Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Relaterede dokumenter
Guide til NemLog-in Security Token Service

STS Designdokument. STS Designdokument

Digitaliseringsstyrelsen

Timeout-politik for den fællesoffentlige føderation

LAKESIDE. Sårjournalen. Afslutningsrapport for ændring af. sikkerhedsarkitekturen. Version juni 2016

Guide til integration med NemLog-in / Signering

Integration SF1920 NemLogin / Digital fuldmagt Integrationsbeskrivelse - version 1.0.0

Kommunernes it-arkitekturråd

Copyright 2018 Netcompany. Alle rettigheder forbeholdes.

Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere

Udvidet brug af personligt NemID i erhvervssammenhæng

Session oprettet hos egen serviceudbyder Varianter

Hurtig og sikker adgang til sundhedsfaglige data. Esben Dalsgaard, chef it-arkitekt, Digital Sundhed

Version 1.0. Vilkår for brug af Støttesystemet Adgangsstyring

ADGANGSSTYRING. 26. Februar 2019

Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm

Trin-for-trin guide: Tilslutning af web service til NemLog-in

eid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019

Guide til kravspecifikation

STS Anvenderdokument i. STS Anvenderdokument

Forretningsmæssige testscases for Seal.net i relation til anvendelse af NSP services

STS Driftsvejledning. STS Driftsvejledning

Certifikatpolitik for NemLog-in

Føderative sikkerhedsmodeller til Sårjournalen

Identitetsbaserede webservices og personlige data

De fællesoffentlige komponenter: Federativa identitetslösningar, Erfarenheter från Danmark

Sikker udstilling af data

STS Anvenderdokument. STS Anvenderdokument

Version 1.6. Integrationstest ved tilslutning til NemLog-in. Side 1 af marts 2014

Single sign-on til statens systemer. April 2019 version 5

SPOR 1: ADGANGSSTYRING

Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere

Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3

Webservice kald. System-til-system integration. Ny Easy. ATP 1. februar 2017

Version 1.4. Integrationstest ved tilslutning til NemLog-in. Side 1 af april 2013

DataHub Forbrugeradgangsløsning Spørgsmål og svar

Brokere i Identitetsinfrastrukturen

Understøttelse af LSS til NemID i organisationen

Administration af brugere vha. sammenhængende log-in

DIADEM KOM GODT I GANG INTEGRATIONSVEJLEDNING IFT. SIKKERHED OG VERSIONERING AF WEBSERVICES VERSION: STATUS: FRIGIVET DATO: 22.

Guide til integration med NemLog-in / Brugeradministration

SOSI. (ServiceOrienteretrienteret SystemIntegration) Quick Tour 2.0

Teknisk Dokumentation

Valg af webservice standard

Baggrundsbeskrivelse for installation af føderation i partnerorganisationer til Danmarks Miljøportal. Baggrund. 1. Hvad er føderation

Den samlede erhvervsløsning i næste generation af NemID og NemLog-in3

Den Gode LÆ-blanket Webservice (DGLÆ:WS)

NSIS I KOMMUNERNE OG I FÆLLES LØSNINGER. Arkitekturrådsmødet 27. august 2019 /v Lars Vraa

Introduktion til brugeradministratorer i SEB v2

ANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER

Guide til integration med NemLog-in / Web SSO

MitID. 23. april 2018 Mogens Rom Andersen Digitaliseringsstyrelsen

Den Gode Webservice 1.1

Vejledning i tildeling af rettigheder i NemLogin til STS Administrationsmodulet

Bilag 2. Vilkår for anvendelse af sikkerhedsmodellen i den fælleskommunale Rammearkitektur Version 2.0

Single sign-on cases. SolutionsDay Morten Strunge Nielsen Globeteam Virumgårdsvej 17A 2830 Virum

NemID DataHub adgang. & Doc , sag 10/3365

FMK-online's brug af SmartFraming

Ivan Overgaard 11/29/2012

Digitaliseringsstyrelsen

D INTEGRATIONSDESIGN FOR DATAAFTAGERE

Til høringsparterne Se vedlagte liste

Dette dokument beskriver den fællesoffentlige føderations minimumskrav til logning hos Service og Identity Providere.

