Page History

Versions Compared

Key

This line was added.
This line was removed.
Formatting was changed.

...

Code Block

language	sql
title	Tilføjelse af ny anvender

INSERT INTO audienceConfiguration (audience, attribute, attribute_value, comment)
VALUES ('https://minlog', 'srp.ward.certificate', 'UI:DK-O:G:23550132-5e1f-4e43-a5f9-048acf49e0b8', "FMK Online");

Fuldmagtsservice

Det er muligt at skifte imellem V1 og V2 af fuldmagtsservicen.

Der sker i filen cvr-rid.xml på bean digstProcurationService.

class (attribute)	dk.sosi.sts.server.service.procuration.ProcurationWebservice
endpoint (property)	v1 service endpoint

class (attribute)	dk.sosi.sts.server.service.procuration.ProcurationWebserviceV2
endpoint (property)	v2 service endpoint

Bst2Idws

Omveksling fra Bootstrap token til identitytoken benyttes til at veksle et Bootstraptoken udstedet af NemLog-in på vegne af en borger, til et identitytoken, der kan benyttes til borgersnitflader (IDWS snitflader) udbudt af f.eks. FMK, DDV, MinLog2, MinSpærring og Dokumentdelingsservicen.

...

De konkrete udstedere (af bootstrap tokens) samt anvendere af omvekslingsservicen er konfigureret i databasen. De konkrete opsætninger er gennemgået i de følgende afsnit.

Anchor
Bst2IdwsNyUdsteder
Bst2IdwsNyUdsteder
Opsætning af BST2Idws: Tilføjelse af ny udsteder af bootstrap token

Database tabellen sts_audconf.trustedIdpCitizenConfiguration benyttes til konfiguration for issuers af de indgående bootstraptokens:

...

Code Block

language	sql
title	Bst2Idws: Tilføjelse af udsteder af bootstrap token
collapse	true

