Page History
...
| Service | Sikkerhedsniveau | Beskrivelse |
|---|---|---|
| DGWS | ||
| /sts/services/NewSecurityTokenService | Niveau 3-4 | Udstedelse af SOSI Idkort. |
| /sts/services/SecurityTokenService | Niveau 3-4 | Legacy udgave af ovennævnte service (uden erstatning af NameId). Benyt NewSecurityTokenService hvis muligt |
| Medarbejderomveksling | ||
| /sts/services/Sosi2OIOSaml | Niveau 4 | Omveksler SOSI Idkort til OIO Saml sikkerhedsbillet rettet mod et specifikt audience, f.eks. sundhed.dk. Bemærk, at det SOSI Idkort, der veksles, skal være udstedt af /sts/services/NewSecurityTokenService |
| /sts/services/OIOSaml2Sosi | Niveau 5 | Omveksler OIO Saml sikkerhedsbillet til SOSI Idkort. Bemærk, at den OIO Saml sikkerhedsbillet, der veksles, skal være signeret af troværdig tredjepart (i praksis NemLogin) |
| /sts/services/BST2SOSI | Niveau 4 | Omveksler OIO Saml bootstrap token til SOSI Idkort. Bemærk, at bootstrap token skal være signeret af troværdig tredjepart: Lokal IdP, SEB eller NemLog-in |
| Borgeromveksling | ||
| /sts/services/Bst2Idws | Niveau 5 | Omveksler OIO Saml bootstrap token til OIO IDWS sikkerhedsbillet rettet mod et givet audience, f.eks. FMK, Dokumentdelingsservice eller MinSpærring. Bemærk, at bootstrap token skal være signeret af troværdig tredjepart (NemLogin): SEB eller NemLog-in |
| /sts/services/JWT2Idws | Niveau 5 | Ombytter JSON Web token (JWT) til OIO IDWS sikkerhedsbillet rettet mod et givet audience, f.eks. FMK, Dokumentdelingsservice eller MinSpærring. Bemærk, at JWT tokenet skal være signeret af troværdig tredjepart (pt. en OID connector) |
| /sts/services/JWT2OIOSaml | Niveau 5 | Omveksler JSON Web token (JWT) til OIO Saml sikkerhedsbillet rettet mod et specifikt audience, f.eks. forløbsplaner.dk Bemærk, at JWT tokenet skal være signeret af troværdig tredjepart (pt. en OID connector) |
...
- Anvendersystemet er i besiddelse af en JWT eller bootstrap token for en borger (i praksis udstedt af NemLogin eller loginbrokeren, der anvendes i forbindelse med MinLæge app'en). Denne OIO billet sendes i en forespørgsel til STS på omvekslingsendpointet.
- Der kan være brug for at det udstedte IDWS token er beriget med flere oplysninger, end dem, der er til stede i JWT eller bootstrap tokenet. Disse specificeres af anvendersystemet som claims i forespørgslen. Følgende claims er relevante:
- CPR nummer for borgeren
- CPR nummer for anden borger, hvis billetten skal bruges til at tilgå andre borgeres oplysninger
- STS validerer det indgående JWT/bootstrap billet dvs at den udstedte billet ikke er udløbet, at det er udstedt af en troværdig udsteder samt at ingen af de anvendte certfikater i forespørgslen er at finde på de publicerede certifikatspærrelister (CRL). De supplerende oplysninger (claims) defineret af den af anvendersystemet valideres af STS på følgende måde:
- Hvis anvendersystemet definerer et CPR nummer som et claim valideres dette ( udfra PID oplysninger i input billetten) (vha CPR-PID service) eller CPR oplysninger i input billetten.
- Hvis anvendersystemet har claimet et andet CPR nummer (dvs identiteten på den borger b, som borgeren i pkt a forsøger at tilgå), så vil STS tilgå fuldmagtsregisteret og finde de fuldmagter, der er givet fra borger b til borger a. Listen af disse vil være inkluderet i IDWS tokenet.
- Det er obligatorisk at angive et audience for det IDWS token, som ønskes udstedt. Audience angiver, hvilken service, som man har tiltænkt at bruge tokenet mod. STS validere det ønskede audience op i mod sin konfiguration (liste af lovlige audiences). For veksling af JWT tokens bliver det tjekket at det indgående token er i besiddelse af nødvendige scopes (en mapning fra JWT scopes til audiences er konfigureret for STS).
- Det udstedte IDWS token sendes tilbage til anvendersystemet.
- Anvendersystemet anvender det nye IDWS token i forespørgelser mod NSP-komponenter. Bemærk at et IDWS token kan anvendes til flere forespørgelser, så længe det endnu ikke er udløbet. Dog er det begrænset, hvilke services det udstedte token kan anvendes til (audience).
- NSP-komponenten verificerer at IDWS tokenet er signeret af føderationens certifikat. Den offentlige nøgle for STS'ens certifikat er kendt af alle komponenter i føderationen.
...