ID: 448910
Fråga nr 5
Kan ni mer i detalj beskriva er IdP/SSO lösning och hur vi som leverantör förväntas ansluta och integrera (protokoll och riktlinjer), samt hur kraven på minst LOA3 och multifaktor uppfylls och förmedlas till applikationen för att möjliggöra säker administrativ åtkomst? (Frågan avser §§ 3.3.8, 3.3.9 och 3.3.14 i upphandlingsdokumentet)
Svar 2026-02-10
Kraven 3.3.8, 3.3.9 och 3.3.14 specificerar hur kodverkstjänsten ska samverka med E-hälsomyndighetens autenticeringsmekanism. Nedanstående beskrivning förklarar hur kraven samverkar för att ge en användare åtkomst till kodverkstjänsten.
När en användare på E-hälsomyndigheten vill logga in i kodverkstjänstens administrativa GUI så ska kodverkstjänsten anropa myndighetens IdP (autenticeringstjänst). Antingen via SAML 2.0 eller OAuth 2.0/OIDC (OpenID Connect) för inloggning.
Myndighetens autenticeringstjänst kommer därefter att autenticera användaren. Om användaren inte är inloggad sedan tidigare sker det via e-legitimation EFOS (LOA 3) och multifaktorautenticering.
Efter en godkänd inloggning ska kodverkstjänsten därefter ge användaren rätt behörighetsnivå (skriva, förändra, radera). Beroende på utformning av kodverkstjänsten kan den informationen antingen finnas i kodverkstjänsten kopplad till den identitet som autenticeringstjänsten rerturnerar, eller baseras på den behörighetsnivå som autenticeringstjänsten returnerar.