Lokala Säkerhetstjänster 2.5 finns ute, se 2.5 Release Notes SÄK
Dokumenthistorik
| Datum | Version | Namn | Förändring |
|---|---|---|---|
| 2013-12-12 | 0.1 | Roger Öberg | Första utkast |
| 2013-12-16 | 0.2 | Roger Öberg | Uppdaterad |
| 2013-12-18 | 1.0 | Mona Swartling | Fastställd |
| 2014-01-31 | 1.0.1 | Roger Öberg | Uppdaterat med uppgraderingsintruktioner |
| 2014-02-21 | 1.0.2 | Öberg, Roger | Lagt till kapitel 5.2 med instruktioner för test efter en installation/uppgradering |
1. Lokala Säkerhetstjänster 2.3 Release Notes
18 december 2013
2. Nya funktioner / förbättringar
2.1. Spärrar (inre) vid omorganisation
Ett nytt gui har tagits fram för att kunna kopiera spärrar från en vårdenhet till en annan/ny avdelning (inom samma vårdgivare). Dvs. en ny inre spärr med samma information som den gamla registreras på den nya vårdenhetens HSA-id. Det handlar om att kopiera en spärr, inte flytta. Gamla journalanteckningar ska fortsatt vara spärrade på den gamla vårdenheten.
2.2. Lokal loggtjänst
En ny tjänst "lokal loggtjänst" finns nu tillgängligt som en del av lokala säkerhetstjänster och kan installeras med de övriga säkerhetstjänsterna vid behov. Den lokala loggtjänsten kan dels lagra information om åtkomstrelaterade händelser från olika system, men även en rapportfunktion (loggrapport), som kan användas för uppföljning av åtkomstloggar. Loggtjänsten anropas dels via tjänstekontrakt, enligt RIV TA 2.1 och dels via ett speciellt tjänstekontrakt (ej RIV TA) "Hämta loggarkiv" för överföring av loggarkiv till ett externt system. I den lokala loggtjänsten kan man även ta ut rapporter utifrån tjänstens arkiv, så kallad arkivsökning, för att på så vis kunna ta ut rapporter på data som är upp till 10 år gamla.
I och med denna tjänst så utgår den tidigare "interna" loggtjänsten som fanns med i lokala säkerhetstjänster 2.1. Se exempel nedan för hur man kan välja att installera tjänsterna i 2.3
2.3. Autentisering kan enbart ske med aktiva medarbetaruppdrag
När man som användare autentiserar sig mot säkerhetstjänster och väljer medarbetaruppdrag, kan man enbart välja aktiva uppdrag (vid fler än 1 ) dvs de eventuella inaktiva uppdrag som användaren har, filtreras bort och kan inte väljas vid autentiseringen.
2.4. Stöd för autentisering av rik klient
Autentiseringstjänsten (IdP:n) har utökats med stöd för autentisering av rik klient. Detta sker med hjälp av standarden WS-Trust 1.3. Tjänsten erbjuder stöd för klientautentisering med hjälp av X.509 certifikat (dvs SITHS-kort). För att stödja uppdragsval även för rika klienter har en separat tjänst (Commission Service) tagits fram som rika klienter kan integrera mot.
2.5. Uppdragsvaltjänst (Commission Service)
En ny tjänst, Uppdragsvaltjänsten, enligt RIV TA 2.1, har tagits fram och ingår numera i lokala säkerhetstjänster.Arkitekturen är utformad för att kunna motsvara klienters behov att kunna autentisera användare från rik och tunn klient. En del i autentiseringen av användare är att kunna göra ett uppdragsval. Att uppdragsvalet görs i en separat tjänst är dels för att möjliggöra uppdragsval när man autentiserar sig från rik klient via WS-Trust 1.3 som inte har stöd för uppdragsval och dels för att tillhandahålla en generell tjänst för denna funktion.
2.6. Autentiseringstjänsten för webben använder uppdragsvaltjänsten för uppdragsval
I denna release hanteras uppdragsvalet i den lokala IdP:n med hjälp av uppdragsvaltjänsten istället för att som innan hanteras av IdP:n. Som användare innebär detta att man bara behöver välja uppdrag (ifall man har fler än 1 medarbetaruppdrag) vid den första autentiseringen. Därefter kommer uppdragsvalet att ske automatiskt under arbetsdagen. För att göra ett nytt uppdragsval krävs det att man antingen loggar ut ifrån autentiseringstjänsten (via koordinerad utloggning, SLO) eller att man väntar tills dess att det aktiva valet i uppdragsvaltjänsten timar ut (default 12h). Dvs stänger man browsern och startar upp den igen kommer man inte att få ett uppdragsval vid autentiseringen som man fick förut. (däremot kommer funktionen "byta uppdrag" i säkerhetstjänsters admin-gui att fungera fortfarande, då den gör en koordinerad utloggning under ytan)
2.7. Registrering av samtycken kan enbart ske på aktiva vårdenheter
Som medarbetare kan man inte registrera ett samtycke på en inaktiv vårdenhet, detta för att man av misstag inte ska kunna registrera samtycken felaktigt.
Detta gäller i samtyckesdialogen men även i säkerhetstjänsters admingränssnitt.
3. Gränssnittsförändringar
3.1. Användargränssnitt
3.1.1. Nytt GUI: Spärrar vid omorganisation
| Säkerhetstjänster 2.3 |
|---|
Ett nytt GUI har tagits fram för att kunna kopiera spärrar från en vårdenhet till en annan. I den övre delen anger man en patient, patient och vårdenhet, eller enbart vårdenhet där spärrar ska kopieras ifrån. Därefter väljer man till vilken vårdenhet som spärrarna ska kopieras till och klickar på "visa spärrar". I den nedre delen visas då de spärrar som kan kopieras (gråmarkerade spärrar är sådana som redan kopierats), varpå man väljer de som ska kopieras och klickar på "kopiera spärr" för att utföra kopieringen. |
 |
3.1.2. Nytt GUI: Arkivsökning
| Säkerhetstjänster 2.3 (finns vid installation av lokal loggtjänst) |
|---|
Ett nytt GUI "Arkivsökning" har tagits fram för att kunna söka ut loggar som är upp till 10 år gamla. Då det kan vara ett stort antal loggposter som ska sökas igenom kan körningen ta upp till 72 timmar. Default körs även arkivsökningen under natten för att minimera lasten på det övriga systemet. Dvs i normalfallet beställer man rapporten ena dagen, varpå man loggar in dagen efter och då är rapporten klar och kan hämtas. |
 |
3.1.3. Registrera spärr på inaktiv vårdenhet
| Säkerhetstjänster 2.3 | Säkerhetstjänster 2.1 |
|---|---|
Som spärradministratör kan man registrera en spärr på en inaktiv vårdenhet för att kunna spärra befintliga journal anteckningar. I gui:t kan man klicka i checkboxen för att inaktiva vårdenheter ska visas i listan nedanför. | Bilden visar det gamla gränssnittet |
 |  |
3.1.4. Registrera tillfällig hävning för spärr som ligger på inaktivt vårdenhet
| Säkerhetstjänster 2.3 | Säkerhetstjänster 2.1 |
|---|---|
I listan "Tillfälliga hävningen gäller vårdenhet" visas alla Vårdenheter för de medarbetaruppdrag som personen som anges i "Begärd av" har. Inaktiva vårdenheter visas ej i listan. | Bilden visar det gamla gränssnittet |
 |  |
3.1.5. Hämta loggrapport (Patient,vårdenhet) - dropdown för val av vårdenhet
| Säkerhetstjänster 2.3 | Säkerhetstjänster 2.1 |
|---|---|
När man kör loggrapporten "Patient, vårdenhet", får man numera välja vårdenhet ifrån en dropdown istället för att manuellt skriva in vårdenhetens hsa-id. Listan visar även inaktiva vårdenheter så att en rapport kan tas ut för dessa. | Bilden visar det gamla gränssnittet |
 |  |
3.2. Tjänstegränssnitt
Inga förändringar på befintliga tjänstegränssnitt. Däremot har det tillkommit tjänstegränssnitt för de nya tjänsterna:
4. Dokumentation
Följande dokumentation finns för lokala säkerhetstjänster 2.3
4.1. Användarhandbok
Användarhandbok Lokala Säkerhetstjänster2.3.pdf
4.2. Systemdokumentation
4.2.1. Guide till säkerhetstjänsterna
guide till säkerhetstjänsterna
Observera! Guiden är anpassad för nationella säkerhetstjänster, men kan till användas som stöd för de lokala säkerhetstjänsterna också
4.2.2. Autentisering (IdP)
Specifikation | Typ av specifikation | Plats |
|---|---|---|
| SAMBI SAML profil 1.0.3 | Web SSO profil enligt SAMBI | SAMBI SAML profil 1.0.3 |
| OASIS SAML 2.0 specifikation | OASIS standard | SAML2.0.zip |
| Anpassning mot säkerhetstjänster IdP | Utvecklarinformation för hur man kan anpassa sin tjänst | Anpassning mot säkerhetstjänster IdP |
| Exempelkod ServiceProvider(SP) | Exempelkod i java hur man kan bygga en SP | https://public.logica.com/~sakerhetstjanster/ * Finns under "Leveranser\Lokal Säkerhetstjänst\Exempelkod ServiceProvider(SP)"
|
(*) Inloggningsuppgifter erhålles av CGI efter att avtal tecknats.
4.2.3. Autentisering, Rik klient (STS)
Specifikation | Typ av specifikation | Plats |
|---|---|---|
| OASIS WS-Trust 1.3 | OASIS standard | WS-Trust 1.3 |
| WS-Trust 1.3 (wsdl och xsd:er) | WSDL och xsd:er för WS-Trust | ws-trust.zip |
| Exempelkod rik klient (java) | Exempelkod i java hur man kan göra en rik klient autentisering | https://public.logica.com/~sakerhetstjanster/ * Filen finns i katalogen example/richclient/richclient_java.zip ifrån leveransen av lokala säkerhetstjänster. |
| Exempelkod rik klient (.Net) | Exempelkod i .Net hur man kan göra en rik klient autentisering | https://public.logica.com/~sakerhetstjanster/ * Filen finns i katalogen example/richclient/richclient_dotnet.zip ifrån leveransen av lokala säkerhetstjänster. |
(*) Inloggningsuppgifter erhålles av CGI efter att avtal tecknats.
4.2.4. Uppdragsvaltjänsten (Commission Service)
Specifikation | Typ av specifikation | Plats |
|---|---|---|
| Commission 1.0 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, ehr:commission |
4.2.5. Logg
Specifikation | Typ av specifikation | Plats |
|---|---|---|
| Log 1.0 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, ehr:log |
| Hämta loggarkiv 1.0 | REST-tjänst | Hämta loggarkiv |
| MongoDB | Beskriver databasscheman och indexering | MongoDB för Säkerhetstjänsten |
4.2.6. Samtycke och patientrelation
Specifikation | Typ av specifikation | Plats |
|---|---|---|
| Samtycke 1.0 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, ehr:patientconsent |
| Patientrelation 1.0 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, ehr:patientrelation |
4.2.7. Spärr
Specifikation | Typ av specifikation | Plats |
|---|---|---|
| Spärr 1.0 (finns med för bakåtkompatibilitet, nya tjänster bör ej använda denna) | Rivta 2.0 tjänstekontraktsbeskrivning | www.rivta.se, ehr:blocking |
| Spärr 2.0 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, ehr:blocking |
| Spärr 3.0 | Rivta 2.1 tjänstekontraktsbeskrivning | www.rivta.se, ehr:blocking |
4.3. Testrapport
4.4. Fullständig åtgärdslista
Se 2.3 Fullständig åtgärdslista
5. Installation av lokala Säkerhetstjänster
OBS! vid nyinstallation av lokala säkerhetstjänster 2.3 behöver man genomföra en manuell konfigurationsändring enligt "Uppdatera cache" då denna har felaktigt värde default
5.1. Uppgradering från tidigare release
För uppgradering se 2.3 Uppgraderingsinstruktioner
5.2. Test av installation eller uppgradering
Vid en installation eller uppgradering finns det ett antal automatiska och manuella tester man kan använda för att säkerställa att systemet fungerar som det ska. Se Test av installation eller uppgradering 2.11.
5.3. Förändring/påverkan på befintlig installation (säkerhetstjänster 2.1.3)
5.3.1. Lokal autentiseringstjänst kräver tillgång till uppdragsvaltjänst.
Den lokala autentiseringstjänsten i 2.3 kräver tillgång till uppdragsvaltjänsten och vid en installation där man installerar autentiseringstjänsten kommer därför uppdragsvaltjänsten att installeras också.
5.3.2. Lokal spärr, samtycke och patientrelation kräver tillgång till loggtjänst.
I tidigare releaser av lokala säkerhetstjänster har det ingått en intern loggtjänst vid installation av någon av tjänsterna spärr,samtycke eller patientrelation. I och med releasen av säkerhetstjänster 2.3 kommer det inte att finnas någon intern loggtjänst, utan tjänsterna måste logga till en loggtjänst enligt kontraktet för logg. Antingen så kan man installera den lokala loggtjänsten som följer med lokala säkerhetstjänster 2.3, alternativt så kan man för tjänsterna lokal spärr,samtycke och patientrelation välja att logga dessa händelser till den nationella loggtjänsten. Detta kan vara fördelaktigt ifall man inte själv behöver en lokal loggtjänst, då denna kräver tillgång till databasen mongoDB, dvs man får en enklare driftmiljö ifall man låter dessa logga till den nationella loggtjänsten istället. Ifall man loggar till den nationella loggtjänsten måste man även följa dessa, via loggrapporterna på den nationella loggtjänsten.
5.3.3. Exempelinstallationer
5.3.3.1. Man har enbart behov av tjänsten lokal spärr
I detta fall behöver man installera följande tjänster:
- lokal autentisering (inklusive lokal uppdragsvaltjänst)
- lokal spärrtjänst
Loggning ifrån spärrtjänsten sker till den nationella loggtjänsten och i denna installation kommer man inte att ha tillgång till meny-utgången loggrapport i admin-gui:t längre.
5.3.3.2. Man har behov av alla lokala tjänster
- lokal autentisering
- lokal uppdragsvaltjänst
- lokal spärrtjänst
- lokal samtyckestjänst
- lokal patientrelationstjänst
- lokal loggtjänst
Loggning ifrån samtycke/patientrelation/spärr sker i detta exempel till den lokala loggtjänsten.
5.4. Hämta hem lokala säkerhetstjänster
Nedladdningssite för att hämta hem senaste versionen finns på https://public.logica.com/~sakerhetstjanster/
(Inloggningnsuppgifter erhålls av CGI efter att avtal tecknats.)