Page History
...
STS konfiguration
STS indeholder endvidere 4 7 tabeller med konfigurationsdata. Disse befinder sig på Backoffice og replikeres ud på de enkelte NSP-noder. Data vedligeholdes gennem separate changes:
| Database | Skema | Tabel | Beskrivelse | Opdateringer | SQL |
|---|---|---|---|---|---|
| Backoffice (replikeret) | sts_audconf | audienceConfiguration | Indeholder konfiguration af borger-billetomveksling med angivelse af audiences, og adgang til disse. beskrevet nærmere i driftsvejledningen | Via changes | Konfigurabel i services.xml |
| Backoffice (replikeret) | sts_audconf | iboConfig | Indeholder konfiguration af (Medarbejder) billet omveksling fra id-kort til OIOSaml token (sikker browseropstart). Beskrevet nærmere i driftsvejledningen. | Via changes | Konfigurabel i services.xml |
| Backoffice (replikeret) | sts_audconf | roleDefinitions | Indeholder konfiguration af gyldige nationale roller (dvs. de SEB-roller der accepteres af STS, og hvorledes disse ser ud i id-kortet) | Via changes | Konfigurabel i services.xml |
| Backoffice (replikeret) | sts_audconf | trustedCvr | Beskriver hvilke cvr-numre der har adgang til at anvende nationale roller, uden at få disse verificeret. | Via changes | Konfigurabel i services.xml |
sts databasebrugeren skal således have læs adgang til disse tabeller.
STS cache
STS indeholder indeholder endelig følgende to caches:
1) en til mapningen fra SubjectSerialNumber til cpr nummer for medarbejdere og borgere. Dvs. SubjectSerialNumber kan enten være et PID eller et cvr-rid.
2) en til mapningen fra UUID til cpr nummer for medarbejdere og borgere.
Tabellerne ligger lokalt på de enkelte NSP-noder uden replikering. Data opdateres automatisk af STS og data vil altid kunne slettes unden funktionel effekt (vil dog have negativ, midlertidig effekt på performance).
Der er tale om følgende tabeller:
| Backoffice (replikeret) | sts_audconf | trustedIdpConfiguration | Indeholder konfiguration af trusted idP'er til BST2SOSI billetomveksling. Beskrevet nærmere i driftsvejledningen. | Via changes | Konfigurabel i services.xml |
| Backoffice (replikeret) | sts_audconf | trustedIdpCitizenConfiguration | Indeholder konfiguration af trusted idP'er til BST2IDWS billetomveksling. Beskrevet nærmere i driftsvejledningen. | Via changes | Konfigurabel i services.xml |
| Backoffice (replikeret) | sts_audconf | userData | TODO | TODO | Konfigurabel i services.xml |
sts databasebrugeren skal således have læs adgang til disse tabeller.
STS cache
STS indeholder indeholder endelig følgende to caches:
1) en til mapningen fra SubjectSerialNumber til cpr nummer for medarbejdere og borgere. Dvs. SubjectSerialNumber kan enten være et PID eller et cvr-rid.
2) en til mapningen fra UUID til cpr nummer for medarbejdere og borgere.
Tabellerne ligger lokalt på de enkelte NSP-noder uden replikering. Data opdateres automatisk af STS og data vil altid kunne slettes unden funktionel effekt (vil dog have negativ, midlertidig effekt på performance).
Der er tale om følgende tabeller:
| Database | Skema | Tabel | Beskrivelse | Opdateringer | SQL |
|---|---|---|---|---|---|
| Lokal på NSP noder | sts | cprcache | En lokal cache af svar fra opslag på cvr-rid og pid-services. | Opdateres løbende | |
| Database | Skema | Tabel | Beskrivelse | Opdateringer | SQL |
| Lokal på NSP noder | sts | cprcache | En lokal cache af svar fra opslag på cvr-rid og pid-services. | Opdateres løbende af STS | Ligger i java-koden |
| Lokal på NSP noder | sts | uuidcprcache | En lokal cache af svar fra opslag på uuid-services. | Opdateres løbende af STS | Ligger i java-koden |
sts databasebrugeren skal således have læs og skriv adgang til denne tabel
| Lokal på NSP noder | sts | uuidcprcache | En lokal cache af svar fra opslag på uuid-services. | Opdateres løbende af STS | Ligger i java-koden |
sts databasebrugeren skal således have læs og skriv adgang til denne tabel
Endvidere har Endvidere har der tidligere været benyttet yderligere et antal database tabeller, der dog ikke længere er relevante.
...
• sts/config.xml
• sts/cvr-rid.xml
• sts/interface.xml
• sts/seal.xml
• sts/services.xml
• sts/timers.xml
• sts/uuid2cpr.xml
Tilpasning til produktion
...
Signerings certifikatet (STS’ens certifikat) skal ændres til produktions certifikatet - alternativt skal LUNA opsætning justeres.
CVR-RID og UUID2CPR konfigurationen skal tilpasses til produktionsmiljøer; der skal ikke længere refereres til PP test.
- Endpoints-check skal tilpasses produktions endpoint
I seal.xml:sosiFederation skal SOSITestFederation ændres til SOSIFederation.
...
Konfigurationsændringer i services.xml
Ny databasetabel i sts_audconf (se scriptet 13-sts-trustedcvr.sql). sts-databasebrugeren skal have læs-adgang til denne.
