Digital Sundhed. Brugerstyringsattributter - Introduktion. - Specificering af nye og ændrede attributter i id-kortet

Relaterede dokumenter
Indhold. Digital Sundhed. Brugerstyringsattributter - Politikker Introduktion Identifikation...

AuthorizationCodeService

Guide til NemLog-in Security Token Service

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm

ecpr erstatnings CPR Design og arkitektur

Den Gode Webservice 1.1

Indhold. Digital Sundhed. Brugerstyringsattributter - Indhold Introduktion Identifikation

Præcisering af transportbaseret sikkerhed i Den Gode Webservice

DIADEM KOM GODT I GANG INTEGRATIONSVEJLEDNING IFT. SIKKERHED OG VERSIONERING AF WEBSERVICES VERSION: STATUS: FRIGIVET DATO: 22.

OISAML Workshop Århus 31. marts 2009 Kontor for It-infrastruktur og implementering IT og Telestyrelsen IT Arkitekt Søren Peter Nielsen -

Teknisk Dokumentation

Valg af webservice standard

STS Anvenderdokument i. STS Anvenderdokument

Identitetsbaserede webservices og personlige data

Indhold. Digital Sundhed. Brugerstyringsattributter - Ræsonnementer. 1. Introduktion Identifikation Ræsonnement...

Ibrugtagning af Fødselsindberetningsservicen på NSP

STS Anvenderdokument. STS Anvenderdokument

BBR OIOXML. Vejledning til OIOXML-snitflade. InputBox.wsdl

STS Designdokument. STS Designdokument

STS Designdokument. STS Designdokument

Sikker udstilling af data

23. maj 2013Klik her for at angive tekst. HHK/KMJ. Vejledning til brug af Støttesystemet Adgangsstyring

Bilag til standardaftale om delegering af brugerrettigheder mellem lokale identitetsudbydere og serviceudbydere ved anvendelse af SAML-billetter

DESIGNDOKUMENT (Teknisk dokumentation)

SOSI STS Testscenarier

Webservice kald. System-til-system integration. Ny Easy. ATP 1. februar 2017

SOSI. (ServiceOrienteretrienteret SystemIntegration) Quick Tour 2.0

STS Fejlsituationer. STS Fejlsituationer

Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere

SOSI Gateway Komponenten (SOSI GW)

DIADEM KOM GODT I GANG INTEGRATIONSVEJLEDNING IFT. SIKKERHED VERSION: 1.3 (INGEN ÆNDRINGER SIDEN 1.1) STATUS: FRIGIVET DATO: 1.

Den samlede erhvervsløsning i næste generation af NemID og NemLog-in3

Version 1.0. Vilkår for brug af Støttesystemet Adgangsstyring

Vilkår vedrørende brug af Støttesystemet Adgangsstyring

Brokere i Identitetsinfrastrukturen

Den Gode LÆ-blanket Webservice (DGLÆ:WS)

LAKESIDE. Sårjournalen. Ændring af sikkerhedsarkitekturen. Version marts 2015

Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere

IT Arkitekt Søren Peter Nielsen

Opnåelse af tilladelse til at udbyde spil i Danmark

(Bilag til dagsordenspunkt 8, Kommunale anvenderkrav til støttesystemerne)

Kald af PingService via SOAPUI

Certifikatpolitik for NemLog-in

Dette dokument beskriver den fællesoffentlige føderations minimumskrav til logning hos Service og Identity Providere.

Integration SF1920 NemLogin / Digital fuldmagt Integrationsbeskrivelse - version 1.0.0

D INTEGRATIONSDESIGN FOR DATAAFTAGERE

Bilag 1 - Fælles arkitekturramme for GD1-GD2-GD7. Forslag til fælles sikkerhedsmodel for Grunddataprogrammet

Til høringsparterne Se vedlagte liste

Specifikationsdokument for servicen PID-CPR

Digitaliseringsstyrelsen

SNITFLADER TIL INDEKSER. Præsentation af de fælleskommunale støttesystemernes snitflader til indekser

Copyright 2018 Netcompany. Alle rettigheder forbeholdes.

