Versions Compared

Old Version 72

changes.mady.by.user Thomas Kilden Nielsen

Saved on

compared with

New Version 73

changes.mady.by.user Thomas Kilden Nielsen

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

SnitfladeAnvenderkravSærlige opsætningstilfældeModtager
DGWS

/sts/services/SecurityTokenService

/sts/services/NewSecurityTokenService

Alle som har netværksmæssig adgang


Alle DGWS-services
Medarbejderomveksling
/sts/services/Sosi2OIOSamlAlle som har netværksmæssig adgang


Modtagersystem skal være konfigureret:


/sts/services/OIOSaml2Sosi

Alle som har netværksmæssig adgang

Alle DGWS-services
/sts/services/BST2SOSI

Offentlig nøgle for anvendersystem skal være whitelistet: Opsætning af BST2SOSI: Tilføjelse af ny anvender

Alle DGWS-services
Borgeromveksling


/sts/services/Bst2Idws

Offentlig nøgle for anvendersystem skal være whitelistet: Borgeromvekslinger: Whitelisting af anvender

Modtagersystem (audience) skal være konfigureret:

/sts/services/JWT2Idws

Offentlig nøgle for anvendersystem skal være whitelistet: Borgeromvekslinger: Whitelisting af anvender

Modtagersystem (audience) skal være konfigureret:

JWT support skal være aktiveret (i tabellen audienceConfiguration):

/sts/services/JWT2OIOSaml

Offentlig nøgle for anvendersystem skal være whitelistet: Borgeromvekslinger: Whitelisting af anvender

Modtagersystem (audience) skal være konfigureret:

Servicen skal være konfigureret til audience:

eHDSI omveksling
/sts/services/DKNCPBST2EHDSIIdws

Offentlig nøgle for anvendersystem skal være whitelistet:



Servicen skal være konfigureret til audience:

Selve konfiguration i forhold til de enkelte snitflader er beskrevet nedenfor.

...

SnitfladeTrust og opsætning
eHDSI omveksling
/sts/services/DKNCPBST2EHDSIIdws

Bootstrap token skal være signeret af trusted part (konfigureret i database tabellen sts_ehdsiconf.ehdsiAudienceConfiguration).

Den generelle konfiguration for denne service ligger i services.xml på bean DkncpBootstrap2EHDSIIdwsRequestHandler:

...

Anchor
KonfigurationAudienceDKNCPBST2EHDSIIDWS
KonfigurationAudienceDKNCPBST2EHDSIIDWS
Opsætning af audience

For alle eHDSI omvekslinger gælder det, at de audience, der omveksles til skal være sat op i STS. Dette audience kommer i spil, idet anvendere af denne omveksling angiver, hvilket audience de ønsker billetten udstedt til.

...

attributeBeskrivelse
lifetimeAngiver gyldighed af det udstedte token, f.eks. 3600 (s). Tilstedeværelsen af denne "aktiverer" det givne audience
fuzzyTimeAntal millisekunder tilbage i tid notBefore skal sættes på resulterende token
certificate.xxx

Angiver SubjectSerialNumber (ssn) for et certifikat der har mulighed for at benytte servicen. Dette certifikat benyttes af anvender til at signere hele beskeden. 

Der kan være flere certifikater pr. issuer, hvilket blot betyder at flere anvendere kan tilgå det. Disse skal blot have forskellige xxx navne.  Suffikset er ligegyldigt og tjener alene til støtte for den som kigger på konfigurationen. 

Bemærk: Benyttes kun hvis whitelist-checks er slået til (property whitelistValidation)

signingKey.xxx

Trusted public key som kan verificere signatur på bootstrap token (en issuer kan have flere nøgler med forskellige xxx navne).

validateHOK

Angivelse af om holder-of-key (HoK) validering af requests skal udføres (true, false).

allowedDriftInSeconds

Antal sekunder tidsbegrænsninger i indgående token må afvige med. (NotBefore, NotOnOrAfter attributterne)

whitelistValidation

Om whitelist-checks af anvender certifikater skal være slået til eller fra

Bemærk: Kombinationen af audience og attribut skal være unik, ellers vil "duplikater" blive ignoreret.

...

Code Block
languagesql
titleTilføjelse af audience
INSERT INTO audienceConfiguration (audience, attribute, attribute_value) VALUES ('https://audience.nspop.dk/ehdsi', 'lifetime', '300');


Opsætning af policies

For alle borgeromvekslingerne gælder det, at de audience, der omveksles til skal være sat op i STS. Dette audience kommer i spil, idet anvendere af borger-billetomvekslingen angiver, hvilket audience de ønsker billetten udstedt til.

...

Code Block
INSERT INTO ehdsiPoliciesConfiguration (audience, bst_policy, sts_policy) VALUES ('https://audience.nspop.dk/ehdsi', 'urn:dk:sosi:sts:eHDSI-strict', 'test-ehdsi-sts-policy');
INSERT INTO ehdsiPoliciesConfiguration (audience, bst_policy, sts_policy) VALUES ('https://audience.nspop.dk/ehdsi', 'test-another-ehdsi-bst-policy', 'test-ehdsi-sts-policy');

Opsætning af borgeromvekslinger: Integration til personinformation

Omvekslingen benytter servicen PersonInformation til at validere Cpr nummer på det indkomne token.

I den forbindelse er der en integration, som skal have en sat URL til personinformation. Denne konfiguration findes i service.xml på bean personInformationClient:



serviceEndpoint

Den URL hvor personinformation kan nås.

Default: "http://test1-cnsp.ekstern-test.nspop.dk:8080/stamdata-personinformation/v1"

Certifikat fornyelser hos anvender system

...