Føderative sikkerhedsmodeller til Sårjournalen
|
|
- Lotte Kronborg
- 8 år siden
- Visninger:
Transkript
1 Bilag 2, Saarjournalen, sikkerhedsmodel, arkitektur Bilag til punkt 7, Forretningsarkitektur på beskæftigelsesområdet Føderative sikkerhedsmodeller til Sårjournalen Statens Seruminstitut Sektor for National Sundheds-IT - Overordnet arkitektur Artillerivej København S Version: 0.95 Udarbejdet af: Esben Andreas Dalsgaard / NSI Kommunal føderation National Sundhedsføderation Fællesoffentlig føderation Lokalt sikkerhedsdomæne IdP/STS Rolle/Rettigheder (attributter) Autentifikation + IdP / STS (f.eks. ADFS) 6? Regional føderation IdP/STS 5? IdP/STS 7 NemLogin IdP Browser 3 Sårjournalen Bruger Side 1
2 I. Revisionshistorik Version Dato Ansvarlig Beskrivelse EAD Modellerne uddybet og målrettet arkitekturrådsdeltagere EAD Midlertidig passiv model tilføjet EAD Uddybning af sikkerhedselementer EAD Forenkling af figurer og notation EAD Diverse omskrivninger. Notat klar til forelæggelse for regionernes og kommunernes itarkitekturråd EAD Tilrettet efter behandlingen i regionernes it-arkitekturråd Side 2
3 II. Indholdsfortegnelse 1 Indledning Begreber / termer Forventede anvendelsesscenarier Sundhedsperson anvender Sårjournalen gennem fagsystem Link tilgår sundhedspersonen gennem korrespondancemeddelelse Anvendelse af Sårjournalen i en browser Borgerens egen adgang Sundhedspersoners adgang til Sårjournalen gennem mobile devices System-til-System rekvirering af Sårjournaldata System-til-System registrering i Sårjournalen Principper Udnyt så vidt muligt eksisterende løsninger Brugeradministration foretages i egne systemer Samme autentifikationssikkerhed som ved Fælles Medicinkort Skab bedre sammenhæng mellem systemer Tænk fremad så kommende løsninger får gavn af indsatsen Løsningen må ikke være unødigt svær at administrere Følg referencearkitekturer og øvrige analyser Sikkerhedsmodeller Arkitektoniske præmisser, valg og fravalg Aktiv SAML login model Sikker Browseropstart Passiv fødereret model Passiv model med SOSI STS til stærk autentifikation Emner der bør analyseres nærmere Andre sikkerhedsovervejelser Referencer Side 3
4 1 Indledning Nærværende notat beskriver de sikkerhedsmodeller der overvejes i forbindelse med Sårjournalen. Notatet har til hensigt at skabe et overblik over de arkitektoniske og strukturelle valg der kan træffes i forhold til sikker adgang til Sårjournalens helbredsinformationer, og skal danne grundlag for diskussion og beslutning af det endelige sæt af sikkerhedsløsninger, der skal anvendes i relation til Sårjournalen. Sikkerhedsmodellerne har været diskuteret ved to møder i en arbejdsgruppe bestående at regionale arkitekter, en kommunal arkitekt, NSI og Med- Com. Målgruppen for notatet er arkitekter og beslutningstagere i Sårjournalsprojektet, samt leverandører der skal etablere de beskrevne løsninger. Endvidere er notatet tiltænkt behandling i henholdsvis regionale og kommunale it-arkitekturråd bl.a. med henblik på at vurdere løsningernes genbrugelighed i forhold til andre nationale applikationer. 1.1 Begreber / termer Forkortelse i teksten AD cnsp COTS dnsp EPJ FMK IdP LPS Beskrivelse Active Directory. En central del af Microsofts Windows platform til lagring og styring af bl.a. brugerinformationer, roller og rettigheder. cnsp er forkortelsen for "central NSP", dvs. den NSP-instans, der er placeret centralt i den nationale infrastruktur og som kan anvendes af de parter i sundhedssektoren, der ikke har mulighed (eller ønske om) at have egen NSP-instans (kaldet dnsp). Commercial-Off-The-Shelf. dnsp er forkortelsen for "decentral NSP", og er fællesbetegnelsen for de NSP-instanser, der er placeret ude hos regionerne. Elektronisk Patientjournal. En portefølje af sundhedsfaglige it-systemer og -moduler, der tilsammen udgør den daglige it-værktøjskasse for bl.a. klinikere på sygehuse. Det Fælles Medicinkort. En national it-tjeneste, der drives Statens Serum Institut (tidligere Lægemiddelstyrelsen), som gør det muligt at få informationer om alle patienters aktuelle medicinering. Identity Provider. En it-tjeneste der ved hjælp af it-tekniske hjælpemidler og akkreditiver, kan kontrollere om en bruger er den, vedkommende udgiver sig for at være. En IdP opretholder login sessioner på tværs af web applikationer. Dermed kan der opnås Single Sign On, dvs. brugeren behøver kun logge på én gang for at få adgang til alle web applikationerne, der er med i IdP sammenslutningen. Nogle IdP er implementeringer understøtter også Single Log-out, så brugeren automatisk logges af i alle tilsluttede web applikationer. Lægepraksissystem. Side 4
5 NIST NSI NSP OCES Security Token SOSI STS SOSI-GW National Institute of Standards and Technology. Standardiseringsorganisation i USA. Sektor for National Sundheds-it, Statens Serum Institut. Den Nationale Serviceplatform på sundhedsområdet. En platform med en række it-infrastrukturelementer, der gør det nemmere, billigere og mere sikkert at udveksle sundhedsdata Offentlige Certifikater til Elektroniske Services. Det danske fællesoffentlige system til digitale signaturer. En digital "klump" af data der indeholder sikkerhedsattributter der relaterer sig til en bruger, et system eller en virksomhed. I sundhedsdomænet er security tokens struktureret efter SAML2 standarden. ServiceOrienteret SystemIntegration. SOSI leverer integrationsmekanismer, infrastrukturkomponenter og værktøjer til webservicebaseret integration mellem anvendersystemer (f.eks. regionale EPJ-systemer eller lægepraksissystemer) og nationale services. SOSI udgør en væsentlig del af det tekniske fundament for NSP infrastrukturkomponenterne. Security Token Service. En it-tjeneste i infrastrukturen, som udsteder "security tokens". Disse "tokens" indeholder typisk informationer om brugeren som STS tjenesten har kontrolleret og som den modtagende part dermed kan stole på. SOSI-Gateway. En security token cache i den nationale sundhedsinfrastruktur. Side 5
6 2 Forventede anvendelsesscenarier Nærværende afsnit redegør for de forventede brugsscenarier i Sårjournalen. Det er vigtigt at sikkerhedsinfrastrukturen og sikkerhedsmodellerne forholder sig til disse, så det sikres at brugernes brug af løsningen bliver så smidig som mulig. 2.1 Sundhedsperson anvender Sårjournalen gennem fagsystem En sundhedsperson, der arbejder i sit fagsystem, får brug for at se oplysninger i Sårjournalen og aktiverer Sårjournalen ved at trykke på en knap i fagsystemet. Herefter åbner Sårjournalen i et browser vindue (enten selvstændig browser eller indlejret i fagsystemet), hvor sårjournalen viser data på den patient man arbejdede med i fagsystemer. Løsningen skal sikre at sundhedspersonen ikke skal logge sig på igen eller fremsøge den pågældende patient i forbindelse med åbning af sårjournalen. Af patientsikkerhedsmæssige årsager er det vigtigt, at løsninger der benytter sig af denne type systemintegration bedst mulig sikrer, at der ikke opstår situationer, hvor patienten i fagsystemet er en anden end den vist i browservinduet. Denne risiko kan reduceres ved at sikre, at man ikke i Sårjournalen kan navigere til andre patienter end den, der blev aktiveret fra fagsystemet. Tilsvarende skal fagsystemet så vidt muligt forsøge at sikre at lukke browservinduer med patienter, der ikke længere er i fokus i fagsystemet. Ofte kan dette bedst sikres gennem indlejrede browservinduer og/eller ved anvendelse af visuelle virkemidler 1, der gør brugerne opmærksomme på denne risiko. Fagsystemet starter en browser med Sårjournalen. Brugeren bliver automatisk logget på og patienten bliver automatisk valgt Fagsystem Browser Sårjournalen 2.2 Link tilgår sundhedspersonen gennem korrespondancemeddelelse En sundhedsperson modtager et link i en korrespondancemeddelelse, der henviser til en person/registrering i Sårjournalen. Sundhedspersonen klik- 1 Region Sjælland har erfaringer med denne type løsninger. Side 6
7 ker på linket, og kan gå ind og se den pågældende person/registrering uden at skulle logge på igen (hvis dette er sket tidligere). 2.3 Anvendelse af Sårjournalen i en browser En sundhedsperson aktiverer selv en web browser og går ind i sårjournalen for at arbejde (opstart af browser uden fagsystem). Hvis brugeren allerede har været i kontakt med Sårjournalen (eller anden tjeneste, der i fremtiden er i samme føderation ), vil vedkommende ikke blive bedt om at logge ind igen. Vedkommende kan nu navigere rundt blandt de patienter som vedkommende har en behandlingsmæssig relation til. Sundhedspersonen aktiverer Sårjournalen i en Browser. Browser Sårjournalen 1. Anvendelse af Sårjournalen på farten En sårsygeplejerske tager billeder af sår i hjemmet og uploader disse til sårjournalen sammen med en beskrivelse / andre registreringer. (Se også anvendelsesscenariet med mobile devices nedenfor). 2.4 Borgerens egen adgang En borger ønsker selv indsigt i Sårjournalen og tager adgang til journalen f.eks. gennem Sundhed.dk. Der kan i fremtiden tænkes andre adgange til Sårjournalen, f.eks. adgang gennem særlig app eller lignende. En borger ser på sin Sårjournal f.eks. gennem Sundheds.dk Browser Sundhed.dk Sårjournalen Side 7
8 2.5 Sundhedspersoners adgang til Sårjournalen gennem mobile devices Der er et stigende behov for at kunne anvende mobile devices (f.eks. ipad) i de sundhedsfagliges arbejdsdag. Dette kan enten være gennem et device leveret af arbejdsstedet eller ved anvendelse af eget device ( Bring your own deveice, BYOD). Her skal det være muligt at logge på og navigere til patienten i Sårjournalen. 2.6 System-til-System rekvirering af Sårjournaldata En bruger aktiverer en funktion i et fagsystem, der er integreret med Sårjournalen gennem tekniske system-til-system snitflader. Under antagelse af, at brugeren tidligere har foretaget stærk autentifikation (f.eks. ift. FMK) rekvireres data fra Sårjournalen nu på brugerens vegne uden brugeren skal logge ind eller angive patient. System-til-System integration. Fagsystemet rekvirerer data fra Sårjournalen og præsenterer det i fagsystemet. Fagsystem Sårjournalen 2.7 System-til-System registrering i Sårjournalen En bruger aktiverer en funktion i et fagsystem, der er integreret med Sårjournalen gennem tekniske system-til-system snitflader. Under antagelse af, at brugeren tidligere har foretaget stærk autentifikation (f.eks. ift. FMK) indleveres data til Sårjournalen nu på brugerens vegne uden at brugeren skal logge ind igen og uden at skulle genindtaste data. Fagsystem System-til-System integration. Fagsystemet indleverer data til Sårjournalen Sårjournalen Side 8
9 Scenarium 7 og 8 er medtaget som en fremtidig mulighed for at integrere fagsystemerne tættere med Sårjournalen. Det er ikke målet for det nuværende projekt at etablere disse integrationer, og scenarierne vil ikke blive behandlet yderligere i dette notat. Det skal dog nævnes, at der allerede eksisterer en sikkerhedsmodel, som understøtter disse scenarier (samme sikkerhedsmodel, som FMK anvender). Side 9
10 3 Principper Sikkerhedsmodellerne i nærværende notat baserer sig på en række principper. Principperne skaber grundlaget for sikkerhedsmodellerne og sikrer at modellerne holder sig inden for nogle fornuftige af veldefinerede rammer. Samtidig sikrer principperne at modellerne retter sig mod nogle centrale gevinster, og at nogle typiske risici imødegås. Nedenstående afsnit beskriver de principper som sikkerhedsmodellerne baseres på. 3.1 Udnyt så vidt muligt eksisterende løsninger Det er generelt et sundt princip at genanvende eksisterende og velafprøvede løsninger og standarder. Der skal naturligvis være plads til fornyelse og modernisering, men det skal ske kontrolleret og efter grundige analyser og overvejelser. I sårjournalprojektet, hvor sikkerhedsløsninger kun udgør en del af projektet, er det endvidere vigtigt, at disse aktiviteter ikke kommer til at suge kræfterne ud af alle de andre aktiviteter, der skal gennemføres i regi af projektet. Gevinster: Ved at genanvende eksisterende løsninger minimeres omkostningerne ift. sikkerhedsløsningerne. Ved at holde sig inden for velkendte kompetenceområder skabes der endvidere generelt bedre adgang til ressourcer hos leverandører, kunder og eksperter, hvilket minimerer tids- og ressourcemæssige risici i projekterne. Endelig undgår man en række børnesygdomme som erfaringsmæssigt følger med nyudviklingsprojekter. 3.2 Brugeradministration foretages i egne systemer Parterne omkring Sårjournalen ønsker som udgangspunkt at kunne administrere brugernes adgang til og privilegier i Sårjournalen gennem egne brugerstyringssystemer. Dette kan opnås gennem etablering af føderativ adgang. Der er allerede etableret en føderativ løsning i forbindelse med PPJ løsningen, og sammenholdt med princip 1 kalder det på at genanvende denne. Tilsvarende er KOMBIT ved at opbygge en føderativ løsning for kommunerne, som skal kunne indgå i sikkerhedsmodellerne. Gevinster: Dette princip sikrer at meromkostningerne i den daglige administration af Sårjournalen minimeres. I en fødereret løsning vil oprettelse, ændring og nedlæggelse/suspendering af brugerkonti i egne brugerrettighedssystemer automatisk give, ændre eller fjerne adgang til Sårjournalen. 3.3 Samme autentifikationssikkerhed som ved Fælles Medicinkort Da Sårjournalen kan indeholde følsomme helbredsinformationer er det nødvendigt at være sikker på brugerens identitet og autenticitet ved adgang til journalen. Der ønskes derfor samme autentifikationssikkerhed som Fælles Medicinkort, dvs. stærk autentifikation af brugeren, enekontrol over ak- Side 10
11 kreditiver (certifikat og kodeord) mm.. For nuværende 2 er det kun den såkaldte SOSI-STS og NemID der har den fornødne egenskaber i identifikations- og udstedelsesprocedurerne og i de tekniske akkreditiver til at kunne sikre stærk autentifikation. Gevinster: Det er vigtigt at bevare samfundets/borgernes tillid til fælles systemer. Mister vi denne tillid kan det skabe et meget vanskelligt klima, hvor nogle af de centrale gevinster ved sikker deling af data på tværs af sundhedsdomænet bliver vanskellige at etablere. Den foreslåede løsning forbedrer sikkerheden i sårjournalen på nogle kritiske punkter, bl.a. i forhold til links i korrespondancebeskeder og i forhold til adgangen via Internet. 3.4 Skab bedre sammenhæng mellem systemer Gennem en fokuseret indsats er udfordringerne omkring sundhedspersoners mange logins og genindtastninger nu på vej til at blive reduceret. Dette projekt medvirker til denne tendens ved at sikre gode integrationsmuligheder, hvor det f.eks. bliver muligt at logge ind på Sårjournalen gennem eget fagsystem. Hvis der allerede er foretaget stærk autentifikation tidligere (f.eks. fordi at brugeren har haft adgang til FMK), bør denne autentifikation kunne genanvendes og give adgang til Sårjournalen. 3.5 Tænk fremad så kommende løsninger får gavn af indsatsen Princip 1 sikrer at vi optimerer tidligere projekters investeringer. På samme måde bør man forsøge at sikre at eventuelle nyskabelser i dette projekt peger i en retning, som formodes at komme fremtidige initiativer til gode. 3.6 Løsningen må ikke være unødigt svær at administrere Sikkerhedsløsningen for Sårjournalen må ikke være unødig svær at administrere. F.eks. er der en vis dynamik i sundhedsvæsenets organisering og det må forventes at de forskellige dele af væsenet vil blive klar til føderering i lidt forskellige tempi. En løsning, hvor alle kommuners og regioners IdP/STS-certifikater skal håndteres (også ift. fornyelse etc.) vil derfor ikke være ønskelig. 3.7 Følg referencearkitekturer og øvrige analyser Sikkerhedsløsningen for Sårjournalen skal følge den vedtagne referencearkitektur for informationssikkerhed [REFARK_SIK] og følge de analyseresultater og anbefalinger der fremkom som resultat af initiativ 3.4 i digitaliseringsstrategien for sundhedsvæsenet vedrørende sikkerhedsstandarder og løsninger [ANALYSE_SIKKERHED]. Samlet peger disse på yderligere føderering af systemer i sundhedsdomænet og på tværs af domæner. 2 Anvendelse af lokale akkreditiver (f.eks. login gennem AD med token eller smartcard) kan etableres senere, men vil kræve at der er oprettet et såkaldt trust rammeværk mellem parterne. Trust rammeværket skal sikrer samme sikkerhed i indrullerings- og anvendelsesprocedurer som NemID. Side 11
