Tjänst under avveckling
Dessa sidor kommer att tas bort 2023-01-01
OBSERVERA: Supporten upphör 2023
I juni 2021 meddelade Inera i ett nyhetsbrev att lokala installationer av Lokala Säkerhetstjänsterna Spärr, Logg och Samtycke inte kommer att erbjudas eller supportas från och med 1 januari 2023.
Nya installationer av Lokala Säkerhetstjänster 2.17 rekommenderas av denna anledning inte för en i längden hållbar lösning.
För information om lokal installation av den nya IdP:n se denna sida.
Dokumenthistorik
Datum | Version | Namn | Förändring |
---|---|---|---|
0.1 | Dokument upprättat i Confluence | ||
| 0.2 | Information om systemkrav och externa anslutningar. | |
| 0.3 | Anpassat efter Nationella releasen och uppdaterad info om HSA-TK | |
| 0.4 | Nytt kapitel om förändrade systemkrav. Dokumentet klart för granskning. | |
| 0.5 | Helen Ferm | Granskad ok med små justeringar |
| 0.6 | Lagt till blankettmallar för anslutning till NTjP | |
| 1.0 | Fastställd | |
| 1.1 | Uppdaterat RIVTA-länkar | |
| 1.2 | Lagt till info om Ineras beställningsstöd för behörighet till NTjP | |
| 1.3 | Lagt till info om att nya anslutningar till HSA-WS inte längre tillåts. | |
| 1.4 | Lagt till info om att SITHS-certifikat inte längre bör användas i front-end. | |
| 1.6 | Tagit bort extern beroende till HSA-kontrakt GetPersonAuthorizedToSystemIncludingProtectedPerson som endast används i den nationella installationen. | |
| 1.7 | HSA förstudiemall NTjP, fler länkar | |
| 1.8 | Korrigerat länkar till felaktiga HSA-domäner | |
| 1.8 | Ändringar för aktualitet efter granskning |
Nya systemkrav
För denna version krävs:
- Nya anslutningar till Nationell Tjänsteplattform för Spärrtjänsten version 4 samt Personuppgiftstjänsten version 3.
- Databasen MongoDB version 3.4 med den nyare databasmotorn WiredTiger aktiverad.
- Uppgradering till denna version krävs för att hämtningstjänsten för loggarkiv ska fungera för loggar skapade efter release-datum för Nationella Säkerhetstjänster 2.16
HSA-anslutning
Lokala Säkerhetstjänster har traditionellt använt HSA's äldre gränssnitt kallat HSA-WS. Detta gränssnitt är år 2020 dock under avveckling hos HSA nationellt och nya anslutningar tillåts därför inte (se HSA-WS fasas ut). Som ny anslutning räknas även en befintlig installation som byter certifikat. Det är därför rekommenderat att man som ansvarig för en lokal installation av Säkerhetstjänster ansluten till HSA-WS nationellt planerar en övergång till det nyare gränssnittet HSA-TK. Se nedan vilka av HSA's tjänstekontrakt man via Inera's elektroniska beställningsstöd måste ansöka om access till. Ta hjälp av lokal HSA-ansvarig för stöd samt ta fram dokument från Projektplatsen om hur detta görs. Till exempel behövs särskild förstudiemall för anslutningen. Se ovanstående länk samt Checklista inför installation (Lokala Säkerhetstjänster)
Om man går över från HSA-WS till HSA-TK vill HSA gärna veta när den gamla anslutningen kan tas bort.
Observera att det krävs en rättning av Lokala Säkerhetstjänster för att HSA-TK-anslutningen skall fungera. Ladda ner denna rättning: 2.17 Rättningar
SITHS-certifikat
Sedan april 2019 är det inte rekommenderat att använda SITHS-certifikat för Webbsidor (front-end) eftersom SITHS som utgivare har beslutat sig för att lämna Microsofts rotcertifikat-program.
Man vill fortfarande ha ett SITHS-certifikat för t.ex Spärrtjänstens WebService-gränssnitt och för att kunna kommunicera med t.ex NTjP men man bör alltså även beställa ett certifikat till front-end-domänerna från annan utgivare t.ex SSL-certifikat från Telia eller DigiCert.
Notera att till skillnad från SITHS så har övriga utgivare stöd för Subject Alternative Name, SAN, i sina certifikat så det ska räcka med ett certifikat för alla front-end-domäner i en installation (app, idp, secure.idp) och ett SITHS-certifikat för ws-domänen.
För befintliga installationer med SITHS-certifikat i front-end finns en guide skriven: Byta bort SITHS-cert i frontend
För nyinstallation se tillagda avsnitt i installationsanvisningen för Lokala Säkerhetstjänster 2.17
1. Lokala Säkerhetstjänster 2.17 Release Notes
2. Nya funktioner / förbättringar
2.1. Förändringar i Autentiseringstjänsten
2.1.1. SAML-attributet SessionNotOnOrAfter inaktiverat
Säkerhetstjänsters IdP har tidigare alltid levererat attributet SessionNotOnOrAfter i SAML-biljettens AuthnStatement. Leveransen av detta attribut är nu konfigurerbart men avslaget som default för att följa konfigurationen i den Nationella leveransen. Denna förändring görs på begäran för att system som använder Shibboleth SP ska fungera bättre tillsammans med Säkerhetstjänsters IdP.
2.2. Förändringar i GUI för spärradministration.
2.2.1. Stöd för reservidentitet
GUI:t för spärradministration har nu även stöd för nationell reservidentitet. I fältet för person-id kan man nu ange personnummer, samordningsnummer eller reservidentitet. För reservidentitet kan dock endast nationell reservidentitet användas. Lokala reservidentiteter kan alltså inte användas för att administrera spärrar för en person.
Skulle det finnas kopplade identiteter till angivet personid visas dessa högst upp i gränssnittet med information om vilken identitet som är huvudidentitet.
Det är från denna version möjligt att registrera en spärr på en nationell reservidentitet men spärrar som lags på en reservidentitet kommer inte automatiskt att läggas på en eventuell kopplad huvudidentitet eller tvärtom. Använd informationen i rutan som visas ifall kopplade identiteter hittats och lägg manuellt spärrar även på dessa identiteter om så önskas.
Notera att spärrtjänstens gamla tjänstekontrakt inte hanterar reservidentiteter och kommer alltså inte att returnera spärrar registrerade på reservidentiteter. Se kapitel 3.2 Tjänstegränssnitt för mer information
2.3. Förändringar i GUI för loggadministration
2.3.1. Stöd för reservidentitet
GUI:t för Loggrapportgenerering har nu stöd även för nationell reservidentitet.
Vid sökning med avseende på patient har en ny notifiering lagts till ifall kopplade identiteter finns på eftersökt patient så att man vid behov även kan skapa rapporter för en kopplad identitet
2.4. Förändringar i GUI för samtycke
2.4.1. Stöd för reservidentitet
GUI:t för samtycke har nu stöd även för nationell reservidentitet.
2.5. Patientrelation borttagen som tjänst
Tjänsten patientrelation upphör att existera som tjänst i Lokala och Nationella Säkerhetstjänster i och med denna version.
3. Gränssnittsförändringar
3.1. Användargränssnitt
3.1.1. Uppdaterat GUI: Spärregistrering
Säkerhetstjänster 2.17 |
---|
Förändringar:
|
Klicka på bilderna för en större bild... |
3.1.2. Uppdaterat GUI: Loggrapport
Säkerhetstjänster 2.17 |
---|
Förändringar:
|
Klicka på bilderna för en större bild... |
3.1.3. Uppdaterat GUI: Samtycke
- Stöd för sökning efter patients samtycken med hjälp av nationell reservidentitet.
- Stöd för registrering av samtycke med hjälp av nationell reservidentitet.
3.2. Tjänstegränssnitt
3.2.1. Ny version av tjänstekontrakt för Spärrtjänsten
Nya spärrkontrakt (version 4) är framtagna i en ny domän för att stödja reservidentiteter.
Beskrivning av dessa finns på http://rivta.se/domains/informationsecurity_authorization_blocking.html
Tidigare versioner av spärrkontrakten finns kvar för bakåtkompatibilitet.
3.2.2. Ny version av tjänstekontrakt för Loggtjänsten
Nya loggkontrakt (version 2) är framtagna i en ny domän för att stödja reservidentiteter.
Beskrivning av dessa finns på http://rivta.se/domains/informationsecurity_auditing_log.html
Tidigare versioner av loggkontrakten finns kvar för bakåtkompatibilitet.
3.2.3. Ny version av tjänstekontrakt för Samtyckestjänsten
Nya samtyckeskontrakt (version 2) är framtagna i en ny domän för att stödja reservidentiteter.
