Konfiguration
Konfiguration sker i filerne i "compose/configuration" mappen, og består af følgende filer:
Konfigurationsfil | Beskrivelse |
|---|---|
| client.properties | Properties vedrørende signering af requests til NemLog-in opslagstjenester. Indholdet er beskrevet nedenfor. |
| log4j.properties | Opsætning af log-niveau og -destination. Følger NSP-standard. |
| sosi-sts-test.p12 | Keystore der anvendes til signering ved kald af NemLogin Uuid2Cpr-servicen. Ved deployment skal denne keystore udskiftes med et funktionscertifikat, og der skal opsættes en Web Service Consumer i NemLogin Administrationen. Afhængigt at miljøet der deployes til skal certifikatet være et test- eller produktionscertifikat. Opsætning af Web Service Consumer i NemLogin Administrationen er beskrevet i afsnittet 'Konfiguration i NemLogin-administration'. |
| sts.properties | Properties vedrørende kryptering af requests til NemLog-in opslagstjenester.. Indholdet er beskrevet nedenfor. |
| trust.jks | Keystore der anvendes til signaturvalidering ved kald til NemLogin STS og NemLog-in opslagstjenester. Skal indeholde:
Ved deployment til test kan STS'ens signeringcertifikat fra BetaTest (devtest4) miljøet findes her (under afsnittet 'Secure Token Service') og ved deployment til produktion kan det findes her. Signeringscertifkatet for NemLog-in opslagstjenester er for øjeblikket ikke publiseret af Digitaliseringsstyrelsen, så dem skal man finde manuelt ved at slå TRACE log til og finde " |
| uuid2cpr-proxy.properties | Konfiguration af servicen. Indholdet er beskrevet nedenfor. |
client.properties
| Property | Beskrivelse |
|---|---|
| org.apache.ws.security.crypto.merlin.keystore.type | Keystore-type for den keystore, der anvendes til signering ved kald af NemLog-in opslagstjenester. |
| org.apache.ws.security.crypto.merlin.keystore.password | Password for den keystore, der anvendes til signering ved kald af NemLog-in opslagstjenester. |
| org.apache.ws.security.crypto.merlin.keystore.alias | Alias på den nøgle, der anvendes til signering ved kald af NemLog-in opslagstjenester. |
| org.apache.ws.security.crypto.merlin.file | Absolut sti til den keystore, der anvendes til signering ved kald af NemLog-in opslagstjenester.. Skal starte med file:///-angivelsen. |
| org.apache.ws.security.crypto.merlin.truststore.type | Keystore-type for den keystore, der anvendes til kryptering ved kald af NemLog-in opslagstjenester. |
| org.apache.ws.security.crypto.merlin.truststore.password | Password for den keystore, der anvendes til kryptering ved kald af NemLog-in opslagstjenester. |
| org.apache.ws.security.crypto.merlin.truststore.file | Absolut sti til den keystore, der anvendes til kryptering ved kald af NemLog-in opslagstjenester. Skal starte med file:///-angivelsen. |
sts.properties
| Property | Beskrivelse |
|---|---|
| org.apache.ws.security.crypto.merlin.keystore.type | Keystore-type for den keystore, der anvendes til kryptering ved kald af NemLog-in opslagstjenester. |
| org.apache.ws.security.crypto.merlin.keystore.password | Password for den keystore, der anvendes til kryptering ved kald af NemLog-in opslagstjenester. |
| org.apache.ws.security.crypto.merlin.keystore.alias | Alias på det certifikat, der anvendes til kryptering ved kald af NemLog-in opslagstjenester. |
| org.apache.ws.security.crypto.merlin.file | Absolut sti til den keystore, der anvendes til kryptering ved kald af NemLog-in opslagstjenester. Skal starte med file:///-angivelsen. |
uuid2cpr-proxy.properties
| Property | Beskrivelse |
|---|---|
| app.endpoint | Endpoint på servicen. Bliver indsat i OpenAPI-specifikation der udstilles på /openapi. |
| app.name | Navn på servicen. Bruges til SLA-logning. |
| app.short.name | Kort navn på servicen. Bruges til SLA-logning. |
| uuid2cpr.proxy.signature.keystore.path | Absolut sti til den keystore, der anvendes til signering ved kald af NemLog-in opslagstjenester. Denne property anvendes ifm. overvågning af om certifikatet er gyldigt. |
| uuid2cpr.proxy.signature.keystore.alias | Alias på den nøgle, der anvendes til signering ved kald af NemLog-in opslagstjenester. Denne property anvendes ifm. overvågning af om certifikatet er gyldigt. |
| uuid2cpr.proxy.signature.username | Alias på den nøgle, der anvendes til signering ved kald af NemLog-in opslagstjenester. Denne property anvendes ifm. overvågning af om certifikatet er gyldigt. |
| uuid2cpr.proxy.signature.password | Password for den keystore, der anvendes til signering ved kald af NemLog-in opslagstjenester. |
| uuid2cpr.proxy.signature.properties.file | Absolut sti til filen client.properties. Skal starte med file:///-angivelsen. |
| uuid2cpr.proxy.encryption.username | Alias på det certifikat, der anvendes til kryptering ved kald af NemLog-in opslagstjenester. |
| uuid2cpr.proxy.encryption.properties.file | Absolut sti til filen sts.properties. Skal starte med file:///-angivelsen. |
| uuid2cpr.proxy.applies.to | EntityID på den NemLogin-service (WSP) der ønskes kaldt. |
| uuid2cpr.proxy.security.token.service.url | Adresse på NemLogin STS. |
| uuid2cpr.proxy.lookup.service.url | Adresse på NemLog-in opslagstjenester. |
| uuid2cpr.proxy.lookup.client.pool.size | Størrelse på object pool af jax-ws klienter til NemLog-in opslagstjenester. |
Overvågning
Servicen udstiller følgende HTTP GET-operationer til overvågning af sin tilstand:
Funktion | Beskrivelse | Eksempel-response |
|---|---|---|
| /status | NSP Standardfunktion. HTTP-response-code angiver servicens tilgængelighed. Der tjekkes følgende egenskaber, og rapporteres i response body'en hvis de ikke er opfyldt: - er klientcertifikatet der anvendes til kald af NemLog-in opslagstjenester gyldigt? | HTTP/1.1 200 OK Connection: keep-alive Content-Type: text/plain;charset=utf-8 Content-Length: 0 Date: Thu, 10 Mar 2022 12:38:56 GMT |
| /version | NSP Standardfunktion. Versions-nummeret sendes som response-text | HTTP/1.1 200 OK 1.0.0-SNAPSHOT |
Status og forventet reaktion herpå
I strukturen returneret fra kald til "/status" fås følgende kombinationer
- HTTP 200 - alt ok
- HTTP 500 - certifikat er udløbet. Nyt certifikat skal bestillies, WSC-konfiguration i NemLogin-administration skal opdateres med nyt certifikat, ny keystore skal lægges ind i servicen.
Konfiguration i NemLogin-administration
For at man kan kalde Digitaliseringsstyrelsens NemLog-in opslagstjenester, skal man være konfigureret som Web Service Consumer (WSC) i NemLogin-administrationen. I det følgende beskrives hvordan denne opsætning foretages. Vejledningen er skrevet med udgangspunkt i afsnit 2.1 i manualen for opslags tjenesterne og afsnit 7.24 og fremefter i manualen for NemLogin-administrationen. Manualerne indeholder flere detaljer.
NemLogin-administrationen finder man på følgende URL'er:
- devtest4: https://administration.devtest4-nemlog-in.dk/
- produktion: https://administration.nemlog-in.dk/
Forudsætninger
Oprettelsen som WSC kræver at der er udstedt et certifikat, som skal bruges til signering af requests til NemLog-in opslagstjenester. Certifikatet skal være et FOCES- eller VOCES-certifikat. Til oprettelsen som WSC skal man bruge public key-delen i PEM-format.
Opsætning
De følgende afsnit beskriver hvordan opsætning som WSC udføres.
Log ind i administrationsportal
Log ind i NemLogin med medarbejdersignatur (URL'er er angivet tidligere). Nedenstående skærmbillede er forventet.
Tilføj systembrugeradministrator
Klik på 'Add system user administrator'
Vælg 'Add system user administrator for the IT system provider manually'.
Udfyld formularen med en email-adresse som der er læseadgang til, og RID-nummer fra det medarbejdercertifikat, der er logget ind med. Vigtigt: Der skal anvendes en email som kan læses, da den skal bruges til at modtage bekræftelse på rettighedsanmodningen.
Opret systembruger
Fra 'Home' trykkes på 'Add system user'.
Udfyld formularen med passende værdier, og upload certifikatet som skal anvendes til signering af requests. Der kan anvendes samme certifikat til Production og Integrationtest. Tryk på 'Save technical information'.
Tilgå systembruger
Fra 'Home' navigeres til oversigten oversigten over systembrugere. Vælg den nyoprettede systembruger.
Opret anmodning om rettigheder
Tryk på 'Request access to web service' for at oprette en anmodning om rettigheder.
Vælg rettighed
Vælg rettigheden 'Lookup Service'.
Udfyld anmodning
Sæt flueben ved privilegiet 'subjectserialnumbercpr', og ingen andre. Udfyld kommentarfeltet med en beskrivelse af hvad adgangen skal bruges til. Tryk på 'Submit request'.
Afvent godkendelse
Anmodningen skal nu godkendes af Digitaliseringsstyrelsen. Når dette sker, vil der blive sendt en email til systembrugeradministratoren som blev oprettet tidligere. Emnefeltet vil indeholde tekten 'Anmodning om adgang til web service er blevet godkendt'.
Provisioner til integrationstest og produktion
Under 'System User Details'-siden trykkes først 'Provision to integrationtest' og dernæst 'Provision to production'.
Afprøv adgangen
Adgangen kan nu afprøves ved at kalde sts-uuid2cpr-proxy servicen. Eksempel:
Request:
curl -i localhost:8080/uuid2cpr-proxy-api/service/lookup/UI:DK-E:G:2634ccc3-225a-44ee-94bc-565904f46ead
Response:
HTTP/1.1 200 OK
Connection: keep-alive
Content-Type: application/json
Content-Length: 22
Date: Wed, 09 Mar 2022 15:28:08 GMT
{"value":"2501879875"}
Den ovenstående returkode opnås når man tilgår NemLog-in opslagstjenester med operationen uuid2cpr i devtest4-miljøet. I produktion vil returkoden være 404, da der ikke eksisterer en bruger med det angivne uuid.
Vedligehold af Web Service Consumer-konfiguration
Det er nødvendigt at forny det certifikat der anvendes i Web Service Consumer-konfigurationen, når det gamle er ved at udløbe. Denne proces er beskrevet nedenfor.
Fra 'Home' navigeres til oversigten oversigten over systembrugere. Vælg den ønskede systembruger.
Upload herefter det nye certifikat, og tryk på 'Save technical information'.
Fejlfinding
Fejlfinding foregår ved gennemsyn af logfilerne. Der er ingen kendte fejl.
Oprydning
Logfiler håndteres efter NSP standard.