Instruktion för att kunna använda Säkerhetstjänsternas ... - Inera

Instruktion för att kunna använda
Säkerhetstjänsternas
administrationsgränssnitt

Instruktion för att kunna använda Säkerhetstjänsternas
administrationsgränssnitt Version 1.5
Tomas Fransson 2013-12-17
Innehållsförteckning
1. Inledning ......................................................................................................................................... 3
2. SITHS kort ...................................................................................................................................... 4
3. Förutsättningar för åtkomst till Säkerhetstjänsten .................................................................... 4
3.1. Information om brandväggsöppningar ..................................................................................... 4
3.2. Länk till Säkerhetstjänstens gränssnitt .................................................................................... 4
4. Handledning för att skapa egenskaper i HSA för administratörer ........................................... 4
4.1. Skapa individuella behörighetsegenskaper för IT tjänster (hsaSystemRole).......................... 5
4.2. Lägga upp Medarbetaruppdrag (hsaCommission) i befintliga VG/VE-strukturer .................... 5
4.3. Instruktion för att skapa medarbetaruppdrag med hjälp av HSA Admin ................................. 6
4.4. Tilldela en person individuella administratörsegenskaper i HSA Admin. .............................. 10
4.5. Instruktion för att skapa medarbetaruppdrag med hjälp av LDAP ........................................ 12
4.6. Tilldela en person en administratörsegenskap i LDAP .......................................................... 12
Inera AB Box 177 03
Östgötagatan 12
118 93 Stockholm
Tel 08 452 71 60
info@inera.se
www.inera.se
Organisationsnummer
556559-4230
Sid 2/12

Instruktion för att kunna använda Säkerhetstjänsternas
administrationsgränssnitt Version 1.5
Tomas Fransson 2013-12-17
Instruktion för att kunna utnyttja funktioner i
Säkerhetstjänsterna
Denna instruktion beskriver vilka tekniska förutsättningar som gäller för att komma åt
Säkerhetstjänsterna och hur man i HSA sätter upp behörigheten som behövs för att kunna
utnyttja funktioner i Säkerhetstjänsterna. Instruktionen visar hur olika administratörer får
tillgång till de användargränssnitt som Säkerhetstjänsterna tillhandahåller.
Denna instruktion täcker följande roller:
Loggadminstratör
Spärradministratör
I dokumentet refereras dessa roller som ”Administratören” när informationen gäller alla
roller.
Revisionshistorik
Version Författare
Kommentar
1.0 Tomas Fransson Slutversion
1.1 Tomas Fransson Uppdaterat länkar till 2.1-versionen av SÄK i kap
3
1.2 Tomas Fransson Referens till Portöppnningsdokumentet för att
bättre förklara förutsättningarna för 2.1
1.3 Tomas Fransson Döpt om dokumentet, ny huvudrubrik
1.4 Tomas Fransson Korrigerat URL till Sjunet
1.5 Tomas Fransson Uppdaterat referens till
Portförändringsdokumentet
1.6 Tomas Fransson Uppdaterat referens till Webadmin-GUI efter
produktionssättning av 2.6.1
1. Inledning
Administratören behöver tillgång till Säkerhetstjänsternas användargränssnitt.
För att administratören ska kunna arbeta behöver organisationen vara ansluten till Säkerhetstjänsterna.
Som administratör behöver man ha
giltigt SITHS-kort och tillhörande inloggningskoder
åtkomst till Säkerhetstjänsternas administratörsverktyg
registrerade behörighetsegenskaper i HSA
Inera AB Box 177 03
Östgötagatan 12
118 93 Stockholm
Tel 08 452 71 60
info@inera.se
www.inera.se
Organisationsnummer
556559-4230
Sid 3/12

Instruktion för att kunna använda Säkerhetstjänsternas
administrationsgränssnitt Version 1.5
Tomas Fransson 2013-12-17
Denna instruktion ger information om hur organisationen skapar förutsättningar för att kunna agera
som administratör i Säkerhetstjänsterna.
2. SITHS kort
Saknar administratören giltigt SITHS-kort alternativt att man inte har sina koder kontaktar man den
egna enheten för utgivningen av SITHS-kort.
Mer om SITHS-kort finns att läsa på Ineras webbplats: www.inera.se
3. Förutsättningar för åtkomst till Säkerhetstjänsterna
3.1. Brandväggsöppningar
I dokumentet ”Portförändringar Säkerhetstjänster 2.6.1 och framåt” beskrivs brandväggsöppningarna
som gäller för att få åtkomst till Säkerhetstjänsterna.
Alla dokument för Säkerhetstjänster finns på www.inera.se, där Säkerhetstjänster beskrivs.
3.2. Länk till Säkerhetstjänsternas gränssnitt
Länkarna nedan ger tillgång till Säkerhetstjänsternas administrationsverktyg. OBS kräver SITHS-kort
och tillhörande programvara.
Sjunet
https://sakerhetstjanst.sjunet.org/spadmin
Internet
https://sakerhetstjanst.inera.se/spadmin
4. Handledning för att skapa egenskaper i HSA för administratörer
Varje person som ska vara administratör måste finnas upplagd i HSA katalogen och ha ett
medarbetaruppdrag för administration. Dessutom ska den lokala HSA katalogen ha strukturen för
vårdgivare och vårdenhet enligt Patientdatalagen (PDL).
Uppdatering av informationen i HSA kan ske dels med stöd av HSA:s administratörsgränssnitt
levererat av Inera, dels genom att uppgifter läggs in via LDAP direkt i HSA katalogen. Den senare
formen används i det fall lokal HSA administratör inte har tillgång till lämpligt gränssnitt.
De organisationer som synkar sin information till HSA-kataloghotell, dvs Landsting och andra större
organisationer, måste ofta lägga in dessa uppgifter i sina lokala system (eftersom olika
synkningsprogramvaror kan ta bort information som läggs in direkt i HSA om det saknas i de interna
systemen). De använder då olika lokala gränssnitt för att definiera dessa uppgifter. I det fallet kan
denna handledning behöva anpassas till hur det lokala gränssnittet ser ut innan det distribueras ut till
de lokala administratörerna (av det lokala gränssnittet).
Inera AB Box 177 03
Östgötagatan 12
118 93 Stockholm
Tel 08 452 71 60
info@inera.se
www.inera.se
Organisationsnummer
556559-4230
Sid 4/12

Instruktion för att kunna använda Säkerhetstjänsternas
administrationsgränssnitt Version 1.5
Tomas Fransson 2013-12-17
Nedan finns både det svenska namnet som används i HSA:s administratörsgränssnitt och det tekniska
namnet som används i gränssnittet LDAP, inom parenteser() beskrivna nedan.
4.1. Skapa individuella behörighetsegenskaper för IT tjänster (hsaSystemRole)
Den individuella behörighetsegenskapen för IT-tjänster (hsaSystemRole) används för att ge
administratören rättighet att administrera via säkerhetstjänsternas verktyg.
Den lokala HSA-förvaltningen anger i fältet ”Individuell behörighetsegenskaper för IT
tjänster” (hsaSystemRole) administratörsrollen för utpekade personer.
Innan behörighetsegenskapen registreras i HSA ska vårdgivaren fatta beslut hur
administrationen ska hanteras, på central eller lokal nivå.
Vårdgivaren ska också fatta beslut om vilka individer som på central nivå som ska få rättighet
att hantera administrationen. På lokal nivå är det respektive verksamhetschef som beslutar om
rättigheter.
I det fall administratören utför uppgiften över flera vårdenheter ska en delegering ske från
respektive verksamhetschef alternativt att delegering finns på vårdgivarnivå.
Besluten ovan kommuniceras till den lokala HSA-förvaltningen.
4.2. Lägga upp Medarbetaruppdrag (hsaCommission) i befintliga VG/VE-strukturer
Den lokala HSA-förvaltningen anger, för utpekade personer, i fältet ”Individuell
behörighetsegenskaper för IT tjänster” (hsaSystemRole) administratörsrollen. Den individuella
rättigheten skiljer sig åt beroende på vilken roll man ska ha. I den detaljerade beskrivningen finns det
exakta värden för varje roll.
Härefter skapar man medarbetaruppdrag i HSA. Till medarbetaruppdraget kopplar man sedan
administratören. Nedan beskrivs hur det sker dels via HSA Admin, dels via LDAP.
Medarbetaruppdrag kan/ska endast placeras under en vårdenhet. De medarbetaruppdrag som ska
läggas upp ska innehålla;
Namn (cn)
o OBS! Måste innehålla både benämning OCH vårdenhet
HSA-id (hsaIdentity)
o Unik identitet (Skapas automatiskt av HSA Admin)
Ändamål (hsaCommissionPurpose)
o Ska sättas till ”Administration”.
Medlemmar (hsaCommissionMember)
o HSA-id för loggadministratören samt ev. start- och slutdatum för uppdraget
separerade med semikolon. Ett attributvärde per person. Start- och slutdatum ska i
förekommande fall anges i GMT enligt formatet ÅÅÅÅMMDDTTMMSSZ, t.ex.
20101123225959Z
Medarbetaruppdragen ska även innehålla;
Beskrivning (description)
o Som tydliggör syftet med uppdraget
Nedan beskrivs hur man via HSA Admin respektive via LDAP skapar medarbetaruppdrag.
Inera AB Box 177 03
Östgötagatan 12
118 93 Stockholm
Tel 08 452 71 60
info@inera.se
www.inera.se
Organisationsnummer
556559-4230
Sid 5/12

Instruktion för att kunna använda Säkerhetstjänsternas
administrationsgränssnitt Version 1.5
Tomas Fransson 2013-12-17
4.3. Instruktion för att skapa medarbetaruppdrag med hjälp av HSA Admin
Observera att medarbetaruppdrag för tillfället endast kan skapas direkt under en Vårdenhet.
Öppna upp HSA Admin och högerklicka på den vårdenhet under vilken medarbetaruppdraget
ska skapas
välj sedan ”Skapa” och ”Medarbetaruppdrag” enligt bild nedan.
Inera AB Box 177 03
Östgötagatan 12
118 93 Stockholm
Tel 08 452 71 60
info@inera.se
www.inera.se
Organisationsnummer
556559-4230
Sid 6/12

Instruktion för att kunna använda Säkerhetstjänsternas
administrationsgränssnitt Version 1.5
Tomas Fransson 2013-12-17
När uppdraget ska skapas från ett av vårdgivaren i förväg upplagd mall, välj en sådan, annars ange
Uppdragsnamn (inkl. vårdenhetens namn) och välj Ändamål ”Administration” och sedan ”Skapa”.
Medarbetaruppdraget skapas och öppnas för redigering. Observera att uppdragets namn, inkl.
vårdenhetens benämning, maximalt får vara 64 tecken långt, inkl. mellanslag.
Inera AB Box 177 03
Östgötagatan 12
118 93 Stockholm
Tel 08 452 71 60
info@inera.se
www.inera.se
Organisationsnummer
556559-4230
Sid 7/12

Instruktion för att kunna använda Säkerhetstjänsternas
administrationsgränssnitt Version 1.5
Tomas Fransson 2013-12-17
Gå till ”Medarbetaruppdrags”-fliken.
Kontrollera att ”Administration” är ifyllt i fältet för Ändamål under ”Medarbetaruppdrags” fliken.
Fyll på med lämplig beskrivning av uppdraget.
Inera AB Box 177 03
Östgötagatan 12
118 93 Stockholm
Tel 08 452 71 60
info@inera.se
www.inera.se
Organisationsnummer
556559-4230
Sid 8/12

Instruktion för att kunna använda Säkerhetstjänsternas
administrationsgränssnitt Version 1.5
Tomas Fransson 2013-12-17
Gå till fliken ”Rättigheter medarbetaruppdrags”.
Observera att inga rättigheter ska lägga upp under fliken ”Rättigheter medarbetaruppdrag”.
Kontrollera att det inte finns några rättigheter upplagda.
Inera AB Box 177 03
Östgötagatan 12
118 93 Stockholm
Tel 08 452 71 60
info@inera.se
www.inera.se
Organisationsnummer
556559-4230
Sid 9/12

Instruktion för att kunna använda Säkerhetstjänsternas
administrationsgränssnitt Version 1.5
Tomas Fransson 2013-12-17
Gå till fliken för ”Tilldela medarbetaruppdrag”.
Klicka på ”Lägg till” och sök fram de personer som ska kopplas till uppdraget.
Spara med ”Spara-Stäng”.
4.4. Tilldela en person individuella administratörsegenskaper i HSA Admin
Ett värde läggas in i fältet för ”Individuell behörighetsegenskap för IT-tjänster”. Följande värden ska
användas:
Roll
Loggadministratör
Spärradministratör
Värde
BIF;Loggadministratör
BIF;Spärradministratör
Inera AB Box 177 03
Östgötagatan 12
118 93 Stockholm
Tel 08 452 71 60
info@inera.se
www.inera.se
Organisationsnummer
556559-4230
Sid 10/12

Instruktion för att kunna använda Säkerhetstjänsternas
administrationsgränssnitt Version 1.5
Tomas Fransson 2013-12-17
1. Öppna personobjektet för redigering och välj fliken ”Anställning/Uppdrag”.
2. Lägg in värdet i fältet för ”Individuell behörighetsegenskap för IT-tjänster”. I exemplet nedan
används värdet som gäller för loggadministratör.
3. Spara-Stäng.
Inera AB Box 177 03
Östgötagatan 12
118 93 Stockholm
Tel 08 452 71 60
info@inera.se
www.inera.se
Organisationsnummer
556559-4230
Sid 11/12

Instruktion för att kunna använda Säkerhetstjänsternas
administrationsgränssnitt Version 1.5
Tomas Fransson 2013-12-17
4.5. Instruktion för att skapa medarbetaruppdrag med hjälp av LDAP
Skapa ett objekt direkt under en Vårdenhet:
Förklaring till Medarbetaruppdragets attribut:
objectClass ska ha värdena ”top” och ”hsaCommission”
Namn (cn)
o OBS! Måste innehålla både benämning OCH vårdenhet
HSA-id (hsaIdentity)
o Unik identitet (Kontrollera att det HSA-id du anger är unikt, detta kontrolleras inte
automatiskt i LDAP-verktyget)
Ändamål (hsaCommissionPurpose)
o Ska sättas till ”Administration”
Medlemmar (hsaCommissionMember)
o HSA-id för administratören samt ev. start- och slutdatum för uppdraget separerade
med semikolon. Ett attributvärde per person. Start- och slutdatum ska i förekommande
fall anges i GMT enligt formatet ÅÅÅÅMMDDTTMMSSZ, t.ex. 20101123235959Z
Medarbetaruppdragen kan även innehålla
Beskrivning (description)
4.6. Tilldela en person en administratörsegenskap i LDAP
Ge attributet hsaSystemRole ett värde för de personobjekt som representerar de personer som ska bli
administratörer. Följande värden ska användas
Roll
Loggadministratör
Spärradministratör
Värde
BIF;Loggadministratör
BIF;Spärradministratör
Inera AB Box 177 03
Östgötagatan 12
118 93 Stockholm
Tel 08 452 71 60
info@inera.se
www.inera.se
Organisationsnummer
556559-4230
Sid 12/12