Versions Compared

Old Version 4

changes.mady.by.user Kristian Fougner

Saved on

compared with

New Version 5

changes.mady.by.user Håkon Knudsen

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Sentralt for konseptet er at heller enn at de ulike tjenestene som samhandler utveksler detaljopplysninger om helsepersonellet, utveksles kun en sikkerhetsbillett et ID-token som mottaker av billetten tokenet anerkjenner og agerer på. Dette kan mottaker gjøre så lenge de har tillit til avsenderen og at den har gjort en god jobb med autentisering av helsepersonellet. I en føderasjon, som HelseID, er samhandlingen basert på både organisatorisk og teknisk gjensidig tillit. Dersom et føderasjonsmedlem mister tillit, påvirker det føderasjonen i sin helhet. Derfor er det viktig at alle føderasjonsmedlemmer gjør sitt beste for å hindre dette.

...

Det arkitektoniske mønsteret HelseID bygger på kalles en Federation Gateway.

Hvis du ikke vet hva en OpenID Provider er kan du med fordel lese avsnittet om dette på sidene som handler om moderne autentiseringsmekanismer.

Konseptet bygger på at man har en sentralt plassert OpenID Provider (HelseID) som fungerer som et knutepunkt for forskjellige identitetstilbydere. Identitetstilbyderne utsteder også sikkerhetsbilletter (tokens) som er signert med sitt signeringssertifikat. 

I en Federation Gateway er HelseID en konsument av tjenestene til identitetstilbyderne, og mottar et token når brukeren er autentisert. Vi kan si at tilknyttede identitetstilbydere har et gjensidig tiliitsforhold med HelseID. For eksempel vil HelseID stole på at sikkerhetsbilletter tokenet som er utstedt av ID-Porten er gyldige, og ID-Porten tillater forespørsler om autentisering fra HelseID. 

...

HelseID kjenner den offentlige nøkkelen (se avsnitt om PK og PKI på siden som omhandler autentisering) til de tilknyttede identitetstilbyderne og er i stand til å validere tokens som den mottar fra dem. Dermed kan vi være sikre på at innholdet i et token ikke har endret seg etter at det ble signert av identitetstilbyderen, og at det er en identitetstilbyder vi kjenner og stoler på som har utstedt  tokenet. HelseID vil i tillegg til å validere tokenet som oftest kopiere noe av innholdet i tokenet det mottar fra identitetstilbyderen og legge det inn i ett nytt token som blir signert og returnert til applikasjonen som ba om autentisering av bruker. 

...

For brukeren betyr dette mønsteret at han de kan velge mellom de tilgjengelige identitetstilbydere i HelseID for å identifisere seg. Den digitale identiteten sendes så tilbake til systemet hvor brukeren ble bedt om å autentisere seg.

Men på veien tilbake kan identiteten flyte via mange utstedere av sikkerhetsbillettertokener, hvor tokenet kan berikes med ytterligere relevant informasjon om brukeren. HelseID vil for eksempel berike tokens med informasjon om brukeren hentet fra Helsepersonellregisteret og Personregisteret

...

  • Interne Identitetstilbydere, for eksempel:

    • Regionale helseforetak som ønsker å tilslutte seg føderasjonen.

    • Kommuner med god teknisk infrastruktur som ønsker å tilslutte seg føderasjonen.

  • Eksterne Identitetstilbydere

    • Buypass

    • Commfides

    • BankID (via ID-Porten)