Kortsiktig säkerhetslösning
Beskrivning
Denna lösning, även kallad den kortsiktiga säkerhetslösningen, är ett tillfälligt alternativ vid sidan av Sambi och Sweden Connect. Lösningen är framtagen för regioner för anslutning till E-hälsomyndighetens tjänster, inklusive nationella läkemedelslistan, innan 1 december 2025. Den kortsiktiga säkerhetslösningen kommer finnas tillgänglig fram till dess säkerhetslösning som omfattar både identitet och behörighetshantering hanterad inom ramen för Ena är på plats.
Denna sida beskriver lösningen, med referenser till övriga sidor i handboken då dessa gäller även för denna lösning.
Behörighetsstyrning
Behörighetsroller
Beskrivning av behörighetsroller gäller enligt Behörighetsstyrning.
Attribut för tjänstelegitimation
Denna lösning använder Sambis ordinarie attributprofil. De attribut som används för utvärdering av behörighetsroller beskrivs enligt nedan.
- Behörighetsstyrning kapitel Attribut för tjänstelegitimation - Sambi
- Tjänster och behöriga roller kapitel Kompletterande säkerhetsattribut - Sambi
Tillitsnivå
För att medge åtkomst till tjänster ställs (utöver roll) krav på tillitsnivå av behörighetsstyrande attribut i intyget. Den nivå som är relevant är (eller motsvarar) tillitsnivå 3 enligt Diggs tillitsramverk för Svensk e-legitimation. Då inget krav på tillitsnivå finns för en specifik tjänst anges detta som LOA 0.
Yrkeskoder och utökade yrkeskoder
Beskrivning av yrkeskoder och utökade yrkeskoder gäller i sin helhet och är beskrivna under
- Behörighetsstyrning kapitel Yrkeskoder och utökade yrkeskoder
Behörighetsstyrning/rolltilldelning
Beskrivning av behörighetsstyrning och rolltilldelning gäller i sin helhet och är beskrivet under dessa sidor:
- Behörighetsstyrning kapitel Behörighetsstyrning/rolltilldelning
- Tjänster och behöriga roller
Teknisk information
SAML-intyg
Denna lösning bygger på förmedling av säkerhetsintyg av typen SAML-Assertion. I tabellen listas de delar i SAML-Assertion som är av särskilt intresse i denna lösning.
SAM2:Assertion | Beskrivning |
|---|---|
| saml2:Issuer | Identitet på intygsutfärdare. Validering mot metadata sker. |
| DS:Signature | Innehåller signatur med utställarens certifikat i kodat (Base64) format |
| saml2:Conditions | Giltighetstiden för intyget, se vidare Giltighetstid intyg. |
| saml2:AuthnContext | Tillitsnivå (Level of Assurance, LOA). |
| saml2:AttributeStatement | Information (ett eller flera behörighetsattribut) om den person intyget avser. Mer information om dessa attribut finns under delen som beskriver behörighetsstyrning. |
Validering av signatur – ds:Signature & saml2:Issuer
Signaturen (ds:SignatureValue) valideras mot metadata publicerad av identitetsfederation för att säkerställa tillit till den IdP som utfärdat intyget. Den nyckel som används för att göra uppslag av rätt signeringsnyckel i metadata är saml2:Issuer från intyg.
Validering av innehåll i attribut saml2:Issuer valideras även mot det värde som angavs vid anslutning.
Giltighet – saml2:Conditions
Se vidare Giltighetstid intyg.
Tillitsnivå – saml2:AuthnStatement
Attribut sam2:AuthnContextClassRef används för att avgöra tillitsnivå för intyget. Se information avseende tillitsnivå i beskrivning av behörighetsstyrning för vidare information. Krav på tillitsnivå finns även per tjänst, se vidare Tjänster och behöriga roller.
Behörighetsttribut – saml2:AttributeStatement
Ett eller flera Attribut (saml2:Attribute) i element saml2:AttributeStatement används för utvärderande av behörighetsroller.
Okrypterad Assertion
För att kunna agera på det SAML-Assertion som inkommer till E-hälsomyndigheten behöver detta vara i okrypterad form. Utfärdare av intyg behöver säkerställa att dessa är okrypterade.
Mutual TLS – transportkryptering
Beskrivning av transportkryptering gäller enligt Mutual TLS – transportkryptering.
Anropsinformation
Beskrivning av hur säkerhetsintyg anges i tekniska anrop mot E-hälsomyndighetens tjänster beskrivs här:
Intygsväxling – OAuth2 token service
Möjlighet till intygsväxling gäller för lösningen och är beskriven enligt Intygsväxling – OAuth2 token service undantaget kapitel 3.2 - Intygsväxling med identitetsintyg och kompletterande behörighetsattribut från E-tjänsten, då denna variant inte är tillämpbar i den kortsiktiga säkerhetslösningen.
Dokumentation - Teknik och tillitsramverk
För mer teknisk information och tillitsramverk för Kortsiktiga säkerhetslösningen, se Fedvis Policy (wiki.federationer.internetstiftelsen.se).
Miljöer
Nedan beskrivs E-hälsomyndighetens miljöer avseende kortsiktiga säkerhetslösningen och dess motsvarighet i Fedvis.
Miljö E-hälsomyndigheten | Miljö Sambi | Metadata |
|---|---|---|
| Externtest | Fedvis Trial | https://fed.fedvis.se/trial/md/metadata.xml |
| Produktion | Fedvis Produktion | https://fed.fedvis.se/prod/md/metadata.xml |
Allmänna villkor
Bifogat finns de allmänna villkoren för kortsiktig säkerhetslösning.
Ansökan om tillitsgranskning
Här kan ni hämta den aktuella blanketten för ansökan om tillitsgranskning enligt kortsiktig säkerhetslösning.
Den tekniska anslutningen
Beställning av åtkomst via tillfällig säkerhetslösning
För att vi ska veta vem hos er som har rätt att beställa brandväggsöppningar måste det finnas en ifylld blankett som visar vem eller vilka hos er som har rätt att beställa öppningar. Blanketten ska skrivas under av lämplig person i er organisation, till exempel IT-chef/driftschef/CTO/CIO/ eller tekniskt ansvarig person.
Här kan ni hämta den aktuella blanketten för åtkomst till E-hälsomyndighetens miljöer via den tillfälliga säkerhetslösningen. Det är olika blanketter för beställning till testmiljö och produktionsmiljö.
| Beskrivning | Blankett |
|---|---|
Beställning av åtkomst till E-hälsomyndighetens tillfälliga säkerhetslösningen testmiljö. | |
Beställning av åtkomst till E-hälsomyndighetens tillfälliga säkerhetslösningen produktionsmiljö. Åtkomst till E-hälsomyndighetens produktionsmiljö genomförs tidigast tre veckor innan planerad driftstart. Att få åtkomst kan ta upp till fem arbetsdagar. |
Säkerställ att blanketten är korrekt ifylld och skicka den sedan till servicedesk@ehalsomyndigheten.se. Blanketterna används även vid ändring av brandväggsöppning.