Versions Compared

Old Version 29

changes.mady.by.user Eva Troels

Saved on

compared with

New Version 30

changes.mady.by.user Eva Troels

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • System Idkort: Udstedes på vegne af en "anvenderservice". Kravene til autentifikation overfor STS ved udstedelse er certifikater af typen VOCES eller FOCES.
  • Bruger Idkort: Udstedes på vegne af en medarbejder (enten med eller uden lægefaglig autorisation). Kravene til autentifikation overfor STS ved udstedelse er certifikater af typen MOCES.

TODO: Ret beskrivelse nedenfor.....

Anvendernes interaktion med STS i forbindelse med udstedelse af SOSI Idkort er fælles i begge tilfælde:

Gliffy Diagram
size600
nameExchange id card in STS
pageid92754297

Pilene på tegningen viser følgende flowFølgende er et eksempel på hvad der sker i de forskellige skridt når en anvender ombytter sit id-kort til et signeret af STS:

  1. Anvendersystemet bygger et id-kort SOSI Idkort indeholdende informationer om brugeren/systemet og signerer det med brugerens/systemets certifikat.det certifikat (VOCES/FOCES/MOCES certifikat udstedt af CA rodcertifikatet i den fællesoffentlige føderation).

  2. SOSI Idkortet sendes i udstedelsesforespørgsel Id-kortet sendes til STS, der tjekker at signaturen er korrekt og baseret på et OCES-certifikat udstedt under det samme rodcertifikat som STS's eget.Korrektheden af attributter som personnummer og autorisation verificeres af STS. Ydermere tjekkes det om certifikatet er spærret for anvendelsevaliderer signaturen. Ydermere tjekkes det om certifikatet er spærret for anvendelse. STS konsulterer sin konfiguration for at tjekke, at det konkrete CVR nummer i certifikatet er whitelistet til at kunne trække SOSI Idkort.

  3. Korrektheden af attributterne anvendersystemets SOSI Idkort verificeres af STS. En del af attributterne i SOSI Idkortet vil kunne valideres op i mod det anvendte certifikat. I tilfældet med Bruger Idkort (signeret med MOCES certifikat) vil en del af attributterne være at betragte som claims. Disse attributter valideres på følgende måde (se i øvrigt overblikket over STS ovenfor):

    1. CPR nummer: RID-CPR servicen hos Nets anvendes til at verificere, om et givent CPR nummer hører sammen med et givent RID i det anvendte MOCES certifikat.

    2. Autorisationsid: Til dette formål anvendes STS'ens kopi af autorisationsregisteret til at verificere, at det angivne autorisationsid hører sammen med det angivne CPR nummer.

    3. National rolle: Hvis der er angivet en national rolle, så tjekker STS op i mod sin kopi af stamdata, at den pågældende bruger er i besiddelse af den angivne rolle.

  4. STS opbygger et nyt id-kort SOSI Idkort med de samme informationer og signerer det med som det SOSI Idkort, der udgjorde forspørgslen fra anvenderen. Dette Idkort signeres STS'ens eget certifikat. Den offentlige nøgle i dette certifikat er kendt af alle komponenter i føderationen.
  5. STS sender det nye id-kort SOSI Idkort retur til anvendersystemet, der gemmer dette i brugerens/systemets session.
  6. Anvendersystemet indsætter nu anvender det nye id-kort i headeren på alle fremtidige SOSI Idkort i forespørgelser mod NSP-komponenter. Bemærk at et SOSI Idkort kan anvendes til flere forespørgelser mod flere forskellige services, så længe det endnu ikke er udløbet.
  7. NSP-komponenten verificerer at id-kortet SOSI Idkort er signeret af føderationens certifikat, og stoler herefter på udvalgte dele af id-kortet.

...

  1. . Den offentlige nøgle for STS'ens certifikat er kendt af alle komponenter i føderationen.

Der henvises til STS - Guide til anvendere - Signering af id-kort for yderligere detaljer.

Anvendelse: Medarbejderomveksling

Anvendelse: Borgeromveksling

Bemærk at et id-kort kan anvendes til flere forespørgelser, så længe det endnu ikke er udløbet.

Adgang til STS

Når en anvender skal i gang med at bruge STS på NSP skal følgende være på plads:

  • Anvenderen skal have whitelistet sit CVR nummer til anvendelse af STS.
  • Det skal angives, hvilke STS services, som anvenderen ønsker at benytte:
    • DGWS: Oplys bla bla
    • Medarbejderomveksling: oplys bla bla
    • Borgeromveksling: oplys bla bla
    TODO

Der kan findes test OCES certifikater til at komme i gang med her.

Anvendere kan desuden kontakte NETS med henblik på at få en tjenesteudbyderaftale, hvilket vil gøre det muligt at få udstedt egne OCES certifikater til både TEST og PRODUKTION.

...