Page History
...
Konfiguration af eHDSI omveksling
| Snitflade | Trust og opsætning |
|---|---|
| eHDSI omveksling | |
| /sts/services/DKNCPBST2EHDSIIdws | Bootstrap token skal være signeret af trusted part (konfigureret i database tabellen sts_ehdsiconf.ehdsiAudienceConfiguration). |
Den generelle konfiguration for denne service ligger i services.xml på bean DkncpBootstrap2EHDSIIdwsRequestHandler:
| Property | Beskrivelse |
|---|---|
| allowedDriftInSeconds | Antal sekunder tidsbegrænsninger i indgående token må afvige med. (NotBefore, NotOnOrAfter attributterne) |
| whitelistValidation | Om whitelist-checks af anvender certifikater skal være slået til eller fra |
Opsætning af audience
For alle eHDSI omvekslinger gælder det, at de audience, der omveksles til skal være sat op i STS. Dette audience kommer i spil, idet anvendere af denne omveksling angiver, hvilket audience de ønsker billetten udstedt til.
Disse opsætninger sker i tabellen sts_ehdsiconf.ehdsiAudienceConfiguration:
| Felt | Beskrivelse |
|---|---|
| audience | Identifikation af audience |
| attribute | Attribut navn |
| attribute_value | Attribut værdi |
| comment | Valgfri kommentar |
Gyldige attributter for opsætning af nyt audience er:
| attribute | Beskrivelse |
|---|---|
| lifetime | Angiver gyldighed af det udstedte token, f.eks. 3600 (s). Tilstedeværelsen af denne "aktiverer" det givne audience |
| fuzzyTime | Antal millisekunder tilbage i tid notBefore skal sættes på resulterende token |
| certificate.xxx | Angiver SubjectSerialNumber (ssn) for et certifikat der har mulighed for at benytte servicen. Dette certifikat benyttes af anvender til at signere hele beskeden. Der kan være flere certifikater pr. issuer, hvilket blot betyder at flere anvendere kan tilgå det. Disse skal blot have forskellige xxx navne. Suffikset er ligegyldigt og tjener alene til støtte for den som kigger på konfigurationen. Bemærk: Benyttes kun hvis whitelist-checks er slået til (property whitelistValidation) |
| signingKey.xxx | Trusted public key som kan verificere signatur på bootstrap token (en issuer kan have flere nøgler med forskellige xxx navne). |
| validateHOK | Angivelse af om holder-of-key (HoK) validering af requests skal udføres (true, false). |
Bemærk: Kombinationen af audience og attribut skal være unik, ellers vil "duplikater" blive ignoreret.
...
| Code Block | ||||
|---|---|---|---|---|
| ||||
INSERT INTO audienceConfiguration (audience, attribute, attribute_value) VALUES ('https://audience.nspop.dk/ehdsi', 'lifetime', '300'); |
Opsætning af policies
For alle borgeromvekslingerne gælder det, at de audience, der omveksles til skal være sat op i STS. Dette audience kommer i spil, idet anvendere af borger-billetomvekslingen angiver, hvilket audience de ønsker billetten udstedt til.
Disse opsætninger sker i tabellen sts_ehdsiconf.ehdsiPoliciesConfiguration:
| Felt | Beskrivelse |
|---|---|
| audience | Identifikation af audience |
| bst_policy | Indkomne DKNCP Bootstrap token issuance policy |
| sts_policy | Tilhørende issuance policy der skal på et udgående token |
| comment | Valgfri kommentar |
Bemærk: Kombinationen af audience, bst_policy og sts_policy skal være unik, ellers vil "duplikater" blive ignoreret.
...
| Code Block |
|---|
INSERT INTO ehdsiPoliciesConfiguration (audience, bst_policy, sts_policy) VALUES ('https://audience.nspop.dk/ehdsi', 'urn:dk:sosi:sts:eHDSI-strict', 'test-ehdsi-sts-policy');
INSERT INTO ehdsiPoliciesConfiguration (audience, bst_policy, sts_policy) VALUES ('https://audience.nspop.dk/ehdsi', 'test-another-ehdsi-bst-policy', 'test-ehdsi-sts-policy'); |
Opsætning af borgeromvekslinger: Integration til personinformation
Omvekslingen benytter servicen PersonInformation til at validere Cpr nummer på det indkomne token.
I den forbindelse er der en integration, som skal have en sat URL til personinformation. Denne konfiguration findes i service.xml på bean personInformationClient:
| serviceEndpoint | Den URL hvor personinformation kan nås. Default: "http://test1-cnsp.ekstern-test.nspop.dk:8080/stamdata-personinformation/v1" |
Certifikat fornyelser hos anvender system
...