Page History
| Navitabs | ||||||
|---|---|---|---|---|---|---|
| ||||||
| Table of Contents |
|---|
Introduktion
Formål med dokumentet
Nærværende dokument henvender sig til nuværende og kommende brugere af STS (Secure Token Service).
...
Derudover giver dokumentet et overblik over de af STS understøttede brugsscenarier med udgangspunkt i konkrete eksempler og med links til mere uddybende dokumentation af disse.
Læsevejledning og forudsætninger
Dokumentet henvender sig primært til IT arkitekter, udviklere og forretningskonsulenter med fokus på sikkerhedsinfrastrukturer og applikationssikkerhed i forhold til National Service Platform (NSP).
...
Dokumentet vil løbende linke til ekstern dokumentation, hvor dette er relevant.
Hvad er STS?
STS er i dette dokument synonymt med en konkret NSP service - SOSI STS. Men STS kan også opfattes som et koncept: I denne sammenhæng står STS for Security Token Service (se f.eks. https://en.wikipedia.org/wiki/Security_token_service).
...
Det er vigtigt at forstå, at det alene er service-udbyderens ansvar at foretage adgangsstyring i forhold til den udbudte service og de adgangskritierier, som denne kræver. Beslutning om adgang/ikke-adgang træffes altså udelukkende af service-udbyderen. Grundlaget for denne beslutning er sikkerhedsbilletten og dennes indhold (attributter) og service-udbyderens trust til den udstedende Security Token Service.
STS på National Service Platform (NSP)
Der findes i dag en række forretnings- og støtteservices på NSP. Disse services dækker forskellige formål - fra datadeling via Dokumentdelingsservice (DDS) til logning via MinLog2.
...
- SOSI Idkort (medarbejder og systemadgang til DGWS beskyttede services)
- OIO IDWS billet (borgerbilletter til f.eks. adgang til OIO IDWS beskyttede services)
- OIO SAML billet (medarbejderbillet eller borgerbillet feks. til sikker browseropstart til løsningerne sundhed.dk eller forløbsplaner.dk)
Anvendelse af STS på NSP
Som beskrevet i afsnittet ovenfor, så skal en potentiel anvender til en NSP service først integrere med STS og autentificere sig overfor denne med henblik på at få udstedt en til formålet passende sikkerhedsbillet.
...
De enkelte beskrivelser vil have links til mere detaljeret dokumentation.
Overblik over STS
I diagrammet nedenfor vises et overblik over STS.
...
| Service | Beskrivelse |
|---|---|
| DGWS | |
| /sts/services/NewSecurityTokenService | Udstedelse af SOSI Idkort (brugeridkort og systemidkort) |
| /sts/services/SecurityTokenService | Legacy udgave af ovennævnte service (uden erstatning af NameId). Benyt NewSecurityTokenService hvis muligt |
| Medarbejderomveksling | |
| /sts/services/Sosi2OIOSaml | Omveksler SOSI brugeridkort til OIO Saml sikkerhedsbillet rettet mod et specifikt audience, f.eks. sundhed.dk. Bemærk, at det SOSI Idkort, der veksles, skal være udstedt af /sts/services/NewSecurityTokenService STS udsteder en billet, der er krypteret og er tænkt anvendt til Sikker Browseropstart (SBO) |
| /sts/services/OIOSaml2Sosi | Omveksler OIO Saml sikkerhedsbillet til SOSI Idkort. Bemærk, at den OIO Saml sikkerhedsbillet, der veksles, skal være signeret af troværdig tredjepart |
| /sts/services/BST2SOSI | Omveksler OIO Saml bootstrap token til SOSI brugeridkort. Bemærk, at bootstrap token skal være signeret af troværdig tredjepart: Lokal IdP eller SEB |
| Borgeromveksling | |
| /sts/services/Bst2Idws | Omveksler OIO Saml bootstrap token til OIO IDWS sikkerhedsbillet rettet mod et givet audience, f.eks. FMK, Dokumentdelingsservice eller MinSpærring. Bemærk, at bootstrap token skal være signeret af troværdig tredjepart: SEB |
| /sts/services/JWT2Idws | Ombytter JSON Web token (JWT) til OIO IDWS sikkerhedsbillet rettet mod et givet audience, f.eks. FMK, Dokumentdelingsservice eller MinSpærring. Bemærk, at JWT tokenet skal være signeret af troværdig tredjepart (pt. en OpenID Connect Provider) |
| /sts/services/JWT2OIOSaml | Omveksler JSON Web token (JWT) til OIO Saml sikkerhedsbillet rettet mod et specifikt audience, f.eks. forløbsplaner.dk Billetten er krypteret og et tiltænkt Sikker Browser Opstart (SBO). Bemærk, at JWT tokenet skal være signeret af troværdig tredjepart (pt. en OpenID Connect Provider) |
| eHDSI omvekslinger | |
| /sts/services/DNCPBST2EHDSIIdws | Omveksler et eHDSI IDWS XUA Bootstrap token (DKNCPBST) udsted af "Danish National Contact Point" til et eHDSI IDWS XUA Identity Token (IDWS-eHDSI) Bemærk, at den OIO Saml sikkerhedsbillet, der veksles, skal være signeret af troværdig tredjepart |
De enkelte services kan kræve speciel opsætning af STS (f.eks. whitelisting af anvenders CVR nummer). De specifikke krav og opsætninger gennemgåes i afsnitene nedenfor vedr DGWS, medarbejderomvekslinger og borgeromvekslinger.
...
Digitaliseringsstyrelsens fuldmagtsregister giver borgere i Danmark mulighed for at tildele fuldmagt til venner og pårørende til at opnå dataadgang. Borgere kan vedligeholde deres fuldmagtstildelinger via portalen http://borger.dk. I forbindelse med borgerbilletter har STS via fuldmagtsregisteret mulighed for at tjekke claims om fuldmagt, som angives i forbindelse med omveksling af borgerbilletter.
Anvendelseområder
De ovenfor nævnte anvendelsesområder uddybes i følgende afsnit. Hvert område beskrives kort med hensyn til overordnet formål. Dernæst skitseres flowet indenfor det pågældende område. Hver beskrivelse afsluttes med link til uddybende dokumentation.
Anvendelse: DGWS
STS indeholder to services til udstedelse af SOSI Idkort. Det overordnede formål er, at udstede SOSI Idkort der gør det muligt for anvendere at tilgå DGWS services på National Service Platform f.eks. MinSpærring, DRS eller andre Forretningsservices.
...
Der henvises til STS - Guide til anvendere: DGWS for yderligere detaljer.
Anvendelse: Medarbejderomveksling
STS indeholder tre services til brug for medarbejderomveksling:
...
Der henvises til STS - Guide til anvendere: Medarbejderomvekslinger for yderligere detaljer.
Anvendelse: Borgeromveksling
Der er to typer af borgeromvekslinger:
...
Der henvises til STS - Guide til anvendere: Borgeromvekslinger for yderligere detaljer.
Adgang til STS
Når en anvender skal i gang med at bruge STS på NSP skal følgende være på plads.
...