12 4 Sikkerhedsmodeller Nærværende kapitel giver et overblik over de sikkerhedsmodeller, der er i spil i forhold til Sårjournalen. Der er ikke tale om gensidigt udelukkende modeller, men nærmere om et katalog af mulige sikkerhedsmodeller, som kan bringes i anvendes i forskellige sammenhænge. Modellerne illustreres i deres anvendelse fra en regional, kommunal og privat sammenhæng (LPS hhv. borger). 4.1 Arkitektoniske præmisser, valg og fravalg Modellerne i dette kapitel forsøger i videst mulig omfang at imødekomme de ovennævnte principper, men derudover er der en række andre arkitektoniske præmisser og valg, der er vigtige at kende inden modellerne gennemgås: Den nationale infrastruktur binder op til fællesregional- og fælles kommunal infrastruktur Infrastrukturen udnytter således at regioner og kommuner selv har skabt (eller er ved at skabe) en sammenhængende sikkerhedsinfrastruktur mellem de enkelte regioner eller kommuner. Den nationale infrastruktur har tillid til disse. Dermed skabes ikke stærke bindinger mellem den nationale infrastruktur og de enkelte regioner og kommuner) og den administrative opgave med vedligeholde tillidsrelationer (herunder håndtering af certifikater) og omveksle sikkerhedsbilletter (security tokens) mellem individuelle formater minimeres. Denne beslutning har administrative fordele men kan have robusthedsmæssige ulemper, idet robustheden af den nationale infrastruktur for brugere i en region eller kommune ikke kun afhænger af den lokale og den nationale infrastruktur, men også af den fællesregionale hhv. fælleskommunale infrastruktur. OIOSAML (OIO imellem føderationer) I forbindelse med initiativ 3.4 vedr. analyse af sikkerhedsstandarder og løsninger blev det anbefalet at al kommunikation mellem føderationer bør ske på baggrund af fællesoffentlige standarder (OIO-*). Derfor vil tokenformater mv. holde sig til disse standarder i nedennævnte modeller. Ikke flere udvidelser af SOSI-STS NSI er blevet frarådet at fortage udvidelser af den nuværende SOSI-STS for at imødekomme login til nationale browserbaserede tjenester. Der findes flere COTS produkter, der kan anvendes til dette. Midlertidig accept af lille risiko for kompromittering af føderationscertifikater I den nuværende sikkerhedsinfrastruktur i sundhedsvæsenet er føderationsnøglerne (dem der anvendes til underskrift af tokens fra SOSI-STS) ganske godt beskyttet gennem hardwarebeskyttede sikkerhedsmoduler (Hardware Security Modules, HSM), videoovervågning og fastlagte administrationsprocedurer. Øvrige parter vil sandsynligvis ikke opnå samme sik- Side 12
13 kerhed fra begyndelsen. Denne risiko vælger NSI at acceptere i første omgang. Flere SAML assertions ikke understøttet af standardprodukter. I nogle af modellerne ville det være optimalt at parterne kunne udstede forskellige SAML assertions med deres egen signatur for de dele af sikkerhedsinformationerne som parten er autoritet for. På trods af at dette er understøttet af SAML standarden, understøttes det typisk ikke af COTS produkter, hvorfor modellerne ikke opererer med flere assertions. 4.2 Aktiv SAML login model Sikker Browseropstart I forbindelse med blandt andet e-journal og Sundhedsjournalen blev der etableret en mulighed for at genanvende et tidligere afgivet log-in til at skabe Single Sign-On mellem fagsystemer og browserløsninger. I regionerne kendes denne løsning også som knapløsningen eller sikker browseropstart. I denne sikkerhedsmodel oplever brugeren, at når der trykkes på en knap i et fagsystem (typisk et EPJ system) startes der en browser (eller en indlejret browserkomponent), hvor brugeren automatisk er logget ind. I protokollen overføres også de nødvendige kontekstinformationer (f.eks. patient) og evt. rolle/rettighedsinformationer fra den lokale kontekst. Scenariet er kendt som et aktivt scenarie fra SAML profilerne, idet klienten (user agent) aktivt autentificerer sig inden serviceudbyderen kontaktes, i modsætning til det passive scenarie, hvor en browser blot kontakter en serviceudbyder, og hvor serviceudbyderen så må sikre at brugeren bliver passende autentificeret (typisk gennem redirigering til en IdP/STS). Flowet i den eksisterende løsning er illustreret i nedenstående Figur 1 og er ens uanset hvilken sammenhæng der er tale om (regional f.eks. EPJ, kommunal f.eks. EOJ, privat f.eks. LPS). Modellen gælder dog kun professionelle brugere og kræver at man kan få adgang til den nationale STS, hvilket alene kan ske via sundhedsdatanettet. Lokalt sikkerhedsdomæne National sundhedsføderation Autentifikation (f.eks. AD / Kerberos) Rolle/Rettigheder (f.eks. AD / LDAP) Bruger Fagsystem 4 Security Token Service (SOSI STS) 5 trust Browser 6 Sårjournalen Figur 1 - Sikker Browseropstart. Løsningen eksisterer i dag som en del af den nationale service platform. Side 13
14 Skridt: 1. Brugeren autentificeres i det lokale sikkerhedsdomæne (f.eks. Kerberos / LDAP / AD). Dette kan ske ved login på brugerens digitale arbejdsplads eller ved login til fagapplikationen. 2. Brugeren kontrolleres for de nødvendige privilegier ift. at kunne aktivere knappen. Evt. rollenavne eller lignende ift. sårjournalen rekvireres fra den lokale brugerstyringsløsning. 3. Hvis ikke brugeren allerede har et SOSI id-kort (token udstedt af SOSI STS en, som f.eks. anvendes i FMK), skal dette udstedes inden sikker browseropstartsprocessen kan fortsætte. Dette vil pt. kræve at brugeren autentificeres med sin medarbejder NemID, dvs. stærk autentifikation på NIST niveau 3. STS en kontrollerer det fremsendte autentifikationsbevis og udsteder et SOSI id-kort signeret af STS en. 4. Fagsystemet rekvirerer et SAML token, som skal anvendes til autentifikation hos Sårjournalen. SOSI id-kortet medsendes i dette request. SOSI STS en returnerer et token, der overholder OIOSAML standarden) hvori SOSI id-kortet kan indlejres (afhængig af aftale ift. den konkrete service, her Sårjournalen). Det udstedte SAML token bliver krypteret under Sårjournalens offentlige nøgle, så tokenet (og det evt. indlejrede SOSI id-kort) kun er læsbart af Sårjournalen. 5. Det rekvirerede token indlejres i et stykke HTML (med et såkaldt postredirect kald) og en browser åbnes til at vise dette HTML. 6. Browseren redirigeres til Sårjournalen som modtager det indlejrede token. Sårjournalen ser dette som en del af en standard SAML protokol (såkaldt unsolicited IdP response), og kan nu etablere en session med brugeren. Sårjournalen har nu logget brugeren ind, på baggrund af det kryptografisk sikrede informationer om brugeren (navn, CPR, evt. sundhedsfaglig autorisation) og et bevis på at vedkommende er stærkt autentificeret. Øvrige kontekstinformationer skal fagsystemet supplere med, herunder patientidentifikation og andre informationer, der skal anvendes til adgangskontrol, kontrol af behandlingsrelation, samtykkekontrol etc. Disse vil i den nuværende/kørende løsning ikke være en del af det fremsendte token, men blive suppleret som kontekstinformation ved siden af tokenet. Dette scenarie imødekommer brugsscenarie 1. Brugsscenarie 4 og 6 (mobile devices) kan også imødekommes, men det kræver at løsningen knyttes op som klient til fagsystemet. Gevinster: - Høj grad af genanvendelse - Afprøvet og kørende løsning - Relativ simpel protokol - Baseret på internationalt anerkendte standarder - Er i nogen grad understøttet af standardrammeværk og løsninger - Ingen afhængighed til eksterne (fællesoffentlige) identitetsløsninger og dermed robust ift. temporære udfald af disse. - Robust løsning ift. regionerne idet SOSI-STS er distribueret til hver region (dnsp). Kommuner og LPS skal anvende den centrale cnsp STS. Ulemper/Risici: Side 14
15 - Kontekstinformation skal suppleres af fagsystemet og er pt. ikke standardiseret. - Selve opstartsfunktionaliteten (opstart af browseren vha. postredirect) kan være kompleks i visse sammenhænge. - Det kan være komplekst at lave en fagsystem-til-browser løsning, der i fornødent omfang sikrer mod visning af flere patienters data på samme tid. - Løsningen kræver adgang til sundhedsdatanettet. 4.3 Passiv fødereret model Denne model beskriver et klassisk SAML2 føderationsscenarium, hvor brugerens browser redirigeres til en login kontekst, hvor brugeren har mulighed for at autentificere sig, og hvor der autoritativt kan siges noget om brugerens attributter (roller). Da Sårjournalen ikke umiddelbart kan se, hvilken organisatorisk sammenhæng (f.eks. regional / kommunal) brugeren kommer fra, vil det være nødvendigt enten at spørge brugeren (vise en HTML side med nogle valg) eller via tekniske informationer (IP range eller lignende) forsøge at gætte hvilken login-kontekst brugeren kommer fra. Hovedflowet i den påtænkte løsning er gennemgået i Figur 2. Kommunal føderation National sundhedsføderation Lokalt sikkerhedsdomæne IdP/STS (ikke autoritet for brugeren) Rolle/Rettigheder (attributter) Autentifikation + IdP/STS (f.eks. ADFS) 6? Regional føderation IdP/STS (ikke autoritet for brugeren) 5? National IdP/STS (ny) (ikke autoritet for brugeren) Browser 3 Sårjournalen Bruger Figur 2 - Hovedflow i et standard passivt SAML SSO login med flere føderationer og IdP/STS er. Skridt: 1. Brugeren autentificeres i det lokale sikkerhedsdomæne (f.eks. Kerberos / LDAP / AD). Dette kan som tidligere nævnt f.eks. ske ved login på brugerens digitale arbejdsplads eller ved login til fagapplikationen. 2. Brugeren starter en browser. 3. Brugeren indtaster sårjournalens URL i adressefeltet eller ledes dertil fra intranet eller lignende. 4. Sårjournalen redirigerer browseren til den nationale IdP/STS 5. IdP/STS en søger at fastslå hvilken sikkerhedskontekst brugeren kommer fra (f.eks. regional eller kommunal) enten ud fra tekniske informationer (evt. URL parameter, IP adresser) eller ved at spørge brugeren. Den nationale IdP/STS redirigerer browseren til en IdP/STS for det pågældende sikkerhedsdomæne. Side 15
16 6. Den (i eksemplet) regionale IdP/STS vil igen forsøge at afgøre hvilket lokal sikkerhedsdomæne brugeren kommer fra og redirigere browseren til den lokale IdP/STS, der kontrollerer at brugeren er logget ind i den lokale kontekst, kontrollerer/indsamler rolleinformationer, og udsteder et SAML token med bevis for autenticitet og rollerinformationer. Browseren redirigeres tilbage til sårjournalen med det udstedte token. I skridt 5 og 6 skifter IdP/STS en rolle og bliver klient til den næste IdP/STS i rækken. Denne funktionalitet er ikke beskrevet som en del af SAML web SSO protokollen, men er noget flere produkter understøtter. Som klient overholder IdP/STS en dog stadig SAML standarden/protokollen. I sin reneste form kræver ovenstående model, at hver part har etableret mulighed for stærk autentifikation og at der mellem parterne er skabt et trust framework med aftaler, audit og hvad dertil hører. I den nuværende infrastruktur er det ikke muligt at opnå stærk autentifikation hos parterne baseret på et fælles trust framework. Indtil dette opnås, kan man indsætte et ekstra trin (7), hvor brugeren autentificeres hos Nem- Login IdP/STS en (hvis vedkommende ikke allerede tidligere er autentificeret) og dermed anvende OCES politikkerne og løsningerne ift. sikring af de fornødne processer etc. Kommunal føderation National Sundhedsføderation Fællesoffentlig føderation Lokalt sikkerhedsdomæne IdP/STS Rolle/Rettigheder (attributter) Autentifikation + IdP / STS (f.eks. ADFS) 6? Regional føderation IdP/STS 5? IdP/STS 7 NemLogin IdP Browser 3 Sårjournalen Bruger Figur 3 - Samme forløb for ovenfor, men med et ekstra trin indsat til stærk autentificering af brugeren hos NemLogin IdP'en. 7. Sårjournalen redirigerer browseren til NemLgin, hvor brugeren autentificeres vha. NemID for medarbejder. Hver IdP/STS skaber et token, der krypteres under den offentlige nøgle for den forrige IdP/STS i kæden. Når tokenet på returvejen modtages af den forrige IdP/STS dekrypteres og rekrypteres ift. den forrige IdP/STS etc. Til sidst modtages tokenet af den nationale IdP/STS, dekrypteres og kombineres med NemLogin tokenet og der udstedes et nyt token, der krypteres under sårjournalens offentlige nøgle, så det sikres at kun sårjournalen kan læse/anvende tokenet. Side 16
17 Det karakteristiske ved modellen er at den fødererer delområderne i sundhedssektoren (nationale tjenester hhv. regionale tjenester og kommunale tjenester), og den genanvender de enkelte parters nuværende eller snart kommende føderationsløsninger. Modellen har en særlig styrke i at al sessions-kontrol (kontrol af at brugeren stadig er logget på i den pågældende parts it-infrastruktur) sker i egen infrastruktur. Dette scenarie imødekommer brugsscenarie 2,3 og 5. Brugsscenarie 4 og 6 (mobile devices) kan også imødekommes, men det kræver at løsningen enten kommunikerer med lokal infrastruktur (herunder lokal signaturserver) eller at brugerne udstyres med centralt opbevaret NemID med nøgleviser. Gevinster: - Modellen genanvender en stor del af den eksisterende sikkerhedsinfrastruktur - Store dele af løsningen er velafprøvet - Der skal kun ske få tilretninger i PPJ for at kunne håndtere Sårjournalens rolle/rettighedsmodel. Der forventes heller ikke store ændringer i forhold til KOMBITs løsning. - Baseret på internationalt anerkendte standarder - Klassisk føderationsløsning mellem større parter på sundhedsområdet. - Er i høj grad understøttet af standardrammeværk og løsninger Ulemper/Risici: - Der skabes en afhængighed mellem sundhedsområdets sikkerhedsløsninger og den fællesoffentlige sikkerhedsløsning. - Det skal sikres, at der ikke er problemer i forhold til aftaler og politikker, der er gældende for NemLogin. 4.4 Passiv model med SOSI STS til stærk autentifikation Der er arbejdet med et alternativ til ovenstående passive model, der ikke benytter NemLogin, men i stedet den på sundhedsområdet etablerede autentifikationsmekanisme (SOSI-STS). Denne kræver langt større tilpasning af den lokale infrastruktur og den vil ikke dække borgerens adgang til sårjournalen (scenarium 5), men gennemgås for fuldstændighedens skyld nedenfor i Figur 4. Side 17
18 Kommunal føderation National sundhedsføderation Lokalt sikkerhedsdomæne IdP/STS (ikke autoritet for brugeren) Rolle/Rettigheder (attributter) Autentifikation + IdP / STS (f.eks. ADFS) 7 6? Regional føderation IdP/STS (ikke autoritet for brugeren) 5? National IdP/STS (ny) (ikke autoritet for brugeren) trust 4 1 Token cache (fx. SOSI-GW) 8 SOSI STS 2 Browser 3 Sårjournalen Bruger Figur 4 - Passivt login scenarie med anvendelse af SOSI-STS i stedet for NemLogin til stærk autentificering. Skridt: Skridt 1-6 er de samme som i ovenstående passive model. 7. Den lokale IdP/STS kontrollerer om brugeren allerede har et gyldigt SOSI-ID-kort. I regional sammenhæng kan dette kontrolleres i SOSI- GW komponenten. Har brugeren ikke det, skal brugerens browser redirigeres til en side, hvor der afgives digital signatur og der udstedes et SOSI id-kort (ny funktionalitet eller genanvendelse af eksisterende funktionalitet). Det vil kræve ny funktionalitet i de lokale IdP/STS instanser at foretage denne kontrol/nyudstedelse. 8. Den lokale IdP/STS veksler nu SOSI id-kortet til et OIO-SAML token, der krypteres under den nationale IdP/STS s offentlige nøgle. Dette er eksisterende funktionalitet i SOSI-STS en. Gevinster: - Modellen genanvender en stor del af den eksisterende sikkerhedsinfrastruktur - Flere dele af løsningen er velafprøvet - Uafhængighed af fællesoffentlige login tjenester Ulemper/Risici: - Alle lokale parter skal udvikle funktionalitet til kontrol/udstedelse af SOSI id-kort fra egen IdP/STS Det vil være teknisk muligt at gennemføre begge passive modeller og dermed give kommuner og regioner valgfrihed i forhold til, hvordan føderationsadgang etableres. Det skal dog bemærkes at der er væsentlige udvik- Side 18
19 lingsaktiviteter forbundet med denne model, og der skal derfor være gode argumenter for at gå i denne retning, for at det giver mening at implementere den. 4.5 Emner der bør analyseres nærmere Samtidig adgang til sundhedsdatanet og internet. Da en række aktører forventes at skulle have adgang til Sårjournalen, herunder private virksomheders løsninger til sundhedspersoner og borgere, skal sikkerhedsmodellen sandsynligvis kunne håndtere samtidig adgang til/fra sundhedsdatanettet og internettet. Dette er særligt en emne i forbindelse med det fødererede scenarie med anvendelse af NemLogin. Her skal kommunikationen til eksempelvis den fællesregionale IdP ske via sundhedsdatanettet mens dette ikke vil være tilfældet, når browseren redirigeres til NemLogin. Det skal analyseres nærmere om dette netværksskifte kan give problemer. Tokenformat og -indhold. I det aktive scenarium ( sikker browseropstart ) er det muligt at fremsende en relativ præcis kontekst sammen med autentifikationsbeviset (valgt patient mm.) netop fordi browsersessionen initieres fra et fagsystem. Dette er ikke muligt i det passive scenarium, hvor konteksten som hovedregel først skabes efter autentifikation. Security tokens for begge scenarier skal beskrives og det skal tilstræbes at holde dem så ens som mulige (om muligt gerne samme format). Hvis det i det passive scenarium bliver nødvendigt at lægge flere informationer i security tokenet (eksempelvis information om samtlige sundhedsfaglige autorisationer), er der så adgang til attributservices med denne information? Håndtering af links i det aktive login scenarium ( sikker browseropstart ) I det aktive scenarium overføres oplysninger om bruger og patientkontekst med et såkaldt http post-redirect kald. Oplysninger om patientkontekst (patient- eller kontaktid) fremgår altså ikke af browserens URL ved opstart. Det skal undersøges, om dette er et problem i forhold til understøttelse af anvendelsesscenarium 2.2 (link i korrespondancebesked). Kan modeller optimeres ved brug af SAML IdP Discovery Service Protocol? I hvilket omfang er SAML IdP Discovery Service Protocol understøttet af markedsprodukter og kan denne protokol anvendes i de beskrevne modeller til at reducere antallet af re-directs, krypteringer og dekrypteringer samt signeringer af securitytokens? Hvilke konsekvenser vil en sådan anvendelse have ift. drift og vedligehold? Side 19
