Versions Compared

Old Version 46

changes.mady.by.user Claus Leth Gregersen

Saved on

compared with

New Version 47

changes.mady.by.user Jeppe Gravgaard

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

For at se de projekter der er tilgængelige, skal NAP Lobby Web åbnes i det nuværende system.Dette gøres ved at få WebView'et til at poste det idkort, der er vekslet ved STSen på 

Sikkerbrowser opstart

Sikker Browser opstart af Nap Lobby Web følger protokollen "Sikker browser opstart version 2".

Lignende implementationer kan ses i FMK-online og læses her https://wiki.fmk.netic.dk/lib/exe/fetch.php?media=fmk:fmko:guide_til_anvendere_af_sbov2_1_2.pdf og her for eGraviditet Graviditetsmappe Web Facade - Guide til anvendere.

Anvendelse af Sikker Browseropstart i fagsystem

En forudsætning for at kunne tilgå Nap Lobby Web via Sikker Browseropstart er, at fagsystem har dannet et SOSI idkort, der repræsenterer brugerens login-session på fagsystemet. Trækning og signering af SOSI idkort er er ikke beskrevet her, men er dokumenteret i https://www.digitaliser.dk/resource/456411/artefact/SOSIprogrammersguide.doc?artefact=true&PID=456417.

Givet at fagsystemet har dannet et idkort for brugeren, er de nødvendige skridt for at tilgå Nap Lobby Web via Sikker Browseropstart i kort form:

  1. Idkortet omveksles til en SAML assertion via et webservicekald til SOSI STS. 2 http://test1.ekstern-test.nspop.dk:8080/sts/services/Sosi2OIOSaml

...

  1.  
  2. Den modtagne SAML assertion indlejres i et SAML Response.
  3. Fagsystemet udstiller en webapplikation for brugeren, som brugerens browser dirigeres til.
  4. Denne webapplikation sender et response til brugerens browser, som indeholder en HTML 5 FORM, som automatisk POST’es til FMK-online ved load. Denne FORM indeholder ovennævnte SAML assertion i base64 enkoded form. 
  5. eGraviditet.dk accepterer den POST’ede SAML assertion, og brugeren er nu logget ind.

Disse skridt er beskrevet i større detalje i det følgende. Den relevante API er generelt beskrevet i https://www.digitaliser.dk/resource/456411/artefact/SOSIprogrammersguide.doc?artefact=true&PID=456417. Desuden findes et implementerings eksempel i https://svn.nspop.dk/svn/components/nap/nap-host-java/trunk/.

Omveksling af SOSI idkort til SAML-assertion

SOSI idkortet omveksles til en SAML-assertion via et webservice-kald til STS. Se https://www.nspop.dk/display/public/web/STS+-+Medarbejder-Billetomveksling for beskrivelse af omveksling fra SOSI idkort til SAML assertion (afsnit 7 beskriver overordnet den relevante omveksling, afsnit 8 indeholder links til eksempelkode: IDcardToOIOSAMLExample.java. Der skal ved omveksling angives et ”audience”.

Den relevante værdi for audience er for NSPs testmiljøer en af følgende:

  1. https://saml.test1-nap.insp.nspop.dk/lobby

  2. https://saml.test2-nap.insp.nspop.dk/lobby

Indlejring af SAML-assertion i SAML-response

Den modtagne SAML assertion skal efterfølgende indsættes i en SAML Response xml-struktur. Det opbyggede SAML Response skal have følgende form.

<samlp:Status>
 <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
 </samlp:Status>
 <saml:EncryptedAssertion
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">...</saml:EncryptedAssertion>
</samlp:Response

saml:EncryptedAssertion elementet repræsenterer svaret fra omvekslingen af idkort til SAML assertion i STS, og er her vist i forkortet form.

Post af SAML-response fra webapplikation i fagsystem

For at tilgå Nap Lobby Web via Sikker Browseropstart, skal brugerens browser POST’e en HTML FORM med det opbyggede SAML Response til eGradivitet.

Dette kan fx opnås ved at fagsystemet udstiller en webapplikation, der kan returnere et response med et onload script, der POST’er formen. Dette response kan opbygges således:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
<meta http-equiv="content-type" content="text/html, charset=utf-8" />
<title>SAML 2.0 POST</title>
</head>
<body onload='document.forms[0].submit()'>
<form action='https://test1-nap.insp.nspop.dk:8443/lobby/saml/SAMLAssertionConsumer' method='post'>
<input type='hidden' name='SAMLResponse' value='wrappedSamlResponse'/></form>
</body>
</html>

SAMLResponse-parameterens tilhørende value er her vist forkortet i form, men skal indeholde en base64 enkodet repræsentation af det opbyggede SAML Response.

Indholdet af action attributten afspejler hvilket miljø, der ønskes brugt (test eller produktion).

Action attributten kan starte med en af følgende url’er,

Test 1: https://test1-nap.insp.nspop.dk:8443/lobby/saml/SAMLAssertionConsumer

Test 2: https://test2-nap.insp.nspop.dk:8443/lobby/saml/SAMLAssertionConsumer

Opstart som standalone

Lobbyen kan også åbnes om standalone på Test1: https://test1-nap.insp.nspop.dk:8443/lobby

Hvor det er muligt at logge ind med moces certifikater. Dette er egnet til projektadministratorer for at oprette et projekt ellere redigere et projekt.