-- Opsætning af krypteringsnøgle for udstederen. Der kan være flere - suffix muliggør flere nøgler
INSERT INTO trustedIdpCitizenConfiguration (issuer, attribute, attribute_value)
VALUES
(
   'https://oio3bst-issuer.dk',
   'encryptionKey.1',
   'MIIG/gIBADANBgkqhkiG9w0BAQEFAASCBugwggbkAgEAAoIBgQDDjbGCHjgv+o1q0Q8GcHnLzHG6r4Q4vfuuWHU3Uscjgo6PC55Wj+GAsEnX7Gb8zIcM/kFv87wYR4w14dRO2lc8OO4e6sCzyIJduvu6da8yCBu6qYV708liVTvmTFFTc5O20lmRb0/MnUlyqU+IFcARhsT14M05sNznd1JF+/cfYwyDo+vCRPXa24WbY5GS2kBgnP/YDCUhmjOiDOGKMCgHj/YYvIZJq+2lfB+Lbi3vRXwJRCeI8FUOaVejFY6zDWOz14uELHhbK9Mhm3MV80PzK/MzDs2G60SMv7PGfkjjb3CHYKsDF0IJe59zumn322HAYOtaVSObSxESHhkOCUf6ZgFGoIQCGB7Q94A3UOktdPqgTmyequ+6HYQxPWbb5HxaItWvQ0qMV3jfu9VsH8Jzo+kpVoUVjpEucwmyXMLd22Iihfy6arckFHQFMYRBGB8bPuPGbk9aSlJ+AOQ+MD1foq051loLJb5Sukj3Bp+BtqrE3WAXp5xC+8pmN4szGacCAwEAAQKCAYA6rFdfqpCCOMNYksxWysWIc9mFwWbDHaGXoHve8wvD6Ea8vagu4bGvynUFf60w2W8F432fyPodMM5tVko8tH8rFwu/JAFYj+cpl1IzEl9T/CHRwk5GJnfMdLVptmlKSCnAV2G/ZK4FPwYMDKfLtXbw60ZKXb5Fun61RlRdoil19eKJ1tOEcOtxVJ9ETb4eWTSqqECNQqubZuhqDUJYk3VXO4cDygDitt6xYcoXLCJFIcyC/Tt9d1qV3d6JFI1BxNioOdpiyKgDyM0yH5llhsU0kfoOSJv5vcxZw+wKTEd2cUggV2NmDXNiV08b70Liv8UcLnOeRLEwd4Ln1t+HjqlgeBWPgqcOIzScXPT8SYOr/EBHyMbVo3mTCM2zAA+sYoHpu2HTJbuE/DWRblqONlM/ck4YdHkW9sFAmpWwoQtNOmX5gDMIIYI1N6cllAiD2i4TV9drAKwhWunlGpTVmSv5S5+RNkOGH+S6Z1TkWphe+aRKnYESCMYKQhCHcCygaCkCgcEA8OaHKkNdx0osTGX4EsAaG1ZE4+pz4L/cpGCFttUXQAv1aRbyXbDTg3VbihsE5CdWprjQ8kkiz2U+VPUo1Jx6ET9nHQx1jDtSVyaI+k6wZ6oDDqiNzkH8n1RYVKXS29r0S0Rj44M00MpOTq3/Afpj630xI8IZYhHM0mnbRdi19LWihHfQeIMY8yaIMnavg5T1NZdgGAoLbZuTnsO88YEQGPY2l3h1+kAsROpeSQCTx8YpcWciV0XQ5k3l7pF8+SppAoHBAM/Ph9J/uUl/4QC/TMRoJd/WytmamUtuBEJUcRY85ej6jZPlNGE/VHFNWZRh0tckp0b+owgtVsQDGSKEHMoXFM+OTGr/C9BSaoNdZ3jqcxQTzh9SCF2Qn1Vd2jBzbbE7CFM6ZAp4BbW48S7v4YMz4tJC7+O/twe3UunUEqUc8m7WYbtb5Wqgt+NFyC/g9MFvYCqrXVeXrqyBME6Gp0FA5D8EaKq9fkCD1qW+YE+aaG1yJuEeRo7xuA3rUASGbMoBjwKBwQCOKUysqTKnT+NSdn5t+kWtyjw/T/VwNWks6/UczyW4WxZJHQyMM7SuiEwr9QPu7DQbkUdlI7nSMEoXctHUnj7+/K6KGvcneT5/RbNiG5vIoTDKrrd4d8Jv+CNkWLNVoSG3ZTWZZq19ZVXO4qlxbmUW7Dtagcne8OgxZ9zJnDjMn3+3sskoxRytKRkIxreO7BHEvX8s0Iir9zqnX5WZ43Mvd+UBgEoHE2XMiY54gEm1hACi9pzyabX8ow3EusDIfbkCgcBN1SrH2nKpZq39O6ki/ucAmVBMhCzaJZCOz1WzwIdT5VPVisk9ixyzewcMHj97uQy1+HVTgLe4nnhxhw3JWy++NUvF31SrZ9Lg9MDmdtk3MdvHu0/Ky3oB3S71aqYw9S0/DuWdTirFT0l2DP5nx60yl0OGB64jw7PYREffc6IRhVYBeH/KmfuFsgMye4zwTii0ko5ZWkRf89sF7kUCma1jNOGG4YZB358rYMxtxCVMqK6LLm266CnJfNLxfu+MEV0CgcEA4rdr3VWymbRwgAM6XctMwosyt9CUtxw2Bf4CxcndSwZYrOo7yxCauAO0d7Exp+vVJ5p06THCKW4YUaoRM1ecnM+u+i6opLkgOnPu6yifmuPSwNRAQMjq5B9pz/XzMm+SW38vycflmlhlsCkDPuMOP/9jYBU19QsI+Ox2iC8JI0/cS1s00Da3uW6ps8cLsPP8ZPQaJnSRuqkGYUTauGWjcno08mDn86O1xoMeXxIi6aD7Yzm/DxtTPfpjTZbuAMwp'
);

-- Signeringsnøgle til validering af signatur på bootstraptoken - Der kan være flere - suffix muliggør flere nøgler
INSERT INTO trustedIdpCitizenConfiguration (issuer, attribute, attribute_value)
VALUES
(
   'https://oio3bst-issuer.dk',
   'signingKey.1',
   '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'
);

INSERT INTO trustedIdpCitizenConfiguration (issuer, attribute, attribute_value)
VALUES
(
   'https://oio3bst-issuer.dk',
   'signingKey.2',
   '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'
);

-- Den anvendte tokenprofil angives (se værdier i tabellen ovenfor)
INSERT INTO trustedIdpCitizenConfiguration (issuer, attribute, attribute_value)
VALUES
(
   'https://oio3bst-issuer.dk',
   'tokenProfile.1',
   'OIO3BST_CITIZEN'
);

-- Gyldige audiences for udsteder
INSERT INTO trustedIdpCitizenConfiguration (issuer, attribute, attribute_value)
VALUES
(
   'https://oio3bst-issuer.dk',
   'audience',
   'http://audience/clear'
);

JWT2Idws

Tilsvarende Bst2Idws findes en omveksling fra JSON web token til identity tokens ligeledes målrettet mod borgere.

...

Property	Beskrivelse
fuzzyTime	Antal millisekunder tilbage i tid notBefore skal sættes på resulterende token
allowedDriftInSeconds	Antal sekunder tidsbegrænsninger i indgående token må afvige med
trustStoreFile	Sti til keystore med trusted eksterne idp'er
trustStorePassword	Password til keystore
issuerStrategies	Liste af gyldige issuers. Fx <entry key="http://sts-tester" value-ref="keyCloak"/>

Konfiguration af udsteder af JWT tokens

Trust til eksterne idp'er er sat op i test-jwt-idp-trust.jks (property trustStoreFile). Se afsnittet om Java keystores.

Anchor
KonfigurationAudienceJwt2Idws
KonfigurationAudienceJwt2Idws
Aktivering af audience til brug i JWT2Idws

Ligesom for Bst2Idws kræves konfiguration pr audience i database tabellen sts_audconf.audienceConfiguration som beskrevet i den generelle opsætninger for borgeromveksling: Opsætning af borgeromvekslinger: Tilføjelse af nyt audience.

...

Code Block

language	sql
title	JWT konfiguration for audience

INSERT INTO audienceConfiguration (audience, attribute, attribute_value) VALUES
('http://fmk', 'jwtScope', 'fmk');

Tilføjelse af ny anvender

Som beskrevet i den generelle beskrivelse: whitelisting af anvender til borgeromveksling

Anvender skal kende det eksisterende jwtScope.

JWT2OIOSaml

Den generelle konfiguration for denne service ligger i services.xml på bean sboRequestHandler:

...

Ligesom for JWT2Idws, er trust til eksterne idp'er sat op i test-jwt-idp-trust.jks (property trustStoreFile). Se afsnittet om Java keystores.

Anchor
AudienceJwt2OioSaml
AudienceJwt2OioSaml
Aktivering af audience til brug i JWT2OIOSaml

...

attributeName	Beskrivelse
jwtScope	Aktiverer JWT (Json web token) support for dette audience. Omveksling kan kun foretages hvis det indgående JWT indeholder det pågældende jwtScope. Værdien aftales ved oprettelse.
publicKey	Den offentlige nøgle som anvendes til kryptering af den omvekslede token. Bemærk at indholdet er tilgivende overfor line-breaks og whitespaces, så der kan formateres valgfrit.
recipientURL	Den URL hvor modtagersystemet kan nåes på.
includeBST	Om token skal inkluderes i den svarede assertion. (ja/nej)

Tilføjelse af ny anvender

Er den angivne issuer endnu ikke konfigureret, skal test-jwt-idp-trust.jks opdateres, som beskrevet i afsnittet om Java keystores. Derudover skal property issuerStrategies opdateres i services.xml med den nye issuer.

...

Er audience allerede i audienceConfiguration tabellen, skal der oprettes en ny certificate.xxx attribut med ssn for anvendercertifikatet. Anvender skal kende det eksisterende jwtScope.

Opsætning af borgeromvekslinger: Integration til personinformation

Det er indført en integration til personinformation-servicen på NSP ifm. implementation af "subject relations", dvs. claims om at en borger er værge eller har forældremyndigheder ift. en anden borger.

...

Content

Space Tools

Versions Compared

Old Version 66

New Version 67

Key

Fuldmagtsservice

Bst2Idws

Anchor
Bst2IdwsNyUdsteder
Bst2IdwsNyUdsteder
Opsætning af BST2Idws: Tilføjelse af ny udsteder af bootstrap token

JWT2Idws

Konfiguration af udsteder af JWT tokens

Anchor
KonfigurationAudienceJwt2Idws
KonfigurationAudienceJwt2Idws
Aktivering af audience til brug i JWT2Idws

Tilføjelse af ny anvender

JWT2OIOSaml

Anchor
AudienceJwt2OioSaml
AudienceJwt2OioSaml
Aktivering af audience til brug i JWT2OIOSaml

Tilføjelse af ny anvender

Opsætning af borgeromvekslinger: Integration til personinformation

Content

Space Tools

Page History

Versions Compared

Old Version 66

New Version 67

Key

Fuldmagtsservice

Bst2Idws

AnchorBst2IdwsNyUdstederBst2IdwsNyUdstederOpsætning af BST2Idws: Tilføjelse af ny udsteder af bootstrap token

JWT2Idws

Konfiguration af udsteder af JWT tokens

AnchorKonfigurationAudienceJwt2IdwsKonfigurationAudienceJwt2IdwsAktivering af audience til brug i JWT2Idws

Tilføjelse af ny anvender

JWT2OIOSaml

AnchorAudienceJwt2OioSamlAudienceJwt2OioSamlAktivering af audience til brug i JWT2OIOSaml

Tilføjelse af ny anvender

Opsætning af borgeromvekslinger: Integration til personinformation

Anchor
Bst2IdwsNyUdsteder
Bst2IdwsNyUdsteder
Opsætning af BST2Idws: Tilføjelse af ny udsteder af bootstrap token

Anchor
KonfigurationAudienceJwt2Idws
KonfigurationAudienceJwt2Idws
Aktivering af audience til brug i JWT2Idws

Anchor
AudienceJwt2OioSaml
AudienceJwt2OioSaml
Aktivering af audience til brug i JWT2OIOSaml