Behörighetsstyrning
I säkerhetslösningen tilldelas användare en eller flera behörighetsroller genom utvärdering av behörighetsattribut i säkerhetsintyget som inkommer vid anrop till någon av E-hälsomyndighetens tjänster. De attribut som är relevanta i behörighetsstyrningen och hur utvärdering går till finns beskrivet här.
1. Behörighetsroller
I tabellen nedan listas de behörighetsroller som hanteras i säkerhetslösningen.
|
Behörighetsroll |
Beskrivning |
|---|---|
| Förskrivare | Innefattar personer som har förskrivningsrätt. |
| Veterinär | Innefattar veterinärer med förskrivningsrätt. |
| Sjuksköterska utan förskrivningsrätt | Innefattar sjuksköterskor vilka är legitimerade och som arbetar inom hälso- och sjukvården men saknar förskrivningsrätt. |
| Farmaceut inom hälso- och sjukvård | Innefattar receptarier eller apotekare som arbetar inom hälso- och sjukvården men saknar förskrivningsrätt. |
| Dietist |
Innefattar dietister med legitimationskod som arbetar inom hälso- och sjukvård. |
| Administratör av apotek | Innefattar personer som arbetar på apotek samt saknar både legitimation och förskrivningsrätt. |
| Administratör av dospatientuppgifter | Innefattar personer som arbetar inom hälso- och sjukvården samt saknar både legitimation och förskrivningsrätt. |
| Farmaceut på apotek | Innefattar receptarier eller apotekare och som arbetar på apotek. |
| Icke-legitimerad apotekspersonal | Innefattar apotekspersonal som inte är legitimerad. |
| Privatperson | Innefattar personer med svenskt personnummer som agerar i rollen som privatperson. |
| Maskin-till-maskin | Anrop med behörighetsroll Maskin-till-maskin kan göras utan säkerhetsintyg. |
2. Attribut för tjänstelegitimation – Sambi
Attributen i tabellen nedan är enligt Sambis attributprofil (wiki.federationer.internetstiftelsen.se) och används i behörighetsstyrning för tilldelning av roller. IdP:er anslutna till en operatör som är godkänd av E-hälsomyndigheten använder dessa attribut i de SAML-intyg de utfärdar. Om ytterligare attribut förekommer i intyget, tas ingen hänsyn till dessa avseende behörighetsstyrning.
|
Attribut i intyg (enligt Sambi) |
Benämning i detta dokument |
Gruppering |
|---|---|---|
| healthcareProfessionalLicenseIdentityNumber | Legitimationskod | Person-id |
| personalPrescriptionCode | Individuell förskrivarkod | Person-id |
| personalIdentityNumber | Personnummer/samordningsnummer | Person-id |
| veterinaryIdentificationNumber) | Veterinärkod | Person-id |
| healthcareProfessionalLicense | Yrkeskod | |
| occupationalCode | Utökad yrkeskod | |
| groupPrescriptionCode | Gruppförskrivarkod | |
| pharmacyIdentifier | Apotek GLN-kod | |
| healthcareProviderId | Vårdgivare organisationsnummer | |
| healthCareProviderHsaId | Vårdgivare HSA-id |
Utöver de behörighetsstyrande attribut ovan kan kompletterande säkerhetsattribut (för specifika tjänster) krävas för att tillåta åtkomst. Dessa attribut beskrivs på sidan Tjänster och behöriga roller.
3. Attribut för tjänstelegitimation – Sweden Connect
Följande Attribute Sets enligt Sweden Connects attributprofil (docs.swedenconnect.se) används för att styrka identiteten på användare. IdP:er anslutna till en operatör som E-hälsomyndigheten har godkänt använder dessa attribut i de SAML-intyg de utfärdar.
Sweden Connect Attribute Sets som godtas för identifiering av användare:
- Natural Personal Identity with Civic Registration Number (Personnummer/samordningsnummer) – ELN-AP-Pnr-01 (docs.swedenconnect.se)
Följande attribut från detta Attribut Set används i säkerhetslösningen som ett behörighetsstyrande attribut:
|
Attribut i intyg (Sweden Connect) |
Benämning i detta dokument |
Gruppering |
|---|---|---|
| personalIdentityNumber | Personnummer/samordningsnummer | Person-id |
De attribut (utöver ovan attribut) som används i behörighetsstyrning för tilldelning av roller (enligt Behörighetsstyrning/rolltilldelning) specificeras i tabellen nedan. I de fall attributet inte ingår i Sweden Connects attributprofil och/eller i det Attribute Set som används för användaren kan dessa attribut specificeras på ett av följande sätt:
- Som attribut i säkerhetsintyg (utställt från IdP) som ligger utanför Sweden Connects attributprofil
- Som kompletterande behörighetsattribut (utställt från E-tjänst), via intygsväxling – se vidare Intygsväxling – OAuth2 token service. Då denna variant används är det Attribute name (inte Friendly name) som används som Claim name.
|
Friendly name |
Attribute name/claim |
Benämning i detta dokument + Beskrivning |
Multivalue |
Format |
Gruppering |
|---|---|---|---|---|---|
| healthcareProfessionalLicenseIdentityNumber | http://ehalsomyndigheten.se/attributes/healthcareProfessionalLicenseIdentityNumber | Legitimationskod | Nej | numeriskt(6) | Person-id |
| personalPrescriptionCode | http://ehalsomyndigheten.se/attributes/personalPrescriptionCode | Individuell förskrivarkod | Nej | numeriskt(7) | Person-id |
| veterinaryIdentificationNumber | http://ehalsomyndigheten.se/attributes/veterinaryIdentificationNumber | Veterinärkod | Nej | numeriskt(4–12) | Person-id |
| healthcareProfessionalLicense | http://ehalsomyndigheten.se/attributes/healthcareProfessionalLicense |
Yrkeskod Legitimerad yrkesgrupp enligt Socialstyrelsens HOSP register |
Ja | kod | |
| occupationalCode | http://ehalsomyndigheten.se/attributes/occupationalCode |
Utökad yrkeskod Yrkeskategorier för personal inom vård – och omsorg som inte finns reglerat i annat eller mer formellt register |
Ja | kod | |
| groupPrescriptionCode | http://ehalsomyndigheten.se/attributes/groupPrescriptionCode | Gruppförskrivarkod | Ja | numeriskt(7) | |
| pharmacyIdentifier | http://ehalsomyndigheten.se/attributes/pharmacyIdentifier |
Apotek GLN-kod Unik identifiering av öppenvårdsapotek |
Nej | Global Location Number, GS1 – lokaliseringsnumm | |
| healthcareProviderId | http://ehalsomyndigheten.se/attributes/healthcareProviderId | Vårdgivarens organisationsnummer | Nej | numerisk(10) | |
| healthCareProviderHsaId | http://ehalsomyndigheten.se/attributes/healtCareProviderHsaId | Vårdgivarens HSA-id | Nej | enligt HSA |
Utöver ovan behörighetsstyrande attribut kan kompletterande säkerhetsattribut (för specifika system) krävas för att medge åtkomst. Dessa attribut beskrivs i Tjänster och behöriga roller.
4. Attribut för privat E-legitimation
Det finns ett antal olika utfärdare (IdP:er) av intyg för privatpersoner. Beroende på vilken IdP, och till vilken e-tjänst (SP) intygen utfärdas, används attribut med olika namn.
Följande attribut för personnummer accepteras för tilldelning av rollen privatperson. Om ytterligare attribut förekommer i intyget, tas ingen hänsyn till dessa avseende rolltilldelning.
|
Attribut i intyg |
Benämning i detta dokument |
Gruppering |
|---|---|---|
| personalId | Personnummer | Person-id |
| Subject_SerialNumber | Personnummer | Person-id |
| serialNumber | Personnummer | Person-id |
| urn:oid:1.2.752.29.4.13 | Personnummer | Person-id |
5. Tillitsnivå (Level of Assurance – LOA)
För att medge åtkomst till tjänster ställs (utöver roll) krav på tillitsnivå av behörighetsstyrande attribut i intyget. Den nivå som är relevant är (eller motsvarar) tillitsnivå 3 enligt Diggs tillitsramverk för Svensk e-legitimation. Då inget krav på tillitsnivå finns för en specifik tjänst anges detta som LOA 0.