Beskrivning av dessa finns på http://rivta.se/domains/informationsecurity_authorization_consent.html
Tidigare versioner av samtyckeskontrakten finns kvar för bakåtkompatibilitet.
3.2.4. Tjänstekontrakten för Patientrelationstjänsten borttagna
Tjänsten Patientrelation upphör att existera som tjänst i Nationella och Lokala Säkerhetstjänster i och med denna version.
3.2.5. HSA-TK uppdaterat till 2.0
Säkerhetstjänster använder nu HSA:s tjänstekontrakt version 2 för att hämta personaldata i de fall man inte använder HSA-WS (som är under avveckling - se Externa anslutningar nedan).
Man behöver då access till följande kontrakt via den Nationella Tjänsteplattformen:
Employee
GetEmployeeIncludingProtectedPerson()
Authorizationmanagement
GetCredentialsForPersonIncludingProtectedPerson()
Organization
GetHealthCareUnitList()
GetHealthCareUnit()
Uppdragsval
Vilken version av HSA's RIV-kontrakt som Säkerhetstjänster använder ska förstås vara transparent för användare av Säkerhetstjänster.
Dock har det visat sig, att ett fåtal användare saknat enskilda medarbetaruppdrag i autentiseringstjänstens uppdragsval efter uppgraderingen i Nationella instansen av Säkerhetstjänsters autentiseringstjänst.
Detta beror på att HSA i det nya RIV-kontraktet, blivit hårdare på att validera riktigheten i en organisations data och returnerar inte längre objekt som saknar obligatoriska attribut (eller där de obligatoriska attributen inte följer specificerad syntax). Skulle man sakna ett uppdrag efter uppgraderingen kontaktar man därför med fördel sin HSA-administratör för att validera organisationens HSA-data.
4. Externa anslutningar
4.1.1. HSA-TK 2.0
Anslutning till HSA-katalogen används av flera tjänster i Lokala Säkerhetstjänster. Tidigare har det äldre gränssnittet HSA-WS använts men detta är under avveckling så nu ska istället HSA-anslutning ske genom HSA'a tjänstekontrakt via Nationell Tjänsteplattform.
Kontakta Inera i god tid innan installation för att i bli upplagd som konsument av de nya HSA-kontrakten i domänerna infrastructure:directory:employee, infrastructure:directory:authorizationmanagement och infrastructure:directory:organization
Beställning av behörighet till följande kontrakt görs i Inera's Elektroniska beställningsstöd (sidan kräver att du har ett SITHS-kort):
- GetEmployeeIncludingProtectedPerson V2 (kontrollera anslutning)
- GetCredentialsForPersonIncludingProtectedPerson V2 (kontrollera anslutning)
- GetHealthCareUnitList V2 (kontrollera anslutning)
- GetHealthCareUnit V2 (kontrollera anslutning)
4.1.2. Nationella spärrtjänsten version 4
För spärreplikering till och från den Nationella Spärrtjänsten är Lokala Säkerhetstjänster 2.17 endast kompatibel med Spärr 4.0 via den Nationella Tjänsteplattformen.
Kontakta Inera i god tid innan installation för att i bli upplagd som konsument av de nya spärrkontrakten i domänen informationsecurity:authorization:blocking
Beställning av behörighet till följande kontrakt görs i Inera's Elektroniska beställningsstöd (sidan kräver att du har ett SITHS-kort):
- GetBlocks v4 (kontrollera anslutning)
- RegisterBlock v4 (kontrollera anslutning)
- UnregisterBlock v4 (kontrollera anslutning)
- RegisterTemporaryRevoke v4 (kontrollera anslutning)
- UnregisterTemporaryRevoke v4 (kontrollera anslutning)
4.1.3. Personuppgiftstjänsten version 3
För uppslag av personuppgifter är Lokala Säkerhetstjänster 2.17 endast kompatibel med GetPersonsForProfile i domänen strategicresourcemanagement:persons:person via den Nationella Tjänsteplattformen.
Kontakta Inera i god tid innan installation för att i bli upplagd som konsument av kontraktet.
Beställning av behörighet till följande kontrakt görs i Inera's Elektroniska beställningsstöd (sidan kräver att du har ett SITHS-kort):
- GetPersonsForProfile v3 (kontrollera anslutning)
5. Förändrade systemkrav
5.1. MongoDB version 3.4
Lokala Säkerhetstjänster använder databasen MongoDB för lagring av statistik, systemloggar samt PDL-loggar för logguppföljning.