AuthorizationCodeService

Lokal implementering af Identity Provider

SSO - FAQ - Kendte problemer med opsætninger

Udvidet brug af personligt NemID i erhvervssammenhæng

Kundevejledning. AD FS opsætning til Reindex. Version: 1.0. Dato: 19. april Forfatter: Lasse Balsvad (XPERION)

SOSI Gateway Komponenten (SOSI GW)

Introduktion til brugeradministratorer i SEB v3

Bilag 1 - Fælles arkitekturramme for GD1-GD2-GD7. Forslag til fælles sikkerhedsmodel for Grunddataprogrammet

End-to-end scenarier for fuldmagtsløsningen

Sammenhængende log-in - SSO til applikationer i et andet sikkerhedsdomæne

Certifikatpolitik. For den fællesoffentlige log-in-løsning. Side 1 af 9 2. december Version 1.1

Behandling af indkomne høringssvar i forbindelse med den officielle høring af OIOSAML version 3.0

Videresend til egen . Vejledning til Digital Post for virksomheder

SOSIGW. - Administrationskonsol for SOSIGW Indeks

Transkript:

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in (samt mulighed for FMK tilgang via SOSI STS) 15.marts 2017 /chg Baggrund Private aktører på sundhedsområdet som apoteker, praktiserende læger og andre parter må, præcis som andre private virksomheder, ikke koble sig på NemLog-in føderationen, og de skal desuden betale klik-afgift til Nets/DanID, når NemID anvendes i deres løsninger. Der er uddelt bevillinger til to apoteker til at drive web-apotek og kunne ekspedere recepter online, men den fornødne infrastruktur til at kunne tilvejebringe adgangsbilletter for borgere til FMK mangler. Samtidigt er de praktiserende læger overenskomstligt forpligtet til at kunne yde e-konsultationer, hvilket forudsætter stærk autentifikation af borgerne via NemID. Både for at muliggøre private aktørers integration af borger-løsninger med FMK og for at kunne lade privatpraktiserendes læger foretage omkostningsneutrale e-konsultationer har Sundheds- og Ældreministeriet frikøbt brugen af NemID for borger-vendte løsninger, der udbydes af private aktører på sundhedsområdet. Aftalen er indgået for 2017, og der er derfor ved at blive etableret en løsning, der kan ibrugtages hurtigst muligt, således at de private aktører kan få mest gavn af aftalen. Sundheds- og Ældreministeriet vil sikre at aftalen forlænges udover 2017. Sundhedsvæsnets Elekroniske Brugerstyrings platform (SEB) har allerede etableret Nem- Log-in proxy funktionalitet i en standard Identity Provider (IdP). For at tilvejebringe log-in og FMK adgangsbillet etableres en løsning, hvor den private aktør kan kalde denne standard SEB IdP, som agerer proxy for NemLog-in. Fra SEB IdP en returneres, der desuden et såkaldt bootstrap billet, som den private aktør efterfølgende har mulighed for at veksle hos SOSI-STS til et FMK-adgangsgivende billet for borgeren, såfremt den private aktør ønsker at hente medicinoplysninger fra FMK på borgernes vegne. Tidsplan Den samlede løsning er ved at blive installeret og konfigureret, og er planlagt til at være tilgængelig i TEST miljøet medio marts og i PRODUKTION miljøet ultimo marts. Overordnet flow Løsningen understøtter såvel log-in usecasen, hvor private aktører kan få borgere logget ind på tilstrækkelig høj sikringsniveau, (og desuden kan få udstedt et adgangsbillet, der kan benyttes til at kalde FMK på borgerens vegne), som log-ud usecasen, hvor private aktører igen kan logge borgeren ud af føderationen. Det overordnede flow for log-in scenariet er i nedenstående figur skitseret fra et brugerperspektiv: Borgeren tilgår den private aktørs web applikation i sin browser, vælger Log- Side 1 af 6

in via SEB og bliver viderestillet til SEB. Efter en kort visning af en brugervendt side, sender SEB derefter borgeren videre til NemLog-in, hvor brugeren skal logge ind med NemID. Fra NemLog-in sendes brugeren retur til SEB, som uden at der vises en dialog sender brugeren tilbage til web applikationen, hvor brugeren logges ind i applikationen. Figur 1: Log-in flow fra brugerperspektivet Nedenstående figur viser flowet i log-ud scenariet: Borgeren vælger log-ud i den private aktørs web applikation og logges ud fra web applikationen (brugerens browser sendes forbi SEB og NemLog-in men dette er ikke synligt for brugeren). Brugeren er nu logget af både web applikationen og NemLog-in. Figur 2: Log-ud flow fra brugerperspektivet Teknisk log-in flow Ud fra nedenstående figur gennemgås de enkelte tekniske trin i løsningen. Figur 3: Teknisk log-in flow Side 2 af 6

Log-in flowet består af et standard SAML Web SSO flow i browseren og et efterfølgende servicekald til Digitaliseringsstyrelsens PID/CPR tjeneste (kun ved første login for hver bruger): 1. Borgeren tilgår den private aktørs web applikation. 2. Borgeren vælger Log-in via SEB og web applikationen laver et SAML Authentication Request via HTTP redirect til SEB IdP en. 3. SEB præsenterer kort en side for borgeren, og redirecter derefter automatisk til NemLog-in, hvor brugeren autentificerer sig selv, medmindre vedkommende allerede har en NemLog-in session (efter standard OIOSAML flow). Hvis dette fejler, redirectes tilbage til web applikationen (med en passende fejlbesked). 4. SEB validerer SAML assertionen fra NemLog-in (som også indeholder et bootstrap token), udskifter signatur på den NemLog-in udstedte assertion (men ikke på bootstrap tokenet), krypterer assertionen til den private aktør og returner assertionen i en SAML response via HTTP POST til den private aktør. 5. Den private aktør dekrypterer og validerer assertionen og uddrager det Nem- Log-in signerede bootstrap token og en PID (et personlig ID for borgeren) fra assertionen. Den private aktør prompter brugeren for sit CPR nummer og validerer CPR nummeret ved opslag i Digitaliseringsstyrelsens PID/CPR tjeneste (kun ved første login, borgeren kan i senere kald genkendes via PID). Teknisk FMK flow FMK flowet består af samme standard SAML Web SSO flow i browseren, som beskrevet i ovenstående, efterfulgt af en WS-Trust omveksling hos SOSI-STS og et efterfølgende IDWS kald til FMK s borgersnitflade: Side 3 af 6

Figur 4: Teknisk FMK flow (Trin 1 til 4 er identiske med standard log-in flowet) 5. Den private aktør dekrypterer og validerer assertionen og uddrager det Nem- Log-in signerede bootstrap token og en PID (et personlig ID for borgeren) fra assertionen. Den private aktør prompter brugeren for sit CPR nummer (kun ved første login, borgeren kan i senere kald genkendes via PID) og veksler bootstrap tokenet til et IDWS token (udstedet til FMK som aftager) hos SOSI-STS. Omvekslingskaldet er et OIO WS-Trust kald hvor CPR og den ønskede audience /aftager (her FMK) angives som parametre. Kaldet signeres med den private aktørs certifikat og foregår over Sundhedsdatanettet. (SOSI STS validerer CPR/PID relationen ved at kalde Digitaliseringsstyrelsens PID/CPR tjeneste, så den private aktør behøver ikke selv at stå for denne integration.) 6. Den private aktørs web applikation uddrager IDWS tokenet fra SOSI-STS svaret og opbygger en IDWS besked, signerer den og kalder FMK (ligeledes via Sundhedsdatanettet). FMK validerer IDWS beskeden og returnere FMK data for borgeren. Tekniske log-ud flows Det er to log-ud flows i løsningen, et hvor borgeren logger ud af den private aktørs web applikationen (kaldet SP-initiated logout i SAML) og et hvor brugeren logger ud af en anden web applikation, som er tilsluttet SEB/NemLog-in (IdP-initiated logout ift. den private aktørs web applikationen). Begge log-ud flows følger standard SAML Single-Logout protokollerne. SP-initiated log-out Ud fra nedenstående figur gennemgås de enkelte tekniske trin i det SP-initierede log-ud flow: 1. Borgeren vælger Log-ud i web applikationen. 2. Web applikationen danner et SAML Logout request, der sendes til SEB IdP en. 3. Uden at vise en side redirecter SEB IdP en videre med et logout request til Nem- Log-in, som logger brugeren ud af NemLog-in føderationen (og andre applikationer der er tilsluttet NemLog-in). 4. Efter gennemført log-ud redirecter SEB tilbage til web applikationen med et logout response. Web applikationen præsenterer en Du er nu logget ud side for borgeren. Side 4 af 6

Figur 5: Teknisk log-ud flow (SP initiated) IdP-initiated log-out Ud fra nedenstående figur gennemgås de enkelte tekniske trin i det SP-initierede log-ud flow: 1. Borgeren vælger Log-ud i en anden web applikation, som er tilsluttet NemLogin. NemLog-in modtager et logout request fra denne applikation og sender nu et logout request til SEB (via HTTP redirect). 2. SEB IdP en sender et logout request til den private aktørs web applikation (via HTTP redirect), som (uden at vise en side) nedlægger brugerens session og redirecter tilbage til SEB. 3. SEB nedlægger brugerens SEB session og redirecter tilbage til NemLog-in IdP en. Side 5 af 6

Figur 6: Teknisk log-ud flow (IdP initiated) Side 6 af 6

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback