Dokumenthistorik
Datum | Version | Namn | Förändring |
---|---|---|---|
0.1 | Dokument upprättat i Confluence | ||
| 0.2 | Uppdaterat med ändringar gjorda i 2.12 | |
| 0.3 | Uppdaterat med ändringar gjorda i 2.14 | |
| 0.9 | Granskad och uppdaterad | |
| 1.0 | Fastställd | |
| 1.1 | Unknown User (lexhagenm) | Uppdaterat med blankett-info för anslutning till PU-tjänsten via NTjP |
| 1.2 | Unknown User (lexhagenm) | Uppdaterat med information om patch-release Lokala Säkerhetstjänster 2.15.1 |
Support upphör
Support på denna version upphör december 2019
Detta eftersom möjligheten att från denna version skicka och hämta data som t.ex spärrar till och från den nationella tjänsten då upphör.
Personuppgiftstjänst
För uppslag av patientens uppgifter kräver denna version en anslutning till Personuppgiftstjänsten 2.0 med tjänstekontrakt LookupResidentsForProfile, version 2.0 i nya domänen masterdata:citizen:citizen (ersätter version 1.0 LookupResidentForFullProfile i riv:population:residentmaster).
Kontakta Inera i god tid innan installation för anslutning via Nationella Tjänsteplattformen (för uppgraderingar krävs blankett B och D och för helt nya anslutningar krävs även en anslutningsförstudie).
Lokala Säkerhetstjänster 2.15.1
Patch för att åtgärda problem med växande spärrdatabas finns i release notes för Lokala Säkerhetstjänster 2.15.1
Installation/Uppgraderingspaket nerladdat från FTP:n senare än innehåller denna kodrättning.
Innan man uppgraderar Säkerhetstjänster bör man rensa databasen blkloc med hjälp av de databasoperationer som beskrivs under release notes för Lokala Säkerhetstjänster 2.15.1
1. Lokala Säkerhetstjänster 2.15 Release Notes
2. Nya funktioner / förbättringar
2.1. Förändringar i GUI för spärradministration.
2.1.1. Spärrar hos vårdgivare
Funktionaliteten under den tidigare meny-utgången Visa spärrar - Vårdgivare har flyttats in i det, sedan förra versionen, nya spärr-GUI:t som ett nytt och tredje sökalternativ - Vårdgivare. I sökresultatet från detta sökalternativ har man nu större möjlighet att sortera, agera och ta ut listor på vårdgivarens alla spärrar.
Observera att spärrar som visas med detta sökalternativ endast är de som är skapade i den lokala spärrtjänsten. Man kan alltså inte här se de spärrar som är replikerade från andra spärrtjänster.
2.1.2. Filtrera Inre/Yttre spärrar
En ny "filter-ruta" har införts för att visa/dölja Inre respektive Yttre spärrar i sökresultatet. Därmed har kryssrutan Visa yttre spärrar, som endast gällde vid sökning med avseende på vårdenhet, blivit överflödig och tagits bort.
2.1.3. XML-export
Utöver att ta ut en PDF-fil med hela eller delar av sökresultatet kan man nu få detta i XML-format för vidare bearbetning i t.ex. Microsoft Excel.
2.1.4. Kommentarsfält vid Spärregistrering
Via tjänstekontrakt har man alltid kunnat ange en reason text vid spärregistrering men detta fält har inte använts vid registrering via Säkerhetstjänsters GUI.
Från och med denna version finns det möjlighet att skriva en kommentar kopplad till registreringen och denna kommer att visas även under utökad information för spärren.
Fältet är frivilligt att fylla i.
2.2. Förändringar i GUI för loggadministration
2.2.1. Validering
Förbättringar har gjorts i personnummer-valideringen så att ett felaktigt personnummer detekteras redan då användaren matat in personnumret istället för att man som tidigare fick detta felmeddelande när man klickade på knappen Skapa loggrapport.
2.2.2. Rensa-knapp
En ny knapp, Rensa formulär, för att rensa sökformuläret på inmatad data, har införts för att enklare komma tillbaka till ett startläge.
2.2.3. Översiktliga XML-rapporter
Översiktlig rapporttyp har aktiverats även för XML-rapporter. Den huvudsakliga skillnaden i de översiktliga rapporterna är att resurs-informationen begränsas i dessa till att bara innehålla en unik lista över de personnummer som loggposten berör.
2.2.4. Grupperad loggrapport
En ny rapporttyp har adderats de redan befintliga. Grupperad loggrapport är en rapport där man snabbt kan få en indikation vilken personal som agerat på vilka patienter för att sedan t.ex. kunna göra en mer specifik sökning.
Beroende på valt perspektiv ger rapporterna följande information:
Patient: "Vilken personal har gjort någonting med patientens journaldata"
Personal: "För vilka patienter har personalen haft åtkomst till journaldata"
Vårdgivare: "Unika kombinationer av personal och patienter"
2.3. Förändringar i autentiseringstjänsten
2.3.1. Förändrat utseende på uppdragsvalet
Tabellen med uppdragsval har utökats med mer information om uppdraget.
2.3.2. Nya attribut-namn i SAML-biljetten
Sambi har arbetat fram nya attributnamn som inleds med http://sambi.se/attributes/
för de attribut som beskriver egenskaper för användaren. Säkerhetstjänster publicerar nu dessa parallellt med de gamla som alla börjar med urn:sambi:names:attribute
. Samtidigt har alla Carelink
-attribut tagits bort.
Då de gamla attributnamnen ( urn:sambi:names:attribute
) fortfarande publiceras för bakåtkompatibilitet ska anslutna SP:s inte behöva vidta några åtgärder i denna version. Nya anslutningar bör ladda ner nytt metadata från Säkerhetstjänsters IdP för att använda de nya attributen.
Skulle någon SP fortfarande använda Carelink-attributen måste ny metadata laddas ner och SP:n anpassas till de nya attributnamnen.
2.3.3. Nya SAMBI SAML-attribut
Säkerhetstjänster utökar sitt stöd för SAMBI:s attribut med följande attribut i de fall HSAs RIV-TA kontrakt används för att hämta HSA-information.
Dessa attribut kan endast levereras ifall HSAs RIV-TA 1.0 kontrakt används via Nationell Tjänsteplattform vilket i denna version främst är avsett för den Nationella installationen av Säkerhetstjänster.
Tekniskt sätt är det dock möjligt att konfigurera även Lokal Säkerhetstjänster att använda dessa nyare kontrakt men då krävs ett anslutningsavtal med Inera.
- http://sambi.se/attributes/1/mail
- http://sambi.se/attributes/1/groupPrescriptionCode
- https://sambi.se/attributes/1/personalidentitynumber
2.3.3.1. http://sambi.se/attributes/1/mail
Levereras ifall detta attribut levereras från HSA.
2.3.3.2. http://sambi.se/attributes/1/groupPrescriptionCode
Levereras ifall detta attribut levereras från HSA.
I tidigare attributskälla (HSA-WS) har det funnits en logik som gjort att gruppförskrivarkod har hamnat i det äldre attributet med namn urn:sambi:names:attribute:personalPrescriptionCode i de fall det har funnits en sådan och inte någon personlig förskrivarkod. Denna logik är nu för bakåtkompatibilitet kopierad till Säkerhetstjänster för detta, äldre attribut. Attributen http://sambi.se/attributes/1/groupPrescriptionCode och http://sambi.se/attributes/1/personalPrescriptionCode levereras med direkt mappning från HSA ifall värden finns.
2.3.3.3. http://sambi.se/attributes/1/personalidentitynumber
Detta attribut kommer i praktiken inte att levereras i denna version då HSA inte levererar personnummer. Det finns dock med i listan över möjliga attribut som en förberedelse för framtida ändringar.
2.3.4. Stöd för LOA-nivå i RequestedAuthnContext
Säkerhetstjänsters autentiseringstjänst stödjer nu Sambis definition av LOA-nivå i AuthnRequest
från SP. Säkerhetstjänster erbjuder bara autentisering enligt LOA 3 ( https://id.sambi.se/loa/loa3
). Det tidigare sättet, att i RequestedAuthnContext
ange önskad autentiseringsmetod, finns kvar för bakåtkompabilitet, t.ex. urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient
för SITHS-inloggning.
Notera att vid användning av LOA-nivå i RequestedAuthnContext har autentiseringstjänsten ingen möjlighet att detektera en enskild önskad autentiseringsmetod utan måste visa en lista på de autentiseringsmetoder tjänsten erbjuder. Idag innebär det att en lista med Val av autentiseringsmetod visas med Engångslösen via SMS och SITHS Certifikat som valmöjligheter då båda dessa autentiseringsmetoder klassas som LOA 3.
Vid användning av LOA-nivå i RequestedAuthnContext
kommer detta även att användas i response från IdP i elementet AuthnStatement
.
2.3.5. Stöd för autentisering utan uppdragsval
Genom att en SP i sitt metadata beskriver vilka attribut denna kräver kan man, i de fall inga HSA-uppslag krävs för att returnera värden för angivna attribut, nyttja autentiseringstjänsten utan uppdragsval.
En SP som vill kunna välja om uppdragsval skall göras eller ej måste i sitt metadatas SPSSODescriptor
införa ett nytt element (med sub-element): AttributeConsumingService
.
Specifikation enligt SAML v2.0
En SP väljer att lägga till 0..n AttributeConsumingService
-element i sitt metadata. Dessa kommer sedan via sitt index matchas mot ett angivet värde i sitt AuthnRequest
. Baserat på vilka attribut som är angivna i matchande AttributeConsumingService
-element vid autentiseringstillfället kommer IdP:n att avgöra om uppdragsval (eller HSA-uppslag generellt) behöver göras eller ej.
2.3.6. IdP-initierad inloggning
Säkerhetstjänsters IdP hanterar nu s.k. IdP-initierad inloggning (IdPUnsolicited SSO) vilket är en del av SAMBI:s kravspecifikation. Detta koncept är inte helt standardiserat men implementerat med Shibboleths lösning som mall.
2.4. PU-tjänst
För uppslag av patientuppgifter krävs anslutning till Personuppgiftstjänst 2.0 med tjänstekontrakt LookupResidentsForProfile, version 2.0 i domänen masterdata:citizen:citizen (ersätter version 1.0 LookupResidentForFullProfile i riv:population:residentmaster).
Kontakta Inera i god tid innan installation för anslutning via Nationella Tjänsteplattformen.
3. Gränssnittsförändringar
3.1. Användargränssnitt
3.1.1. Uppdaterat GUI: Spärradministration
Säkerhetstjänster 2.15 | Säkerhetstjänster 2.11 |
---|---|
Förändringar:
| Tidigare utseendet på GUI:t för spärradministration. |
3.1.2. Uppdaterat GUI: Spärregistrering
Säkerhetstjänster 2.15 | Säkerhetstjänster 2.11 |
---|---|
Förändringar:
| Tidigare utseendet på GUI:t för spärregistrering. |
Klicka på bilderna för en större bild... |
3.1.3. Uppdaterat GUI: Loggrapport
Säkerhetstjänster 2.15 | Säkerhetstjänster 2.11 |
---|---|
Förändringar:
| Tidigare utseendet på GUI:t för loggadministration. |
Klicka på bilderna för en större bild... |
3.1.4. Uppdaterat GUI: Uppdragsvalet
Säkerhetstjänster 2.15 | Säkerhetstjänster 2.11 |
---|---|
Förändringar:
| Tidigare utseendet på GUI:t för uppdragsval. |
Klicka på bilderna för en större bild... |
|
4. Dokumentation
Följande dokumentation finns för Lokala säkerhetstjänster 2.15
4.1. Användarhandbok
4.2. Systemdokumentation
4.2.1. Guide till säkerhetstjänsterna
Guide till Säkerhetstjänsterna
Observera guiden är anpassad för nationella säkerhetstjänster, men kan till viss del användas som stöd för de lokala säkerhetstjänsterna också
4.2.2. Autentisering (IdP)
Specifikation | Typ av specifikation | Plats |
---|---|---|
SAMBI SAML profil 1.0.3 | Web SSO profil enligt SAMBI | SAMBI SAML profil (Anpassad för Nationella Säkerhetstjänster men kan även användas för Lokala
|
OASIS SAML 2.0 specifikation | OASIS standard | SAML2.0.zip |
Anpassning mot säkerhetstjänster IdP | Utvecklarinformation för hur man kan anpassa sin tjänst | Anpassning mot säkerhetstjänster IdP |
Exempelkod ServiceProvider(SP) | Exempelkod i java hur man kan bygga en SP | https://public.cgi.com/~sakerhetstjanster/ Finns under "Leveranser\Lokal Säkerhetstjänst\Exempelkod ServiceProvider(SP)" Inloggningsuppgifter erhålles av CGI efter att avtal tecknats. |
4.2.3. Autentisering, Rik klient (STS) Gäller endast lokala säkerhetjänster
Specifikation | Typ av specifikation | Plats |
---|---|---|
OASIS WS-Trust 1.3 | OASIS standard | WS-Trust 1.3 |
WS-Trust 1.3 (wsdl och xsd:er) | WSDL och xsd:er för WS-Trust | ws-trust.zip |
Exempelkod rik klient (java) | Exempelkod i java hur man kan göra en rik klient autentisering | https://public.cgi.com/~sakerhetstjanster/ (Inloggningsuppgifter erhålles av CGI efter att avtal tecknats.) Filen finns i katalogen example/richclient/richclient_java.zip ifrån leveransen av lokala säkerhetstjänster. |
Exempelkod rik klient (.Net) | Exempelkod i .Net hur man kan göra en rik klient autentisering | https://public.cgi.com/~sakerhetstjanster/ (Inloggningsuppgifter erhålles av CGI efter att avtal tecknats.) Filen finns i katalogen example/richclient/richclient_dotnet.zip ifrån leveransen av lokala säkerhetstjänster. |
4.2.4. Uppdragsvalstjänsten (Commission Service)
Specifikation | Typ av specifikation | Plats |
---|---|---|
Commission 1.0 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, ehr:commission |
4.2.5. Logg
Specifikation | Typ av specifikation | Plats |
---|---|---|
Log 1.2.2 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, ehr:log |
Hämta loggarkiv 1.0 | REST-tjänst | Hämta loggarkiv |
MongoDB | Beskriver databasscheman och indexering | MongoDB för Säkerhetstjänsten |
4.2.6. Samtycke och patientrelation
Specifikation | Typ av specifikation | Plats |
---|---|---|
Samtycke 1.0.1 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, ehr:patientconsent |
Patientrelation 1.0.1 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, ehr:patientrelation |
4.2.7. Spärr
Specifikation | Typ av specifikation | Plats |
---|---|---|
Spärr 2.0 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, ehr:blocking |
Spärr 3.2 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, ehr:blocking |
4.3. Testrapport (kräver inloggning)
Se 2.15 Testrapport (CGI & Inera)
4.4. Fullständig åtgärdslista (kräver inloggning)
Se 2.15 Fullständig åtgärdslista
5. Installation av lokala Säkerhetstjänster
5.1. Uppgradering från tidigare release
För uppgradering se: 2.15 Uppgraderingsinstruktioner
5.2. Ladda ner lokala Säkerhetstjänster
Nedladdningssite för att hämta hem senaste versionen finns på https://public.cgi.com/~sakerhetstjanster/
Inloggningsuppgifter erhålls av CGI efter att avtal tecknats.