Inera Lanserar Referensarkitektur För Identitet Och Åtkomst - 1177 Bygger

Inera släpper ny referensarkitektur för Identitet och åtkomst. Exempel på en nyhet är förbättrat tekniskt stöd för moderna e-tjänster och mobila enheter. Protokollet OpenID Connect (OIDC där OAuth2 ingår) stöds vilket skapar nya förutsättningar för att dela tekniska komponenter som en behörighetskomponent, behörighetsdatabas (landstingens- och kommuners kataloger) och administrationsklient.

Den nya referensarkitekturen är baserad på samma typ av teknik som t.ex. Twitter, Facebook och Google har använt under många år.Användaren har ett konto (t.ex. personpost i HSA eller regional katalog) som anslutna e-tjänster eller appar använder för att autentisera (inloggning) och auktorisar (ge tillgång till resurser) användaren. Ett sk åtkomstintyg skapas och utbyts.E-tjänster eller applikation behöver inte själva hantera personregister med användare (behörighetsdatabas)Administration av konto kan centraliseras. Användare behöver bara administrera ett konto. T.ex. via regional katalog eller HSA Läs mer om Referensarkitekturen för Identitet och åtkomst här: https://www.inera.se/aktuellt/projekt/referensarkitekturen-for-identitet-och-atkomst/

1177 bygger en behörighetstjänst - Behörighetstjänsten Verksamheter som använder 1177 Invånartjänster har länge efterfrågat en gemensam behörighetskomponent för användare(personal) av nationella e-tjänster. Primärt efterfrågas stöd för behörighetsroller (administrativa uppdrag/behörighetsområden) dvs ett komplement till sk ”medarbetaruppdrag”.Medabetaruppdrag används för att säkerställa att patientsekretess enligt PDL (patientdatalagen) efterföljs.Behörighetsroller kan användas för att styra funktionalitet i e-tjänst (åtkomstintyg). T.ex. behörighetsrollen ”statistik” ger användaren tillgång till e-tjänstens statistikfunktion.

1177 och Inera håller på att utveckla en gemensam behörighetskomponent baserat den nya referensarkitekturen. Behörighetskomponenten återanvänder befintliga stödtjänster och infrastruktur som Inera autentiseringstjänst, tjänstekontrakt, tjänsteplattform och regionernas kataloger.Personposten i HSA/regional katalog utgör ”kontot”.Tilldelade behörighetsroller (behörighetsområden) används för att tala om för e-tjänsten vilka funktioner som användaren har rätt att använda (åtkomstintyg). En film har tagits fram för att illustrerar behovet.Film: https://vimeo.com/234988271 (Klistra in i webbläsare, lösenord: filmtajm, ca 2 min). Läs mer behörighetstjänsten här: https://invanartjanster.atlassian.net/wiki/spaces/OISB/pages/139887538/1.+Inf+randeunderlag+f+r+HJV-KKA

Kort om tekniken Genom att ansluta e-tjänsten till behörighetstjänsten ”slipper” e-tjänsten utveckla en egen behörighetstjänst, behörighetsdatabas och administrationsklient.

Övergripande flöde (förenklat): Personal startar en e-tjänst t.ex. Applikationenn Hitta och jämför vård - kontaktkortsadmin (HJV-KKA).E-tjänstens säkerhetslager autentiserar och auktoriserar användaren med hjälp av OIDC protokollet.Anger e-tjänstens behörighetsområde ”HJV KKA” (authorization_scope) och anropar behörighetstjänsten.Behörighetstjänsten (OIDC).Autentiserar användaren genom att tjänstens SP-komponent skickar användaren till IdP (Inera säkerhetstjänster).Användarens ”Personal” HSA-id hämtas från IdP Sessionens SAMBI profil.Behörighetstjänsten anropar HSA för att hämta användarens (Personal) behörighetsområdesegenskaper (behörighetsroller).En Id-token/UserInfo med claims (kallas åtkomstintyg) innehållande identitet, egenskaper och behörighetsområdesegenskaper (behörighetsroller) returneras till e-tjänsten.E-tjänsten auktoriserar användaren baserat på åtkomstintyg.Behörighetsinformation informations försörjs och administreras i regionens lokala katalog.

Om produkten Behörighetstjänsten är en implementering av standardprodukten Keycloak. Keycloak är en öppenkällkod produkt för IAM (Identitet och åtkomst) inriktad mot moderna applikationer och tjänster. Produkten är stödjer standardprotokoll som SAMLv2, OIDC, OAuth2 och levereras med ett komplett administrationsgränssnitt för systemförvaltning (Grafiskt samt REST API). Produkten levererar också en mängd klientadapters som underlättar för anslutande applikationer och har en stor aktiv Community.

För att integrera mot tjänsteproducent av RIV-TA tjänstekontraktet för HSA information (HSA eller regionala kataloger) används produktens ”Service Provider Interfaces” (SPI). SPI möjliggör utökning av produkten utan att behöva göra en ”ändringar” i produktens källkod. Detta är viktigt då uppgraderingar annars tenderar att bli kostsamma vid egna anpassningar.