Bindeleddet i det digitale sundhedsvæsen

Søgning

VDX

Fødereret login

ADFS integration og KOMBIT login løsning

Dette beskriver, hvilke opgaver der skal udføres for at oprette et fødereret login mellem MedComs videobooking og en ADFS-løsning. Derudover beskriver det også, hvad der kræves for at anvende føderet login mellem MedComs videobooking og KL og KOMBITs loginløsning (Adgangsstyring).

Overblik

MedCom har udviklet en brugergrænseflade, der kan anvendes til at vedligeholde møder i MedComs VDX system. Et screenshot fra løsningen vises nedenfor:

VDX brugerflade med venstre menu og overblik over mine møder, book møde, straksmøde og dine møder i dag

Brugergrænsefladen kan tilgås på følgende adresse: https://vconf.dk/booking

Inden brugere kan opnå adgang til brugergrænsefladen skal brugerne logge ind. Hvis man prøver at tilgå løsningen, uden at være logget ind, vil man blive mødt med en loginside i stil med nedenstående.

VDX loginside. Her kan man enten logge ind med SEB, Kommunalt login, VDX lokal bruger eller Region Syddanmark

Da MedComs loginløsning bygger på SAML-standard, er det muligt at delegere selve loginproblematikken til andre SAML Identity Providers.

Når der er lavet en ADFS-integration, vil aktivering af “Fortsæt”-knappen for den givne organisation have den effekt, at brugeren stilles videre til organisationens Identity Provider (Microsoft ADFS).

Organisationens Identity Provider skal forestå selve brugerautentificeringen (validering af brugerens akkreditiver) og ved succesfuldt login sende en SAML assertion tilbage til MedComs loginløsning, der indeholder informationer om den indloggede bruger.

Når der vælges “Kommunalt login” viderestilles brugeren til KL og KOMBIT’s loginløsning.

Her vælger man den kommune, man er ansat i, og man bliver viderestillet til kommunens Identity Provider, der forestår selve brugerautentificeringen, og ved succesfuldt login sendes en SAML assertion tilbage til MedComs loginløsning med visse informationer om brugeren.

Den SAML assertion, der sendes tilbage, indeholder ikke brugerens email, derfor beriges brugerinformationerne med brugerens emailadresse via manuel registrering af email eller ved hjælp af KL og KOMBIT’s organisationsservice.

Opgaver ADFS

Overordnet set er der to opgaver:

  1. Sammenkobling mellem MedComs videologin og organisationens ADFS
  2. Mapning af brugeregenskaber i organisationens ADFS til egenskaber i MedComs bookingløsning

De to opgaver beskrives og nedbrydes nedenfor.

Sammenkobling af MedComs login og organisations ADFS

Ved sammenkoblingen skal der udveksles metadata mellem de to systemer:

  1. Videoløsningens metadata skal sættes op/importeres i organisationens ADFS. Videoløsningens metadata er udstillet på denne URL: https://login.vconf.dk/auth/realms/<organisation>/broker/<organisation>/endpoint/descriptor
  2. MedComs login skal have tilsvarende IdP-metadata for organisationens ADFS – enten som en fil eller en tilsvarende URL.

I første omgang vil brugeregenskaberne fra organisationen ikke anvendes, men vil sættes til passende værdier i MedComs loginløsning, så sammenkoblingen kan testes.

Opgave nrBeskrivelseEntityld
1Import af MedComs metadata i organisationens ADFSTilkoblende organisation
2Fremskaffelse af metadata for organisationens ADFSTilkoblende organisation
3Import af organisationens ADFS metadata i MedComs loginløsningKvalitetsIT
4Opsætning af standardværdier for krævede bruger oplysningerKvalitetsIT
5Test af loginflowTilkoblende organisation + KvalitetsIT

Mapning af bruger oplysninger ADFS

Som beskrevet i foregående afsnit, så vil der i første omgang opsættes standardværdier for krævede bruger oplysninger.

I MedComs bookingløsning anvendes der følgende typer af bruger oplysninger:

  • Brugerens organisation
  • Brugerens identitet (som email)
  • Brugerens (videobooking)-roller
  • Brugerens fornavn og efternavn

I forhold til roller, så skelnes der i øjeblikket mellem roller, der anvendes til VDX Booking og Management API.

Rollerne er som følger:

  • VDX Booking:
    1. meeting-admin: Kan administrere bookingdetaljer i egen organisation
    2. meeting-planner: Kan booke møder på vegne af andre
    3. meeting-user: Kan se egne møder og oprette møder for sig selv
  • VDX Management
    1. management-admin (kan alt i egen organisation samt alle underorganisationer.)
    2. management-groups (kan styre grupper og undergrupper i egen organisationen)
    3. management-orgs (kan styre underorganisationer i egen organisation)
    4. management-localusers (kan styre lokale grupper)
    5. management-services (kan styre alle services i egen organisation)
    6. management-meetingrooms (kan styre møderum i egen organisation)
    7. management-registeredclients (kan styre registrerede klienter i egen organisation)
    8. management-autoparticipants (kan styre automatiske deltagere i egen organisation)
    9. management-themes (kan styre temaer i egen organisation)

Udover nævnte bruger oplysninger skal der også laves et claim af typen Name ID i ADFS. Dette skal være i formatet “Persistent Identifier” og værdien skal være noget der unikt identificerer brugeren.

