1.1.1. OIOSAML

Da web facaden benytter sig af OIOSAML.java biblioteket fra digitaliseringsstyrelsen hvilket kræver selvstændige konfigurationsfiler skal disse være tilgængelig i oiosaml.home under deployment - oiosaml.home sættes med JAVA_OPTS i compose filerne og er sat til /pack/oiosaml.

OIOSAML konfigurationsfiler er miljøspecifikke.

Der findes i filerne under "compose/configuration/oiosaml" i kildekoden konfigurationer for development / test1 / test2. Disse Metadata for disse installationer skal være registreret hos SEB.


Konfigurationsfiler



oiosaml-sp.log4j.xml

lndeholder Log4j opsætninger der følger gængs standard på NSP.
oiosaml-sp.properties

# Properties used by oiosaml-j

# Reference to the location of the certificate used for signing SAML documents with - relative to ${oiosaml.home}

oiosaml-sp.certificate.location

# Opaque/encrypted password to the certificate used for signing SAML documents
oiosaml-sp.certificate.password

# Required authentication level. 2=password, 3=certificate
oiosaml-sp.assurancelevel

# Name of the meta data file located in metadata/SP/ for the current service provider 
common.saml2.metadata.sp.filename

# URI References to the current service provider
oiosaml-sp.uri.home

# Force login
#oiosaml-sp.authn.force

# Disable support for self-signed certificates by default
oiosaml-sp.selfsignedcertificates

# Disable revocation checking on OCES test certificats (because the CRL/OCSP endpoints are behind a firewall)
oiosaml-sp.crl.disable-in-oces-test


# Enable this setting to be eid compatible. Note this effects how AuthnRequests are generated
oiosaml-sp.eid.compatible

Sundhedsdatastyrelsen_Test_NADM.p12

JKS fil indeholdende Sundhedsdatastyrelsen NADM funktionscertifikat certifikatet skal registreres hos SEB.

Skal være samme navn som oiosaml-sp.certificate.location i oiosaml-sp.properties

metadata/idP/IdPMetadata.xml

IdP metadata for trustede IdPer. Det vil i nuværende form kun være SEB.

Metadata for SEB IdPen kan hentes fra

TEST :https://t-seb.dkseb.dk/runtime/saml2/metadata.idp

PROD: https://seb.dkseb.dk/runtime/saml2/metadata.idp
metadata/SP/SPMetadata.xmlService Provider metadata  (SAML MetaData for denne komponent) svarende til det som er registreret ved SEB

Hele oiosaml konfigurationsmappen skal udskiftes til de forskellige miljøer. Så fx for localhost og test1 ser mapning således ud:

-../configuration/oiosaml/localhost-development-standalone:/pack/oiosaml # localhost

-../configuration/oiosaml/test1:/pack/oiosaml # test1

1.1.1.1. Konfiguration af OIOSAML og Registrering af Komponenten ved SEB

Den officielle dokumentation for OIOSAML.java kan findes på https://github.com/digst/OIOSAML.Java/tree/release/oiosaml2/docs.

I følgende tabel beskrives udvalgte dele af denne konfiguration som forventeligt skal opdateres, når et nyt miljø skal konfigureres op trin for trin.

Hvad
CertifikatetUnder ${oiosaml.home}/certificate/ ligges et keystore indeholdende det certifikat, som skal bruges til at signere OIOSAML Requests.

SPMetadata

Under metadata/SP ligges en service provider metadata xml fil overholdende SAML specifikationen.

Der kan med fordel tages udgangspunkt i eksisterende SPMetadata hvor følgende attributter ændres.

Denne fil  bliver i nedenstående trin registreret hos SEB.

EntityID - unik identifier hos SEB

Miljø

EntityID

DEVhttp://saml.dev/nadm
PRODhttps://saml.nadm.insp.nspop.dk
TEST1https://saml.nadm-test1.nspop.dk
TEST2https://saml.nadm-test2.nspop.dk
STAGINGhttps://saml.nadm-stage.nspop.dk

X509Certificate - Certifikat fra ovenstående trin

Opdatering af service endpoints - FQDN til SAML-filterets endpoints. Det er HOST + PORT fra tidligere registreringer der skal opdateres.

Opdatering af kontakt person

Den endelige fil kan valideres med https://www.samltool.com/validate_xml.php

IdPMetadata

I metadata/idP/ skal en metadata XML-fil for samtlige trusted IdPer ligges. Hvis entityId eller certikat for disse IdP opdateres, skal dette afspejles i denne konfiguration.

EntityId skal matche det entityId som skrives SAML tokens, som udstedes af denne IdP.

Properties

Opdatering af properties. De fleste properties for sikkerhedsniveau er konstante, men der skal tjekkes om relative sti til keystore, keystore password og SPMetadata fil navn passer.

SPMetadata (XML fil fra ovenstående trin) filen sendes til SEBDRIFT@sundhedsdata.dk med en beskrivelse af, projektet samt miljø.

  • No labels