Versions Compared

Old Version 15

changes.mady.by.user Eva Troels

Saved on

compared with

New Version 16

changes.mady.by.user Eva Troels

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Fælles for alle snitflader er, at STS validerer signaturen sikkerhedsbilletten, der er en del af forespørgslen.

 BST tokens

...

BST2SOSI servicen tager imod 3 typer af BST tokens. For hver token udsteder (issuer), konfigureres token typen i tabellen sts_audconf.trustedIdpConfiguration.

...

Gyldige requests vil resultere i udstedelse af en OIO SAML sikkerhedsbillet signeret af STS og rettet mod den angivne webapplikation. Billetten krypteres til den angivne webapplikation. Oplysningerne i denne sikkerhedsbillet er baseret på oplysningerne i SOSI Idkortet, samt suppleret med information **CHG: Hvilke informationer? Er de relevante for anvenderne? ** fra STSens konfiguration for det givne audience.

...

Der er følgende krav til requests til denne omvesklingsservice: **CHG: 'angivet i forespørgslen' er for ukonkret. Fx For OIOSAML2SOSI: Uddyb at der dels selve OIOSAML assertionen (i praksis udstedt af NemLog-in, som er eneste udsteder der trustes), samt en anden, ikke-signeret assertion med kontekst information ... Og at BST2SOSI requests indeholder selve BST (måske i krypteret form) og WS-Trust claims. Jeg vil holde de to snitflader adskildte her ...**

  • Medarbejderens CPR-nummer skal enten være angivet i forespørgslen eller kunne bestemmes ud fra OIOSAML tokenet.
    • Hvis CPR nummeret er medsendt i requestet, så vil STS validere dette enten udfra RID i certifikatet vha OCES RID-CPR valideringsservicen eller udfra medarbejder uuid vha UUID2CPR servicen.
  • Autorisationsnummer og uddannelseskode skal enten være angivet i forespørgslen eller kunne bestemmes entydigt (ud fra CPR-nummer og autorisationsregister/SEB-register/indlejret role liste).
  • It-system-navn skal være angivet i forespørgslen da dette ikke indgår i et OIO SAML (NemLogin) token.
  • Herudover kan man vælge at medsende brugerens fornavn/efternavn i forespørgslen, idet fornavnet ikke kan bestemmes ud fra en OIO SAML sikkerhedsbillet.

...

Claims i forhold til autorisationsnummer og uddannelseskode håndteres vha algoritmen vist nedenfor: **CHG: Billedet er ret blurry - har I det ikke i bedre kvalitet / som vektorgrafik?**

Service Endpoints

Afhængig af miljø udstilles tjenesten på:

...

I det følgende gives eksempler på de to typer af requests:

Veksling fra SOSI Idkort til OIO SAML

...


Veksling fra OIO SAML sikkerhedsbillet til SOSI Idkort

...