Closed richardhus closed 11 months ago
steinarnoem
commented
11 months ago Verdien kommer i dag fra HelseID - og er en diskusjon utenfor dette forumet. Sektoren må stole på at tillitsrammeverket stiller riktige krav, og at HelseID ikke tillater IdPer som ikke leverer sterk nok autentisering..
runegri
commented
11 months ago Denne verdien finnes i HelseID og kan lett utrrykkes som et informasjonselement. Spørsmålet er hvordan vi navngir dette og hvilke verdier skal vi gi? Foreslår en struktur av denne typen:
"practitioner": {
...
"authentication" : {
"level": "nhn:helseid:high",
"text": "Godt nok for deling av helseopplysninger i henhold til Tillitsrammeverket",
"system": "dokumentert i utviklerportalen til nhn??? Url her? Oid?",
"authority": "https://www.nhn.no"
},
....
}Vi gjør ikke dette. Informasjonen blir uansett inkludert i access tokens fra HelseID
steinarnoem
commented
11 months ago Min mening er i utgangspunktet at tillitsrammeverket setter tydelige krav til LoA for autentisering av helsepersonell, og at dette ikke bør være en del av attesten. Tillitsrammeverket for PJD (nhn high) innebærer bruk av en eid som er selvdeklarert til nivå høyt hos NKOM.
Dersom attesten legges i et access token eller SAML token er det naturlig at tokenet inneholder LoA for en gitt autentisering. Men da utenfor atteststrukturen.
Ved gjennomgang og sammenstilling av attributter fra HelseID informasjonsmodell med SAML fra kjernejournal og Helse Sør-Øst sikkerhetsbevis virker det som om HelseID-informasjonsmodellen mangler attributtet som angir autentiseringsstyrken på sluttbrukerens autentisering. Innholdet reflekterer typisk EIDAS lav, betydelig eller høy, eventuelt hvilket av nivåene 1-4 i henhold til den særnorske kategoriseringen som er benyttet. I SAML fra kjernejournal finnes SecurityLevel for dette, som vi mapper til hso:subject:assurance-level i Helse Sør-Øst sikkerhetsbeviset. Denne finnes helt sikkert også i HelseID vil jeg tro, men den mangler i informasjonsmodellen/spesifikasjonen så vidt jeg kan se.