Page History

Versions Compared

Key

This line was added.
This line was removed.
Formatting was changed.

Indledning

...

Denne guide beskriver hvordan en STS skal omveksle et eHDSI IDWS XUA Bootstrap Token (DKNCPBST) udsted af "Danish National Contact Point" til et eHDSI IDWS XUA Identity Token (IDWS-eHDSI)

...

Bemærk, at den OIO Saml sikkerhedsbillet, der veksles, skal være signeret af troværdig tredjepart

I det følgende vises nogle stykker kode der viser hvordan man som STS kan modtage et eHDSI IDWS XUA Bootstrap Token og veksle det til et eHDSI IDWS XUA Identity Tokenen STS kan lave denne omveksling.

Der findes et komplet eksempel (incl. hvordan anvender opbygger request og modtager response) sidst på siden der virker uden at det kræver tilretning.

Eksempel

STS Request

...

Beskrivelse af hvordan Seal.Java anvendes til at opbygge et STS request findes her: Seal.Java - Guide til anvendere (Consumer) - eHDSI Boostrap token til eHDSI Identity token

Opret en instans af EHDSIFactory og en CredentialVault der indeholder et virksomhedscertifikat der anvendes til denne omveksling:

Code Block
// CredentialVault og Factory CredentialVault signingVault = new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Virksomhedscertifikat", "Kodeord til Virksomhedscertifikat"); CredentialVault holderOfKeyVault = new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Holder of key certifikat", "Kodeord til Holder of key certifikat"); EHDSIFactory factory = new EHDSIFactory();

Code Block

// CredentialVault og Factory
CredentialVault signingVault = new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Virksomhedscertifikat", "Kodeord til Virksomhedscertifikat");
CredentialVault holderOfKeyVault = new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Holder of key certifikat", "Kodeord til Holder of key certifikat");
EHDSIFactory factory = new EHDSIFactory();

En STS vil kunne anvende Seal.Java til at modtage et XML dokument indeholdende et request og det skal deserialiseres til et DkncpBootstrapSamlAssertionToEhdsiIdwsXuaEmployeeIdentityTokenRequest modelobjekt:

Code Block
consumerStsRequestDocument = readXml(System.getProperties(), consumerStsRequestXml, false); DkncpBootstrapSamlAssertionToEhdsiIdwsXuaEmployeeIdentityTokenRequest request = factory.createDkncpBootstrapSamlAssertionToEhdsiIdwsXuaEmployeeIdentityTokenRequestModelBuilder().build(consumerStsRequestDocument);

Code Block

consumerStsRequestDocument = readXml(System.getProperties(), consumerStsRequestXml, false);
DkncpBootstrapSamlAssertionToEhdsiIdwsXuaEmployeeIdentityTokenRequest request = factory.createDkncpBootstrapSamlAssertionToEhdsiIdwsXuaEmployeeIdentityTokenRequestModelBuilder().build(consumerStsRequestDocument);

Nu vil en STS kunne verificere det indkomne eHDSI IDWS XUA Bootstrap Token. Dette er ikke relevant for denne anvenderguide, men her er et eksempel på hvordan man henter den indlejrede SAML Assertion ud validere det og verificere tre attributter:

Code Block
// Validate assertion DkncpBootstrapSamlAssertion assertion = request.getDkncpBootstrapSamlAssertion(); Assert.assertEquals("eHDSI-IDWS-XUA-1.0", assertion.getSpecVersion()); Assert.assertEquals("3", assertion.getAssuranceLevelNIST()); Assert.assertEquals("Alfonso Gonzalez", assertion.getSubject());

Code Block

// Validate assertion
DkncpBootstrapSamlAssertion assertion = request.getDkncpBootstrapSamlAssertion();

Assert.assertEquals("eHDSI-IDWS-XUA-1.0", assertion.getSpecVersion());
Assert.assertEquals("3", assertion.getAssuranceLevelNIST());
Assert.assertEquals("Alfonso Gonzalez", assertion.getSubject());

STS Response

Nu vil en STS bygge et response og først bygges en signeret eHDSI IDWS XUA Identity Token:

Code Block
// Build Ehdsi Idws Xua Employee identity token EhdsiIdwsXuaEmployeeIdentityTokenBuilder tokenBuilder = factory.createEhdsiIdwsXuaEmployeeIdentityTokenBuilder(); tokenBuilder.setIssuer("http://sosi"); tokenBuilder.setAudienceRestriction("http://audience.nspoop.dk/dds"); tokenBuilder.setNotBefore(notBefore); tokenBuilder.setNotOnOrAfter(notOnOrAfter); tokenBuilder.setDeliveryNotOnOrAfter(notOnOrAfter); tokenBuilder.setSubjectNameID("C=DK,O=Ingen organisatorisk tilknytning,CN=Lars Larsen,Serial=PID:9208-2002-2-514358910503"); tokenBuilder.setSubjectNameIDFormat(SAMLValues.NAMEID_FORMAT_X509_SUBJECT_NAME); tokenBuilder.setSigningVault(signingVault); tokenBuilder.setHolderOfKeyCertificate(holderOfKeyVault.getSystemCredentialPair().getCertificate()); // Øvrige attributter sættes tokenBuilder.setSubject("Alfonso Gonzalez"); tokenBuilder.setRole("2221", "Nursing professionals"); ... EhdsiIdwsXuaEmployeeIdentityToken ehdsiIdwsXuaEmployeeIdentityToken = tokenBuilder.build();

Code Block

// Build Ehdsi Idws Xua Employee identity token
EhdsiIdwsXuaEmployeeIdentityTokenBuilder tokenBuilder = factory.createEhdsiIdwsXuaEmployeeIdentityTokenBuilder();
tokenBuilder.setIssuer("http://sosi");
tokenBuilder.setAudienceRestriction("http://audience.nspoop.dk/dds");
tokenBuilder.setNotBefore(notBefore);
tokenBuilder.setNotOnOrAfter(notOnOrAfter);
tokenBuilder.setDeliveryNotOnOrAfter(notOnOrAfter);
tokenBuilder.setSubjectNameID("C=DK,O=Ingen organisatorisk tilknytning,CN=Lars Larsen,Serial=PID:9208-2002-2-514358910503");
tokenBuilder.setSubjectNameIDFormat(SAMLValues.NAMEID_FORMAT_X509_SUBJECT_NAME);
tokenBuilder.setSigningVault(signingVault);
tokenBuilder.setHolderOfKeyCertificate(holderOfKeyVault.getSystemCredentialPair().getCertificate());

// Øvrige attributter sættes
tokenBuilder.setSubject("Alfonso Gonzalez");
tokenBuilder.setRole("2221", "Nursing professionals");
...

EhdsiIdwsXuaEmployeeIdentityToken ehdsiIdwsXuaEmployeeIdentityToken = tokenBuilder.build();

Dette eHDSI IDWS XUA Identity Token kan nu indlejres i det samlede svar fra STS:

Code Block
// Build Ehdsi Idws Xua Employee response DkncpBootstrapSamlAssertionToEhdsiIdwsXuaEmployeeIdentityTokenResponseDOMBuilder responseBuilder = factory.createDkncpBootstrapSamlAssertionToEhdsiIdwsXuaEmployeeIdentityTokenResponseDOMBuilder(); responseBuilder.setEhdsiIdwsXuaEmployeeIdentityToken(ehdsiIdwsXuaEmployeeIdentityToken); responseBuilder.setSigningVault(holderOfKeyVault); responseBuilder.setRelatesTo("relatesTo"); responseBuilder.setContext("context"); Document consumerStsResponseDocument = responseBuilder.build();

Code Block

// Build Ehdsi Idws Xua Employee response
DkncpBootstrapSamlAssertionToEhdsiIdwsXuaEmployeeIdentityTokenResponseDOMBuilder responseBuilder = factory.createDkncpBootstrapSamlAssertionToEhdsiIdwsXuaEmployeeIdentityTokenResponseDOMBuilder();
responseBuilder.setEhdsiIdwsXuaEmployeeIdentityToken(ehdsiIdwsXuaEmployeeIdentityToken);
responseBuilder.setSigningVault(holderOfKeyVault);
responseBuilder.setRelatesTo("relatesTo");
responseBuilder.setContext("context");

Document consumerStsResponseDocument = responseBuilder.build();

Svaret kan sendes over netværket som XML:

Code Block
String consumerStsResponseXml = XmlUtil.node2String(consumerStsResponseDocument, false, false);

Nu vil en anvender kunne modtage det omvekslede eHDSI IDWS XUA Identity Token og hvordan man anvender Seal.Java til at behandle dette svar er beskrevet her: Seal.Java - Guide til anvendere (Consumer) - eHDSI Boostrap token til eHDSI Identity token

Komplet eksempel (incl. opbygning af request og modtagelse af response)

...

Content

Space Tools

Versions Compared

Old Version 4

New Version 5

Key

Indledning

Eksempel

STS Request

STS Response

Komplet eksempel (incl. opbygning af request og modtagelse af response)