Alternativ 1.2 - Via Sweden Connect och självdeklaration
1. Beskrivning
1.1. Digg ansvarar för Sweden Connect
Huvudansvarig för Sweden Connect är Digg – Myndigheten för digital förvaltning, som är en statlig myndighet med uppdrag att stödja och samordna offentlig sektor i frågor som rör e-legitimering och e-underskrift, nationellt och internationellt. Läs mer på Om Sweden Connect (swedenconnect.se).
1.2. Riktlinje för tillhandahållande av behörighetsstyrande attribut
Attribut som används för behörighetsstyrning i säkerhetslösningen som inte regleras av Sweden Connect (attribut som ligger utanför Sweden Connects attributprofil) regleras av en riktlinje som tillhandahålls av E-hälsomyndigheten, se Riktlinje för tillhandahållande av behörighetsstyrande attribut.
Det finns två sätt att påvisa efterlevnad rörande behörighetsstyrande attribut.
1.2.1. Självdeklaration direkt till E-hälsomyndigheten
I detta fall skickar den aktör som tillhandahåller de behörighetsstyrande attributen in en självdeklaration till E-hälsomyndigheten.
1.2.2. Via efterlevnad av HSA Tillitsramverk
Aktörer som efterlever HSA Tillitsramverk behöver inte skicka in separat självdeklaration till E-hälsomyndigheten. I stället tar E-hälsomyndigheten del av kravefterlevnad via Inera. E-hälsomyndigheten kräver att samtliga bör- och skallkrav i HSA Tillitsramverk ska efterlevas.
2. Behörighetsstyrning
2.1. Behörighetsroller
De behörighetsroller som är möjliga med detta alternativ:
- Förskrivare
- Förskrivare med vårdgivare
- Förskrivare utan vårdgivare
- Sjuksköterska
- Farmaceut inom hälso- och sjukvård
- Dietist
- Administratör av apotek
- Administratör av dospatient
- Farmaceut på apotek
- Icke-legitimerad apotekspersonal
- Veterinär
2.2. Attribut för personidentitet
2.2.1. Med PersonalIdentityNumber
Följande attribut används i säkerhetslösningen som ett behörighetsstyrande attribut:
|
Friendly name |
Attribute name |
Benämning i detta dokument |
Gruppering |
|---|---|---|---|
| personalIdentityNumber | urn:oid:1.2.752.201.3.15 | Personnummer/samordningsnummer | Person-id |
| organizationIdentifier | urn:oid:2.5.4.97 | Organizational identifier code | Organisationsnummer |
2.2.2. Med orgAffiliation
Följande attribut används i säkerhetslösningen som ett behörighetsstyrande attribut:
|
Friendly name |
Attribute name |
Benämning i detta dokument |
Gruppering |
|---|---|---|---|
| orgAffiliation | urn:oid:1.2.752.201.3.1 | Icke-bofast | Person-id |
2.3. Behörighetsattribut
De attribut (utöver ovan attribut) som används i behörighetsstyrning för tilldelning av roller (enligt Behörighetsstyrning/rolltilldelning) specificeras i tabellen nedan. I de fall attributet inte ingår i Sweden Connects attributprofil och/eller i det Attribute Set som används för användaren kan dessa attribut specificeras på ett av följande sätt:
- Som attribut i säkerhetsintyg (utställt från IdP) som ligger utanför Sweden Connects attributprofil
- Som kompletterande behörighetsattribut (utställt från E-tjänst), via intygsväxling – se vidare Intygsväxling. Då denna variant används är det Attribute name (inte Friendly name) som används som Claim name.
|
Friendly name |
Attribute name/claim |
Benämning i detta dokument + Beskrivning |
Multivalue |
Format |
Gruppering |
|---|---|---|---|---|---|
| healthcareProfessionalLicenseIdentityNumber | https://id.ena-infrastructure.se/attributes/health/healthcareProfessionalLicenseIdentityNumber | Legitimationskod | Nej | numeriskt(6) | Person-id |
| personalPrescriptionCode | https://id.ena-infrastructure.se/attributes/health/personalPrescriptionCode | Individuell förskrivarkod | Nej | numeriskt(7) | Person-id |
| veterinaryIdentificationNumber | https://id.ena-infrastructure.se/attributes/health/veterinaryIdentificationNumber | Veterinärkod | Nej | numeriskt(4–12) | Person-id |
| healthcareProfessionalLicense | https://id.ena-infrastructure.se/attributes/health/healthcareProfessionalLicense |
Yrkeskod Legitimerad yrkesgrupp enligt Socialstyrelsens HOSP register |
Ja | kod | |
| occupationalCode | https://id.ena-infrastructure.se/attributes/health/occupationalCode |
Utökad yrkeskod Yrkeskategorier för personal inom vård – och omsorg som inte finns reglerat i annat eller mer formellt register |
Ja | kod | |
| pharmacyIdentifier | https://id.ena-infrastructure.se/attributes/health/pharmacyIdentifier |
Apotek GLN-kod Unik identifiering av öppenvårdsapotek |
Nej | Global Location Number, GS1 – lokaliseringsnumm | |
| healthcareProviderId | https://id.ena-infrastructure.se/attributes/health/healthcareProviderId | Vårdgivarens organisationsnummer | Nej | numerisk(10) | |
| healthCareProviderHsaId | https://id.ena-infrastructure.se/attributes/health/healtCareProviderHsaId | Vårdgivarens HSA-id | Nej | enligt HSA |
Utöver ovan behörighetsstyrande attribut kan kompletterande säkerhetsattribut (för specifika system) krävas för att medge åtkomst. Dessa attribut beskrivs i Kompletterande säkerhetsattribut.
2.4. Kompletterande säkerhetsattribut
Utöver de behörighetsstyrande attribut som används för att avgöra behörighetsroll krävs, för åtkomst till Nationella läkemedelslistan, även kompletterande säkerhetsattribut med anledning av krav på spårbarhet. För attribut som är upptagna i Sweden Connects attributprofil (docs.swedenconnect.se):
|
Friendly name |
Attribute name |
Gäller behörighetsroll |
|---|---|---|
| givenName | urn:oid:2.5.4.42 |
Förskrivare 1 Icke-legitimerad apotekspersonal |
| sn | urn:oid:2.5.4.4 |
Förskrivare 1 Icke-legitimerad apotekspersonal |
1 Då Förskrivare använder sig av Utökad yrkeskod.
I de fall attributet inte ingår i Sweden Connects attributprofil kan dessa attribut specificeras på ett av följande sätt:
- Som attribut i säkerhetsintyg (utställt från IdP) som ligger utanför attributprofil
- Som kompletterande behörighetsattribut (utställt från E-tjänst), via intygsväxling – se vidare Intygsväxling.
|
Friendly name |
Attribute name / claim |
Benämning i detta dokument + Beskrivning |
Multivalue |
Format |
Gäller behörighetsroll |
|---|---|---|---|---|---|
| givenName | https://id.ena-infrastructure.se/attributes/health/givenName | Förnamn | Nej |
Förskrivare 1 Icke-legitimerad apotekspersonal |
|
| sn | https://id.ena-infrastructure.se/attributes/health/sn | Efternamn | Nej |
Förskrivare 1 Icke-legitimerad apotekspersonal |
|
| healthCareProviderName | https://id.ena-infrastructure.se/attributes/health/healthCareProviderName |
Vårdgivare namn Namn på den vårdgivare som inloggad användare från vårdaktör företräder. |
Nej |
Förskrivare med vårdgivare 2 Sjuksköterska Farmaceut inom hälso- och sjukvård Dietist |
|
| healthcareProviderId | https://id.ena-infrastructure.se/attributes/health/healthcareProviderId |
Vårdgivaren organisationsnummer Id (organisationsnummer) på den vårdgivare som inloggad användare från vården företräder. |
Nej | numerisk(10) |
Förskrivare med vårdgivare 2 Sjuksköterska Farmaceut inom hälso- och sjukvård Dietist |
| healthCareUnitName | https://id.ena-infrastructure.se/attributes/health/healthCareUnitName |
Vårdenhet namn Namn på den vårdenhet som inloggad användare från vårdaktör företräder. |
Nej |
Förskrivare med vårdgivare 2 Sjuksköterska Farmaceut inom hälso- och sjukvård Dietist |
|
| healthCareUnitHsaId | https://id.ena-infrastructure.se/attributes/health/healthCareUnitHsaId |
Vårdenhet HSA-id Id på den vårdenhet som inloggad användare från vårdaktör företräder. |
Nej | enligt HSA |
Förskrivare med vårdgivare 2 Sjuksköterska Farmaceut inom hälso- och sjukvård Dietist |
1 Då Förskrivare använder sig av Utökad yrkeskod.
2 Ej obligatorisk för behörighetsroll Förskrivare utan vårdgivare, se sidan Behörighetsstyrning.
2.5. Tillitsnivå (Level of Assurance – LOA)
För att medge åtkomst till tjänster ställs (utöver roll) krav på tillitsnivå av behörighetsstyrande attribut i intyget. Den nivå som är relevant är (eller motsvarar) tillitsnivå 3 enligt Diggs tillitsramverk för Svensk e-legitimation. Då inget krav på tillitsnivå finns för en specifik tjänst anges detta som LOA 0.
|
LOA |
Motsvarar för Sweden Connect |
|---|---|
| LOA2 | http://id.elegnamnden.se/loa/1.0/loa2 |
| LOA2 | http://id.swedenconnect.se/loa/1.0/loa2-nonresident |
| LOA3 | http://id.elegnamnden.se/loa/1.0/loa3 1 |
| LOA3 | http://id.swedenconnect.se/loa/1.0/loa3-nonresident |
| LOA4 | http://id.elegnamnden.se/loa/1.0/loa4 |
1 Notera att http://id.swedenconnect.se/loa/1.0/uncertified-loa3 inte likställs med LOA3.
3. Teknisk information
För mer teknisk information om Sweden Connect, se Technical Specifications for the Swedish eID Framework (swedenconnect.se).