|
LOA |
Motsvarar för Sambi |
Motsvarar för Sweden Connect |
|---|---|---|
| LOA2 | http://id.sambi.se/loa/loa2 | http://id.elegnamnden.se/loa/1.0/loa2 |
| LOA3 | http://id.sambi.se/loa/loa3 | http://id.elegnamnden.se/loa/1.0/loa3 1 |
| LOA4 | http://id.sambi.se/loa/loa4 | http://id.elegnamnden.se/loa/1.0/loa4 |
1 Notera att http://id.swedenconnect.se/loa/1.0/uncertified-loa3 inte likställs med LOA3.
6. Yrkeskoder och utökade yrkeskoder
Följande yrkeskoder och utökade yrkeskoder används i behörighetsstyrningen. Övriga yrkeskoder/utökade yrkeskoder ignoreras avseende behörighetsstyrning.
|
Yrkeskoder |
Utökade yrkeskoder |
||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|
7. Behörighetsstyrning/rolltilldelning
De attribut som krävs i intyg markeras nedan per roll (med symbol ♦). I de fall där specifikt innehåll krävs så anges giltiga värden.
|
Behörighetsroll |
Person-id 1 |
Gruppförskrivarkod |
Yrkeskod |
Utökad yrkeskod |
Apotek GLN-kod |
Vårdgivare 2 |
|---|---|---|---|---|---|---|
| Förskrivare (med individuell förskrivarkod) 3 | Individuell förskrivarkod | LK, TL, TH, BM, SJ | ||||
| Förskrivare (med gruppförskrivarkod och yrkeskod) | ♦ | ♦ | SJ | |||
| Förskrivare (med gruppförskrivarkod och utökad yrkeskod) | ♦ | ♦ | AL, LF | |||
| Sjuksköterska utan förskrivningsrätt | ♦ | SJ | ||||
| Farmaceut inom hälso- och sjukvård | ♦ | AP, RC | ♦ | |||
| Dietist | ♦ | DT | ||||
| Administratör av apotek | ♦ | AA | ♦ | |||
| Administratör av dospatientuppgifter | ♦ | AD | ||||
| Farmaceut på apotek (legitimation) | ♦ | AP, RC | ♦ | |||
| Farmaceut på apotek (förordnande) | ♦ | AF, RF | ♦ | |||
| Icke-legitimerad apotekspersonal | ♦ | TE, RE, AE | ♦ | |||
| Veterinär | ♦ | VT | ||||
| Privatperson | Personnummer | |||||
| Maskin-till-maskin 4 |
1 Om inget annat anges godtas attribut inom gruppen Person ID (Individuella förskrivarkod, Legitimationskod, Personnummer/samordningsnummer eller Veterinärkod)
2 Intyg innehåller identifierare på vårdorganisation som användare företräder, Vårdgivare organisationsnummer eller Vårdgivare HSA-id.
3 För behörighetsroll Förskrivare (med individuell förskrivarkod) kommer ytterligare behörighetsroller utvärderas och användas i Nationella läkemedelslistan, se vidare Roller.
4 Tjänster som tillåter anrop med behörighetsroll Maskin-till-maskin kan göras utan säkerhetsintyg.
8. Tillämpning av behörighetsroller
Information om tillämpning av behörighetsroller mot E-hälsomyndighetens tjänster finns beskrivna på sidan Tjänster och behöriga roller.
Versionshistorik
|
Version |
Datum |
Release |
Kommentar |
|---|---|---|---|
| 1.0 | 2021-11-27 | Ny handbok vård- och apotekstjänster | |
| 1.1 | 2023-08-30 | Uppdaterat information om Sambis attributprofil | |
| 1.2 | 2024-03-11 | Uppdaterat med information om Farmaceut med förordnande | |
| 1.3 | 2024-11-05 | 21.11 | Förtydligande om samordningsnummer |