Dessa sidor kommer att tas bort 2023-01-01 |
I juni 2021 meddelade Inera i ett nyhetsbrev att lokala installationer av Lokala Säkerhetstjänsterna Spärr, Logg och Samtycke inte kommer att erbjudas eller supportas från och med 1 januari 2023. Nya installationer av Lokala Säkerhetstjänster 2.17 rekommenderas av denna anledning inte för en i längden hållbar lösning. För information om lokal installation av den nya IdP:n se denna sida. |
Dokumenthistorik
Datum | Version | Namn | Förändring |
---|---|---|---|
0.1 | Dokument upprättat i Confluence | ||
| 0.2 | Information om systemkrav och externa anslutningar. | |
| 0.3 | Anpassat efter Nationella releasen och uppdaterad info om HSA-TK | |
| 0.4 | Nytt kapitel om förändrade systemkrav. Dokumentet klart för granskning. | |
| 0.5 | Helen Ferm | Granskad ok med små justeringar |
| 0.6 | Lagt till blankettmallar för anslutning till NTjP | |
| 1.0 | Fastställd | |
| 1.1 | Uppdaterat RIVTA-länkar | |
| 1.2 | Lagt till info om Ineras beställningsstöd för behörighet till NTjP | |
| 1.3 | Lagt till info om att nya anslutningar till HSA-WS inte längre tillåts. | |
| 1.4 | Lagt till info om att SITHS-certifikat inte längre bör användas i front-end. | |
| 1.6 | Tagit bort extern beroende till HSA-kontrakt GetPersonAuthorizedToSystemIncludingProtectedPerson som endast används i den nationella installationen. | |
| 1.7 | HSA förstudiemall NTjP, fler länkar | |
| 1.8 | Korrigerat länkar till felaktiga HSA-domäner | |
| 1.8 | Ändringar för aktualitet efter granskning |
För denna version krävs:
|
Lokala Säkerhetstjänster har traditionellt använt HSA's äldre gränssnitt kallat HSA-WS. Detta gränssnitt är år 2020 dock under avveckling hos HSA nationellt och nya anslutningar tillåts därför inte (se HSA-WS fasas ut). Som ny anslutning räknas även en befintlig installation som byter certifikat. Det är därför rekommenderat att man som ansvarig för en lokal installation av Säkerhetstjänster ansluten till HSA-WS nationellt planerar en övergång till det nyare gränssnittet HSA-TK. Se nedan vilka av HSA's tjänstekontrakt man via Inera's elektroniska beställningsstöd måste ansöka om access till. Ta hjälp av lokal HSA-ansvarig för stöd samt ta fram dokument från Projektplatsen om hur detta görs. Till exempel behövs särskild förstudiemall för anslutningen. Se ovanstående länk samt Checklista inför installation (Lokala Säkerhetstjänster) Om man går över från HSA-WS till HSA-TK vill HSA gärna veta när den gamla anslutningen kan tas bort. Observera att det krävs en rättning av Lokala Säkerhetstjänster för att HSA-TK-anslutningen skall fungera. Ladda ner denna rättning: 2.17 Rättningar |
Sedan april 2019 är det inte rekommenderat att använda SITHS-certifikat för Webbsidor (front-end) eftersom SITHS som utgivare har beslutat sig för att lämna Microsofts rotcertifikat-program. Man vill fortfarande ha ett SITHS-certifikat för t.ex Spärrtjänstens WebService-gränssnitt och för att kunna kommunicera med t.ex NTjP men man bör alltså även beställa ett certifikat till front-end-domänerna från annan utgivare t.ex SSL-certifikat från Telia eller DigiCert. För befintliga installationer med SITHS-certifikat i front-end finns en guide skriven: Byta bort SITHS-cert i frontend För nyinstallation se tillagda avsnitt i installationsanvisningen för Lokala Säkerhetstjänster 2.17 |
Lokala Säkerhetstjänster 2.17 Release Notes Nya funktioner / förbättringarFörändringar i AutentiseringstjänstenSAML-attributet SessionNotOnOrAfter inaktiveratSäkerhetstjänsters IdP har tidigare alltid levererat attributet SessionNotOnOrAfter i SAML-biljettens AuthnStatement. Leveransen av detta attribut är nu konfigurerbart men avslaget som default för att följa konfigurationen i den Nationella leveransen. Denna förändring görs på begäran för att system som använder Shibboleth SP ska fungera bättre tillsammans med Säkerhetstjänsters IdP. Förändringar i GUI för spärradministration.Stöd för reservidentitetGUI:t för spärradministration har nu även stöd för nationell reservidentitet. I fältet för person-id kan man nu ange personnummer, samordningsnummer eller reservidentitet. För reservidentitet kan dock endast nationell reservidentitet användas. Lokala reservidentiteter kan alltså inte användas för att administrera spärrar för en person. Skulle det finnas kopplade identiteter till angivet personid visas dessa högst upp i gränssnittet med information om vilken identitet som är huvudidentitet. Det är från denna version möjligt att registrera en spärr på en nationell reservidentitet men spärrar som lags på en reservidentitet kommer inte automatiskt att läggas på en eventuell kopplad huvudidentitet eller tvärtom. Använd informationen i rutan som visas ifall kopplade identiteter hittats och lägg manuellt spärrar även på dessa identiteter om så önskas. Notera att spärrtjänstens gamla tjänstekontrakt inte hanterar reservidentiteter och kommer alltså inte att returnera spärrar registrerade på reservidentiteter. Se kapitel 3.2 Tjänstegränssnitt för mer information Förändringar i GUI för loggadministrationStöd för reservidentitetGUI:t för Loggrapportgenerering har nu stöd även för nationell reservidentitet. Vid sökning med avseende på patient har en ny notifiering lagts till ifall kopplade identiteter finns på eftersökt patient så att man vid behov även kan skapa rapporter för en kopplad identitet Förändringar i GUI för samtyckeStöd för reservidentitetGUI:t för samtycke har nu stöd även för nationell reservidentitet. Patientrelation borttagen som tjänstTjänsten patientrelation upphör att existera som tjänst i Lokala och Nationella Säkerhetstjänster i och med denna version. GränssnittsförändringarAnvändargränssnittUppdaterat GUI: Spärregistrering
