en lokal Loggtjänst eller den nationella Loggtjänsten via tjänsteplattformen. För adresser/portar se avsnitt Tjänsteplattformen nedan.
Väljer man att använda den nationella Loggtjänsten, måste förvaltningsorganisationen för nationell Loggtjänst kontaktas för att öppna upp access till tjänsten samt konfigurera vilka vårdgivare som denna lokala Loggtjänst tillåts hantera nationellt. Hur detta görs beskrivs senare i dokumentet.
Kontakta Ineras förvaltning i god tid före driftstart [Ref 1].
*Nationell Loggtjänst kan användas om någon av tjänsterna Spärr, Samtycke eller Logg installeras.
4.8. Tjänsteplattformen*
Installeras Samtyckestjänsten måste den lokala Säkerhetstjänsten registreras som producent i tjänsteplattformen. Detta för att samverkan ska kunna ske med de nationella tjänsterna. T ex en nationell tjänst som vill läsa från den lokala instansen, ifall ett samtycke finns registrerat.
Figuren nedan illustrerar hur en läsande nationell tjänst routas via den nationella tjänsteplattformen, genom en lokal tjänsteplattform (valfri) för att till sist hamna i den lokala Samtyckestjänsten.
Figur: Principer för samverkande tjänster för hantering av samtycke
Installeras någon av tjänsterna Spärr och Samtycke och konfigureras för att logga PDL-loggar till den nationella Loggtjänsten, måste de lokala Säkerhetstjänsterna registreras som konsument i tjänsteplattformen.
Tjänsten Spärr replikerar sina spärrar till den nationella Spärrtjänsten via tjänsteplattformen, vilket gör att den måste registreras som konsument i tjänsteplattformen.
Kontakta Ineras förvaltning i god tid före driftstart för att registrera tjänsterna i tjänsteplattformen [Ref 1].
Adresser till Tjänsteplattformen:
Miljö Hostnamn IP-adress port contextpath
QA-Sjunet qa.esb.ntjp.sjunet.org 82.136.149.53 443 /vp Produktion-Sjunet esb.ntjp.sjunet.org 82.136.149.61 443 /vp
*Tjänsteplattformen kan användas om någon av tjänsterna Spärr, Samtycke och Logg har installerats.