Alternativ 1.1 - Via Sambi som användarorganisation

1. Beskrivning

1.1. Internetstiftelsen ansvarar för Sambi

Sambi är en identitets- och behörighetsfederation som möjliggör säker inloggning för användare över organisationsgränser.

I detta alternativ behöver användaren tillhöra en användarorganisation i Sambi. Personal inom vård, hälsa, omsorg samt veterinärer loggar in i sin hemorganisation med sin e-legitimation endast en gång, så kallad single sign-on och kan därigenom få åtkomst till de digitala tjänster hemorganisationen har avtal med och som är anslutna till Sambi.

Läs mer på Om Sambi (sambi.se)

2. Behörighetsstyrning

2.1. Behörighetsroller

De behörighetsroller som är möjliga med detta alternativ:

Förskrivare
- Förskrivare med vårdgivare
- Förskrivare utan vårdgivare
Sjuksköterska
Farmaceut inom hälso- och sjukvård
Dietist
Administratör av apotek
Administratör av dospatient
Farmaceut på apotek
Icke-legitimerad apotekspersonal
Veterinär

2.2. Attribut

Attributen i tabellen nedan är enligt Sambis attributprofil (wiki.federationer.internetstiftelsen.se) och används i behörighetsstyrning för tilldelning av roller. IdP:er anslutna till en operatör som är godkänd av E-hälsomyndigheten använder dessa attribut i de SAML-intyg de utfärdar. Om ytterligare attribut förekommer i intyget, tas ingen hänsyn till dessa avseende behörighetsstyrning.

Attribut i intyg (enligt Sambi)	Benämning i detta dokument	Gruppering
healthcareProfessionalLicenseIdentityNumber	Legitimationskod	Person-id
personalPrescriptionCode	Individuell förskrivarkod	Person-id
personalIdentityNumber	Personnummer/samordningsnummer	Person-id
veterinaryIdentificationNumber	Veterinärkod	Person-id
subject-id	Icke-bofast	Person-id
healthcareProfessionalLicense	Yrkeskod
occupationalCode	Utökad yrkeskod
groupPrescriptionCode	Gruppförskrivarkod
pharmacyIdentifier	Apotek GLN-kod
healthcareProviderId	Vårdgivare organisationsnummer
healthCareProviderHsaId	Vårdgivare HSA-id

Utöver de behörighetsstyrande attribut ovan kan kompletterande säkerhetsattribut (för specifika tjänster) krävas för att tillåta åtkomst. Dessa attribut beskrivs på sidan Kompletterande säkerhetsattribut.

2.3. Kompletterande säkerhetsattribut – Sambi

Utöver de behörighetsstyrande attribut som används för att avgöra behörighetsroll krävs, för åtkomst till Nationella läkemedelslistan, även kompletterande säkerhetsattribut i säkerhetsintyg med anledning av krav på spårbarhet. Dessa återfinns i Sambis attributprofil (wiki.federationer.internetstiftelsen.se).

Attribut i intyg (enligt Sambi)	Benämning i detta dokument + Beskrivning	Gäller för behörighetsroll
givenName	Förnamn	Förskrivare ¹ Icke-legitimerad apotekspersonal
surname	Efternamn	Förskrivare ¹ Icke-legitimerad apotekspersonal
healthCareProviderName	Vårdgivare namn Namn på den vårdgivare som inloggad användare från vårdaktör företräder.	Förskrivare med vårdgivare ² Sjuksköterska Farmaceut inom hälso- och sjukvård Dietist
healthcareProviderId	Vårdgivare organisationsnummer Id (organisationsnummer) på den vårdgivare som inloggad användare från vården företräder.	Förskrivare med vårdgivare ² Sjuksköterska Farmaceut inom hälso- och sjukvård Dietist
healthCareUnitName	Vårdenhet namn Namn på den vårdenhet som inloggad användare från vårdaktör företräder.	Förskrivare med vårdgivare ² Sjuksköterska Farmaceut inom hälso- och sjukvård Dietist
healthCareUnitHsaId	Vårdenhet HSA-id Id på den vårdenhet som inloggad användare från vårdaktör företräder.	Förskrivare med vårdgivare ² Sjuksköterska Farmaceut inom hälso- och sjukvård Dietist

¹ Då Förskrivare använder sig av Utökad yrkeskod.
² Ej obligatorisk för behörighetsroll Förskrivare utan vårdgivare, se Behörighetsstyrning.

2.4. Tillitsnivåer

För att medge åtkomst till tjänster ställs (utöver roll) krav på tillitsnivå av behörighetsstyrande attribut i intyget. Den nivå som är relevant är (eller motsvarar) tillitsnivå 3 enligt Diggs tillitsramverk för Svensk e-legitimation. Då inget krav på tillitsnivå finns för en specifik tjänst anges detta som LOA 0.

LOA	Motsvarar för Sambi
LOA2	http://id.sambi.se/loa/loa2
LOA2	http://id.sambi.se/loa/loa2-nonresident
LOA3	http://id.sambi.se/loa/loa3
LOA3	http://id.sambi.se/loa/loa3-nonresident
LOA4	http://id.sambi.se/loa/loa4

3. Teknisk information

För mer teknisk information om Sambi, se Sambi (wiki.federationer.internetstiftelsen.se).

3.1. SAML-Assertion

Används för vård- och apotekspersonal som anropar E-hälsomyndighetens tjänster med ett SAML-intyg. Intyget ska vara utfärdat av en IdP ansluten via en av E-hälsomyndigheten godkänd operatör.

I tabellen listas de delar i SAML-Assertion som är av särskilt intresse i E-hälsomyndighetens säkerhetslösning.


SAML2:Issuer	Namnet på användarorganisationens identitetsintygsutgivare (Identity Provider, IdP).
DS:Signature	Innehåller signatur med utställarens certifikat i kodat (Base64) format
SAML2:Conditions	Giltighetstiden för intyget, se vidare Giltighetstid intyg.
SAML2:Audience	Tjänsteleverantör/E-tjänst (Service Provider, SP) som intyget är utställt till. Endast av E-hälsomyndigheten godkända tjänsteleverantörer ges tillgång till tjänster.
SAML2:AuthnContext	Tillitsnivå (Level of Assurance, LOA).
SAML2:AttributeStatement	Information (ett eller flera behörighetsattribut) om den person intyget avser. Mer information om dessa attribut finns på sidan Behörighetsstyrning.

3.2. SAML-Response

SAML-Response används som intyg (i stället för SAML-Assertion) då privat e-legitimation används (exempelvis via e-handel) vid anrop till E-hälsomyndighetens tjänster. Ett SAML-Response innehåller i sin tur ett SAML-Assertion. För mer information om information som ställs ut vid autentisering, kontakta den IdP (Identity Provider) som levererar e-legitimationslösningen.

3.3. Avkrypterad Assertion

För att kunna agera på det SAML-Assertion som inkommer till E-hälsomyndigheten behöver detta vara i okrypterad form. I fall den IdP som ställer ut SAML-Response gör det med krypterad SAML-Assertion, behöver denna avkrypteras av anropande system innan den används i anrop mot E-hälsomyndighetens tjänster.

Om så sker, behöver validering av SAML-Assertion fortfarande kunna ske. För att detta ska kunna vara möjligt behöver SP begära intyg med separat signering av Assertion. Detta kan åstadkommas genom att SP deklarerar detta i metadata genom attribut WantAssertionsSigned.

3.4. Validering av signatur – ds:Signature & saml2:Issuer

Signaturen (ds:SignatureValue) valideras mot metadata publicerad av identitetsfederation för att säkerställa tillit till den IdP som utfärdat intyget. Den nyckel som används för att göra uppslag av rätt signeringsnyckel i metadata är saml2:Issuer från intyg.

3.5. Validering av anropande part – saml2:Audience

I det Saml2-Assertion som inkommer med anrop till E-hälsomyndighetens tjänster sker validering av innehåll i attribut Saml2:Audience (i elementet AudienceRestiction) mot det värde som angavs vid anslutning.
Exempel AudienceRestriction

<saml2:AudienceRestriction>
<saml2:Audience>https://sp.example.se/</saml2:Audience>
</saml2:AudienceRestriction>

3.6. Giltighet – saml2:Conditions

Se vidare Giltighetstid intyg.

3.7. Tillitsnivå – saml2:AuthnStatement

Attribut sam2:AuthnContextClassRef används för att avgöra tillitsnivå för intyget. Se kapitel Tillitsnivå i behörighetsstyrning för mer information om godtagna tillitsnivåer. Krav på tillitsnivå finns även per tjänst, se vidare Tjänster och behöriga roller.
Exempel AuthnStatement

<saml2:AuthnStatement AuthnInstant="2021-04-13T07:37:23.764Z">
    <saml2:AuthnContext>
        <saml2:AuthnContextClassRef>http://id.sambi.se/loa/loa3</saml2:AuthnContextClassRef>
    </saml2:AuthnContext>
</saml2:AuthnStatement>

3.8. Behörighetsttribut – saml2:AttributeStatement

Ett eller flera Attribut (saml2:Attriute) i element saml2:AttributeStatement används i behörighetsstyrningen för utvärderande av behörighetsroller. Attribut kan även behövas för kompletterande säkerhetsattribut, se vidare Tjänster och behöriga roller.
Exempel AttributeStatement

<saml2:AttributeStatement>
    <saml2:Attribute FriendlyName="professionalLicence" Name="http://sambi.se/attributes/1/professionalLicence" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
        <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">LK</saml2:AttributeValue>
    </saml2:Attribute>
    <saml2:Attribute FriendlyName="personalPrescriptionCode" Name="http://sambi.se/attributes/1/personalPrescriptionCode" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
        <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">1234567</saml2:AttributeValue>
    </saml2:Attribute>
</saml2:AttributeStatement>

3.9. Miljöer

Nedan beskrivs E-hälsomyndighetens miljöer och dess motsvarighet i Sambi.

Miljö E-hälsomyndigheten	Miljö Sambi	Metadata
Externtest	Sambi Trial	https://fed.sambi.se/trial/md/metadata.xml
Produktion	Sambi Produktion	https://fed.sambi.se/prod/md/metadata.xml

Versionshistorik

Version	Datum	Release	Kommentar
1.0	2025-02-13	21.12	Ny sida, version 21.12