3.1. SAML-Assertion
Används för vård- och apotekspersonal som anropar E-hälsomyndighetens tjänster med ett SAML-intyg.
I tabellen listas de delar i SAML-Assertion som är av särskilt intresse i E-hälsomyndighetens säkerhetslösning.
|
|
|
|---|---|
| SAML2:Issuer | Namnet på användarorganisationens identitetsintygsutgivare (Identity Provider, IdP). |
| DS:Signature | Innehåller signatur med utställarens certifikat i kodat (Base64) format |
| SAML2:Conditions | Giltighetstiden för intyget, se vidare Giltighetstid intyg. |
| SAML2:Audience | Tjänsteleverantör/E-tjänst (Service Provider, SP) som intyget är utställt till. Endast av E-hälsomyndigheten godkända tjänsteleverantörer ges tillgång till tjänster. |
| SAML2:AuthnContext | Tillitsnivå (Level of Assurance, LOA). |
| SAML2:AttributeStatement | Information (ett eller flera behörighetsattribut) om den person intyget avser. Mer information om dessa attribut finns på sidan Behörighetsstyrning. |
3.2. SAML-Response
SAML-Response används som intyg (i stället för SAML-Assertion) då privat e-legitimation används (exempelvis via e-handel) vid anrop till E-hälsomyndighetens tjänster. Ett SAML-Response innehåller i sin tur ett SAML-Assertion. För mer information om information som ställs ut vid autentisering, kontakta den IdP (Identity Provider) som levererar e-legitimationslösningen.
3.3. Avkrypterad Assertion
För att kunna agera på det SAML-Assertion som inkommer till E-hälsomyndigheten behöver detta vara i okrypterad form. I fall den IdP som ställer ut SAML-Response gör det med krypterad SAML-Assertion, behöver denna avkrypteras av anropande system innan den används i anrop mot E-hälsomyndighetens tjänster.
Om så sker, behöver validering av SAML-Assertion fortfarande kunna ske. För att detta ska kunna vara möjligt behöver SP begära intyg med separat signering av Assertion. Detta kan åstadkommas genom att SP deklarerar detta i metadata genom attribut WantAssertionsSigned.
3.4. Validering av signatur – ds:Signature & saml2:Issuer
Signaturen (ds:SignatureValue) valideras mot metadata publicerad av identitetsfederation för att säkerställa tillit till den IdP som utfärdat intyget. Den nyckel som används för att göra uppslag av rätt signeringsnyckel i metadata är saml2:Issuer från intyg.
3.5. Validering av anropande part – saml2:Audience
I det Saml2-Assertion som inkommer med anrop till E-hälsomyndighetens tjänster sker validering av innehåll i attribut Saml2:Audience (i elementet AudienceRestiction) mot det värde som angavs vid anslutning.
Exempel AudienceRestriction
|
|
3.6. Giltighet – saml2:Conditions
Se vidare Giltighetstid intyg.
3.7. Tillitsnivå – saml2:AuthnStatement
Attribut sam2:AuthnContextClassRef används för att avgöra tillitsnivå för intyget. Se kapitel Tillitsnivå i behörighetsstyrning för mer information om godtagna tillitsnivåer. Krav på tillitsnivå finns även per tjänst, se vidare Tjänster och behöriga roller.
Exempel AuthnStatement
|
|
3.8. Behörighetsttribut – saml2:AttributeStatement
Ett eller flera Attribut (saml2:Attriute) i element saml2:AttributeStatement används i behörighetsstyrningen för utvärderande av behörighetsroller. Attribut kan även behövas för kompletterande säkerhetsattribut, se vidare Tjänster och behöriga roller.
Exempel AttributeStatement
|
|
3.9. Miljöer
Nedan beskrivs E-hälsomyndighetens miljöer och dess motsvarighet i Sweden Connect.
|
Miljö E-hälsomyndigheten |
Miljö Sweden Connect |
Metadata |
|---|---|---|
| Externtest | Sweden Connect Sandbox | https://eid.svelegtest.se/mdreg/home |
| Produktion | Sweden Connect Produktion | https://md.swedenconnect.se/ |
Versionshistorik
|
Version |
Datum |
Release |
Kommentar |
|---|---|---|---|
| 1.0 | 2025-02-13 | 21.12 | Ny sida, version 21.12 |