20 5 Andre sikkerhedsovervejelser Ovenstående redegør for autentifikation og for dele af informationsgrundlaget for autorisation af brugere til Sårjournalen. Som national service skal Sårjournalen naturligvis overholde øvrige dele af lovgivning, bekendtgørelser og vejledninger, herunder - Kontrol/Opfølgning af aktiv behandlingsrelation mellem patient og bruger - Kontrol af evt. samtykkeforhold / frabedelse af indsigt - Fuldmagtsrelationer mellem borgere - Delegeringsrelationer mellem sundhedspersoner - Håndtering af værdispring - Orientering af borgeren gennem MinLog Disse sikkerhedsaspekter er beskrevet nærmere i Referencearkitektur for Informationssikkerhed [REFARK-SIK], men skal kort skitseres her. De forskellige relationer og sikkerhedsbegreber er illustreret nedenfor i Figur 5. Ledelse Ledelsens tilrettelæggelse af arbejdsfunktioner (her tildeling af brugeradministrator- privilegier) Administrativ medarbejder (brugeradministrator) Delegeret Ledelsesmyndighed (tildeling af arbejdsfunktioner) Sundhedsfaglig medarbejder Delegering iht. 42a stk Medarbejder (sekretær) Delegering iht. 42a stk. 8+9 Patient Behandlingsrelation Samtykke Fuldmagt Anden borger Figur 5 - Øvrige sikkerhedsaspekter og sikkerhedsrelaterede relationer mellem personer. I nedenstående Figur 6 ses en beslutningsgraf for Sundhedslovens 42a, som kan anvendes ift. designet af den tekniske sikring af digitale tjenester i sundhedsvæsenet. Side 20
21 Figur 6 - 'Beslutningsgraf' for Sundhedslovens 42a vedrørende sundhedspersoners indhentning af helbredsinformation. Sårjournalen håndterer i dag flere af disse aspekter på sin egen måde (f.eks. sikres behandlingsrelation gennem oprettelse af grupper af patienter) og på et eget niveau. Det kan på længere sigt overvejes, om Sårjournalen med fordel kunne tilrettes nationale og fællesoffentlige tjenester, der kan foretage forskellige kontroller i forbindelse med adgang til Sårjournalen. Side 21
22 6 Referencer [ANALYSE- SIKKERHED] [REFARK-SIK] Fællesoffentlige brugerstyringsløsninger - en analyse af sikkerhedsstandarder og løsninger, v.0.9, NSI, 30. september Denne analyse vil snart være at finde i version 1.0 (ny forside) på SSI s hjemmeside. Indtil da kan version 0.9 udleveres ved henvendelse til NSI. Referencearkitektur for informationssikkerhed, NSI, 2013, %20dansk/Sundhedsdata%20og%20it/Nationa lsundheds- It/Standardisering/Referencearkitektur%20for% 20informationssikkerhed%20v%20%201%200 %20nyt%20layout.ashx Side 22
Kommunernes it-arkitekturråd
FØDERATIVE SIKKERHEDSMODELLER TIL SÅRJOURNALEN (OG ANDRE NATIONALE IT-LØSNINGER PÅ SUNDHEDSOMRÅDET) Kommunernes it-arkitekturråd 18. december 2014 HVEM HAR DELTAGET I ARBEJDET? Arbejdsgruppe: Lars Nico
Læs mereSårjournalen. - Sikkerhedsmodeller. Dato: Version: 0.4. Udarbejdet af: Esben Andreas Dalsgaard. Statens Seruminstitut
Sårjournalen Statens Seruminstitut Sektor for National Sundheds-IT - Sikkerhedsmodeller www.nsi.dk Artillerivej 5 Dato: 03.10.2014 2300 København S Version: 0.4 Udarbejdet af: Esben Andreas Dalsgaard Side
Læs mereNotat Føderation af den fælles sårjournal
Forskerparken 10 DK-5230 Odense M Telefon 6543 2030 Telefax 6543 2050 dsl@medcom.dk www.medcom.dk Dato 05.10.2014 Dorthe Skou Lassen Notat Føderation af den fælles sårjournal Baggrund Løsning for single
Læs mereSårjournal. Fødereret sikkerhedsløsning Møde i koordinationsgruppen for MedCom 10
Sårjournal Fødereret sikkerhedsløsning Møde i koordinationsgruppen for MedCom 10 Baggrund Analyse af sikkerhedsløsninger og standarder peger på fødererede sikkerhedsmodeller Regionerne ønsker ændring af
Læs mereLAKESIDE. Sårjournalen. Ændring af sikkerhedsarkitekturen. Version marts 2015
LAKESIDE Ændring af sikkerhedsarkitekturen Version. 0. marts 0 LAKESIDE A/S Marselisborg Havnevej,. sal DK-8000 Århus C Denmark tlf. + 07 www.lakeside.dk info@lakeside.dk Indledning Formålet med sidste
Læs mereOverordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in
Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in (samt mulighed for FMK tilgang via SOSI STS) 15.marts 2017 /chg Baggrund Private aktører på sundhedsområdet som apoteker,
Læs mereSårjournalen kort orientering
Sårjournalen kort orientering Aktuelt status Projektet afsluttet hos regioner og kommuner 31. august 2015. Forlængelse på nationale opgaver til 31. december 2015: - Overgang til fælles offentlig drift
Læs mere(Bilag til dagsordenpunkt 7, Føderative sikkerhedsmodeller til Sårjournalen og andre nationale it-løsninger på sundhedsområdet)
N OTAT Den 15. december 2014 Bilag 6 opsamling på høringssvar fra netværket til sikkerhedsmodel for sårjournalen (Bilag til dagsordenpunkt 7, Føderative sikkerhedsmodeller til Sårjournalen og andre nationale
Læs mereHurtig og sikker adgang til sundhedsfaglige data. Esben Dalsgaard, chef it-arkitekt, Digital Sundhed
Hurtig og sikker adgang til sundhedsfaglige data Esben Dalsgaard, chef it-arkitekt, Digital Sundhed Præsentationens fokus Megen fokus på hvordan der kan skabes lettere adgang til relevante sundhedsfaglige
Læs mereIbrugtagning af Fødselsindberetningsservicen på NSP
Ibrugtagning af Fødselsindberetningsservicen på NSP Udarbejdet af: NSI Version: 1.0 Dato: 09.07.2013 Indholdsfortegnelse 1 Vejledning til ibrugtagning af Fødselsindberetningsservicen... 3 1.1 Læsevejledning
Læs mereGuide til NemLog-in Security Token Service
Guide til NemLog-in Security Token Service Side 1 af 10 18. juni 2014 TG Denne guide indeholder en kort beskrivelse af, hvordan en myndighed eller itleverandør kan benytte NemLog-in s Security Token Service
Læs mereANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER
ANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER Kommunernes it-arkitekturråd 8. maj 2014 AGENDA Væsentligste observationer og konklusioner Relevans for kommuner STRATEGI OG ARKITEKTUR Analysen giver et bud
Læs mereSmartFraming Et vindue til nationale sundhedssystemer. Version 3.0
SmartFraming Et vindue til nationale sundhedssystemer Version 3.0 Infrastruktur i dagens sundheds IT Det sundhedsfaglige personale benytter sig i dag af en række forskellige systemer i forbindelse med
Læs mereLAKESIDE. Sårjournalen. Afslutningsrapport for ændring af. sikkerhedsarkitekturen. Version juni 2016
LAKESIDE Sårjournalen Afslutningsrapport for ændring af sikkerhedsarkitekturen Version 1.0 24. juni 2016 LAKESIDE A/S Marselisborg Havnevej 32, 1. sal DK-8000 Aarhus C Denmark tlf. +45 21607252 www.lakeside.dk
Læs mereNotat om Single sign-on for kliniske brugere af telemedicinsk sårvurdering i det nationale projekt for udbredelse af telemedicinsk sårvurdering
Notat om Single sign-on for kliniske brugere af telemedicinsk sårvurdering i det nationale projekt for udbredelse af telemedicinsk sårvurdering Baggrund I det nationale projekt for udbredelse af telemedicinsk
Læs mereSOSI Gateway Komponenten (SOSI GW)
SOSI Gateway Komponenten (SOSI GW) - en security domain gateway Version 1.2 1/8 Indledning Region Syddanmark er udvalgt som pilotregion for projektet Det Fælles Medicingrundlag, og i den forbindelse arbejdes
Læs mereTeknisk Dokumentation
Sundhedsstyrelsens E2B Bivirkningswebservice Teknisk Dokumentation Side 1 af 8 Indhold Indledning... 3 Terminologi... 3 Arkitektur... 4 Web Service Snitflade... 4 Valideringsfejl... 5 Success... 5 E2B...
