Alternativ 1.2 - Via IdP som är godkänd enligt tillitsramverket Svensk e-legitimation samt självdeklaration
1. Beskrivning
1.1. Två sätt att ansluta
Använd en IdP som om granskad och godkänt enligt tillitsramverket för Svensk e‑legitimation, vilket görs antingen genom att
- använda en IdP som är med i Sweden Connect genom att ansluta som förlitande part, eller
- använd en IdP som inte är med i Sweden Connect men är tillitsgranskad och godkänd av Myndigheten för digital förvaltning (Digg) enligt tillitsramverket
1.2. Digg ansvarar för Sweden Connect
Huvudansvarig för Sweden Connect är Digg – Myndigheten för digital förvaltning, som är en statlig myndighet med uppdrag att stödja och samordna offentlig sektor i frågor som rör e-legitimering och e-underskrift, nationellt och internationellt. Läs mer på Om Sweden Connect (swedenconnect.se).
1.3. Riktlinje för tillhandahållande av behörighetsstyrande attribut
Attribut som används för behörighetsstyrning i säkerhetslösningen som inte regleras av Sweden Connect (attribut som ligger utanför Sweden Connects attributprofil) regleras av en riktlinje som tillhandahålls av E-hälsomyndigheten, se Riktlinje för tillhandahållande av behörighetsstyrande attribut.
Det finns två sätt att påvisa efterlevnad rörande behörighetsstyrande attribut.
1.3.1. Självdeklaration direkt till E-hälsomyndigheten
I detta fall skickar den aktör som tillhandahåller de behörighetsstyrande attributen in en självdeklaration till E-hälsomyndigheten.
1.3.2. Via fullständig efterlevnad av HSA Tillitsramverk
Aktörer som efterlever HSA Tillitsramverk behöver inte skicka in separat självdeklaration till E-hälsomyndigheten. I stället tar E-hälsomyndigheten del av kravefterlevnad via Inera. Utöver att vara HSA-ansluten med godkänd tillitsdeklaration kräver E-hälsomyndigheten även att vissa utpekade börkrav i HSA Tillitsramverk ska efterlevas. Dessa anges i HSA Tillitsramverk.
E-hälsomyndigheten tar del av HSA-anslutna vårdgivare från Inera, inklusive information huruvida HSA-ansluten efterlever de bör-krav som E-hälsomyndigheten ställs som skall-krav. Inera ansvarar för att tillhandahålla aktuell information till E-hälsomyndigheten, både avseende direktanslutna organisationer och vilka vårdgivare som är anslutna via HSA-ombud.
Beslut om vitlistning tas för respektive vårdgivare. Beslut avseende vårdgivare som är HSA-ansluten via HSA-ombud baseras på HSA-ombudets kravefterlevnad.
I de fall en HSA tillitdeklaration inkommit och det har beslutats att godkänna tillitsdeklarationen, men där deklarationen inte efterlever E-hälsomyndighetens krav, kommer E-hälsomyndigheten ta kontakt med berörd HSA-ansluten organisation. Kontakt tas med den organisation som står för tillitsdeklarationen, dvs i fallet HSA-ombud tas inte kontakt med tredjepartanslutna. Kontaktuppgifter erhålls från Inera.
För frågor om hanteringen kontakta servicedesk@ehalsomyndigheten.se och ange rubrik "Vitlistning HSA"
2. Behörighetsstyrning
2.1. Behörighetsroller
De behörighetsroller som är möjliga med detta alternativ:
- Förskrivare
- Förskrivare med vårdgivare
- Förskrivare utan vårdgivare
- Sjuksköterska
- Farmaceut inom hälso- och sjukvård
- Dietist
- Administratör av apotek
- Administratör av dospatient
- Farmaceut på apotek
- Icke-legitimerad apotekspersonal
- Veterinär
2.2. Attribut för personidentitet
2.2.1. Med PersonalIdentityNumber
Följande attribut används i säkerhetslösningen som ett behörighetsstyrande attribut:
|
Friendly name |
Attribute name |
Benämning i detta dokument |
Gruppering |
|---|---|---|---|
| personalIdentityNumber | urn:oid:1.2.752.201.3.15 | Personnummer/samordningsnummer | Person-id |
| organizationIdentifier | urn:oid:2.5.4.97 | Organizational identifier code | Organisationsnummer |
2.2.2. Med orgAffiliation
Följande attribut används i säkerhetslösningen som ett behörighetsstyrande attribut:
|
Friendly name |
Attribute name |
Benämning i detta dokument |
Gruppering |
|---|---|---|---|
| orgAffiliation | urn:oid:1.2.752.201.3.1 | Icke-bofast | Person-id |
2.3. Behörighetsattribut
De attribut (utöver ovan attribut) som används i behörighetsstyrning för tilldelning av roller (enligt Behörighetsstyrning/rolltilldelning) specificeras i tabellen nedan. I de fall attributet inte ingår i Sweden Connects attributprofil och/eller i det Attribute Set som används för användaren kan dessa attribut specificeras på ett av följande sätt:
- Som attribut i säkerhetsintyg (utställt från IdP) som ligger utanför Sweden Connects attributprofil
- Som kompletterande behörighetsattribut (utställt från E-tjänst), via intygsväxling – se vidare Intygsväxling. Då denna variant används är det Attribute name (inte Friendly name) som används som Claim name.
|
Friendly name |
Attribute name/claim |
Benämning i detta dokument + Beskrivning |
Multivalue |
Format |
Gruppering |
|---|---|---|---|---|---|
| healthcareProfessionalLicenseIdentityNumber | https://id.ena-infrastructure.se/attributes/health/healthcareProfessionalLicenseIdentityNumber | Legitimationskod | Nej | numeriskt(6) | Person-id |
| personalPrescriptionCode | https://id.ena-infrastructure.se/attributes/health/personalPrescriptionCode | Individuell förskrivarkod | Nej | numeriskt(7) | Person-id |
| veterinaryIdentificationNumber | https://id.ena-infrastructure.se/attributes/health/veterinaryIdentificationNumber | Veterinärkod | Nej | numeriskt(4–12) | Person-id |
| healthcareProfessionalLicense | https://id.ena-infrastructure.se/attributes/health/healthcareProfessionalLicense |
Yrkeskod Legitimerad yrkesgrupp enligt Socialstyrelsens HOSP register |
Ja | kod |
|
| occupationalCode | https://id.ena-infrastructure.se/attributes/health/occupationalCode |
Utökad yrkeskod Yrkeskategorier för personal inom vård – och omsorg som inte finns reglerat i annat eller mer formellt register |
Ja | kod |
|
| pharmacyIdentifier | https://id.ena-infrastructure.se/attributes/health/pharmacyIdentifier |
Apotek GLN-kod Unik identifiering av öppenvårdsapotek |
Nej | Global Location Number, GS1 – lokaliseringsnumm |
|
| healthcareProviderId | https://id.ena-infrastructure.se/attributes/health/healthcareProviderId | Vårdgivarens organisationsnummer | Nej | numerisk(10) |
|
| healthCareProviderHsaId | https://id.ena-infrastructure.se/attributes/health/healthCareProviderHsaId | Vårdgivarens HSA-id | Nej | enligt HSA |
|
Utöver ovan behörighetsstyrande attribut kan kompletterande säkerhetsattribut (för specifika system) krävas för att medge åtkomst. Dessa attribut beskrivs i Kompletterande säkerhetsattribut.
2.4. Kompletterande säkerhetsattribut
Utöver de behörighetsstyrande attribut som används för att avgöra behörighetsroll krävs, för åtkomst till Nationella läkemedelslistan, även kompletterande säkerhetsattribut med anledning av krav på spårbarhet. För attribut som är upptagna i Sweden Connects attributprofil (docs.swedenconnect.se):
|
Friendly name |
Attribute name |
Gäller behörighetsroll |
|---|---|---|
| givenName | urn:oid:2.5.4.42 |
Förskrivare 1 Icke-legitimerad apotekspersonal |
| sn | urn:oid:2.5.4.4 |
Förskrivare 1 Icke-legitimerad apotekspersonal |
1 Då Förskrivare använder sig av Utökad yrkeskod.
I de fall attributet inte ingår i Sweden Connects attributprofil kan dessa attribut specificeras på ett av följande sätt:
- Som attribut i säkerhetsintyg (utställt från IdP) som ligger utanför attributprofil
- Som kompletterande behörighetsattribut (utställt från E-tjänst), via intygsväxling – se vidare Intygsväxling.
|
Friendly name |
Attribute name / claim |
Benämning i detta dokument + Beskrivning |
Multivalue |
Format |
Gäller behörighetsroll |
|---|---|---|---|---|---|
| givenName | https://id.ena-infrastructure.se/attributes/health/givenName | Förnamn | Nej |
|
Förskrivare 1 Icke-legitimerad apotekspersonal |
| sn | https://id.ena-infrastructure.se/attributes/health/sn | Efternamn | Nej |
|
Förskrivare 1 Icke-legitimerad apotekspersonal |
| healthCareProviderName | https://id.ena-infrastructure.se/attributes/health/healthCareProviderName |
Vårdgivare namn Namn på den vårdgivare som inloggad användare från vårdaktör företräder. |
Nej |
|
Förskrivare med vårdgivare 2 Sjuksköterska Farmaceut inom hälso- och sjukvård Dietist |
| healthcareProviderId | https://id.ena-infrastructure.se/attributes/health/healthcareProviderId |
Vårdgivaren organisationsnummer Id (organisationsnummer) på den vårdgivare som inloggad användare från vården företräder. |
Nej | numerisk(10) |
Förskrivare med vårdgivare 2 Sjuksköterska Farmaceut inom hälso- och sjukvård Dietist |
| healthCareUnitName | https://id.ena-infrastructure.se/attributes/health/healthCareUnitName |
Vårdenhet namn Namn på den vårdenhet som inloggad användare från vårdaktör företräder. |
Nej |
|
Förskrivare med vårdgivare 2 Sjuksköterska Farmaceut inom hälso- och sjukvård Dietist |
| healthCareUnitHsaId | https://id.ena-infrastructure.se/attributes/health/healthCareUnitHsaId |
Vårdenhet HSA-id Id på den vårdenhet som inloggad användare från vårdaktör företräder. |
Nej | enligt HSA |
Förskrivare med vårdgivare 2 Sjuksköterska Farmaceut inom hälso- och sjukvård Dietist |
1 Då Förskrivare använder sig av Utökad yrkeskod.
2 Ej obligatorisk för behörighetsroll Förskrivare utan vårdgivare, se sidan Behörighetsstyrning.
2.5. Tillitsnivå (Level of Assurance – LOA)
För att medge åtkomst till tjänster ställs (utöver roll) krav på tillitsnivå av behörighetsstyrande attribut i intyget. Den nivå som är relevant är (eller motsvarar) tillitsnivå 3 enligt Diggs tillitsramverk för Svensk e-legitimation. Då inget krav på tillitsnivå finns för en specifik tjänst anges detta som LOA 0.
|
LOA |
Motsvarar för Sweden Connect |
|---|---|
| LOA2 | http://id.elegnamnden.se/loa/1.0/loa2 |
| LOA2 | http://id.swedenconnect.se/loa/1.0/loa2-nonresident |
| LOA3 | http://id.elegnamnden.se/loa/1.0/loa3 1 |
| LOA3 | http://id.swedenconnect.se/loa/1.0/loa3-nonresident |
| LOA4 | http://id.elegnamnden.se/loa/1.0/loa4 |
1 Notera att http://id.swedenconnect.se/loa/1.0/uncertified-loa3 inte likställs med LOA3.
3. Teknisk information
För mer teknisk information om Sweden Connect, se Technical Specifications for the Swedish eID Framework (swedenconnect.se).
3.1. SAML-Assertion
Används för vård- och apotekspersonal som anropar E-hälsomyndighetens tjänster med ett SAML-intyg.
