1.1.1. OIOSAML
Da web facaden benytter sig af OIOSAML.java biblioteket fra digitaliseringsstyrelsen hvilket kræver selvstændige konfigurationsfiler skal disse være tilgængelig i oiosaml.home
under deployment - oiosaml.home
sættes med JAVA_OPTS
i compose filerne og er sat til /pack/oiosaml
.
OIOSAML konfigurationsfiler er miljøspecifikke.
Der findes i filerne under "compose/configuration/oiosaml" i kildekoden konfigurationer for development / test1 / test2. Disse Metadata for disse installationer skal være registreret hos SEB.
Konfigurationsfiler | |
---|---|
oiosaml-sp.log4j.xml | lndeholder Log4j opsætninger der følger gængs standard på NSP. |
oiosaml-sp.properties | # Properties used by oiosaml-j oiosaml-sp.certificate.location
|
Sundhedsdatastyrelsen_Test_NADM.p12 | JKS fil indeholdende Sundhedsdatastyrelsen NADM funktionscertifikat certifikatet skal registreres hos SEB. Skal være samme navn som oiosaml-sp.certificate.location i oiosaml-sp.properties |
metadata/idP/IdPMetadata.xml | IdP metadata for trustede IdPer. Det vil i nuværende form kun være SEB. Metadata for SEB IdPen kan hentes fra TEST :https://t-seb.dkseb.dk/runtime/saml2/metadata.idp PROD: https://seb.dkseb.dk/runtime/saml2/metadata.idp |
metadata/SP/SPMetadata.xml | Service Provider metadata (SAML MetaData for denne komponent) svarende til det som er registreret ved SEB |
Hele oiosaml konfigurationsmappen skal udskiftes til de forskellige miljøer. Så fx for localhost og test1 ser mapning således ud:
-../configuration/oiosaml/localhost-development-standalone:/pack/oiosaml # localhost
-../configuration/oiosaml/test1:/pack/oiosaml # test1
1.1.1.1. Konfiguration af OIOSAML og Registrering af Komponenten ved SEB
Den officielle dokumentation for OIOSAML.java kan findes på https://github.com/digst/OIOSAML.Java/tree/release/oiosaml2/docs.
I følgende tabel beskrives udvalgte dele af denne konfiguration som forventeligt skal opdateres, når et nyt miljø skal konfigureres op trin for trin.
Hvad | |||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Certifikatet | Under ${oiosaml.home}/certificate/ ligges et keystore indeholdende det certifikat, som skal bruges til at signere OIOSAML Requests. | ||||||||||||
SPMetadata | Under Der kan med fordel tages udgangspunkt i eksisterende SPMetadata hvor følgende attributter ændres. Denne fil bliver i nedenstående trin registreret hos SEB. EntityID - unik identifier hos SEB
X509Certificate - Certifikat fra ovenstående trin Opdatering af service endpoints - FQDN til SAML-filterets endpoints. Det er HOST + PORT fra tidligere registreringer der skal opdateres. Opdatering af kontakt person Den endelige fil kan valideres med https://www.samltool.com/validate_xml.php | ||||||||||||
IdPMetadata | I EntityId skal matche det entityId som skrives SAML tokens, som udstedes af denne IdP. | ||||||||||||
Properties | Opdatering af properties. De fleste properties for sikkerhedsniveau er konstante, men der skal tjekkes om relative sti til keystore, keystore password og SPMetadata fil navn passer. |
SPMetadata (XML fil fra ovenstående trin) filen sendes til SEBDRIFT@sundhedsdata.dk med en beskrivelse af, projektet samt miljø.