Læs mereAdministration af brugere vha. sammenhængende log-in
Hvad er sammenhængende log-in? Danmarks Miljøportal Ref.: jejnb 21. august 2012 Formål Formålet med beskrivelsen er at skabe et overblik over sammenhængende log-in, som en nem og enkel måde at administrere
Læs mereBaggrundsbeskrivelse for installation af føderation i partnerorganisationer til Danmarks Miljøportal. Baggrund. 1. Hvad er føderation
Baggrundsbeskrivelse for installation af føderation i partnerorganisationer til Danmarks Miljøportal. Miljøportalsekretariatet Ref.: jejnb Den 22. november 2007 Baggrund I forbindelse med strukturreformen
Læs mereAdministration af brugere vha. sammenhængende log-in
Formål Formålet med beskrivelsen er at skabe et overblik over sammenhængende log-in, som en nem og enkel måde at administrere brugere på. Denne pjece er henvendt til de partnere af Danmarks Miljøportal,
Læs mereValg af webservice standard
Valg af webservice standard Agenda Valg til en serviceorienteret infrastruktur Identitetsbaserede Services, Kåre Kjelstrøm Teknologiske trends og udfordringer Debat, spørgsmål og kritik Skal du lave en
Læs mere23. maj 2013Klik her for at angive tekst. HHK/KMJ. Vejledning til brug af Støttesystemet Adgangsstyring
23. maj 2013Klik her for at angive tekst. HHK/KMJ Vejledning til brug af Støttesystemet Adgangsstyring kombit@kombit.dk CVR 19 43 50 75 Side 1/10 1. Indledning og vejledning I forbindelse med det forestående
Læs mereDigital Sundhed. Brugerstyringsattributter - Introduktion. - Specificering af nye og ændrede attributter i id-kortet
Digital Sundhed Brugerstyringsattributter - Introduktion - Specificering af nye og ændrede attributter i id-kortet Indhold 1. Introduktion... 2 2. Læsevejledning... 2 3. Aktører... 2 4. Autentifikation...
Læs merePræcisering af transportbaseret sikkerhed i Den Gode Webservice
Præcisering af transportbaseret sikkerhed i Den Gode Webservice 1. Historik...2 2. Indledning...3 3. SSL/TLS baseret netværk...3 4. Sundhedsdatanettet (VPN)...5 5. Opsummering...6 6. Referencer...6 Side
Læs mereTimeout-politik for den fællesoffentlige føderation
Side 1 af 8 7. november 2012 Timeout-politik for den fællesoffentlige føderation Dette dokument beskriver en politik for timeout af brugersessioner i den fællesoffentlige føderation, der er obligatorisk
Læs mereTilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm
Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm Sundhedsdatanettets Anatomi UNI-C Router Organisation A Router Router Organisation B Firewall Firewall Linjesikkerhed
Læs mereSikkerhedsmodeller på sundhedsområdet. esundhesobservatoriet 3. oktober 2018
Sikkerhedsmodeller på sundhedsområdet esundhesobservatoriet 3. oktober 2018 1 En par indledende bemærkninger Sikkerhed er mange ting Hvordan sikrer vi at data ikke forvanskes? Hvordan sikrer vi at data
Læs mereProduktbeskrivelse for. Min-log service på NSP
Produktbeskrivelse for service på NSP Sundheds professionel Borger Fagsystem / Serviceudbyder Sundhed.dk 1 2 3 (Registreringsservice) (Konsolideringsservice) (Udtræksservice) Indeks Database (oprydning)
Læs mereGo / No-go exit point! Nye standarder. Tid 2015-2016
Initiativ 3.4 - Anbefalinger og Roadmap Dato: 25.03.2014 Version: 0.8 Udarbejdet af: EAD Statens Seruminstitut Sektor for National Sundheds-IT www.nsi.dk Artillerivej 5 2300 København S Udbredelse Udvikling
Læs mereGuide til kravspecifikation
Side 1 af 10 10. november 2008 Guide til kravspecifikation Version 1.0. Denne guide indeholder en række råd til brug i kravspecifikationer for IT systemer, der skal anvende NemLog-in løsningen. Hensigten
Læs mereGuide til integration med NemLog-in / Signering
Guide til integration med NemLog-in / Signering Side 1 af 6 14. november 2013 TG Denne guide indeholder en kort beskrivelse af, hvorledes man som itsystemudbyder (myndighed eller it-leverandør) kan integrere
Læs mereSikker udstilling af data
Sikker udstilling af data Digitaliseringsstyrelsen 8. oktober 2012 Thomas Gundel Agenda Baggrund hvorfor udstille data? OWSA Model T Identitetsbaserede Web Services NemLog-in s fuldmagtsløsning OAuth 2.0
Læs mereIndledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)... 2
Teknisk vejledning Tilkobling af institution til MODST SSO 28. juni 2019 BIG/CAB Indhold Indledning... 2 Ansvar ifm. MODST SSO... 2 I drift på MODST SSO... 2 skal have egen føderationsserver (IdP)... 2
Læs mereDe fællesoffentlige komponenter: Federativa identitetslösningar, Erfarenheter från Danmark
De fællesoffentlige komponenter: Federativa identitetslösningar, Erfarenheter från Danmark Digital post, NemSMS & Fjernprint samt strategien for udvikling af mobile løsninger for Digital post og Min side
Læs mereKravspecification IdP løsning
Kravspecification IdP løsning Resume IT-Forsyningen, som varetager IT-drift for Ballerup, Egedal og Furesø Kommuner, ønsker at anskaffe en IdP/Føderationsserverløsning, der kan understøtte en række forretningsmæssige
Læs mereNational Kroniker Infrastruktur. Oplæg til teknikgruppe Aarhus den 30. april 2012
National Kroniker Infrastruktur Oplæg til teknikgruppe Aarhus den 30. april 2012 Indhold Den Nationale Infrastruktur NPI og dens eventuelle rolle Interessenter sundhed.dk Kroniker projekter EPJ leverandører
Læs mereDen Gode Webservice 1.1
Den Gode Webservice 1.1 -Profilen for webservicebaseret kommunikation i sundhedssektoren Ivan Overgaard, io@silverbullet.dk Udfordringen Service-Orienteret Arkitektur (SOA) er den moderne måde at lave
Læs mereVersion 1.0. Vilkår for brug af Støttesystemet Adgangsstyring
Version 1.0 Vilkår for brug af Støttesystemet Adgangsstyring kombit@kombit.dk CVR 19 43 50 75 Side 1/10 1. Indledning og vejledning I forbindelse med det forestående monopolbrud konkurrenceudsætter KOMBIT
Læs mereInteroperabilitet - hvor dybt
Interoperabilitet - hvor dybt stikker det? Hvilken arkitektur er nødvendig for at skabe interoperabititet på nationalt plan? Esben Dalsgaard Chef IT-arkitekt, Digital Sundhed Indledende betragtninger Den
Læs mereGuide til integration med NemLog-in / Brugeradministration
Guide til integration med NemLog-in / Brugeradministration Side 1 af 9 21. januar 2013 TG Denne guide indeholder en kort beskrivelse af, hvorledes man som itsystemudbyder (myndighed eller it-leverandør)
Læs mereIndhold Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)...
Teknisk vejledning Tilkobling af institution til MODST SSO 29. marts 2019 BIG/CAB Indhold Indledning... 2 Ansvar ifm. MODST SSO... 2 I drift på MODST SSO... 2 skal have egen føderationsserver (IdP)...
Læs mereNational AK løsning NSP. AK klient
National understøttelse af AK behandling - Overordnet projektbeskrivelse Dato: 30.06.2014 Version: 1.0 Udarbejdet af: NSI (TSO) Statens Seruminstitut Sektor for National Sundheds-IT www.nsi.dk Artillerivej
Læs mereTillid og sikkerhed om data
INDSATSOMRÅDE 4 Tillid og sikkerhed om data 58 Sundhedsvæsenet har i dag et generelt højt niveau af informationssikkerhed. Men med den hastige udvikling i digitale løsninger og datamængder og med et skærpet
Læs mereSOSI. (ServiceOrienteretrienteret SystemIntegration) Quick Tour 2.0
SOSI (ServiceOrienteretrienteret SystemIntegration) Quick Tour 2.0 Indhold Hvad og hvem er SOSI Visionen og Missionen Begreber, arkitektur og teknik Hvad er SOSI Projekt initieret og drevet af Ribe- og
Læs mereSTS Designdokument. STS Designdokument
STS Designdokument i STS Designdokument STS Designdokument ii REVISION HISTORY NUMBER DATE DESCRIPTION NAME 0.3 2013-01 N STS Designdokument iii Indhold 1 Introduktion 1 2 Arkitekturoverblik 1 2.1 Eksterne
Læs mereCertifikatpolitik for NemLog-in
Side 1 af 9 7. november 2012 Certifikatpolitik for NemLog-in Version 1.2 Dette dokument beskriver certifikatpolitikken for NemLog-in løsningen. Politikken definerer hvilke typer certifikater, der må anvendes
Læs mereFællesoffentlige brugerstyringsløsninger - En analyse af sikkerhedsstandarder og løsninger
Bilag 5: Udkast til rapporten Fællesoffentlige brugerstyringsløsninger - En analyse af sikkerhedsstandarder og løsninger. (Bilag til dagordenspunkt 8, Sikkerhedsstandarder og løsninger på sundhedsområdet).
Læs mereFøderal brugerstyring og SSO
Føderal brugerstyring og SSO Morten Strunge Nielsen 23. september 2010 Brugere bliver gns. provisioneret i 16 systemer og de-provisioneret i 10 Gns. bruger anvender 16 minutter pr. dag på login 38% af
Læs mereeid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019
eid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019 Hovedemner på dette oplæg Vores fælles ramme NemID til MitID NemLog-in3 NSIS eid-gateway Visionen Den fællesoffentlige strategi
Læs mereSAPAs forretningsmæssige behov i relation til Dialogintegration. SAPAs behov for Dialogintegration. Fordele ved brug af dialogintegration i SAPA
26. marts 2014 NOTAT SAPAs forretningsmæssige behov i relation til Dialogintegration Dette notat beskriver SAPAs specifikke forretningsmæssige behov i forhold til integration med relevante ESDH-/fagsystemer,
Læs mereSDSD: Projektrelevante emner og problemstillinger. Workshop om sikkerhed og privacy 5. december 2007
SDSD: Projektrelevante emner og problemstillinger Workshop om sikkerhed og privacy 5. december 2007 Agenda SDSD s fokus projektmæssigt SDSD s fokus sikkerhed og privacy Lovgivningskrav Indsatsområder Udvalgte
Læs mereCopyright 2018 Netcompany. Alle rettigheder forbeholdes.
Version 1.0 Status Approved Godkender Erling Hansen Forfatter Lasse Poulsen KOMBIT AULA Copyright 2018 Netcompany. Alle rettigheder forbeholdes. Elektronisk, mekanisk, fotografisk eller anden gengivelse,
Læs mereVilkår for dialogintegration SAPA
Vilkår for dialogintegration SAPA Indhold 1. Indledning og vejledning... 3 1.1 Definitioner... 5 2. Krav til it-systemer for at kunne udføre dialogintegration... 6 2.1 Udstilling af endpoint... 6 2.2 HTTPS
Læs mereAuthorizationCodeService
AuthorizationCodeService Sammenhængende Digital Sundhed i Danmark, version 1.1 W 1 AuthorizationCodeService Sammenhængende Digital Sundhed i Danmark version 1.1 Kåre Kjelstrøm Formål... 3 Introduktion...
Læs mereProduktbeskrivelse for
Produktbeskrivelse for Service til opfølgning på behandlingsrelationer NSP Opsamling Tjenesteudbyder Opfølgning Notifikation Side 1 af 7 Version Dato Ansvarlig Kommentarer 1.0 22-12-2011 JRI Final review
Læs mereNotat Konceptmodel for SSO 24-05-2016 ØSY/JESBO/TG
Notat Konceptmodel for SSO 24-05-2016 ØSY/JESBO/TG FORMÅL Dette notat beskriver et forslag til koncept for Single Sign On-løsning til Moderniseringsstyrelsens kunderettede systemer. Formålet er at beskrive
Læs mereSammenhængende log-in - SSO til applikationer i et andet sikkerhedsdomæne
> Sammenhængende log-in - SSO til applikationer i et andet sikkerhedsdomæne IT- & Telestyrelsen, Kontor It-infrastruktur og Implementering februar 2010 Indhold > 1 Introduktion 4 1.1 Føderationsfordele
Læs mereUdvidet brug af personligt NemID i erhvervssammenhæng
Udvidet brug af personligt NemID i erhvervssammenhæng Side 1 af 10 16. juni 2016 TG Baggrund Digitaliseringsstyrelsen planlægger i samarbejde med Erhvervsstyrelsen at gennemføre nogle ændringer i NemLog-in
Læs mere(Bilag til dagsordenspunkt 8, Kommunale anvenderkrav til støttesystemerne)
25. april 2013Klik her for at angive tekst. NOTAT Bilag 11: Anvenderkrav til adgangsstyring - Støttesystemerne Context handler, Security Token Service og Administrationsmodul (Bilag til dagsordenspunkt
Læs mereSession oprettet hos egen serviceudbyder Varianter
IT-LOGON-1 Brugeren tilgår en beskyttet web side hos serviceudbyder uden forudgående session. Der re-directes til NemLog-in s Identity Provider, hvor brugeren foretager log-in, hvorefter brugeren sendes
Læs mereMedCom7 koordineringsgruppemøde. Tema Sundhed.dk Præciseret fokus
Tema Sundhed.dk Præciseret fokus Overblik Hvad er sundhed.dk? Overordnet It-arkitektur Hvad er det præciserede fokus og hvad betyder det? It-løsninger Brugerinvolvering Indhold Processer og specialister
Læs mereSikkerhed i en digitaliseret sundhedssektor. Sikkerhed og Revision 8. September 2017
Sikkerhed i en digitaliseret sundhedssektor Sikkerhed og Revision 8. September 2017 Pia Jespersen Chefkonsulent, CISM, ESL Præsentation Sundhedsdatastyrelsen Pia Jespersen Intern driftsfunktion i Sundheds-
Læs mereVilkår for Dialogintegration
Vilkår for Dialogintegration KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 1/8 Dokumenthistorik Dato Version Ansvarlig Kommentar til ændringer
Læs mereVilkår vedrørende brug af Støttesystemet Adgangsstyring
Vilkår vedrørende brug af Støttesystemet Adgangsstyring 1. Indledning Nærværende vejledning beskriver, hvordan it-systemer skal anvender Adgangsstyring i rammearkitekturen såvel dynamisk som i den daglige
Læs mereRoadmap for VERA Q Q Q Q Rettighed. Klassifikation. Organisation. Beskedfordeler. Serviceplatform
Roadmap for VERA Q3 2015 Rettighed Q2 2015 Klassifikation Q1 2015 Organisation Beskedfordeler Q4 2014 platform Indledning Kommunerne i Vendssyssel ønsker at etablere en moderne infrastruktur til at understøtte
Læs mereCertifikatpolitik. For den fællesoffentlige log-in-løsning. Side 1 af 9 2. december Version 1.1
Side 1 af 9 2. december 2009 Certifikatpolitik For den fællesoffentlige log-in-løsning Version 1.1 Dette dokument beskriver certifikatpolitikken for den fællesoffentlige log-inløsning. Politikken definerer
Læs mereAutencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0.
Side 1 af 12 19. september 2008 Autencitetssikring Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning Version 1.0. Denne vejledning introducerer problemstillingen omkring
Læs mereAffødte krav til SDN fra Arkitekturen. Ved Esben P. Graven, Digital sundhed (SDSD)
Affødte krav til SDN fra Arkitekturen Ved Esben P. Graven, Digital sundhed (SDSD) Indledende betragtninger Infrastrukturen opbygges efter Digitaliserings Strategiens principper om trinvis- og behovsdrevet
Læs mereEnd-to-end scenarier for fuldmagtsløsningen
End-to-end scenarier for fuldmagtsløsningen Side 1 af 6 15. januar 2013 TG Dette notat beskriver en række end-to-end scenarier for fuldmagtsløsningen. Formålet er at illustrere sammenhænge og forløb på
Læs mereOISAML Workshop Århus 31. marts 2009 Kontor for It-infrastruktur og implementering IT og Telestyrelsen IT Arkitekt Søren Peter Nielsen -
OISAML Workshop Århus 31. marts 2009 Kontor for It-infrastruktur og implementering IT og Telestyrelsen IT Arkitekt Søren Peter Nielsen - spn@itst.dk Velkommen! Dette er en WORKSHOP Ikke et fintunet kursus!!
Læs mereDen samlede erhvervsløsning i næste generation af NemID og NemLog-in3
Notat 21. februar 2017 Den samlede erhvervsløsning i næste generation af NemID og NemLog-in3 Dette notat giver en overordnet konceptuel fremstilling af, hvordan erhvervsområdet forventes håndteret samlet
Læs mereSUP-specifikation, version 2.0. Bilag 9. SUP-Styregruppen. Sikkerhed og samtykke. Udkast af 12. juni Udarbejdet for
SUP-specifikation, version 2.0 Bilag 9 Sikkerhed og samtykke Udkast af 12. juni 2003 Udarbejdet for SUP-Styregruppen Uddrag af indholdet kan gengives med tydelig kildeangivelse Indholdsfortegnelse 1 Introduktion...
Læs mereVersion 0.61 - Udkast
Side 1 af 22 14. januar 2007 Integrationstest ved føderationstilslutning Version 0.61 - Udkast Dette dokument henvender sig til offentlige myndigheder samt andre, der skal tilsluttes den fællesoffentlige
Læs mereTrin-for-trin guide: Tilslutning af web service til NemLog-in
Trin-for-trin guide: Tilslutning af web service til NemLog-in Side 1 af 18 18. maj 2015 TG Baggrund og formål I foråret 2014 blev der udarbejdet en fælles sikkerhedsmodel for grunddataprogrammet. Modellen
Læs mereVejledning til valg af NSIS Sikringsniveau for tjenesteudbydere
3. oktober 2019 Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere Version 2.0.1 Introduktion Denne vejledning er henvendt til offentlige myndigheder og sekundært private tjenesteudbydere,
Læs mereIntroduktion til ændringerne ifm. overgangen til MitID og NemLog-in3
Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3 Kontorchef Charlotte Jacoby og it-arkitekt Christian Schmidt- Madsen giver et øjebliksbillede På vegne af Digitaliseringsstyrelsen Charlotte
Læs mereAdgangsstyring er en forudsætning for at benytte en i den fælleskommunale infrastruktur, da brugere og systemer ellers ikke vil få adgang.
Introduktion til Adgangsstyring 1 Om dokumentet Dette papir formidler et overblik over adgangsstyringen i den fælleskommunale infrastruktur. Formålet er at give læseren en forståelse af arkitekturen, hvilke
Læs mereUnderstøttelse af LSS til NemID i organisationen
Understøttelse af LSS til NemID i organisationen Table of contents 1 Dette dokuments formål og målgruppe... 3 2 Introduktion til LSS til NemID... 4 2.1 Forudsætninger hos organisationen... 5 2.1.1 SSL
Læs mereNSP Servicevilkå r for Indirekte GW LEVERANDØR
NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig
Læs mereTil høringsparterne Se vedlagte liste
Til høringsparterne Se vedlagte liste Side 2 af 5 26. juni 2018 Høring i forbindelse med opdatering af National Standard for Identiteters Sikringsniveau til version 2.0. Digitaliseringsstyrelsen har revideret
Læs mereNye måltal efter baseline dialog maj 2015
Nye måltal efter baseline dialog maj 2015 2015 Implementeringsgrad Implementeringsgrad anvendt indtil maj 2015 anvendt maj 2015 Januar 9% 3,40% Februar 17% 6,80% Marts 26% 10,20% April 34% 13,60% Maj 43%
Læs mereIntroduktion til ændringerne ifm. overgangen til MitID og NemLog-in3
Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3 Kontorchef Charlotte Jacoby og it-arkitekt Christian Schmidt- Madsen giver et øjebliksbillede, 30. oktober 2018 1. Velkommen til webinaret
Læs mereIt-principper. Bilag 1 til It- og Digitaliseringsstrategi for Sønderborg Kommune
It-principper Bilag 1 til It- og Digitaliseringsstrategi for Sønderborg Kommune Indledning It-principperne er grundstenene for it-arkitekturen i Sønderborg Kommune. Principperne skal bidrage til, at vi
Læs mereProduktbeskrivelse for
Produktbeskrivelse for Behandlingsrelationsservicen NSP Behandlingsrelationsservice REFHOST LPR Lokal Database Jævnlig opdatering Ydelser Sikrede NOTUS Sygesikringssystemet Side 1 af 9 Version Dato Ansvarlig
Læs mereBeslutningsstøtte i bløderbehandlingen Arkitektur: Slutprodukter i fase 3
Indholdsfortegnelse Fase 3: arkitekturforløbet... 2 Variationer fra oprindelig plan... 3 Opstartsmøde 6/4-2017... 4 Arbejdsmøde 20/4-2017... 4 Skitsering af mål-arkitektur... 6 Standarder... 6 Sikkerhedsmodel...
Læs mereNATIONAL SERVICEPLATFORM
NATIONAL SERVICEPLATFORM Sammenhæng og samarbejde i sundhedsvæsenet Afd.chef Birgitte Drewes, National Sundheds-it Lokal it National it (central) SKABELSESBERETNINGEN Ingen it - Papiret hersker overalt
Læs mereBilag til standardaftale om delegering af brugerrettigheder mellem lokale identitetsudbydere og serviceudbydere ved anvendelse af SAML-billetter
Bilag til standardaftale om delegering af brugerrettigheder mellem lokale identitetsudbydere og serviceudbydere ved anvendelse af SAML-billetter Servicebeskrivelse Økonomistyrelsen Marts 2011 Side 1 af
Læs mereADGANGSSTYRING. 26. Februar 2019
ADGANGSSTYRING 26. Februar 2019 Agenda Adgangsstyring for brugere Forretningsmål med sikkerhedsmodellen Gennemgang af KOMBITs sikkerhedsmodel Sikkerhedsmodellen repræsenteret i SAML 2.0 Adgangsstyring
Læs mereIntroduktion til NemID og Tjenesteudbyderpakken
Nets DanID A/S Lautrupbjerg 10 DK 2750 Ballerup T +45 87 42 45 00 F +45 70 20 66 29 info@danid.dk www.nets-danid.dk CVR-nr. 30808460 Introduktion til NemID og Tjenesteudbyderpakken Nets DanID A/S 11. april
Læs mereDigitalisering på tværs. IT-arkitekturkonferencen 1.-2. april 2009 Stigende modenhed fælles løsninger
Digitalisering på tværs IT-arkitekturkonferencen 1.-2. april 2009 Stigende modenhed fælles løsninger Hvem er Digital Sundhed? Bestyrelsen nedsat efteråret 2006 3 statslige repræsentanter 2 regionale repræsentanter
Læs mereSTS Designdokument. STS Designdokument
STS Designdokument i STS Designdokument REVISION HISTORY NUMBER DATE DESCRIPTION NAME 0.3 2013-01 N STS Designdokument iii Contents 1 Introduktion 1 2 Arkitekturoverblik 3 2.1 Eksterne snitflader..................................................
Læs mereDette dokument beskriver den fællesoffentlige føderations minimumskrav til logning hos Service og Identity Providere.
Side 1 af 17 19. september 2008 Logningspolitik For den fællesoffentlige log-in-løsning Version 1.0. Dette dokument beskriver den fællesoffentlige føderations minimumskrav til logning hos Service og Identity
Læs mere(Bilag til dagsordenspunkt 8, Sikkerhedsstandarder og løsninger på sundhedsområdet).
N OTAT Bilag 7 - Opsamling på høringssvar til rapport og anbefalingsnotat (Bilag til dagsordenspunkt 8, Sikkerhedsstandarder og løsninger på sundhedsområdet). NSI har sammen med arbejdsgruppe med repræsentanter
Læs mereSingle sign-on cases. SolutionsDay 2011. Morten Strunge Nielsen msn@globeteam.com. Globeteam Virumgårdsvej 17A 2830 Virum
Single sign-on cases SolutionsDay 2011 Morten Strunge Nielsen msn@globeteam.com Globeteam Virumgårdsvej 17A 2830 Virum SSO og føderation i en nøddeskal Cloud Active Directory? Applikationer Indre net?
Læs mereFremdrift og fælles byggeblokke
INDSATSOMRÅDE 5 Fremdrift og fælles byggeblokke Forudsætningen for at udvikle et mere nært, sammenhængende og effektivt sundhedsvæsen er at sammentænke digitale løsninger og bygge en fælles digital infrastruktur,
Læs mereArbejdet er afgrænset af de aftalte rammer for det samlede projekt:
NOTAT 2016.12.13 SDS MOWI/ABRA Version 1.0 Notat vedr. principper for telemedicin 1. Indledning Der er igennem de seneste år gennemført en række storskalaprojekter vedr. telemedicin. Især projektet TeleCare
Læs mereDIADEM KOM GODT I GANG INTEGRATIONSVEJLEDNING IFT. SIKKERHED OG VERSIONERING AF WEBSERVICES VERSION: 1.7.0 STATUS: FRIGIVET DATO: 22.
DIADEM KOM GODT I GANG INTEGRATIONSVEJLEDNING IFT. SIKKERHED OG VERSIONERING AF WEBSERVICES VERSION: 1.7.0 STATUS: FRIGIVET DATO: 22. AUGUST 2013 Fil: DIADEM - Kom godt igang - Ver 1.7.0.docx Indhold 1.
Læs mereSingle sign-on til statens systemer. April 2019 version 5
Single sign-on til statens systemer April 2019 version 5 Velkommen Formålet med i dag er, at I skal vide, hvad der kræves at tilslutte sig MODST SSO hvornår I bliver berørt af MODST SSO Agenda for dagen
Læs mereForretningsmæssige testscases for Seal.net i relation til anvendelse af NSP services
Forretningsmæssige testscases for Seal.net i relation til anvendelse af NSP services Version 1.0 april 2014 Indledning Seal.net er et API som har til formål at lette udviklingen af software som overholder
Læs mereIntegration SF1920 NemLogin / Digital fuldmagt Integrationsbeskrivelse - version 1.0.0
Integration Integrationsbeskrivelse - version 1.0.0 Kommunernes Datafællesskab - KDF Versionshistorik Relevans Dato Initialer Version Kommentarer 2015-02-10 MVC 0.1 Første version 2015-03-04 ehe 0.3 Klargjort
Læs mere