I tabellen listas de delar i SAML-Assertion som är av särskilt intresse i E-hälsomyndighetens säkerhetslösning.
|
|
|
|---|---|
| SAML2:Issuer | Namnet på användarorganisationens identitetsintygsutgivare (Identity Provider, IdP). |
| DS:Signature | Innehåller signatur med utställarens certifikat i kodat (Base64) format |
| SAML2:Conditions | Giltighetstiden för intyget, se vidare Giltighetstid intyg. |
| SAML2:Audience | Tjänsteleverantör/E-tjänst (Service Provider, SP) som intyget är utställt till. Endast av E-hälsomyndigheten godkända tjänsteleverantörer ges tillgång till tjänster. |
| SAML2:AuthnContext | Tillitsnivå (Level of Assurance, LOA). |
| SAML2:AttributeStatement | Information (ett eller flera behörighetsattribut) om den person intyget avser. Mer information om dessa attribut finns på sidan Behörighetsstyrning. |
3.2. SAML-Response
SAML-Response används som intyg (i stället för SAML-Assertion) då privat e-legitimation används (exempelvis via e-handel) vid anrop till E-hälsomyndighetens tjänster. Ett SAML-Response innehåller i sin tur ett SAML-Assertion. För mer information om information som ställs ut vid autentisering, kontakta den IdP (Identity Provider) som levererar e-legitimationslösningen.
3.3. Avkrypterad Assertion
För att kunna agera på det SAML-Assertion som inkommer till E-hälsomyndigheten behöver detta vara i okrypterad form. I fall den IdP som ställer ut SAML-Response gör det med krypterad SAML-Assertion, behöver denna avkrypteras av anropande system innan den används i anrop mot E-hälsomyndighetens tjänster.
Om så sker, behöver validering av SAML-Assertion fortfarande kunna ske. För att detta ska kunna vara möjligt behöver SP begära intyg med separat signering av Assertion. Detta kan åstadkommas genom att SP deklarerar detta i metadata genom attribut WantAssertionsSigned.
3.4. Validering av signatur – ds:Signature & saml2:Issuer
Signaturen (ds:SignatureValue) valideras mot metadata publicerad av identitetsfederation för att säkerställa tillit till den IdP som utfärdat intyget. Den nyckel som används för att göra uppslag av rätt signeringsnyckel i metadata är saml2:Issuer från intyg.
3.5. Validering av anropande part – saml2:Audience
I det Saml2-Assertion som inkommer med anrop till E-hälsomyndighetens tjänster sker validering av innehåll i attribut Saml2:Audience (i elementet AudienceRestiction) mot det värde som angavs vid anslutning.
Exempel AudienceRestriction
|
|
3.6. Giltighet – saml2:Conditions
Se vidare Giltighetstid intyg.
3.7. Tillitsnivå – saml2:AuthnStatement
Attribut sam2:AuthnContextClassRef används för att avgöra tillitsnivå för intyget. Se kapitel Tillitsnivå i behörighetsstyrning för mer information om godtagna tillitsnivåer. Krav på tillitsnivå finns även per tjänst, se vidare Tjänster och behöriga roller.
Exempel AuthnStatement
|
|
3.8. Behörighetsttribut – saml2:AttributeStatement
Ett eller flera Attribut (saml2:Attriute) i element saml2:AttributeStatement används i behörighetsstyrningen för utvärderande av behörighetsroller. Attribut kan även behövas för kompletterande säkerhetsattribut, se vidare Tjänster och behöriga roller.
Exempel AttributeStatement
|
|
3.9. Miljöer
Nedan beskrivs E-hälsomyndighetens miljöer och dess motsvarighet i Sweden Connect.
|
Miljö E-hälsomyndigheten |
Miljö Sweden Connect |
Metadata |
|---|---|---|
| Externtest | Sweden Connect Sandbox | https://eid.svelegtest.se/mdreg/home |
| Produktion | Sweden Connect Produktion | https://md.swedenconnect.se/ |
Versionshistorik
|
Version |
Datum |
Release |
Kommentar |
|---|---|---|---|
| 1.0 | 2025-02-13 | 21.12 | Ny sida, version 21.12 |
| 1.1 | 2025-04-23 | 21.13 | Bytt sidans namn samt information om två sätt att ansluta denna väg |
| 1.2 | 2025-09-16 | 21.14 | Förtydligande kring börkrav i HSA Tillitsdeklaration |
| 1.3 | 2025-10-17 | 21.14 | Kompletterande information om beslut vitlistning HSA |