Page History

...

1. Anvendersystemet er i besiddelse af en OIO SAML billet for en given medarbejder (i praksis udstedt af NemLogin). Denne OIO SAML billet sendes i en forespørgsel til STS på omvekslingsendpointet. Der kan være brug for at det udstedte SOSI Idkort er beriget med flere oplysninger, end dem, der er til stede i den af NemLogin udstedte OIO SAML billet. Disse specificeres af anvendersystemet i en af dette system defineret SAML billet (altså at betragte som claims)
2. STS validerer det indgående OIO SAML billet dvs at den udstedte billet ikke er udløbet, at det er udstedt af en troværdig udsteder (i praksis NemLogin) samt at ingen af de anvendte certfikater i forespørgslen er at finde på de publicerede certifikatspærrelister (CRL). De supplerende oplysninger (claims) defineret af den af anvendersystemet udstedte SAML billet valideres af STS på følgende måde:
   1. Hvis anvendersystemet definerer et CPR nummer som et claim valideres dette (udfra PID oplysninger i OIO SAML billetten) vha CPR-PID service.
   2. Hvis anvendersystemet har claimet en national rolle, så valideres denne i forhold til de registrerede stamdata. Hvis en medarbejder identificeret i den indkommende OIO SAML billet har netop én national rolle, så vil denne automatisk indsættes i det udstedte SOSI Idkort.
   3. Hvis anvendersystemet har claimet et autorisationsnummer, så valideres dette op i mod autorisationsregisteret.
   4. Hvis anvendersystemet har claimet en lokal (ikke national) rolle, så kopieres denne til det udstedte SOSI Idkort uden yderligere validerin.
3. Hvis forespørgslen er i orden danner STS et SOSI Idkort med oplysninger fra hhv OIO SAML billetten og claims og underskriver dette med sit eget certifikat.
4. Det udstedte SOSI Idkort sendes tilbage til anvendersystemet.
5. Anvendersystemet anvender det nye SOSI Idkort i forespørgelser mod NSP-komponenter. Bemærk at et SOSI Idkort kan anvendes til flere forespørgelser mod flere forskellige services, så længe det endnu ikke er udløbet.
6. NSP-komponenten verificerer at SOSI Idkort er signeret af føderationens certifikat. Den offentlige nøgle for STS'ens certifikat er kendt af alle komponenter i føderationen.

Der henvises til TODO for yderligere detaljer.

Anvendelse: Borgeromveksling

...

Omveksling til OIO SAML sikkerhedsbillet minder i formål og flow om det, som blev beskrevet under Medarbejderomveksling. Der henvises til STS - Borger-billetomveksling for yderligere detaljer. Forskellen i borgeromvekslingen til OIO SAML er at inputbilletten til omvekslingen er et JWT. JWT tokenet skal være udstedt af en TODOidentity provider, som STS'en stoler på f.eks. loginbrokeren, der anvendes i forbindelse med MinLæge app'en.

...

Når en anvender skal i gang med at bruge STS på NSP skal følgende være på plads:

• Anvenderen skal have whitelistet sit CVR nummer til anvendelse af STS.være i besiddelse af et OCES certifikat (test- hhv produktionsføderationen).Det skal angives, hvilke STS services, som anvenderen ønsker at benytte:
  • DGWS: Oplys bla bla
  • Medarbejderomveksling: oplys bla bla
  Borgeromveksling: oplys bla bla
  • Der kan findes test OCES certifikater til at komme i gang med her.
  • Anvendere kan desuden kontakte NETS med henblik på at få en tjenesteudbyderaftale, hvilket vil gøre det muligt at få udstedt egne OCES certifikater til både

...

• • test og produktion.
• Anvenderen skal oprettes som anvender til STS. Dette gøres i praksis ved at rette henvendelse til servicedesk på nspop.dk. Henvendelsen skal indeholde oplysninger om:
  • Det certifikat/de certifikater, som anvenderen ønsker at benytte i forbindelse med brugen af STS.
  • Angivelse af hvilke omvekslingsservices, der ønsker benyttet.
  • Ekstra informationer (i forbindelse med de enkelte STS services) inkluderes. Brug tabellen nedenfor.

----kladde nedenfor...skal lige finde ud af, hvor det skal være.

...