Page History
...
De af STS udstillede services ses til venstre i tegningen. De enkelte services falder inden for 3 overordnede områder for STS:
- DGWS (blå): Udstedelse af SOSI Idkort på baggrund af MOCES/VOCES/FOCES
- Medarbejderomveksling (grøn): Veksling af medarbejderbilletter til/fra OIO SAML billetter henholdsvis SOSI Idkort
- Borgeromveksling (gul): Vekskling Veksling af borgerbilletter til OIO IDWS henholdsvis OIO SAML billetter
| Gliffy Diagram | ||||||||
|---|---|---|---|---|---|---|---|---|
|
...
De enkelte services i figuren udenfor er uddybet i tabellen nedenfor.
| Service | Sikkerhedsniveau | Beskrivelse |
|---|---|---|
| DGWS | ||
| /sts/services/NewSecurityTokenService | Niveau 3-4 | Udstedelse af SOSI Idkort. |
| /sts/services/SecurityTokenService | Niveau 3-4 | Legacy udgave af ovennævnte service (uden erstatning af NameId). Benyt NewSecurityTokenService hvis muligt |
| Medarbejderomveksling | ||
| /sts/services/Sosi2OIOSaml | Niveau 4 | Omveksler SOSI Idkort til OIO Saml sikkerhedsbillet rettet mod et specifikt audience, f.eks. sundhed.dk. Bemærk, at det SOSI Idkort, der veksles, skal være udstedt af /sts/services/NewSecurityTokenService |
| /sts/services/OIOSaml2Sosi | Niveau 5 | Omveksler OIO Saml sikkerhedsbillet til SOSI Idkort. Bemærk, at den OIO Saml sikkerhedsbillet, der veksles, skal være signeret af troværdig tredjepart (nemlogin) |
| Borgeromveksling | ||
| /sts/services/Bst2Idws | Niveau 5 | Omveksler OIO Saml bootstrap token til OIO IDWS sikkerhedsbillet rettet mod et givet audience, f.eks. FMK, Dokumentdelingsservice eller MinSpærring. Bemærk, at bootstrap token skal være signeret af troværdig tredjepart (nem-login) |
| /sts/services/JWT2Idws | Niveau 5 | Ombytter JSON Web token (JWT) til OIO IDWS sikkerhedsbillet rettet mod et givet audience, f.eks. FMK, Dokumentdelingsservice eller MinSpærring. Bemærk, at JWT tokenet skal være signeret af troværdig tredjepart (pt. en OID connector) |
| /sts/services/JWT2OIOSaml | Niveau 5 | Omveksler JSON Web token (JWT) til OIO Saml sikkerhedsbillet rettet mod et specifikt audience, f.eks. forløbsplaner.dk Bemærk, at JWT tokenet skal være signeret af troværdig tredjepart (pt. en OID connector) |
Som nævnt i de forgående afsnit, så identificerer anvendere sig overfor STS ved hjælp af OCES certifikater. Alle OCES-certifikater udstedes af Nets DanID der varetager denne opgave for Digitaliseringsstyrelsen. OCES certifikater kan tilbagekaldes (revokeres), hvis f.eks. den private nøgle bliver kompromiteret. Tilbagekaldte certifikater publiceres på revokeringslister (CRL = Certificate Revocation Lists). Revokeringslisterne hentes af komponenten CRA (se tegning) og opbevares i en database (CRA database), som tjekkes i forbindelse med kald af STS udstedelses- eller omvekslingsservices.
Anvendelse: DGWS
Formålet med STS er at sikre identiteten af og autorisere brugere der ønsker at tilgå services inden for en føderation [SOSI] på sundhedsdatanettet.
...
| Gliffy Diagram | ||||||||
|---|---|---|---|---|---|---|---|---|
|
Oversigt over snitflader STS
| Service | Sikkerhedsniveau | Beskrivelse |
|---|---|---|
| Signering | ||
| /sts/services/NewSecurityTokenService | Niveau 3-4 | Udstedelse af STS-signeret id-kort. |
| /sts/services/SecurityTokenService | Niveau 3-4 | Legacy udgave af ovennævnte service (uden erstatning af NameId). Benyt NewSecurityTokenService hvis muligt |
| Medarbejder-omveksling | ||
| /sts/services/Sosi2OIOSaml | Niveau 4 | Ombytter STS-signeret id-kort til OIOSaml-token rettet mod et specifikt audience, f.eks. sundhed.dk. Bemærk at dette id-kort skal være udstedt af /sts/services/NewSecurityTokenService |
| /sts/services/OIOSaml2Sosi | Niveau 5 | Ombytter OIOSaml (nem-login) token til signeret id-kort. Token skal være signeret af troværdig tredjepart |
| /sts/services/JWT2OIOSaml | Niveau 5 | Ombytter JSON Web token til OIOSaml-token rettet mod et specifikt audience, f.eks. forløbsplaner.dk |
| Borger-omveksling | ||
| /sts/services/Bst2Idws | Niveau 5 | Ombytter OIOSaml bootstrap token til signeret identitytoken rettet mod et givet audience, f.eks. FMK. Token skal være signeret af troværdig tredjepart(nem-login) |
| /sts/services/JWT2Idws | Niveau 5 | Ombytter JSON Web token til signeret identity-token rettet mod et givet audience, f.eks. FMK. Token skal være signeret af troværdig tredjepart (pt. en OID connector) |
...