Testdata til test1/test2
Udfør scriptet 14-sts-testdata-trustedcvr.sql
Dette skal IKKE udføres i produktion
Dokumentation
.xml
Ny databasetabel i sts_audconf (se scriptet 13-sts-trustedcvr.sql). sts-databasebrugeren skal have læs-adgang til denne.
Testdata til test1/test2
Udfør scriptet 14-sts-testdata-trustedcvr.sql
Dette skal IKKE udføres i produktion
Dokumentation
En række guides er opdaterede og bør offentliggøres, herunder anvenderguide, design og arkitektur, installations- og driftsvejledning. Guides under arosiis space bør gennemgås med henblik på at få opdateringer offentliggjort.
Opgradering til STS-2.7.8
Konfigurationsændringer
Filen uuid2cpr.xml er tilføjet, hvor konfiguration til ny UUID service er defineret.
I config.xml er der tilføjet følgende import:
| Code Block | ||
|---|---|---|
| ||
<import resource="uuid2cpr.xml"/> |
I log4j-sts.xml er timing log blevet disabled:
| Code Block | ||
|---|---|---|
| ||
<category name="STS.TIMING" additivity="false">
<priority value="OFF"/>
<appender-ref ref="TIMING"/>
</category> |
I services.xml er der tilføjet følgende beans:
| Code Block | ||
|---|---|---|
| ||
<bean id="userDataService" class="dk.sosi.sts.user.data.DbUserDataService">
<property name="dataSource" ref="sts.db"/>
<property name="sql" value="select * from sts_audconf.userData where cpr = ?" />
</bean>
<bean id="idpConfigService" class="dk.sosi.sts.idp.DBIdpConfigService">
<constructor-arg ref="sts.db"/> <!-- the dataSource used -->
<property name="selectByIssuer" value="SELECT attribute, attribute_value FROM sts_audconf.trustedIdpConfiguration WHERE issuer = ?" />
<property name="selectAllEncryptionKeys" value="SELECT attribute_value FROM sts_audconf.trustedIdpConfiguration WHERE attribute like 'encryptionKey%'" />
</bean>
<bean id="idpCitizenConfigService" class="dk.sosi.sts.idp.DBIdpConfigService">
<constructor-arg ref="sts.db"/> <!-- the dataSource used -->
<property name="selectByIssuer" value="SELECT attribute, attribute_value FROM sts_audconf.trustedIdpCitizenConfiguration WHERE issuer = ?" />
<property name="selectAllEncryptionKeys" value="SELECT attribute_value FROM sts_audconf.trustedIdpCitizenConfiguration WHERE attribute like 'encryptionKey%'" />
</bean>
<bean id="BST2SOSIRequestHandler" class="dk.sosi.sts.server.BST2SOSIRequestHandler" parent="abstractRequestHandler">
<property name="allowedDriftInSeconds" value="120"/> <!-- the number of seconds that the NemLogin IdP may drift from STS time -->
<property name="allowedAudience" value="https://sts.sosi.dk/"/>
<property name="fuzzyTime" value="300000"/> <!-- validity back in time for 5 minutes -->
<property name="idCardDuration" value="86400000"/> <!-- validity forward in time for 24 hours -->
<property name="userValidationService" ref="userValidationService" />
<property name="userDataService" ref="userDataService" />
<property name="idpConfigService" ref="idpConfigService" />
<property name="whitelistValidation" value="true" />
</bean> |
I services.xml har følgende beans fået nye properties:
| Code Block | ||
|---|---|---|
| ||
<bean id="nationalRolesService" class="dk.sosi.sts.roles.nationalroles.DbNationalRoleService">
...
<property name="uuidSql" value="select * from stamdata.nationalRoles where global_employee_uuid = ? and ValidFrom <= ? and (ValidTo is null or ValidTo > ?)" />
</bean>
<bean id="userValidationService" class="dk.sosi.sts.server.UserValidationService">
...
<constructor-arg ref="uuidService" />
</bean>
<bean name="nboConfiguration" class="dk.sosi.sts.server.NboConfig">
...
<property name="cprTrustCertificates">
<list>
...
<value>UI:DK-O:G:23550132-5e1f-4e43-a5f9-048acf49e0b8</value><!-- lokal IT test - OCES3 -->
</list>
</property>
</bean>
<bean id="bs2IdwsRequestHandler" class="dk.sosi.sts.server.Bootstrap2IdwsRequestHandler" parent="abstractRequestHandler">
...
<property name="idpConfigService" ref="idpCitizenConfigService" />
</bean>
<bean id="iboRequestHandler" class="dk.sosi.sts.server.IboRequestHandler" parent="abstractRequestHandler">
...
<property name="emptyAttributeValue" value="NONE"/>
</bean> |
Databaseændringer
Under skemaet sts_audconf er der sket følgende (se 04-create-audconf-db.sql):
- Tilføjet 3 nye tabeller: trustedIdpConfiguration, trustedIdpCitizenConfiguration, userData
- Tilføjet en kolonne til i tabellen audienceConfiguration
Under skemaet sts er der sket følgende (se 05-create-sts-localdb.sql):
- Tilføjet 2 nye tabeller: uuidcprhash, uuidcprcache
TODO
Testdata
TODOEn række guides er opdaterede og bør offentliggøres, herunder anvenderguide, design og arkitektur, installations- og driftsvejledning. Guides under arosiis space bør gennemgås med henblik på at få opdateringer offentliggjort.