Uppdaterat GUI: Loggrapport
Uppdaterat GUI: Samtycke
TjänstegränssnittNy version av tjänstekontrakt för SpärrtjänstenNya spärrkontrakt (version 4) är framtagna i en ny domän för att stödja reservidentiteter. Beskrivning av dessa finns på http://rivta.se/domains/informationsecurity_authorization_blocking.html Tidigare versioner av spärrkontrakten finns kvar för bakåtkompatibilitet. Ny version av tjänstekontrakt för LoggtjänstenNya loggkontrakt (version 2) är framtagna i en ny domän för att stödja reservidentiteter. Beskrivning av dessa finns på http://rivta.se/domains/informationsecurity_auditing_log.html Tidigare versioner av loggkontrakten finns kvar för bakåtkompatibilitet. Ny version av tjänstekontrakt för SamtyckestjänstenNya samtyckeskontrakt (version 2) är framtagna i en ny domän för att stödja reservidentiteter. Beskrivning av dessa finns på http://rivta.se/domains/informationsecurity_authorization_consent.html Tidigare versioner av samtyckeskontrakten finns kvar för bakåtkompatibilitet. Tjänstekontrakten för Patientrelationstjänsten borttagnaTjänsten Patientrelation upphör att existera som tjänst i Nationella och Lokala Säkerhetstjänster i och med denna version. HSA-TK uppdaterat till 2.0Säkerhetstjänster använder nu HSA:s tjänstekontrakt version 2 för att hämta personaldata i de fall man inte använder HSA-WS (som är under avveckling - se Externa anslutningar nedan). Man behöver då access till följande kontrakt via den Nationella Tjänsteplattformen: Employee Authorizationmanagement Organization
Externa anslutningarHSA-TK 2.0Anslutning till HSA-katalogen används av flera tjänster i Lokala Säkerhetstjänster. Tidigare har det äldre gränssnittet HSA-WS använts men detta är under avveckling så nu ska istället HSA-anslutning ske genom HSA'a tjänstekontrakt via Nationell Tjänsteplattform. Kontakta Inera i god tid innan installation för att i bli upplagd som konsument av de nya HSA-kontrakten i domänerna infrastructure:directory:employee, infrastructure:directory:authorizationmanagement och infrastructure:directory:organization Beställning av behörighet till följande kontrakt görs i Inera's Elektroniska beställningsstöd (sidan kräver att du har ett SITHS-kort):
Nationella spärrtjänsten version 4För spärreplikering till och från den Nationella Spärrtjänsten är Lokala Säkerhetstjänster 2.17 endast kompatibel med Spärr 4.0 via den Nationella Tjänsteplattformen. Kontakta Inera i god tid innan installation för att i bli upplagd som konsument av de nya spärrkontrakten i domänen informationsecurity:authorization:blocking Beställning av behörighet till följande kontrakt görs i Inera's Elektroniska beställningsstöd (sidan kräver att du har ett SITHS-kort):
Personuppgiftstjänsten version 3För uppslag av personuppgifter är Lokala Säkerhetstjänster 2.17 endast kompatibel med GetPersonsForProfile i domänen strategicresourcemanagement:persons:person via den Nationella Tjänsteplattformen. Kontakta Inera i god tid innan installation för att i bli upplagd som konsument av kontraktet. Beställning av behörighet till följande kontrakt görs i Inera's Elektroniska beställningsstöd (sidan kräver att du har ett SITHS-kort):
Förändrade systemkravMongoDB version 3.4Lokala Säkerhetstjänster använder databasen MongoDB för lagring av statistik, systemloggar samt PDL-loggar för logguppföljning. Lokala Säkerhetstjänster 2.17 är kvalitetssäkrat mot MongoDB version 3.4 med databasmotorn WiredTiger. DokumentationFöljande dokumentation finns för Lokala säkerhetstjänster 2.17 AnvändarhandbokSystemdokumentationGuide till säkerhetstjänsternaGuide till Säkerhetstjänsterna Observera guiden är anpassad för Nationella Säkerhetstjänster men kan till stor del användas som stöd även för de Lokala Säkerhetstjänsterna. Autentisering (IdP)
Autentisering, Rik klient (STS) Gäller endast Lokala SäkerhetstjänsterOBS! WS-Trust är en teknik som inte längre stöds i nya IdP och nya implementationer rekommenderas inte att använda denna teknik.
Uppdragsvalstjänsten (Commission Service)OBS! Commission Service är en teknik som inte längre stöds i nya IdP och nya implementationer rekommenderas inte att använda denna teknik.
Logg
Samtycke
Spärr
Testrapport (kräver inloggning)Se 2.17 Testrapport (CGI & Inera) Fullständig åtgärdslista (kräver inloggning)Se 2.17 Fullständig åtgärdslista Installation av Lokala SäkerhetstjänsterNyinstallationFör att installera Lokala Säkerhetstjänster utan att ha en tidigare version följ instruktionerna: Uppgradering från tidigare versionFör att uppgradera från tidigare version följ uppgraderingsinstruktionerna: Ladda ner lokala SäkerhetstjänsterNedladdningssite för att hämta hem senaste versionen finns på https://public.cgi.com/~sakerhetstjanster/ |