Nederst foto på forsiden: Publikationen kan hentes på IT- & Telestyrelsens Hjemmeside: ISBN (internet):

Produktbeskrivelse for

Bilag 2 Kundens IT-miljø

Termer og begreber i NemID

Udvidet brug af personligt NemID i erhvervssammenhæng

Underbilag 2O Beskedkuvert Version 2.0

(Af forside skal det fremgå, om standarden er i høring, har været i høring eller er godkendt) Begrebsmodel til brugerstyring

ADGANGSSTYRING. 26. Februar 2019

Valg af sikringsniveau for identiteter - vejledning i brug af NSIS for tjenesteudbydere

Introduktion til UNI-Login for udbydere

Affaldsdatasystem Vejledning supplement i system-til-system integration for.net brugere

eid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019

Forretningsmæssige testscases for Seal.net i relation til anvendelse af NSP services

National adgang til INR-data til brug for AK løsninger

Termer og begreber i NemID

Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)... 2

Indhold Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)...

Bilag 2. Vilkår for anvendelse af sikkerhedsmodellen i den fælleskommunale Rammearkitektur Version 2.0

Bilag til vejledning i anvendelse af attentionformatet i Digital Post-løsningen. December 2017, version 0.9

SOSIGW. - Administrationskonsol for SOSIGW Indeks

NSP STATUS. Service status og sammenhæng

Dokumentet/dokumenter der kommenteres på: Fælles retningslinjer for webservices. Organisationen der kommenterer: SKAT - Løsningsarkitektur og Test

Underbilag A Administrationsmodul

FMK-online's brug af SmartFraming

Security Token Service. Snitflade OIO WS Trust

<navn på proces eller use case>

Single sign-on til statens systemer. April 2019 version 5

Samlet Fast Ejendom (SFE) Bygning På Fremmed Grund (kommende fra Bygning På Lejet Grund ) Ejerlejlighed

Føderal brugerstyring og SSO

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af september Version 1.0.

Sikring af web service snitflader

Den Gode NationalePrøveNummer Service MedCom, version 1.0 W 1

Specifikationsdokument for servicen PID-CPR

Tilføjelse af administrator for myndighed

DAR OIO vejledning Version 1.2

Hvem er målgruppen for disse dokumenter. Hvilke forudsætninger skal læseren have?

Den Gode Webservice. version 1.1, W 1

ITD ecmr WEB Services. Af Allan Wisborg, IT Udvikler

Løsningsbeskrivelse til P13-7 Hent ydelsesinformationer fra Ydelsesindeks

Digitaliseringsstyrelsen

Affaldsdatasystem Vejledning i system-til-system integration

Anbefalede testprocedurer

ELEKTRONISK INDBERETNING BØRNEDATABASEN VIA DGWS 13/ VERSION 1.02

Adgangsstyring er en forudsætning for at benytte en i den fælleskommunale infrastruktur, da brugere og systemer ellers ikke vil få adgang.

NSIS I KOMMUNERNE OG I FÆLLES LØSNINGER. Arkitekturrådsmødet 27. august 2019 /v Lars Vraa

Sikkerhedsanalyse af WSRP

Sikker adgang til personfølsomme data i Aula

Transkript:

Digital Sundhed Brugerstyringsattributter - Introduktion - Specificering af nye og ændrede attributter i id-kortet Indhold 1. Introduktion... 2 2. Læsevejledning... 2 3. Aktører... 2 4. Autentifikation... 3 5. Veksling af identitytoken... 4 6. Autorisation... 4 7. Politikker... 5 8. Attributter... 5 9. Attribut Metadata... 5 10. Referencer... 6 Version Dato Ansvarlig 0.1 12.05.2010 KKJ 0.2 14.05.2010 JSK 0.3 21.06.2010 JSK Kommentarer Ny skabelon Formuleringer tilrettet efter kommentering fra KKJ Side 1 af 6

