Behörighetsstyrning

I säkerhetslösningen tilldelas användare en eller flera behörighetsroller genom utvärdering av behörighetsattribut i säkerhetsintyget som inkommer vid anrop till någon av E-hälsomyndighetens tjänster. De attribut som är relevanta i behörighetsstyrningen och hur utvärdering går till finns beskrivet här.



1. Behörighetsroller

I tabellen nedan listas de behörighetsroller som hanteras i säkerhetslösningen.

Behörighetsroll

Beskrivning

FörskrivareInnefattar personer som har förskrivningsrätt.
VeterinärInnefattar veterinärer med förskrivningsrätt.
Sjuksköterska utan förskrivningsrättInnefattar sjuksköterskor vilka är legitimerade och som arbetar inom hälso- och sjukvården men saknar förskrivningsrätt.
Farmaceut inom hälso- och sjukvårdInnefattar receptarier eller apotekare som arbetar inom hälso- och sjukvården men saknar förskrivningsrätt.
Dietist

Innefattar dietister med legitimationskod som arbetar inom hälso- och sjukvård.

Administratör av apotekInnefattar personer som arbetar på apotek samt saknar både legitimation och förskrivningsrätt.
Administratör av dospatientuppgifterInnefattar personer som arbetar inom hälso- och sjukvården samt saknar både legitimation och förskrivningsrätt.
Farmaceut på apotekInnefattar receptarier eller apotekare och som arbetar på apotek.
Icke-legitimerad apotekspersonalInnefattar apotekspersonal som inte är legitimerad.
PrivatpersonInnefattar personer med svenskt personnummer som agerar i rollen som privatperson.
Maskin-till-maskinAnrop med behörighetsroll Maskin-till-maskin kan göras utan säkerhetsintyg.

2. Attribut för tjänstelegitimation – Sambi

Attributen i tabellen nedan är enligt Sambis attributprofil (sambi.se) och används i behörighetsstyrning för tilldelning av roller. IdP:er anslutna till en operatör som är godkänd av E-hälsomyndigheten använder dessa attribut i de SAML-intyg de utfärdar. Om ytterligare attribut förekommer i intyget, tas ingen hänsyn till dessa avseende behörighetsstyrning.

Attribut i intyg (enligt Sambi)

Benämning i detta dokument

Gruppering

healthcareProfessionalLicenseIdentityNumber (sambi.se)LegitimationskodPerson-id
personalPrescriptionCode (sambi.se)Individuell förskrivarkodPerson-id
personalIdentityNumber (sambi.se)PersonnummerPerson-id
veterinaryIdentificationNumber (sambi.se)VeterinärkodPerson-id
healthcareProfessionalLicense (sambi.se)Yrkeskod
occupationalCode (sambi.se)Utökad yrkeskod
groupPrescriptionCode (sambi.se)Gruppförskrivarkod
pharmacyIdentifier (sambi.se)Apotek GLN-kod
healthcareProviderId (sambi.se)Vårdgivare organisationsnummer
healthCareProviderHsaId (sambi.se)Vårdgivare HSA-id

Utöver de behörighetsstyrande attribut ovan kan kompletterande säkerhetsattribut (för specifika tjänster) krävas för att tillåta åtkomst. Dessa attribut beskrivs på sidan Tjänster och behöriga roller.

3. Attribut för tjänstelegitimation – Sweden Connect

Följande Attribute Sets enligt Sweden Connects attributprofil (docs.swedenconnect.se) används för att styrka identiteten på användare. IdP:er anslutna till en operatör som E-hälsomyndigheten har godkänt använder dessa attribut i de SAML-intyg de utfärdar.

Sweden Connect Attribute Sets som godtas för identifiering av användare:

Följande attribut från detta Attribut Set används i säkerhetslösningen som ett behörighetsstyrande attribut:

Attribut i intyg (Sweden Connect)

Benämning i detta dokument

Gruppering

personalIdentityNumberPersonnummerPerson-id

De attribut (utöver ovan attribut) som används i behörighetsstyrning för tilldelning av roller (enligt Behörighetsstyrning/rolltilldelning) specificeras i tabellen nedan. I de fall attributet inte ingår i Sweden Connects attributprofil och/eller i det Attribute Set som används för användaren kan dessa attribut specificeras på ett av följande sätt:

  • Som attribut i säkerhetsintyg (utställt från IdP) som ligger utanför Sweden Connects attributprofil
  • Som kompletterande behörighetsattribut (utställt från E-tjänst), via intygsväxling – se vidare Intygsväxling – OAuth2 token service. Då denna variant används är det Attribute name (inte Friendly name) som används som Claim name.

Friendly name

Attribute name/claim

Benämning i detta dokument + Beskrivning

Multivalue

Format

Gruppering

healthcareProfessionalLicenseIdentityNumberhttp://ehalsomyndigheten.se/attributes/healthcareProfessionalLicenseIdentityNumberLegitimationskodNejnumeriskt(6)Person-id
personalPrescriptionCodehttp://ehalsomyndigheten.se/attributes/personalPrescriptionCodeIndividuell förskrivarkodNejnumeriskt(7)Person-id
veterinaryIdentificationNumberhttp://ehalsomyndigheten.se/attributes/veterinaryIdentificationNumberVeterinärkodNejnumeriskt(4–12)Person-id
healthcareProfessionalLicensehttp://ehalsomyndigheten.se/attributes/healthcareProfessionalLicense

