I visse scenarier vil der være behov for at tilbyde borger-adgang til udvalgte services indenfor sundhedsvæsenet, herunder på NSP eller eksternt, f.eks. FMK.
STS faciliterer dette, idet det er muligt for et anvender-system at tilbyde borgeren login-funktionalitet via en OpenID connect server. I forbindelse med login modtages et såkaldt JSON Web Token (JWT) udstedt til borgeren og signeret af OpenID serveren.
Dette kan via en service i STS omveksles til et IdentityToken eller en OIOSAML Assertion, der efterføldende kan benyttes til adgang til udvalgte services.
Snitflade
Borger billetomvekslingen faciliteres i STS af følgende snitflade:
Adresse | Sikkerhedsniveau | Beskrivelse |
---|---|---|
/sts/services/JWT2Idws | Niveau 5 | Ombytter OIOSaml bootstrap token til signeret identitytoken rettet mod et givet audience, f.eks. FMK. Token skal være signeret af troværdig tredjepart (nem-login) |
/sts/services/JWT2OIOSaml | Niveau 5 | Ombytter JSON Web Token til en OIOSAML assertion for borgeren krypteret til webapplikationen. |
Bemærk at det udstedte token er rettet mod en konkret anvendelse.
Populært sagt kan man sige at man beder om en billet til en given service.
Understøttede services
Følgende services (hvoraf ikke alle er i produktion i dag) er pt. tilgængelige via JWT-billetomvekslingen:
Service | Audience | Status |
---|---|---|
Fælles medicinkort | Service i produktion. JWT-enabled. | |
Det danske vaccinationsregister | Service i produktion. JWT-enabled. | |
Teknisk komponent til FMK apps | https://eventbox | Service i produktion. JWT-enabled. |
Del af minlæge app'en | https://forloebsplaner | Service i produktion. JWT-enabled. |
(Det er pt. kun https://forloebsplaner der har adgang til /sts/services/JWT2OIOSaml)
Anvendelse
Anvendere vil typisk anvende Seal.java eller Seal.net. Nyeste Seal.net version er tilgængelig via Nuget. seal.java hentes via det offentligt tilgængelige maven repository ved i et projekt at benytte f.eks.:
<dependency> <groupId>dk.sosi.seal</groupId> <artifactId>seal</artifactId> <version>2.4.6</version> </dependency>
Bemærk at version 2.4.5 er ældste version med API-understøttelse af JWT.
Bemærk at version 2.4.6 er første version med understøttelse af servicen JWT2OIOSaml.
Kommunikation
Request (JWT2Idws + JWT2OIOSaml)
Borger-billetomvekslingen er udformet som et standard WS-Trust 1.4 request med tilhørende response.
Et typisk request vil have nogenlunde følgende struktur:
Bemærk at STS IKKE understøtter såkaldte SecurityTokenReference til udpegning af signerende certifikat. Det er nødvendigt at indlejre certifikatet direkte som vist i eksemplet.
Ved kald af JWT2Idws understøttes to typer af claims (se eksempler ovenfor):
- CPR claim (valgfri). Angiver cpr nummeret på den borger der "sidder bag skærmen". Dette vil ikke være nødvendigt, såfremt det medsendte JWT indeholder cpr-nummeret (hvilket typisk er tilfældet).
- Fuldmagts-claim (valgfri). Kan benyttes til at angive at den aktuelle borger har fuldmagt til at agere på vegne af en anden borger. Denne fuldmagt vil typisk være afgivet på borger.dk. Oplysningen vil blive checket op mod en bagvedliggende webservice i Nemid-infrastrukturen.
Ved kald af JWT2OIOSaml understøttes kun CPR claim.
Response (JWT2Idws)
Svar fra JWT2Idws vil være på formen
Det returnede IdentityToken (SAML assertion) kan herefter anvendes til kald af den bagvedliggende webservice hos eksempelvis FMK.
Response (JWT2OIOSaml)
Svar fra JWT2OIOSaml vil være på formen
Indholded i saml:EncryptedAssertion indeholder følgende i dekrypteret form:
Værdien i saml:Attribute med navn urn:liberty:disco:2006-08:DiscoveryEPR kommer kun med i svaret, hvis det requestede audience er konfigureret til det i STS.
Eksempel kode (seal.java)
JWT2Idws
JWT2OIOSaml
Udseende af privilegier
Aktuelt er der mulighed for op til 2 privilegier. Disse returneres i givet fald i Privileges_Intermediate attributten i base64 encodet format:
Privilegier returneres for den borger der claimes fuldmagt på vegne af.
Et gyldigt svar vil altid indeholde 1-2 privilegier, idet der i tilfældet af 0 privilegier returneres et fejlsvar.
Testborgere
I testsystemet er oprettet en fuldmagtshaver (borger) med cpr-nummeret 0501792275
og certifikat-nøglen PID:9208-2002-2-514358910503
Borgeren har modtaget fuldmagt fra følgende to cpr numre: 1111111118 og 0101603040
Der kan anmodes om oprettelse af fuldmagter for yderligere borgere via NSP support: https://www.nspop.dk/category/sup. Der må påregnes lidt ventetid, idet forespørgslen delegeres videre til NemLog-In support.
Whitelisting til kald af STS service
Adgang til JWT-billetomvekslingen kræver whitelisting i hhv. test og produktion.
Anmodning om dette kan ske ved oprettelse af support henvendelser via https://www.nspop.dk/category/sup .
I anmodningen bør man
- Bede om adgang til JWT-billetomveksling
- Angive hvorvidt der er tale om test eller produktion
- Angive hvilket system der ønskes adgang til (se listen af understøttede services ovenfor)
- Angive hvilket certifikat man som anvender benytter til xml-signering af beskeden
Certifikatet registreres intern med SubjectSerialNumber (typisk på formen CVR:12345678-FID:12345678. Simpel certifikat fornyelse vil typisk resultere i et nyt certifikat med samme nøgle og vil derfor ikke kræve ny whitelisting.