Her finner du informasjon om hvordan en kan bruke Entra ID i Aidn
Entra ID (tidligere kjent som Microsoft Azure AD) er Microsofts skybaserte løsning for identitets- og tilgangsstyring, og er mye brukt i offentlig sektor, blant annet i store andeler av norske kommuner. Den tilbyr Single Sign-On (SSO), flerfaktor-autentisering (MFA) og avanserte sikkerhetskontroller. Ved å integrere Entra ID med Aidn kan kommuner forenkle innlogginger i daglige arbeidsflyter, samtidig som man opprettholder høy sikkerhet der det er nødvendig.
Hovedfordeler
- Single Sign-On (SSO): Tilgang til Aidn-tjenester via Entra ID-innlogging – samme innlogging som brukes for andre applikasjoner registrert i kommunens Active Directory.
- Avansert sikkerhet: Benytter MFA, betinget tilgang og andre sikkerhetsmekanismer i Entra ID.
- Mye brukt: Mange norske kommuner bruker allerede Entra ID, noe som forenkler brukeropprettelse.
Hovedutfordringer som adresseres
- Overavhengighet av BankID BankID er sikkert, men oppleves som tungvint eller for personlig av noen ansatte, særlig på delte enheter. Buypass er et godt alternativ i slike tilfeller, men krever ny avtale og medfører dermed en ekstra kostnad for kundene våre.
- Ekskludering av midlertidige og utenlandske arbeidere Brukere uten norsk fødselsnummer kan ikke få og bruke BankID, noe som gjør det vanskelig å få tilgang til systemet.
- Begrensede alternativer Ved nedetid på BankID, Buypass eller HelseID kan ansatte miste tilgangen til kritiske funksjoner.
Tilgangsnivåer: Entra ID vs HelseID
Tabellen nedenfor viser hvilke funksjoner som er tilgjengelige via Entra ID kontra HelseID i Aidn. For visse data med høyere sikkerhetskrav (som NHN-data), kreves fortsatt HelseID.
| Modul | Entra ID | HelseID | |
|---|---|---|---|
| 1 | Intern LAB | ✔ | ✔ |
| 2 | Ekstern LAB (Interactor) | — | ✔ |
| 3 | Legemidler (Local LIB) | ✔ | ✔ |
| 4 | E-resept / SFM / Legemiddel-samstemming | — | ✔ |
| 5 | SFM Fullversjon | — | ✔ |
| 6 | KJ Kritisk Info (CAVE) | — | ✔ |
| 7 | Legemiddelgjennomgang | ✔ | ✔ |
| 8 | Felleskatalogen | ✔ | ✔ |
| 9 | Pasientnettverk | ✔ | ✔ |
| 10 | Fakturagrunnlag | ✔ | ✔ |
| 11 | Prisregister | ✔ | ✔ |
| 12 | Pasientens journaldokumenter fra Kjernejournal | — | ✔ |
| 13 | Kritisk info | Kan se tidspunkt for siste oppdatering, men ikke lese | ✔ |
| 14 | Arbeidslister | ✔ | ✔ |
| 15 | Min arbeidsdag | ✔ | ✔ |
| 16 | Datadeling | — | ✔ |
| 17 | E-meldinger | ✔ | ✔ |
| 18 | Chat | ✔ | — |
| 19 | Innlegg | ✔ | ✔ |
| 20 | Notifikasjoner | ✔ | ✔ |
| 21 | Admin | — | ✔ |
| 22 | Brukerlogg | — | ✔ |
| 23 | Saksbehandling | ✔ | ✔ |
Step-Up autentisering
Når en bruker logger inn med Entra ID og senere forsøker å få tilgang til data som krever høyere sikkerhetsnivå (f.eks. NHN-relaterte ressurser), vil Aidn be brukeren autentisere seg på nytt med HelseID – dette kalles "step-up"-autentisering:
- Primær innlogging: Brukeren logger inn med Entra ID.
- Økt etableres: Tilgang til alle funksjoner som tillates av Entra ID.
- Forespørsel om høyere sikkerhet: Ved forsøk på tilgang til NHN-data (f.eks. E-resept, SFM Fullversjon).
- HelseID-pålogging: Brukeren videresendes for innlogging med HelseID.
- Utvidet tilgang: Etter vellykket innlogging med HelseID får brukeren tilgang til beskyttet helsedata.
Brukersynkronisering med Entra ID
Entra ID-synkronisering lar kommunen din automatisk synkronisere Entra-kontoer til Aidn. Slik fungerer det:
- Brukersynkronisering fra Entra: Når automatisk provisjonering er aktivert, blir nye eller oppdaterte brukerkontoer i Entra ID sendt til Aidn med jevne mellomrom, og vil vises i Aidn Admin Portal.
- Ventende tilstand i Aidn: Hver synkroniserte bruker vises til å begynne med i en «Ventende»-tilstand i Aidn-administrasjonsportalen.
- Administratorgjennomgang og rolletilordning: En systemadministrator eller utpekt administratorbruker kan gjennomgå den nye brukeroppføringen, tildele en Aidn-rolle (f.eks. «Sykepleier», «Lege» osv.), og spesifisere eventuelle ekstra tilganger om nødvendig.
- Aktivering: Etter at administratoren har fullført tildeling av roller og attributter, går brukeren over fra «Venter» til «Aktiv», og får tilgang til funksjonene tillatt av den rollen.
Denne prosessen reduserer manuell registrering og sikrer at Entra ID forblir den eneste kilden til sannhet for grunnleggende identitetsdata.
Kobling av Entra ID- og Helse ID-kontoer
Det kan oppstå, spesielt med utenlandske eller midlertidige helsearbeidere, at samme persons Aidn-konto må være knyttet til både Entra ID og Helse ID. For eksempel:
- En utenlandsk arbeidstaker kommer uten norsk fødselsnummer.
- De bruker i utgangspunktet Entra ID for å få tilgang til daglige funksjoner i Aidn.
- Senere får de et D-nummer og blir kvalifisert for Helse ID.
I disse tilfellene kan en administrator manuelt koble den eksisterende Entra ID-kontoen til den nyopprettede Helse ID-identitieten:
-
Finn brukeren: I Aidn-administrasjonsportalen kan du finne brukerens Entra ID-baserte konto.
-
Initier kobling: Bruk alternativet «Sett opp bruker» for å tilknytte en eksisterende Helse ID-brukerprofil eller for å registrere en ny Helse ID-profil.
-
Bekreft identitet: Oppgi eller bekreft riktig D-nummer eller norsk nasjonal ID som tilsvarer brukerens Helse ID.
-
Bekreftet og lagret: Når den er koblet, gjenkjenner systemet begge kontoene som tilhørende samme person.
Etter sammenkoblingen kan brukeren benytte Entra ID for daglige pålogginger mens de sømløst trapper opp til Helse ID-tilgang for å oppgaver med høyere sikkerhetskrav. Denne tilnærmingen sikrer at brukere ikke mister fremgang eller data mens de migrerer fra midlertidig legitimasjon til offisiell.
Avregistrering av bruker
Når en bruker avslutter sitt arbeidsforhold eller skal ut i en utvidet permisjon i Entra ID, blir kontoen deaktivert fra din kommune. Aidn mottar automatisk denne deprovisjoneringsbeskjeden via SCIM:
- Endring i Entra ID: En admin deaktiverer eller fjerner brukerkontoen i Entra ID.
- Deprovisjoneringsvarsling: Aidn mottar et varsel om at brukeren ikke lenger er aktiv.
- Automatisk deaktivering: Aidn markerer brukeren som deaktivert, og fjerner muligheten til å logge på.
- Synkronisering fullført: Hvis brukeren aktiveres på nytt eller legges til på nytt i Entra ID, aktiverer Aidn dem på nytt i ventende tilstand.
Dette sikrer en sømløs offboardingsprosess og bidrar til å opprettholde nøyaktige brukerlister, slik at ingen brukere beholder unødvendig tilgang. Det reduserer også manuell arbeid for Aidn-administratorene, siden brukerkatalogen deres forblir synkronisert med Entra ID.
Er du administrator og lurer på hvordan du setter opp Entra ID? Les denne.