Versions Compared

Old Version 33

changes.mady.by.user Asger Halkier

Saved on

compared with

New Version 34

changes.mady.by.user Jan Riis

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • I DGWS kald er adgangsbilletten et såkaldt 'SOSI ID-kort' og header- og body-strukturen skal følge "Den Gode Web Service" profilen. I DGWS kald kan adgangsbilletten typisk caches lidt længere og bruges mere på tværs af services end i IDWS kald. Det op til servicen at afgøre, om den medsendte adgangsbillet er "frisk" og stærk nok til at få adgang til servicen. Hvis adgangsbilletten (i forhold til den pågældende service) ikke er god nok, returneres der en fejl, men servicen kan kaldes efter der er rekvireret en ny adgangsbillet.
  • I IDWS kald er adgangsbilletten et såkaldt "identity token" og er bundet til et bestemt 'audience'. Typisk kan et identity token kun anvendes i få minutter og kun mod en bestemt service, så der skal veksles lidt oftere. Den overordnede struktur af header og body på IDWS kald følger OIOIDWS SOAP profilen. Den overordnede struktur for IDWS adgangsbilletter (identity tokens) følger OIO Identity Token Profile.

...

Når den, der har fået fuldmagt (fuldmagtshaveren), logger ind på f.eks. Sundhedsjournalen/Sundhed.dk, så vælger fuldmagtshaveren, hvem vedkommende gerne vil se eller ændre data for (fuldmagtsgiveren). 'Beviset' for at fuldmagtshaver har en gyldig fuldmagt til at kunne tilgå en bestemt service, indbygges i adgangsbilletten. Det sker i omvekslingen (step 2 ovenfor), hvor Sundhedsjournalen/Sundhed.dk vedlægger et såkaldt "claim" om, at brugeren har fuldmagt. Det efterprøver STS-servicen, og hvis det er korrekt, så indlejres beviset i adgangsbilletten (identity token).

...

Lige netop for den slags særligt basale privilegier, som en fuldmagt jo er, har Digitaliseringsstyrelsen udarbejdet en rammeprofil, der hedder OIO Basic Privilege Profile. Den regulerer hvordan sådan nogle basale privilegier skal udformes i headeren IdentityToken for IDWS kald. Når OIOBPP ikke længere slår til, kan man lokalt i domænet udvikle andre profiler, hvor der kan opnås bedre standardisering og udtrykskraft. Det benyttede vi os af i 2023-2024, hvor de to nederste profiler på figuren ovenfor (Blurring Instructions Profile og Subject Relations Profile) blev udarbejdet og taget i brug (se evt. mere i ID Sløring projektområdet) - førstnævnte anvendes til at udtrykke sløring, og sidstnævnte anvendes til at udtrykke potentielt adgangsgivende relationer mellem personer, som forældremyndighed.

Helt konkrete eksempler på, hvordan fuldmagter sådan nogle profilerede "beviser" ser ud i OIOBPP kan du læse mere her: indlejrede IdentityTokens finder du her: