Page History
Indledning
Denne omveksling kan modtage et DGWS ID kort (system eller medarbejder) udstedt af et anvendersystem og returnere et system DGWS ID kort der kan anvendes til at kalde en NSP service. ID kortet skal være signerer med enten et virksomhedscertifikat eller medarbejdercertifikat udstedt af CA rodcertifikatet i den fællesoffentlige føderation.
...
Der findes et komplet eksempel (incl. STS omveksling) sidst på siden der virker uden at det kræver tilretning.
Eksempel
DGWS ID kort
Læs DGWS ID kort fra anvender
Et NSP DGWS ID kort der stammer fra en anvender og er repræsenteret som et XML dokument (requestXML) kan Seal.Java parse til et IDCard objekt på følgende måde:
...
Hvor det modtagne request er indlæst i variablen request og er af typen SecurityTokenRequest.
Opbyg DGWS ID kort
Seal.Java kan anvendes til at opbygge et NSP DGWS ID kort. Dette vil typisk ske i forbindelse med test.
...
| Code Block |
|---|
CareProvider careProvider = new CareProvider(SubjectIdentifierTypeValues.CVR_NUMBER, "33257872", "Sundhedsdatastyrelsen");
SystemIDCard systemIDCard = factory.createNewSystemIDCard(
"SOSITEST",
careProvider,
AuthenticationLevel.VOCES_TRUSTED_SYSTEM,
null,
null,
signingVault.getSystemCredentialPair().getCertificate(),
"AltIdentifierStr"); |
STS Request
Det samlede STS request indeholdende et signeret DGWS ID kort (niveau 3) opbygges op denne måde:
...
Nu vil en STS kunne modtage det og veksle det til et DGWS ID kort. Eksempel på hvordan Seal.Java kan anvendes til denne omveksling findes her: Seal.Java 3 - Guide til anvendere (STS) - DGWS ID kort (system og bruger)
STS Response
Man kan nu deserialisere XML dokumentet der kommer fra STS til et SecurityTokenResponse objekt.
...
| Code Block |
|---|
IDCard idCardResponse = consumerStsResponse.getIDCard();
// Verificer at det er et DGWS ID kort token samt at værdierne for de to attributter AuthenticationLevel og Alternative Identifier er som forventet:
Assert.assertEquals("1.0.1", idCardResponse.getVersion());
Assert.assertEquals(AuthenticationLevel.VOCES_TRUSTED_SYSTEM, idCardResponse.getAuthenticationLevel());
Assert.assertEquals("AltIdentifierStr", idCardResponse.getAlternativeIdentifier()); |
Service Request
Når vi har STS svaret kan service requestet opbygges:
...
| Code Block |
|---|
// Konverter til XML så det kan sendes over netværket String serviceConsumerRequestXml = XmlUtil.node2String(serviceConsumerRequestDocument, false, true); |
Service Response
Seal.Java kan nu benyttes til at validere det samlede response fra servicen. Ved kald til en DGWS service kan man vha. kald til Seal.Java tjekke om svaret indeholder en fejl og evt. fejlbesked og fejlkode.
...
| Code Block |
|---|
// CredentialVault og Factory
CredentialVault signingVault = new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Virksomhedscertifikat", "Kodeord til Virksomhedscertifikat");
SOSIFactory sosiFactory = new SOSIFactory(signingVault, new java.util.Properties());
Reply reply = sosiFactory.deserializeReply(serviceConsumerResponseXml);
// Verify DGWS service response for errors
if (reply.isFault()) {
log.error("Response error: " + reply.getFaultString() + ", error code: " + reply.getFaultCode());
return false;
}
return true; |
Komplet eksempel (incl. STS delen)
| Code Block | ||
|---|---|---|
| ||
public class TestFactoryFlow {
@Test
public void testNewSecurityTokenService() {
/**
* Consumer sender request
*
*/
// CredentialVault og Factory
CredentialVault signingVault = new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Virksomhedscertifikat", "Kodeord til Virksomhedscertifikat");
SOSIFactory factory = new SOSIFactory(signingVault, new java.util.Properties());
// System ID kort
CareProvider careProvider = new CareProvider(SubjectIdentifierTypeValues.CVR_NUMBER, "33257872", "Sundhedsdatastyrelsen");
SystemIDCard systemIDCard = factory.createNewSystemIDCard(
"SOSITEST",
careProvider,
AuthenticationLevel.VOCES_TRUSTED_SYSTEM,
null,
null,
signingVault.getSystemCredentialPair().getCertificate(),
"AltIdentifierStr");
// Byg STS request
SecurityTokenRequest consumerStsRequest = factory.createNewSecurityTokenRequest();
consumerStsRequest.setIDCard(systemIDCard);
// Endelig STS request
Document consumerStsRequestDocument = consumerStsRequest.serialize2DOMDocument();
/**
* Send request over netværk
*/
String consumerStsRequestXml = XmlUtil.node2String(consumerStsRequestDocument, false, false);
/**
* STS modtager request
*/
SecurityTokenRequest stsRequest = factory.deserializeSecurityTokenRequest(consumerStsRequestXml);
// Her vil STS'en validere ID kortet:
IDCard idCard = stsRequest.getIDCard();
idCard.validateSignature();
idCard.validateSignatureAndTrust(signingVault);
// I dette eksempel verificeres følgende tre attributter:
Assert.assertEquals("1.0.1", idCard.getVersion());
Assert.assertEquals(AuthenticationLevel.VOCES_TRUSTED_SYSTEM, idCard.getAuthenticationLevel());
Assert.assertEquals("AltIdentifierStr", idCard.getAlternativeIdentifier());
/**
* STS bygger response
*/
SecurityTokenResponse stsResponse = factory.createNewSecurityTokenResponse(stsRequest);
stsResponse.setIDCard(idCard);
Document consumerStsResponseDocument = XmlUtil.createEmptyDocument();
stsResponse.serialize2DOMDocument(consumerStsResponseDocument);
/**
* Send response over netværk
*/
String consumerStsResponseXml = XmlUtil.node2String(consumerStsResponseDocument, false, false);
/**
* Consumer modtager response
*/
SecurityTokenResponse consumerStsResponse = factory.deserializeSecurityTokenResponse(consumerStsResponseXml);
// Verify ID card
IDCard idCardResponse = consumerStsResponse.getIDCard();
if (!systemIDCard.isValidInTime()) {
throw new RuntimeException("Invalid DGWS Token");
}
Assert.assertEquals("1.0.1", idCardResponse.getVersion());
Assert.assertEquals(AuthenticationLevel.VOCES_TRUSTED_SYSTEM, idCardResponse.getAuthenticationLevel());
Assert.assertEquals("AltIdentifierStr", idCardResponse.getAlternativeIdentifier());
}
} |
...