Versions Compared

Old Version 8

changes.mady.by.user Unknown User (tim.hallgren@capgeminisogeti.dk)

Saved on

compared with

New Version 9

changes.mady.by.user Thomas Klemmensen

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Følgende er en oversigt over STS snitflader og kravene til adgang til disse.


Begreber

BegrebForklaring
AnvendersystemDet IT-system som anvender en STS snitflade
BrugerDen bruger som via et klient IT-system anvender STS
TrustHvem stoler vi på som signerende part på en indgående billet.
ModtagerHvilke systemer kan anvende den billet der udstedes af STS.


Disse begreber benyttes i snitfladerne nedenfor.


SnitfladeSnitfladeAnvendersystemBrugerTokensTrustModtager

/sts/services/SecurityTokenService

/sts/services/NewSecurityTokenService

WS-Trust 1.2 (DGWS)Alle som har netværksmæssig adgangSystem eller medarbejder

Input: Selvsigneret id-kort

Output: STS signeret id-kort

Indgående id-kort skal være signeret af "brugeren selv".Alle DGWS-services
/sts/services/OIOSaml2SosiWS-Trust 1.4 (OIO-IDWS 1.0)

Alle som har netværksmæssig adgang.

Dele af SOAP besked skal være signeret med system-certifikat

Alle medarbejdere

Input: OIO-Saml assertion (NemLogin)

Output: STS signeret id-kort

OIOSaml assertion skal være signeret af trusted part (i test-new-nemLogin-idp.keystore).

I praksis NemLog-In

Alle DGWS-services
/sts/services/Sosi2OIOSamlWS-Trust 1.4 (OIO-IDWS 1.0)

Alle som har netværksmæssig adgang

Dele af SOAP besked kan være signeret med system-certifikat (verificeres ikke pga DCC/Gateway)

Alle medarbejdere

Input: STS signeret id-kort

Output: OIO-Saml assertion

Id-kort skal være signeret af STS (udstedt af /NewSecurityTokenService)

Modtager-system skal være konfigureret (i tabellen iboConfig).

/sts/services/Bst2IdwsWS-Trust 1.4 (OIO-IDWS 1.0)

Offentlig nøgle for anvender-system skal være WL (i tabellen audienceConfiguration).

Dele af SOAP besked skal være signeret med denne nøgle.

Alleborgere

Input: OIO-Saml bootstrap token (Nemlogin)

Output: IDWS (1.0) token.

Bootstrap token skal være signeret af trusted part (i test-new-nemLogin-idp.keystore).

I praksis NemLog-In

Modtager-system skal være konfigureret (i tabellen audienceConfiguration).
/sts/services/JWTIdwsWS-Trust 1.4 (OIO-IDWS 1.0)

Offentlig nøgle for anvender-system skal være WL (i tabellen audienceConfiguration).

Dele af SOAP besked skal være signeret med denne nøgle.

Alleborgere

Input: JWTsigneretafOpenId connector

Output: IDWS (1.0) token.

JWT skal være signeret af trusted part (i test-jwt-idp-trust.jks). kid skal pege på det rigtige alias i denne.

Issuer skal være konfigureret i services.xml

Modtager-system skal være konfigureret (i tabellen audienceConfiguration).

JWT suport skal være aktiveret (i tabellen audienceConfiguration)

/sts/services/JWT2OIOSamlWS-Trust 1.4 (OIO-IDWS 1.0)

Offentlig nøgle for anvender-system skal være WL (i tabellen audienceConfiguration).

Dele af SOAP besked skal være signeret med denne nøgle.

Alleborgere

Input: JWTsigneretafOpenId connector

Output: OIO-Saml assertion

JWT skal være signeret af trusted part (i test-jwt-idp-trust.jks). kid skal pege på det rigtige alias i denne.

Issuer skal være konfigureret i services.xml

Modtager-system skal være konfigureret (i tabellen audienceConfiguration).

