Page History
...
| HTML |
|---|
<iframe src="https://archi.nspop.dk/NSP/570928ca/views/a0fbcf8d-f00b-4e97-8a2b-02f5779a597e.html" name="test" height="750" width="900">You need a Frames Capable browser to view this content.</iframe> |
Adgang til NSP-komponenters services er begrænset med autentificering. Denne autentifikation er baseret på OCES-certifikater, hvormed anvendere er i stand til at identificere sig. Det betyder dog ikke at alle services skal validere alle anvenderes certifikater og tilhørende information. Dette vil være et stort ansvar at fordele på så mange komponenter. Derfor er der en fælles komponent, som kan udstede adgangsgivende billetter, som kun kræver simpel verifikation.
Dette betyder at en anvender udelukkende skal identificere sig overfor STS med sit OCES-certifikat og får herefter et id-kort, der er underskrevet med (STS) føderationens certifikat. Dette id-kort agerer som nøglen, der identificerer anvenderen, og kan give adgang til de andre komponenter på NSP. Komponenternes ansvar er derfor kun at kende til STS'ens ene certifikat og verificere dette i id-kortet. STS verificerer og beriger desuden id-kortet med en række af attributter. F.eks. verificeres slutbrugerens personnummer og dennes autorisation.
Ingen specifikke WSDL'er eksisterer for STS'ens services
STS kræver ingen whitelisting
| HTML |
|---|
<iframe src="https://archi.nspop.dk/NSP/570928ca/views/24e0d66c.html" name="test" height="9001050" width="900">You need a Frames Capable browser to view this content.</iframe> |
STS består af en række del-komponenter (eller services), som konfigureres via Spring frameworket. Komponenterne indkapsler følgende funktionalitet:
Crl: Spærreliste kontrol af OCES certifikater
Acl: Check for adgang til udstedelse ID-kort (benyttes ikke pt)
Cpr: CPR opslag ud fra OCES-medarbejdercertifikat eller borgercertifikat
Authorization: Verifikation af autorisation id ud fra CPR Fuldmagt og den fællesoffentlige fuldmagtsløsning.
En væsentlig komponent for STS er SOSI Seal biblioteket, der indtager en central rolle i forbindelse med udstedelse af ID-kortet. Seal anvendes som et tredjeparts bibliotek af STS.
| Gliffy Diagram | ||||||||
|---|---|---|---|---|---|---|---|---|
|
...
NewSecurityTokenService -- Udstedelse af STS-signeret id-kort. Erstatter samtidig NameId til et kanonisk format (nødvendigt hvis id-kortet skal veksles til OIOSaml). SOSI Seal biblioteket benyttes af STS til serialisering/deserialisering af web service kaldet samt signering af udstedte ID-kort.
SecurityTokenService -- Legacy udgave af ovennævnte service (uden erstatning af NameId). Benyt NewSecurityTokenService hvis muligt
Sosi2OIOSaml -- Ombytter STS-signeret id-kort fra SOSI ID-kort til OIOSAML assertion (NemLogin token) rettet mod et specifikt audience, f.eks. sundhed.dk. Bemærk at dette id-kort skal være udstedt af NewSecurityTokenService.
OIOSaml2Sosi -- Ombytter OIOSaml (nem-login) token til signeret id-kort. Token skal være signeret af troværdig tredjepart (nemlogin)
Bst2Idws -- Ombytter OIOSaml bootstrap token til signeret identitytoken rettet mod et givet audience, f.eks. FMK. Token skal være signeret af troværdig tredjepart (nem-login)
JWT2Idws -- Ombytter JSON Web token til signeret identity-token rettet mod et givet audience, f.eks. FMK. Token skal være signeret af troværdig tredjepart (pt. en OID connector)
...
Komponenterne anvendes f.eks. af STS ved udstedelsen af ID-kort. Sekvensdiagrammet i Figur 3 viser et typisk forløb med anvendelse af komponenterne, som STS gennemløber i forbindelse med udstedelse af MOCES signeret ID-kort, hvor resultatet er en succesfuld udstedelse af et STS signeret ID-kort.
Figur 3: STS-udstedelse af MOCES signeret ID-kort
...
Diagrammerne nedenfor viser nærmere detaljer angpende henholdsvis validering af signatur, samt medarbejder validering
Figur 4: Validering af XML signatur
Figur 5: Validering af medarbejder information
Komponent interaktion omveksling fra OIOSaml assertion til id-kort
Komponentsnitflader
...
| HTML |
|---|
<iframe src="https://archi.nspop.dk/NSP/570928ca/views/5b54b6f2-a137-40d7-9a2e-6417ba9f4350.html" name="test" height="600450" width="800">You need a Frames Capable browser to view this content.</iframe> |
...