Versions Compared

Old Version 44

changes.mady.by.user Unknown User (mbm@arosii.dk)

Saved on

compared with

New Version 45

changes.mady.by.user Thomas Stougaard Lange

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Gliffy Diagram
size600
displayNamests_arkitektur_overblik
namests_arkitektur_overblik
pagePin56

De viste services i figuren udenfor er uddybet i tabellen nedenfor.

ServiceSikkerhedsniveauBeskrivelse
DGWS
/sts/services/NewSecurityTokenServiceNiveau 3-4

Udstedelse af SOSI Idkort.

/sts/services/SecurityTokenServiceNiveau 3-4

Legacy udgave af ovennævnte service (uden erstatning af NameId).

Benyt NewSecurityTokenService hvis muligt

Medarbejderomveksling
/sts/services/Sosi2OIOSamlNiveau 4

Omveksler SOSI Idkort til OIO Saml sikkerhedsbillet rettet mod et specifikt audience, f.eks. sundhed.dk.

Bemærk, at det SOSI Idkort, der veksles, skal være udstedt af /sts/services/NewSecurityTokenService

/sts/services/OIOSaml2SosiNiveau 5

Omveksler OIO Saml sikkerhedsbillet til SOSI Idkort.

Bemærk, at den OIO Saml sikkerhedsbillet, der veksles, skal være signeret af troværdig tredjepart (i praksis NemLogin)

/sts/services/BST2SOSINiveau 4

Omveksler OIO Saml bootstrap token til SOSI Idkort.

Bemærk, at bootstrap token skal være signeret af troværdig tredjepart (NemLogin)

Borgeromveksling
/sts/services/Bst2IdwsNiveau 5

Omveksler OIO Saml bootstrap token til OIO IDWS sikkerhedsbillet rettet mod et givet audience, f.eks. FMK, Dokumentdelingsservice eller MinSpærring.

Bemærk, at bootstrap token skal være signeret af troværdig tredjepart (NemLogin)

/sts/services/JWT2IdwsNiveau 5

Ombytter JSON Web token (JWT) til OIO IDWS sikkerhedsbillet rettet mod et givet audience, f.eks. FMK, Dokumentdelingsservice eller MinSpærring.

Bemærk, at JWT tokenet skal være signeret af troværdig tredjepart (pt. en OID connector)

/sts/services/JWT2OIOSamlNiveau 5

Omveksler JSON Web token (JWT) til OIO Saml sikkerhedsbillet rettet mod et specifikt audience, f.eks. forløbsplaner.dk

Bemærk, at JWT tokenet skal være signeret af troværdig tredjepart (pt. en OID connector)

...

Anvendelse: Medarbejderomveksling

STS indeholder to tre services til brug for medarbejderomveksling. Det drejer sig om en service, der kan veksle et :

  • Omveksling fra Bruger SOSI Idkort til

...

  • OIO SAML billet

...

  • Omveksling fra OIO SAML billet til Bruger SOSI Idkort
  • Omveksling fra OIO Saml bootstrap token til Bruger SOSI Idkort (en videreudvikling af SOSI sikkerhedsinfrastrukturen så den understøtter MitID, Nemlog-in3 og OCES3)

Som .Som det blev beskrevet i forgående afsnit er formålet med at anskaffe et Bruger SOSI Idkort at få adgang til en eller flere NSP DGWS Services.

...

  1. Anvendersystemet er i besiddelse af et Bruger SOSI Idkort for en given medarbejder. Dette Idkort sendes i en forespørgsel til STS på omvekslingsendpointet. Som en den af forespørgslen angives et audience (dvs en tiltænkt anvendelse af den udstedte billet).
  2. STS validerer det indgående SOSI Idkort dvs at det pågældende kort ikke er udløbet, at det er udstedt af en troværdig udsteder (i praksis STS selv) samt, at ingen af de anvendte certfikater i forespørgslen er at finde på de publicerede certifikatspærrelister (CRL). Derudover tjekkes det ønskede audience op i mod STS'ens egen konfiguration. STS arbejder med at konfigureret sæt af lovlige audiences, og det forespurgte audience skal være blandt disse.
  3. Hvis forespørgslen er i orden danner STS en OIO SAML billet og underskriver den med sit eget certifikat.
  4. Den udstedte OIO SAML billet sendes tilbage til anvendersystemet
  5. Anvendersystemet kan nu anvende den udstedte billet til at aktivere services i NemLogin føderationen. I det viste eksempel giver den udstedte billet adgang for medarbejderen til sundhed.dk ved hjælp af en sikker browser opstart.

Den anden type De to sidste typer af medarbejderomveksling veksler fra en gyldig OIO SAML billet til et Bruger SOSI Idkort. Flowet er illustreret i diagrammet nedenfor.

Gliffy Diagram
macroId7803b78b-a808-4f9f-9f79-7f1612b58b9d
displayNamemedarbejder-oiosaml-sosiidkort-omveksling
namemedarbejder-oiosaml-sosiidkort-omveksling
pagePin45

Pilene på tegningen viser følgende flow:

  1. Anvendersystemet er i besiddelse af en OIO SAML billet eller en OIOSAML-baseret bootstraptoken for en given medarbejder (i praksis udstedt af NemLogin). Denne OIO SAML billet sendes i en forespørgsel til STS på omvekslingsendpointet. Der kan være brug for at det udstedte SOSI Idkort er beriget med flere oplysninger, end dem, der er til stede i den af NemLogin udstedte OIO SAML billet eller bootstraptoken. Disse specificeres af anvendersystemet i en af dette system defineret SAML billet (i praksis kan denne SAML billet betragtes som en holder for anvendersystemets claims)
  2. STS validerer det den indgående OIO SAML billet (den grønne i diagrammet) dvs at den udstedte billet ikke er udløbet, at det er udstedt af en troværdig udsteder (i praksis NemLogin) samt at ingen af de anvendte certfikater i forespørgslen er at finde på de publicerede certifikatspærrelister (CRL). De supplerende oplysninger (claims) defineret af den af anvendersystemet udstedte SAML billet (den røde i diagrammet) valideres af STS på følgende måde:
    1. Hvis anvendersystemet definerer et CPR nummer som et claim valideres dette (udfra . Det gøres ud fra RID oplysninger i OIO SAML billetten ) (vha CPR-RID service) hvis de er til stede, ellers ud fra det medsendte medarbejder uuid (vha UUID service).
    2. Hvis anvendersystemet har claimet en national rolle, så valideres denne i forhold til de registrerede stamdata (roller). Hvis en medarbejder identificeret i den indkommende OIO SAML billet har netop én national rolle, så vil denne automatisk indsættes i det udstedte SOSI Idkort uden at anvendersystemet claimer rollen.
    3. Hvis anvendersystemet har claimet et autorisationsnummer for medarbejderen, så valideres dette op i mod autorisationsregisteret.
    4. Hvis anvendersystemet har claimet en lokal (ikke national) rolle, så kopieres denne til det udstedte SOSI Idkort uden yderligere validering.
  3. Hvis forespørgslen er i orden danner STS et SOSI Idkort med oplysninger fra hhv OIO SAML billetten og claims og underskriver dette med sit eget certifikat.
  4. Det udstedte SOSI Idkort sendes tilbage til anvendersystemet.
  5. Anvendersystemet anvender det nye SOSI Idkort i forespørgelser mod NSP-komponenter. Bemærk at et SOSI Idkort kan anvendes til flere forespørgelser mod flere forskellige services, så længe det endnu ikke er udløbet.
  6. NSP-komponenten verificerer at SOSI Idkort er signeret af føderationens certifikat. Den offentlige nøgle for STS'ens certifikat er kendt af alle komponenter i føderationen.

...