Lokala Säkerhetstjänster 2.17 är kvalitetssäkrat mot MongoDB version 3.4 med databasmotorn WiredTiger.
6. Dokumentation
Följande dokumentation finns för Lokala säkerhetstjänster 2.17
6.1. Användarhandbok
6.2. Systemdokumentation
6.2.1. Guide till säkerhetstjänsterna
Guide till Säkerhetstjänsterna
Observera guiden är anpassad för Nationella Säkerhetstjänster men kan till stor del användas som stöd även för de Lokala Säkerhetstjänsterna.
6.2.2. Autentisering (IdP)
Specifikation | Typ av specifikation | Plats |
---|---|---|
SAMBI SAML profil | Web SSO profil enligt SAMBI | SAMBI SAML profil (Anpassad för Nationella Säkerhetstjänster men kan även användas för Lokala |
OASIS SAML 2.0 specifikation | OASIS standard | SAML2.0.zip |
Anpassning mot säkerhetstjänster IdP | Utvecklarinformation för hur man kan anpassa sin tjänst | Anpassning mot Säkerhetstjänster IdP 2.17 Observera att det finns en ny version av IdP som en fristående produkt. Lär mer här: IdP... |
Exempelkod ServiceProvider(SP) | Exempelkod i java hur man kan bygga en SP |
6.2.3. Autentisering, Rik klient (STS) Gäller endast Lokala Säkerhetstjänster
OBS! WS-Trust är en teknik som inte längre stöds i nya IdP och nya implementationer rekommenderas inte att använda denna teknik.
Specifikation | Typ av specifikation | Plats |
---|---|---|
OASIS WS-Trust 1.3 | OASIS standard | WS-Trust 1.3 |
WS-Trust 1.3 (wsdl och xsd:er) | WSDL och xsd:er för WS-Trust | ws-trust.zip |
Exempelkod rik klient (java) | Exempelkod i java hur man kan göra en rik klient autentisering | https://public.cgi.com/~sakerhetstjanster/ (Inloggningsuppgifter erhålles av CGI efter att avtal tecknats.) Filen finns i katalogen example/richclient/richclient_java.zip ifrån leveransen av lokala säkerhetstjänster. |
Exempelkod rik klient (.Net) | Exempelkod i .Net hur man kan göra en rik klient autentisering | https://public.cgi.com/~sakerhetstjanster/ (Inloggningsuppgifter erhålles av CGI efter att avtal tecknats.) Filen finns i katalogen example/richclient/richclient_dotnet.zip ifrån leveransen av lokala säkerhetstjänster. |
6.2.4. Uppdragsvalstjänsten (Commission Service)
OBS! Commission Service är en teknik som inte längre stöds i nya IdP och nya implementationer rekommenderas inte att använda denna teknik.
Specifikation | Typ av specifikation | Plats |
---|---|---|
Commission 1.0 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, ehr:commission |
6.2.5. Logg
Specifikation | Typ av specifikation | Plats |
---|---|---|
Log 1.2.2 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, ehr:log |
Log 2.0 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, informationsecurity:auditing:log |
6.2.6. Samtycke
Specifikation | Typ av specifikation | Plats |
---|---|---|
Samtycke 1.0.1 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, ehr:patientconsent |
Samtycke 2.0 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, informationsecurity:authorization:consent |
6.2.7. Spärr
Specifikation | Typ av specifikation | Plats |
---|---|---|
Spärr 2.0 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, ehr:blocking |
Spärr 3.2 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, ehr:blocking |
Spärr 4.0 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, informationsecurity:authorization:blocking |
6.3. Testrapport (kräver inloggning)
Se 2.17 Testrapport (CGI & Inera)
6.4. Fullständig åtgärdslista (kräver inloggning)
Se 2.17 Fullständig åtgärdslista
7. Installation av Lokala Säkerhetstjänster
7.1. Nyinstallation
För att installera Lokala Säkerhetstjänster utan att ha en tidigare version följ instruktionerna:
2.17 Installationsanvisning
7.2. Uppgradering från tidigare version
För att uppgradera från tidigare version följ uppgraderingsinstruktionerna:
2.17 Uppgraderingsinstruktioner
7.3. Ladda ner lokala Säkerhetstjänster
Nedladdningssite för att hämta hem senaste versionen finns på https://public.cgi.com/~sakerhetstjanster/
Inloggningsuppgifter erhålls av CGI efter att avtal tecknats.