Yrkeskod

Legitimerad yrkesgrupp enligt Socialstyrelsens HOSP register

Jakod
occupationalCodehttp://ehalsomyndigheten.se/attributes/occupationalCode

Utökad yrkeskod

Yrkeskategorier för personal inom vård – och omsorg som inte finns reglerat i annat eller mer formellt register

Jakod
groupPrescriptionCodehttp://ehalsomyndigheten.se/attributes/groupPrescriptionCodeGruppförskrivarkodJanumeriskt(7)
pharmacyIdentifierhttp://ehalsomyndigheten.se/attributes/pharmacyIdentifier

Apotek GLN-kod

Unik identifiering av öppenvårdsapotek

NejGlobal Location Number, GS1 – lokaliseringsnumm
healthcareProviderIdhttp://ehalsomyndigheten.se/attributes/healthcareProviderIdVårdgivarens organisationsnummerNejnumerisk(10)
healthCareProviderHsaIdhttp://ehalsomyndigheten.se/attributes/healtCareProviderHsaIdVårdgivarens HSA-idNejenligt HSA

Utöver ovan behörighetsstyrande attribut kan kompletterande säkerhetsattribut (för specifika system) krävas för att medge åtkomst. Dessa attribut beskrivs i Tjänster och behöriga roller.

4. Attribut för privat E-legitimation

Det finns ett antal olika utfärdare (IdP:er) av intyg för privatpersoner. Beroende på vilken IdP, och till vilken e-tjänst (SP) intygen utfärdas, används attribut med olika namn.

Följande attribut för personnummer accepteras för tilldelning av rollen privatperson. Om ytterligare attribut förekommer i intyget, tas ingen hänsyn till dessa avseende rolltilldelning. 

Attribut i intyg

Benämning i detta dokument

Gruppering

personalIdPersonnummerPerson-id
Subject_SerialNumberPersonnummerPerson-id
serialNumberPersonnummerPerson-id
urn:oid:1.2.752.29.4.13PersonnummerPerson-id

5. Tillitsnivå (Level of Assurance – LOA)

För att medge åtkomst till tjänster ställs (utöver roll) krav på tillitsnivå av behörighetsstyrande attribut i intyget. Den nivå som är relevant är (eller motsvarar) tillitsnivå 3 enligt Diggs tillitsramverk för Svensk e-legitimation. Då inget krav på tillitsnivå finns för en specifik tjänst anges detta som LOA 0.

LOA

Motsvarar för Sambi

Motsvarar för Sweden Connect

LOA2http://id.sambi.se/loa/loa2http://id.elegnamnden.se/loa/1.0/loa2
LOA3http://id.sambi.se/loa/loa3http://id.elegnamnden.se/loa/1.0/loa3 1
LOA4http://id.sambi.se/loa/loa4http://id.elegnamnden.se/loa/1.0/loa4

1 Notera att http://id.swedenconnect.se/loa/1.0/uncertified-loa3 inte likställs med LOA3.

6. Yrkeskoder och utökade yrkeskoder

Följande yrkeskoder och utökade yrkeskoder används i behörighetsstyrningen. Övriga yrkeskoder/utökade yrkeskoder ignoreras avseende behörighetsstyrning.

Yrkeskoder

Utökade yrkeskoder

Kod

Betydelse

LKLäkare
TLTandläkare
BMBarnmorska
SJSjuksköterska
DTDietist
THTandhygienist
APApotekare
RCReceptarie

Kod

Betydelse

AEApotekarelev
TEApotekstekniker
REReceptarieelev
ALAT-läkare
LFLäkare med förordnande
AAAdministratör av apotek
ADAdministratör av dospatientuppgifter
VTVeterinär


7. Behörighetsstyrning/rolltilldelning

De attribut som krävs i intyg markeras nedan per roll (med symbol ♦). I de fall där specifikt innehåll krävs så anges giltiga värden.

Behörighetsroll

Person-id 1

Gruppförskrivarkod

Yrkeskod

Utökad yrkeskod

Apotek GLN-kod

Vårdgivare 2

Förskrivare (med individuell förskrivarkod) 3Individuell förskrivarkod
LK, TL, TH, BM, SJ


Förskrivare (med gruppförskrivarkod och yrkeskod)SJ


Förskrivare (med gruppförskrivarkod och utökad yrkeskod)
AL, LF

Sjuksköterska utan förskrivningsrätt
SJ


Farmaceut inom hälso- och sjukvård
AP, RC

Dietist
DT


Administratör av apotek

AA
Administratör av dospatientuppgifter

AD

Farmaceut på apotek
AP, RC

Icke-legitimerad apotekspersonal

TE, RE, AE
Veterinär

VT

PrivatpersonPersonnummer




Maskin-till-maskin 4





1 Om inget annat anges godtas attribut inom gruppen Person ID (Individuella förskrivarkod, Legitimationskod, Personnummer eller Veterinärkod)
2 Intyg innehåller identifierare på vårdorganisation som användare företräder, Vårdgivare organisationsnummer eller Vårdgivare HSA-id.
3 För behörighetsroll Förskrivare (med individuell förskrivarkod) kommer ytterligare behörighetsroller utvärderas och användas i Nationella läkemedelslistan, se vidare Roller.
4 Tjänster som tillåter anrop med behörighetsroll Maskin-till-maskin kan göras utan säkerhetsintyg.

8. Tillämpning av behörighetsroller

Information om tillämpning av behörighetsroller mot E-hälsomyndighetens tjänster finns beskrivna på sidan Tjänster och behöriga roller.


Versionshistorik

Version

Datum

Kommentar

1.02021-11-27Ny handbok vård- och apotekstjänster