JWT suport skal være aktiveret (i tabellen audienceConfiguration)


Afhængigheder

STS’en afhænger af en række eksterne komponenter i forbindelse med udstedelse af og omveksling af billetter:


AfhængighedBeskrivelseSecurityTokenServiceOIOSaml2SosiSosi2OIOSamlBs2Idws
CRASpærrelister tilgængelige på NSP platformenXXXX
KrydscertifikaterHentes via HTTP fra internettetXXXX
STS databaseKonfiguration og lokal cache af CPRXXXX
STS keystoreIndeholder certifikat og nøgler for føderationen, samt trustede 3. parter der kan foretages billetomveksling fraXXXX
AutorisationerIndlæses fra autorisationsregisterXX

Nationale roller (SEB)
XX

RID2CPRVerifikation af medarbejderes CPR nr. Hentes fra internet fra central traffic manager(X)(X)

PID2CPRVerifikation af borgeres CPR nr. Hentes fra internet fra central traffic manager


X
FuldmagtsserviceVerifikation om fuldmagt til at agere på vegne af anden borger


(X)


Afhængigheder i parantes anvendes kun i visse scenarier.

...

STS-anvendelse af database begrænser sig primært til læsning af konfigurationsdata og persistering af cachede værdier til (se Figur 5), og består af følgende tabeller:

    • SkemaTabelBeskrivelseBenyttes pt
      STS (backoffice)iboConfigindeholder audience specifik konfiguration for SOSI ID-kort til
      OIOSAML omveksling      		Ja
      STS (backoffice)audienceConfigurationindeholder konfiguration vedrørende billetomveksling fra bootstrap token til IDWS token og fra JWT token til OIOSaml tokenJa
      STS (backoffice)roleDefinitionsIndeholder opsætning af gyldige nationale roller, og hvorledes disse repræsenteres i id-kort og i SEBJa
      STS (backoffice)

      authorizationDefinitions

      		Indeholder valide uddannelseskoder. Primært 4 cifre, men kan også indeholde bogstaver.Ja
      STS (backoffice)trustedCvrIndeholder en liste af cvr numre, der kan angive nationale roller uden at få disse validereseJa
      STS (lokal)cprcacheindeholder relationer mellem certifikat og CPR-nummer. Anvendes hvis deploymiljøet er godkendt til opbevaring af relationen i klartekst (Nødvendig hvis ikke CPR web servicen altid skal kaldes med manglende CPR i ID-kort).Ja
      STS (lokal)cprhashindeholder et hash af mapningen mellem certifikat og CPR-nummer. Oprindeligt tænkt anvendt hvis relationerne ikke ønskes opbevaret som klartekst. Ikke længere muligt, idet der er behov for at kunne tilføje cpr nummer til et id-kort uden dette er angivet i input.Nej
      STS (lokal)whitelistindeholder information (CVR-nummer og system navn), der anvendes til at at give systemer adgang til udstedelse af ID-kort. Benyttes ikke længere.Nej
      STS (lokal)blacklistindeholder information (X509 certifikat subject serial number), der anvendes til at blokere for udstedelse af ID-kort for specifikke certifikater.Nej
      SDMautregIndeholder aktuelle autorisationskoder for autoriserede sundhedsfaglige medarbejdere. Vedligeholdes af Autorisations importerenJa
      SDMnationalRolesIndeholder roller importerede fra SEBJa
      CRAcrlIndeholder et antal spærrelister incl. metadata omkring seneste hentning af disseJa
      CRArevokedIndeholder replika af en given spærreliste indeholdende aktuelt revokerede certifikaterJa


      Databasemodellen er simpel og indeholder ingen bindinger til specifikke databaser. Tabellerne cprhash og cprcache fungerer som en simpel cache for CPR-opslag, og repopuleres automatisk, hvorfor rækkerne kan slettes efter behov.

      STS Deployment

      STS-applikationen er en JEE web applikation, som deployes til driftsmiljøerne som et WAR-arkiv. Applikationen deployeres sammen med konfigurationsartefakter, som bestemmer STS runtime egenskaber, herunder føderation (test eller produktion), eksterne services og konfiguration af logning. For nærmere detaljer omkring konfigurations- og deploymentmuligheder henvises til installationsvejledningen [R2].

      Referencer

      [R0] Kravspecifikation Identitetsservice (version 1.3, 20. April 2006), Ribe Amt
      [R1] The SOSI Library Programmers Guide, (version 2.1, 4. Februar 2013), Lakeside
      [R2] STS Installationsvejledning (version 0.1?, ??. Februar 2013), Arosii
      [R3] Den Gode Webservice (version 1.1, 1. Juli 2008), MedCom

...