Speciale Weblog: June 2005 Archives
Så fik jeg første case i hus. Det handler om brugerstyring og tager udgangspunkt i - Sundhed.dk - den fællesoffentlige sundhedsportals måde at foretage brugerstyring indenfor det offentlige og med anvendelse af OCES certifikatet (den digitale signatur).
Sundhed.dk anvender i dag en brugerstyringsmodel hvor de lader OCES tage sig af autentikationen af borgere og sundhedsfaglige - dette sker via en webservice ved at tjekke den offentlige nøgle i certifikatet op imod TDC's register.
Adgangen er forskellige imellem borgere og sundhedsfaglige - borgere får bare tjekket at deres certifikat er valid og seneste version etc. men de sundhedsfaglige - som anvender et virksomhedscertifikat - får tjekket at det CVR nummer de er hæftet på, nu også eksisterer i sundhed.dk's register over tilladte sundheds organisationer i Danmark (registreret er for en stor dels vedkommende taget fra amter og sundhedsstyrelsens autorisationsregister)
Selve autorisationen sker delvist hos sundhed.dk og delvist administreret af lokale administratorer ude i sundhedsinstitutionerne - de såkaldte LRA (Local Representative Authority). Dette er nok noget af det mest "avancerede" large-scale brugerstyring som vi kan vise i dag hvilket gør casen endnu mere interessant. Rent praktisk har problemerne mest været centret omkring uddannelse af LRA'erne og en decideret holdningsændring hos beslutningstagerne indenfor primært amterne hvor der stadigvæk synes at herske en smule teknologisk mistro (hvilket heller ikke er helt usundt)
Med hensyn til fremtiden vil sundhed.dk være en interessant kandidat til den "sande" føderale identitetsstyringsmodel hvor man opererer med en klassifikationsordning og information så er klassificeret i forhold til f.eks. hvor følsomt indholdet er. Men da OCES allerede anvendes er der noget der tyder på at det vil primært være systemerne indbyrdes som kommer til at anvende dette - f.eks. i forhold til integration med elektronisk patient journaler når de er klar.
Sundhed.dk anvender i dag en brugerstyringsmodel hvor de lader OCES tage sig af autentikationen af borgere og sundhedsfaglige - dette sker via en webservice ved at tjekke den offentlige nøgle i certifikatet op imod TDC's register.
Adgangen er forskellige imellem borgere og sundhedsfaglige - borgere får bare tjekket at deres certifikat er valid og seneste version etc. men de sundhedsfaglige - som anvender et virksomhedscertifikat - får tjekket at det CVR nummer de er hæftet på, nu også eksisterer i sundhed.dk's register over tilladte sundheds organisationer i Danmark (registreret er for en stor dels vedkommende taget fra amter og sundhedsstyrelsens autorisationsregister)
Selve autorisationen sker delvist hos sundhed.dk og delvist administreret af lokale administratorer ude i sundhedsinstitutionerne - de såkaldte LRA (Local Representative Authority). Dette er nok noget af det mest "avancerede" large-scale brugerstyring som vi kan vise i dag hvilket gør casen endnu mere interessant. Rent praktisk har problemerne mest været centret omkring uddannelse af LRA'erne og en decideret holdningsændring hos beslutningstagerne indenfor primært amterne hvor der stadigvæk synes at herske en smule teknologisk mistro (hvilket heller ikke er helt usundt)
Med hensyn til fremtiden vil sundhed.dk være en interessant kandidat til den "sande" føderale identitetsstyringsmodel hvor man opererer med en klassifikationsordning og information så er klassificeret i forhold til f.eks. hvor følsomt indholdet er. Men da OCES allerede anvendes er der noget der tyder på at det vil primært være systemerne indbyrdes som kommer til at anvende dette - f.eks. i forhold til integration med elektronisk patient journaler når de er klar.
Wickedpixel har været nede i nogle dage hvilket naturligvis har gjort at emails og blog har været ude af drift.
Anyway - jeg har selv haft travlt med diverse ting.
d. 31.12 var jeg til OIOXML Forum i Bredgade hos IT & Telestyrelsen. Forummet er lidt et nørdforum hvor der bliver heppet hver gang der bliver vist en XML streng.. men det er nu heller ikke at foragte da det giver et bedre indblik i XML standarderne. Denne gang var det mest interessante oplæg omkring
OIO Standardaftale for WebServices. Standardaftalen er en slags udvidet service level agreement (SLA) til offentlige myndighed, som meget nøjagtigt udpeger hvilke kontraktsmæssige områder det er vigtigt, at have på plads INDEN man kaster sig ud i ekstraorganisatorisk Webservices.
Aftalen er udarbejdet ud fra holdningen, at uden en kontraktslig aftale vil SOA aldrig komme op på benene fordi der skal være noget, som kan kontraktsligt binde service-leverandør og -aftager.
d. 1. juni havde jeg møde med Kåre Kjelstrøm fra
Silverbullet som har være involveret i mange offentlige projekter men var især interessant for sit inblik i sikkerhedsmodellen for Sundhed.dk og sit ellers pragmatiske syn på SOA.
- Kåre har en teknisk baggrund, men har også arbejdet som arkitekt på ovennævnte projekter og var således ideel for at give et teknisk indblik i hvordan man overholder de strenge krav der er til behandling af personfølsomme oplysninger.
Samtidig snakkede vi meget om brugerstyring indenfor sundhed.dk. Det er vist alment kendt at den digitale signatur har en svaghed når en person har flere roller. F.eks. når en læge arbejder på to forskellige sygehuse. Hos sundhed.dk validerer man den digitale signatur og derefter bruger man cpr-# på lægen til at bestemme autorisationen - ie. hvad den pågældende læge har ret til i systemet.
I alt snakkede vi 1½ time og det gav 8 siders summary.
Over den næste uges tid skal jeg ud og snakke med Niels Dalhoff Andersen som sidder ude på sundhed.dk og dagen efter har jeg været så heldig at få et møde med Henrik Pedersen & Steen Deth fra Gentofte Kommune som kan give mig noget indblik i kommunalreformen fra et it-arkitektonisk synspunkt.
Derefter er jeg nødt til at gå over i eksamens-mode da jeg jo tog T8 som et ekstra fag (det fortryder man nemt nu :-? )
Anyway - jeg har selv haft travlt med diverse ting.
d. 31.12 var jeg til OIOXML Forum i Bredgade hos IT & Telestyrelsen. Forummet er lidt et nørdforum hvor der bliver heppet hver gang der bliver vist en XML streng.. men det er nu heller ikke at foragte da det giver et bedre indblik i XML standarderne. Denne gang var det mest interessante oplæg omkring
OIO Standardaftale for WebServices. Standardaftalen er en slags udvidet service level agreement (SLA) til offentlige myndighed, som meget nøjagtigt udpeger hvilke kontraktsmæssige områder det er vigtigt, at have på plads INDEN man kaster sig ud i ekstraorganisatorisk Webservices.
Aftalen er udarbejdet ud fra holdningen, at uden en kontraktslig aftale vil SOA aldrig komme op på benene fordi der skal være noget, som kan kontraktsligt binde service-leverandør og -aftager.
d. 1. juni havde jeg møde med Kåre Kjelstrøm fra
Silverbullet som har være involveret i mange offentlige projekter men var især interessant for sit inblik i sikkerhedsmodellen for Sundhed.dk og sit ellers pragmatiske syn på SOA.
- Kåre har en teknisk baggrund, men har også arbejdet som arkitekt på ovennævnte projekter og var således ideel for at give et teknisk indblik i hvordan man overholder de strenge krav der er til behandling af personfølsomme oplysninger.
Samtidig snakkede vi meget om brugerstyring indenfor sundhed.dk. Det er vist alment kendt at den digitale signatur har en svaghed når en person har flere roller. F.eks. når en læge arbejder på to forskellige sygehuse. Hos sundhed.dk validerer man den digitale signatur og derefter bruger man cpr-# på lægen til at bestemme autorisationen - ie. hvad den pågældende læge har ret til i systemet.
I alt snakkede vi 1½ time og det gav 8 siders summary.
Over den næste uges tid skal jeg ud og snakke med Niels Dalhoff Andersen som sidder ude på sundhed.dk og dagen efter har jeg været så heldig at få et møde med Henrik Pedersen & Steen Deth fra Gentofte Kommune som kan give mig noget indblik i kommunalreformen fra et it-arkitektonisk synspunkt.
Derefter er jeg nødt til at gå over i eksamens-mode da jeg jo tog T8 som et ekstra fag (det fortryder man nemt nu :-? )
