Logo

Dwustopniowa autoryzacja (MFA) w systemie eWUŚ – co się zmienia od 17 listopada

 

Jak zalogować się do

systemu eWUŚ

Od 17 listopada logowanie do systemu eWUŚ wymaga dwustopniowej autoryzacji (MFA). Oprócz loginu i hasła należy użyć jednorazowego kodu TOTP przekazywanego w parametrze logowania (mfaTotp). Mechanizm działa w oparciu o wcześniej zarejestrowany klucz „secret” (pozyskany z kodu QR), dzięki czemu kod może być generowany automatycznie przez system — bez ręcznego przepisywania przez użytkownika. 

 

Zmiana podnosi bezpieczeństwo danych oraz procesów weryfikacji uprawnień świadczeniobiorców. Logowanie nadal odbywa się przez broker usług NFZ (WSBroker) z sesją i tokenem w nagłówkach — po udanym logowaniu identyfikatory należy dołączać do każdego wywołania. 

 

Dostęp do eWUŚ

Dostęp do usług eWUŚ realizowany jest poprzez WSBroker (połączenie HTTPS, stanowe sesje, token autoryzacyjny). Ten model umożliwia jednolite obsłużenie błędów i wymusza przekazywanie identyfikatorów sesji i tokenu w nagłówkach kolejnych żądań. W razie błędów autoryzacji lub wygaśnięcia sesji należy wykonać ponowne logowanie. 

 

Uwaga operacyjna: system może zakładać blokady tymczasowe (np. po wielu błędnych próbach) oraz stosować limity zapytańdziennych/administracyjnych. To ważne przy planowaniu integracji i obsłudze kolejek zapytań. 

 

Dostęp do eWUŚ i klucz „secret”

Podczas włączania MFA dla operatora udostępniany jest kod QR, z którego uzyskuje się klucz „secret”. Na jego podstawie można programowo generować kody TOTP (algorytm SHA-1, 6 cyfr, okres 30 s). Dzięki temu:

pracownicy rejestracji nie muszą każdorazowo wpisywać kodu,

logowanie może być wykonywane „w tle” przez system,

praca rejestracji i gabinetu pozostaje płynna.

Klucz „secret” należy bezpiecznie przechowywać (np. w zaszyfrowanym magazynie w systemie placówki/warstwie integracyjnej). 

Uruchomienie usługi eWUŚ z opcją MFA obligatoryjnie

Obowiązek MFA dotyczy wszystkich użytkowników i trybów dostępu, w tym integracji realizowanych poprzez warstwę integracyjną. Po stronie NFZ interfejs jest web-service’owy (WSBroker); jeżeli w placówce wykorzystywane są starsze systemy, warstwa pośrednia (API) może przejąć odpowiedzialność za:

 

logowanie (z przekazaniem mfaTotp),

utrzymywanie sesji i tokenów,

lokalne generowanie TOTP z przechowywanego „secret”.

Takie podejście pozwala wdrożyć MFA bez modyfikacji używanego programu gabinetowego/HIS. 

 

Nasze API ułatwia korzystanie z systemu eWUŚ po zmianac

 

Oferujemy REST API jako bezpieczną warstwę integracyjną między systemami placówki a eWUŚ (WSBroker). Nasze rozwiązanie zapewnia:

 

automatyczne logowanie z TOTP i przekazywanie mfaTotp,

szyfrowane przechowywanie klucza „secret”, rotację oraz polityki dostępu,

odnawianie sesji i tokenów, z obsługą wyjątków i komunikatów zwrotnych,

kolejkowanie i retry z poszanowaniem limitów i blokad NFZ,

niezawodną komunikację z serwerami NFZ zgodnie ze specyfikacją.

 

 

Efekt:

brak potrzeby modyfikowania aktualnego oprogramowania w placówce,

– personel pracuje tak jak dotychczas,

upoważnienia eWUŚ i statusy pacjentów są weryfikowane bez opóźnień,

– pełna zgodność z wymogami bezpieczeństwa i procesów eWUŚ. 

 

Najczęstsze pytania (FAQ – skrót)

 

Czy TOTP zawsze trzeba wpisywać ręcznie?

Nie. Po jednorazowym zarejestrowaniu QR i pozyskaniu „secret” system może generować kody automatycznie co 30 s i przekazywać je jako mfaTotp. 

 

Co jeśli sesja wygaśnie albo wystąpi błąd autoryzacji?

Należy odświeżyć sesję/ponownie się zalogować. Nasze API robi to automatycznie, zgodnie z mechanizmem sesji/tokenu brokera. 

 

Czy można „ominąć” limity zapytań?

Nie — limity i blokady są narzucone przez NFZ. Wdrożyliśmy kolejkowanie, backoff i monitorowanie, aby działać stabilnie w tych ramach. 

 

 

Zdjęcie podstrony Dwustopniowa autoryzacja (MFA) w systemie eWUŚ – co się zmienia od 17 listopada
-->