1. Introduktion Sundhedssektorens har etableret en identitetsbaseret web service infrastruktur, der involverer flere parter. Modellen baserer sig i stor stil på tillid til påstande om en given brugers identitet og det er derfor vigtigt for de forskellige parter at vide hvorfra en påstand stammer. Dette dokument har til formål at skabe overblik over hvordan brugerstyringsattributter kan indgå i en webservice kontekst. Dokumentationen for brugerstyringsattributter konkretiserer en del af referencearkitekturen [REF-ARK] omhandlende datamodel. Der vælges som sådan ikke datamodel i dette dokument, men der i mod krav til indhold. 2. Læsevejledning Den samlede pakke omfatter en række dokumenter, hvoraf nærværende dokument med fordel kan læses først for at få et overblik. De detaljerede overvejelser findes i de resterende dokumenter, som kan læses efter følgende skabelon: - Brugerstyringsattributter Indhold ([BRUGERATT-IND]). Konkret indhold af attributter vedrørende brugeren. - Brugerstyringsattributter Politikker ([BRUGERATT-POL]). Politik for de enkelte oplysninger om brugeren: hvor kommer oplysningen fra, hvem er autoritativ kilde til oplysningen og hvem verificerer oplysningen. - Brugerstyringsattributter Ræsonnementer ([BRUGERATT-RÆS]). Ræsonnement for de enkelte brugeroplysninger dokumenteres med reference til eksisterende standarder, krav fra eksisterende services eller projekter eller fra lignende projekter her i landet eller i udlandet. 3. Aktører På konceptuelt niveau involverer sundhedssektorens webservice infrastruktur 4 aktørtyper: WSC: Web Service Consumer. Den aktør, der ønsker at kalde en service for at gennemføre en forretningsgang. IDP: Identity Provider: En central aktør, der kan autentificere en WSC og udstede en simpel sikkerhedsbillet (bootstrap token) som udtrykker at WSC blev autentificeret, hvordan og hvornår. STS: Security Token Service. En central aktør, der kan udstede sikkerhedsbilletter (identity tokens) om en WSC til brug mod en specifik WSP. STS udmærker sig ved at både WSC og WSP stoler på sikkerhedsbilletter udstedt her. IDP og STS er ofte kollokerede. WSP: Web Service Provider. Den aktør, der udbyder en service og som skal processere sikkerhedsbilletter udstedt af STS for at autentificere og autorisere en WSC. De 4 aktører og det overordnede flow er illustreret på figuren nedenfor. Dette flow er i overensstemmelse med standarden for identitetsbaserede web services (OIOIDWS) fra ITST: Side 2 af 6

4. Autentifikation Første skridt i at foretage et identitetsbaseret webservice kald er at autentificere brugeren. Dette foregår som angivet på figuren ovenfor ved at WSC en danner en besked indeholdende en brugers akkreditiver. I sundhedssektoren identificeres en bruger ved en signatur dannet med et OCES certifikat. Resultatet er et authentication token, der sendes til IDP en hvor signaturen valideres og hvor der dannes et bootstraptoken 1 med lige netop nok information om brugeren til at en STS senere kan danne et rigere og WSP specifikt identity token. 1 I [REF-ARK] kaldes denne token for ID billet. Side 3 af 6

Bootstraptokens lever længe (1 arbejdsdag) og kan derfor med fordel udstedes i forbindelse med initielt dagligt login. 5. Veksling af identitytoken Når WSC ønsker at kalde en specifik WSP kræves et identitytoken 2, der indeholder netop de attributter om brugeren, som WSP har brug for (jævnfør afsnittet om politikker og attributter nedenfor). Et sådant identitytoken opnås ved at WSC kalder STS med et bootstraptoken og en angivelse af hvilken service der ønskes kaldet. I kaldet kan WSC medsende ekstra attributter som WSP har brug for og STS vil nu om muligt verificere værdien af disse, samt påklistre dem i det resulterende identity token. Slutteligt returneres det udstedtee identitytoken til WSC. Identitytokens er kortlivede, men kan let dannes igen ved et kald til STS. 6. Autorisation Når WSP modtager et webservicekald, der indeholder attributter om en bruger, anvendes blandt andet 3 disse oplysninger til at autorisere brugeren. WSP tjekker at kaldet medsender de i politikken definerede attributter og at værdierne i attributterne direkte giver rettigheder til at udføre kaldet eller til at slå yderligere adgangsgivendee oplysninger 4 op. Hvis dette er tilfældet, udføres kaldet og svaret returneres. Alternativt returneres en SOAP fejl. 2 I [REF-ARK] kaldes denne token for attributbillet. 3 Der kan være andre forhold der egulerer autorisation til anvendelse af service. Dette kan være behandlingsre- projekt at præcisere hvad lation eller revanskriterier. 4 Det kunne være behandlingsrelation eller relevanskriterier. Det ligger udenfor dette der ligger i sådanne yderligere adgangsgivende oplysninger. Side 4 af 6

7. Politikker Afhængig af hvilken service en WSP udbyder vil den have behov for forskellige oplysninger om aftageren af oplysningerne (WSC). Nogle services kræver ingen viden fordi de data der udstilles ikke er sensitive. Andre kræver præcis viden om den fagperson der aftager data for at kunne afgøre om vedkommende skal have lov at tilgå oplysningerne. En WSPs behov udtrykkes i politikker, der omfatter en række attributoplysninger, som skal medsendes et web service kald. En WSP kunne f.eks. have behov for at kende en persons arbejdsfunktion, sundhedsfaglig autorisationskode og navn. Politikker kan udtrykkes teknisk og det er muligt at lave en ren teknisk løsning, hvor politikken for en service indlejres i servicens tekniske beskrivelse. Dette er dog udenfor dette dokuments omfang. 8. Attributter Et web servicekald til en WSP skal altid ledsages af et sæt attributter, der matcher den politik som WSP kræver. I praksis betyder det, at der altid skal medsendes et matchendee sæt attributter. Attributter kan stamme fra forskellige parter: WSC: Oplysninger om brugerens aktuelle rolle på et hospital, den sundhedsfaglige autorisation der anvendes lige nu, mm. kendes kun hos WSC og medsendes derfor herfra. STS: Når brugeren autentificeres af IdP sker dette på basis af et OCES certifikat, der i sig selv rummer oplysninger om brugeren. For POCES og MOCES certifikaterr kan et unikt id i certifikatet (hhv. PID og CVR:RID) desuden veksles til et CPR-nummer. STS en vil dels kunne hente attributter om en bruger i bagvedliggende registre, dels kunne verificere claims sendt af WSC imod andre registree med CPR-nummer som nøgle. Attributter angives med et navn og en værdi. 9. Attribut Metadata Attributter der indlejres i en sikkerhedsbillet (bootstraptoken, identitytoken) påklistres metainformation, der tillader en part at afgøre: Side 5 af 6

Claimant: Authority: Verifier: 10. Referencer Den aktør, der fremsætter påstanden om afsenderen. Dette kan være WSC eller STS. Den aktør, der definerer værdien for en påstand. Dette kan være andre parter f.eks. Sundhedsstyrelsen eller Det Centrale Personregister. Den aktør, der har verificeret korrektheden af værdien af en påstand ifht. et autoritativt register. Dette kan være STS. BRUGERATT-IND Brugerstyringsattributter Indhold, version 0.5, 14/5 2010. BRUGERATT-RÆS Brugerstyringsattributter Ræsonnementer, version 0.5, 14/5 2010. BRUGERATT-POL Brugerstyringsattributter Politikker, version 0.5, 14/5 2010. REF-ARK Referencearkitektur for Sundhedsvæsenets Brugerrettighedsstyring (SBRS), version 0.97, 5/1 2010. WS-FED http://specs.xmlsoap.org/ws/2006/12/federation/ws-federation.pdf Side 6 af 6

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback