1. SSO-inloggning

Bemlo stödjer flera alternativ för SSO-inloggning, inklusive SAML och OIDC. Vilket alternativ som är mest lämpligt beror på er interna miljö.

1.1. Allmänt

1.1.1. Syfte

Oavsett protokoll är syftet med kopplingen densamma:

• Autentisera användaren

• Om möjligt, kommunicera till Bemlo vilka behörigheter användaren har

• Om möjligt, kommunicera till Bemlo vilka enheter användaren har tillgång till

Behörigheter och enhetstillhörighet styrs genom attribut som skickas med i inloggningsbiljetten. Här krävs två saker:

• Verksamheten behöver definiera vilka roller / funktioner som ska finnas representerade i systemet (se 1.1.2. Underlag – Roller).

• Integrationsansvariga på Bemlos respektive er sida behöver enas om vilka attribut som ska användas för att ge tillgång till respektive roll.

Saknas möjlighet att skicka attribut för att styra behörighet och enhetstillhörighet är alternativet att administrera detta direkt i Bemlos gränssnitt.

1.1.2. Underlag - Roller

En lista på roller som bör finnas tillgängliga i systemet för regionen eller kommunens användare samt vilka typer av behörigheter dessa bör ha. Notera att exakta behörigheter bestäms gemensamt med Bemlo.

1.1.3. Underlag - Tekniska förutsättningar

Svara på följande frågor för att kartlägga förutsättningarna för arbetet med inloggningsintegrationen:

• Finns en produktionslik testmiljö på plats där integrationen kan utvecklas och testas?

• Vilka inloggningsmetoder kommer slutanvändare kunna använda? Exempel: epost-lösenord, SITHS-kort

• Kan utvecklare på Bemlo ges tillgång till konton i testmiljön?

• Hur ser rutinen för produktionsändringar ut? Om det finns ledtider kopplade till granskning av ändringsförslag påverkar det tiden för införandet.

1.1.4. Grundläggande användaruppgifter

Utöver de specifika attribut som används för behörighet och enhetstillhörighet förväntar sig Bemlo få grundläggande användaruppgifter vid inloggningstillfället.

1.1.5. Ytterligare användaruppgifter

Tillval. Behov av denna integration kartläggs under uppstartsmöte.

Om behov finns kan behörigheter och enhetstillhörigheter i Bemlo styras via attribut i inloggningsbiljetten. Exakt hur detta görs går att anpassa under integrationsarbetet, men en rekommendation är att använda ett attribut kallat groups som innehåller en lista med identifikationssträngar, var och en kopplad till en av rollerna beskrivna under 1.1.2, samt ett attribut units, som innehåller en lista med HSA-id:n för enheter användaren ska begränsas till.

{
  "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "SE000000123-123",
  "firstName": "Test",
  "lastName": "Testsson",
  "email": "test.testsson@bemlo.se",
  "groups": [
	"Bemlo_User_Avropsenhet"
  ],
  "units": [
	"SE000000123-123",
	"SE000000123-456"
	]
}

1.2. SAML

Metadata i XML-format för Bemlos test- och produktionsmiljö finns att hitta på följande URL:er:

• https://auth.test.bemlo.ai/.well-known/sp-metadata

• https://auth.bemlo.ai/.well-known/sp-metadata

HSA-id rekommenderas att användas som NameID.

Bemlo behöver delges metadata för er IdP, antigen via URL eller fil.

1.3. OIDC

För SSO-inloggning via OIDC, till exempel för Azure Active Directory / Microsoft Entra ID behöver följande information delas.

1.3.1. Redirect URIs

På er sida behöver tillåtna Redirect URIs konfiigureras. Detta görs separat i test- respektive produktionsmiljö.

2. Synkronisering av enheter

Tillval. Behov av denna integration kartläggs under uppstartsmöte.

Bemlo läser dagligen in enhetsinformation från en fil som tillhandahålls via SFTP.

Filen ska innehålla en lista på enheter och underenheter som ska finnas i systemet och tillåta användare att schemalägga/bemanna ifrån. Bemlo tillåter en hierarkisk struktur, till exempel:

Sjukhus A > Akutsjukvård > Akutmottagning A > Avdelning 1 .

2.1 Filstruktur