Der skal tages stilling til, hvor de enkelte oplysninger skal stamme fra. Nedenstående tabel opsummerer:

OplysningKildeBeskrivelse
Brugerens organisationOrganisationens ADFSDenne overføres i attributten ‘http://schemas.xmlsoap.org/ws/2005/05/identity/claims/organisation-id’ i assertion fra organisationens ADFS.
Brugerens identitet (email)Organisationens ADFSDenne overføres i attributten ‘http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress’ i assertion fra organisationens ADFS.
Brugerens fornavnOrganisationens ADFSDenne overføres i attributten ‘http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname’ i assertion fra organisationens ADFS.
Brugerens efternavnOrganisationens ADFSDenne overføres i attributten ‘http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname i assertion fra organisationens ADFS.
Brugerens (videobooking) rollerOrganisationens ADFSListen af roller overføres i attributten ‘http://schemas.microsoft.com/ws/2008/06/identity/claims/role’ i assertion fra organisationens ADFS.
Brugerens IDOrganisationens ADFS Brugerens ID overføres som typen “Name ID” og er i formatet “Persistent Identifier”.

Der er følgende opgaver:

Opgave nrBeskrivelseVDX Booking rolle
1Validering + specificering af kilde og beskrivelse af mapning af “Brugerens organisation”Tilkoblende organisation
2Validering + specificering af kilde og beskrivelse af mapning af “Brugerens identitet (email)” samt for og efternavn (se mapningstabel ovenfor)Tilkoblende organisation
3Validering + specificering af kilde og beskrivelse af mapning af “Brugerens (videobooking)-roller”Tilkoblende organisation
4Mapning af konkrete brugerværdier i MedComs login løsningKvalitetsIT
5Test af mapningTilkoblende organisation + KvalitetsIT

Krav og opgaver KOMBIT

For at kunne anvende løsningen er der et enkelt krav til kommunen og så er der nogle enkelte opgaver der skal udføres.

Nedenstående krav skal være opfyldt for at det er muligt at anvende løsningen.

  • Kommunen er koblet til KL og KOMBIT’s adgangsstyring.

Overordnet set er det nedenstående opgaver der skal udføres.

Opgaver KOMBIT

Opgave nrBeskrivelseAnsvarlig
1Opsætning af jobfunktionsrollerKommune
2Oprettelse af serviceaftale til organisation serviceKvalitetsIT

Opgave nr. 2 skal kun udføres hvis KL og KOMBIT’s organisation service anvendes i kommunen. Hvis denne service ikke anvendes, så skal bruger selv registrere sin email ved successfuldt login. Det anbefales at anvende organisation servicen, da dette eliminerer problemer med forkert registrerede email adresser.

Mapning af jobfunktioner KOMBIT

Som beskrevet i foregående afsnit skal der laves en mapning til brugersystemroller. Nedenstående tabel viser hvilke brugersystemroller der eksisterer og hvilken rolle det mapper til i henholdsvis VDX Booking og VDX Management.

Systemet hedder MedCom VideoAPI.

VDX Booking

BrugersystemrolleEntityldVDX Booking rolleBeskrivelse
booking-adminhttp://vdxapi.dk/roles/usersystemrole/booking-admin/1meeting-adminKan administrere bookingdetaljer i egen organisation
booking-plannerhttp://vdxapi.dk/roles/usersystemrole/booking-planner/1meeting-plannerKan booke møder på vegne af andre
booking-userhttp://vdxapi.dk/roles/usersystemrole/booking-user/1meeting-userKan se egne møder og oprette møder for sig selv

VDX Management

BrugersystemrolleEntityldVDX Booking rolleBeskrivelse
management-adminhttp://vdxapi.dk/roles/usersystemrole/management-admin/1management-adminKan alt i egen organisation samt alle underorganisationer.

Oprettelse af serviceaftale

Hvis kommunen anvender KL og KOMBIT’s organisation service skal der oprettes en serviceaftale mellem KvalitetsIT og kommunen. Dette gør at løsningen har adgang til at kalde servicen og dermed automatisk berige brugerens oplysninger med email adresse.

Det er KvalitetsIT der skal oprette serviceaftalen og så skal den godkendes af kommunen. Service aftalen oprettes på serviceplatformen.

Anvendes denne service ikke, så vil brugeren selv skulle indtaste email adresse ved successfyldt login.

Kontakt

Hvis i ønsker at anvende en af disse loginløsninger skal i kontakte vdx@medcom.dk. MedCom verificerer at alle forudsætninger, som f.eks. tilslutningsaftale, er på plads. Er de det vil MedCom sørge for at leverandøren, KvalitetsIT, hjælper jer videre med denne loginløsning.