Skip to end of metadata
Go to start of metadata


OBSERVERA: Supporten upphör 2023

I juni 2021 meddelade Inera i ett nyhetsbrev att lokala installationer av Lokala Säkerhetstjänsterna Spärr, Logg och Samtycke inte kommer att erbjudas eller supportas från och med 1 januari 2023.

Nya installationer av Lokala Säkerhetstjänster 2.17 rekommenderas av denna anledning inte för en i längden hållbar lösning.

För information om lokal installation av den nya IdP:n se denna sida.



Dokumenthistorik

DatumVersionNamnFörändring
 
0.1Dokument upprättat i Confluence

 

0.2Information om systemkrav och externa anslutningar.

 

0.3Anpassat efter Nationella releasen och uppdaterad info om HSA-TK

 

0.4Nytt kapitel om förändrade systemkrav.
Dokumentet klart för granskning.

 

0.5Helen FermGranskad ok med små justeringar

 

0.6Lagt till blankettmallar för anslutning till NTjP

 

1.0Fastställd

 

1.1Uppdaterat RIVTA-länkar

 

1.2Lagt till info om Ineras beställningsstöd för behörighet till NTjP

 

1.3Lagt till info om att nya anslutningar till HSA-WS inte längre tillåts.

 

1.4Lagt till info om att SITHS-certifikat inte längre bör användas i front-end.

 

1.6Tagit bort extern beroende till HSA-kontrakt GetPersonAuthorizedToSystemIncludingProtectedPerson som endast används i den nationella installationen.

 

1.7HSA förstudiemall NTjP, fler länkar

 

1.8Korrigerat länkar till felaktiga HSA-domäner

 

1.8Ändringar för aktualitet efter granskning


Nya systemkrav

För denna version krävs:

  • Nya anslutningar till Nationell Tjänsteplattform för Spärrtjänsten version 4 samt Personuppgiftstjänsten version 3.
  • Databasen MongoDB version 3.4 med den nyare databasmotorn WiredTiger aktiverad.
  • Uppgradering till denna version krävs för att hämtningstjänsten för loggarkiv ska fungera för loggar skapade efter release-datum för Nationella Säkerhetstjänster 2.16


HSA-anslutning

Lokala Säkerhetstjänster har traditionellt använt HSA's äldre gränssnitt kallat HSA-WS. Detta gränssnitt är år 2020 dock under avveckling hos HSA nationellt och nya anslutningar tillåts därför inte (se HSA-WS fasas ut). Som ny anslutning räknas även en befintlig installation som byter certifikat. Det är därför rekommenderat att man som ansvarig för en lokal installation av Säkerhetstjänster ansluten till HSA-WS nationellt planerar en övergång till det nyare gränssnittet HSA-TK. Se nedan vilka av HSA's tjänstekontrakt man via Inera's elektroniska beställningsstöd måste ansöka om access till. Ta hjälp av lokal HSA-ansvarig för stöd samt ta fram dokument från Projektplatsen om hur detta görs. Till exempel behövs särskild förstudiemall för anslutningen. Se ovanstående länk samt Checklista inför installation (Lokala Säkerhetstjänster)

Om man går över från HSA-WS till HSA-TK vill HSA gärna veta när den gamla anslutningen kan tas bort. 

Observera att det krävs en rättning av Lokala Säkerhetstjänster för att HSA-TK-anslutningen skall fungera. Ladda ner denna rättning: 2.17 Rättningar 


SITHS-certifikat

Sedan april 2019 är det inte rekommenderat att använda SITHS-certifikat för Webbsidor (front-end) eftersom SITHS som utgivare har beslutat sig för att lämna Microsofts rotcertifikat-program.

Man vill fortfarande ha ett SITHS-certifikat för t.ex Spärrtjänstens WebService-gränssnitt och för att kunna kommunicera med t.ex NTjP men man bör alltså även beställa ett certifikat till front-end-domänerna från annan utgivare t.ex SSL-certifikat från Telia eller DigiCert.
Notera att till skillnad från SITHS så har övriga utgivare stöd för Subject Alternative Name, SAN, i sina certifikat så det ska räcka med ett certifikat för alla front-end-domäner i en installation (app, idp, secure.idp) och ett SITHS-certifikat för ws-domänen.

För befintliga installationer med SITHS-certifikat i front-end finns en guide skriven: Byta bort SITHS-cert i frontend

För nyinstallation se tillagda avsnitt i installationsanvisningen för Lokala Säkerhetstjänster 2.17




1. Lokala Säkerhetstjänster 2.17 Release Notes

 

2. Nya funktioner / förbättringar

2.1. Förändringar i Autentiseringstjänsten

2.1.1. SAML-attributet SessionNotOnOrAfter inaktiverat

Säkerhetstjänsters IdP har tidigare alltid levererat attributet SessionNotOnOrAfter i SAML-biljettens AuthnStatement. Leveransen av detta attribut är nu konfigurerbart men avslaget som default för att följa konfigurationen i den Nationella leveransen. Denna förändring görs på begäran för att system som använder Shibboleth SP ska fungera bättre tillsammans med Säkerhetstjänsters IdP.

2.2. Förändringar i GUI för spärradministration.

2.2.1. Stöd för reservidentitet

GUI:t för spärradministration har nu även stöd för nationell reservidentitet. I fältet för person-id kan man nu ange personnummer, samordningsnummer eller reservidentitet. För reservidentitet kan dock endast nationell reservidentitet användas. Lokala reservidentiteter kan alltså inte användas för att administrera spärrar för en person.

Skulle det finnas kopplade identiteter till angivet personid visas dessa högst upp i gränssnittet med information om vilken identitet som är huvudidentitet.

Det är från denna version möjligt att registrera en spärr på en nationell reservidentitet men spärrar som lags på en reservidentitet kommer inte automatiskt att läggas på en eventuell kopplad huvudidentitet eller tvärtom. Använd informationen i rutan som visas ifall kopplade identiteter hittats och lägg manuellt spärrar även på dessa identiteter om så önskas.

Notera att spärrtjänstens gamla tjänstekontrakt inte hanterar reservidentiteter och kommer alltså inte att returnera spärrar registrerade på reservidentiteter. Se kapitel 3.2 Tjänstegränssnitt för mer information

2.3. Förändringar i GUI för loggadministration

2.3.1. Stöd för reservidentitet

GUI:t för Loggrapportgenerering har nu stöd även för nationell reservidentitet.

Vid sökning med avseende på patient har en ny notifiering lagts till ifall kopplade identiteter finns på eftersökt patient så att man vid behov även kan skapa rapporter för en kopplad identitet

2.4. Förändringar i GUI för samtycke

2.4.1. Stöd för reservidentitet

GUI:t för samtycke har nu stöd även för nationell reservidentitet.

2.5. Patientrelation borttagen som tjänst

Tjänsten patientrelation upphör att existera som tjänst i Lokala och Nationella Säkerhetstjänster i och med denna version.


3. Gränssnittsförändringar

3.1. Användargränssnitt

3.1.1. Uppdaterat GUI: Spärregistrering

Säkerhetstjänster 2.17

Förändringar:

    • Namnet på sökfältet för Patient har bytt namn till Person-id.
    • Stöd för sökning efter patients spärrar med hjälp av nationell reservidentitet.
    • Stöd för registrering av spärr med hjälp av nationell reservidentitet.
    • Ny notifiering ifall kopplade identiteter finns på eftersökt patient.

Klicka på bilderna för en större bild...

3.1.2. Uppdaterat GUI: Loggrapport

Säkerhetstjänster 2.17

Förändringar:

    • Namnet på sökfältet för Patient har bytt namn till Person-id.
    • Stöd för sökning efter patients loggar med hjälp av nationell reservidentitet.
    • Ny notifiering ifall kopplade identiteter finns på eftersökt patient. Klickar man på 
      denna så får man mer information om kopplingen.


Klicka på bilderna för en större bild...

3.1.3. Uppdaterat GUI: Samtycke

  • Stöd för sökning efter patients samtycken med hjälp av nationell reservidentitet.
  • Stöd för registrering av samtycke med hjälp av nationell reservidentitet.

3.2. Tjänstegränssnitt

3.2.1. Ny version av tjänstekontrakt för Spärrtjänsten

Nya spärrkontrakt (version 4) är framtagna i en ny domän för att stödja reservidentiteter.

Beskrivning av dessa finns på http://rivta.se/domains/informationsecurity_authorization_blocking.html

Tidigare versioner av spärrkontrakten finns kvar för bakåtkompatibilitet.

3.2.2. Ny version av tjänstekontrakt för Loggtjänsten

Nya loggkontrakt (version 2) är framtagna i en ny domän för att stödja reservidentiteter.

Beskrivning av dessa finns på http://rivta.se/domains/informationsecurity_auditing_log.html

Tidigare versioner av loggkontrakten finns kvar för bakåtkompatibilitet.

3.2.3. Ny version av tjänstekontrakt för Samtyckestjänsten

Nya samtyckeskontrakt (version 2) är framtagna i en ny domän för att stödja reservidentiteter.

Beskrivning av dessa finns på http://rivta.se/domains/informationsecurity_authorization_consent.html

Tidigare versioner av samtyckeskontrakten finns kvar för bakåtkompatibilitet.

3.2.4. Tjänstekontrakten för Patientrelationstjänsten borttagna

Tjänsten Patientrelation upphör att existera som tjänst i Nationella och Lokala Säkerhetstjänster i och med denna version.

3.2.5. HSA-TK uppdaterat till 2.0

Säkerhetstjänster använder nu HSA:s tjänstekontrakt version 2 för att hämta personaldata i de fall man inte använder HSA-WS (som är under avveckling - se Externa anslutningar nedan).

Man behöver då access till följande kontrakt via den Nationella Tjänsteplattformen:

Employee
GetEmployeeIncludingProtectedPerson()

Authorizationmanagement
GetCredentialsForPersonIncludingProtectedPerson()

Organization
GetHealthCareUnitList()
GetHealthCareUnit()


Uppdragsval

Vilken version av HSA's RIV-kontrakt som Säkerhetstjänster använder ska förstås vara transparent för användare av Säkerhetstjänster.

Dock har det visat sig, att ett fåtal användare saknat enskilda medarbetaruppdrag i autentiseringstjänstens uppdragsval efter uppgraderingen i Nationella instansen av Säkerhetstjänsters autentiseringstjänst.

Detta beror på att HSA i det nya RIV-kontraktet, blivit hårdare på att validera riktigheten i en organisations data och returnerar inte längre objekt som saknar obligatoriska attribut (eller där de obligatoriska attributen inte följer specificerad syntax). Skulle man sakna ett uppdrag efter uppgraderingen kontaktar man därför med fördel sin HSA-administratör för att validera organisationens HSA-data.


 

4. Externa anslutningar

4.1.1. HSA-TK 2.0

Anslutning till HSA-katalogen används av flera tjänster i Lokala Säkerhetstjänster. Tidigare har det äldre gränssnittet HSA-WS använts men detta är under avveckling så nu ska istället HSA-anslutning ske genom HSA'a tjänstekontrakt via Nationell Tjänsteplattform.

Kontakta Inera i god tid innan installation för att i bli upplagd som konsument av de nya HSA-kontrakten i domänerna infrastructure:directory:employeeinfrastructure:directory:authorizationmanagement och infrastructure:directory:organization

Beställning av behörighet till följande kontrakt görs i Inera's Elektroniska beställningsstöd (sidan kräver att du har ett SITHS-kort):

Employee

Authorizationmanagement

Organization



4.1.2. Nationella spärrtjänsten version 4

För spärreplikering till och från den Nationella Spärrtjänsten är Lokala Säkerhetstjänster 2.17 endast kompatibel med Spärr 4.0 via den Nationella Tjänsteplattformen.

Kontakta Inera i god tid innan installation för att i bli upplagd som konsument av de nya spärrkontrakten i domänen informationsecurity:authorization:blocking

Beställning av behörighet till följande kontrakt görs i Inera's Elektroniska beställningsstöd (sidan kräver att du har ett SITHS-kort):




Depricated

Blanketterna nedan ska inte längre användas eftersom Inera nu har lanserat sitt Elektroniska beställningsstöd (sidan kräver att du har ett SITHS-kort)


Blanketter från Ineras hemsida för Anslutning konsument (B) och Etablering samverkan (D).

Gäller det inte uppgradering av befintligt system krävs även en förstudie innan anslutning godkänns. Kontakta Ineras kundservice för mer info.

Syfte

Blankett

Miljö

Exempel för tjänst

Mall

Spärreplikering

version 4

BQALokala Säkerhetstjänster 2.17

Spärreplikering

version 4

BPRODLokala Säkerhetstjänster 2.17

Spärreplikering

version 4

DQALokala Säkerhetstjänster 2.17

Spärreplikering

version 4

DPRODLokala Säkerhetstjänster 2.17


4.1.3. Personuppgiftstjänsten version 3

För uppslag av personuppgifter är Lokala Säkerhetstjänster 2.17 endast kompatibel med GetPersonsForProfile i domänen  strategicresourcemanagement:persons:person via den Nationella Tjänsteplattformen.

Kontakta Inera i god tid innan installation för att i bli upplagd som konsument av kontraktet.

Beställning av behörighet till följande kontrakt görs i Inera's Elektroniska beställningsstöd (sidan kräver att du har ett SITHS-kort):




Depricated

Blanketterna nedan ska inte längre användas eftersom Inera nu har lanserat sitt Elektroniska beställningsstöd (sidan kräver att du har ett SITHS-kort)


Blanketter från Ineras hemsida för Anslutning konsument (B) och Etablering samverkan (D).

Gäller det inte uppgradering av befintligt system krävs även en förstudie innan anslutning godkänns. Kontakta Ineras kundservice för mer info.

Syfte

Blankett

Miljö

Exempel för tjänst

Mall

Personuppgifter

version 3

BQALokala Säkerhetstjänster 2.17

Personuppgifter

version 3

BPRODLokala Säkerhetstjänster 2.17

Personuppgifter

version 3

DQALokala Säkerhetstjänster 2.17

Personuppgifter

version 3

DPRODLokala Säkerhetstjänster 2.17


5. Förändrade systemkrav

5.1. MongoDB version 3.4

Lokala Säkerhetstjänster använder databasen MongoDB för lagring av statistik, systemloggar samt PDL-loggar för logguppföljning.

Lokala Säkerhetstjänster 2.17 är kvalitetssäkrat mot MongoDB version 3.4 med databasmotorn WiredTiger.

6. Dokumentation

Följande dokumentation finns för Lokala säkerhetstjänster 2.17

6.1. Användarhandbok

Användarhandbok (lokal)

6.2. Systemdokumentation

6.2.1. Guide till säkerhetstjänsterna

Guide till Säkerhetstjänsterna

Observera guiden är anpassad för Nationella Säkerhetstjänster men kan till stor del användas som stöd även för de Lokala Säkerhetstjänsterna.

6.2.2. Autentisering (IdP)

Specifikation
Typ av specifikation
Plats
SAMBI SAML profilWeb SSO profil enligt SAMBI

SAMBI SAML profil (Anpassad för Nationella Säkerhetstjänster men kan även användas för Lokala
Säkerhetstjänster med undantag för de attribut som bara levereras då HSAs nya RIV-TA-kontrakt används)


OASIS SAML 2.0 specifikationOASIS standardSAML2.0.zip
Anpassning mot säkerhetstjänster IdPUtvecklarinformation för hur man kan anpassa sin tjänst

Anpassning mot Säkerhetstjänster IdP 2.17

Observera att det finns en ny version av IdP som en fristående produkt. Lär mer här: IdP...

Exempelkod ServiceProvider(SP)Exempelkod i java hur man kan bygga en SP

SambiTestSP


6.2.3. Autentisering, Rik klient (STS) Gäller endast Lokala Säkerhetstjänster

OBS! WS-Trust är en teknik som inte längre stöds i nya IdP och nya implementationer rekommenderas inte att använda denna teknik.

Specifikation
Typ av specifikation
Plats
OASIS WS-Trust 1.3OASIS standardWS-Trust 1.3
WS-Trust 1.3 (wsdl och xsd:er)WSDL och xsd:er för WS-Trustws-trust.zip 
Exempelkod rik klient (java)Exempelkod i java hur man kan göra en rik klient autentisering

https://public.cgi.com/~sakerhetstjanster/

(Inloggningsuppgifter erhålles av CGI efter att avtal tecknats.)

Filen finns i katalogen example/richclient/richclient_java.zip ifrån leveransen av lokala säkerhetstjänster.

Exempelkod rik klient (.Net)Exempelkod i .Net hur man kan göra en rik klient autentisering

https://public.cgi.com/~sakerhetstjanster/

(Inloggningsuppgifter erhålles av CGI efter att avtal tecknats.)

Filen finns i katalogen example/richclient/richclient_dotnet.zip ifrån leveransen av lokala säkerhetstjänster.

6.2.4. Uppdragsvalstjänsten (Commission Service)

OBS! Commission Service är en teknik som inte längre stöds i nya IdP och nya implementationer rekommenderas inte att använda denna teknik.

Specifikation
Typ av specifikation
 Plats
Commission 1.0Rivta 2.1 tjänstekontraktsbeskrivning

www.rivta.se, ehr:commission


6.2.5. Logg

Specifikation
Typ av specifikation
 Plats
Log 1.2.2Rivta 2.1 tjänstekontraktsbeskrivning

www.rivta.se, ehr:log

Log 2.0Rivta 2.1 tjänstekontraktsbeskrivningwww.rivta.se, informationsecurity:auditing:log

6.2.6. Samtycke

Specifikation
Typ av specifikation
 Plats
Samtycke 1.0.1Rivta 2.1 tjänstekontraktsbeskrivning

www.rivta.se, ehr:patientconsent

Samtycke 2.0Rivta 2.1 tjänstekontraktsbeskrivningwww.rivta.se, informationsecurity:authorization:consent


6.2.7. Spärr

Specifikation
Typ av specifikation
 Plats
Spärr 2.0Rivta 2.1 tjänstekontraktsbeskrivningwww.rivta.se, ehr:blocking
Spärr 3.2Rivta 2.1 tjänstekontraktsbeskrivningwww.rivta.se, ehr:blocking 
Spärr 4.0Rivta 2.1 tjänstekontraktsbeskrivningwww.rivta.se, informationsecurity:authorization:blocking


6.3. Testrapport (kräver inloggning)

Se 2.17 Testrapport (CGI & Inera)

6.4. Fullständig åtgärdslista (kräver inloggning)

Se 2.17 Fullständig åtgärdslista

7. Installation av Lokala Säkerhetstjänster

7.1. Nyinstallation

För att installera Lokala Säkerhetstjänster utan att ha en tidigare version följ instruktionerna:
2.17 Installationsanvisning

7.2. Uppgradering från tidigare version

För att uppgradera från tidigare version följ uppgraderingsinstruktionerna:
2.17 Uppgraderingsinstruktioner

7.3. Ladda ner lokala Säkerhetstjänster

Nedladdningssite för att hämta hem senaste versionen finns på https://public.cgi.com/~sakerhetstjanster/
Inloggningsuppgifter erhålls av CGI efter att avtal tecknats.






  • No labels