Versions Compared

Old Version 6

changes.mady.by.user Thomas Klemmensen

Saved on

compared with

New Version 7

changes.mady.by.user Unknown User (jpe@kvalitetsit.dk)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Version

Dato

Ansvarlig

Beskrivelse

16.7.2018KSROpdateret på baggrund af Fuldmagtsprojektet
26.7.2018KSROpdateret med information om JWT support
27.7.2019JPEOpdateret i forhold til containerization af STS.



Introduktion

Dette dokument indeholder en vejledning til driften af SOSI-STS

...

  1. Modtag offentlig nøgle fra den eksterne part.
  2. Verificer at nøglen tilhører det rigtige miljø (test vs produktion) - og er et gyldigt FOCES certifikat
  3. Indsæt nøglen under et vilkårligt alias i test-new-nemLogin-idp.keystore

  4. (evt) For visse idp'er (nemlogin) stoler vi på det cpr-nummer de medsender i stedet for at validere dette. Dette er opsat i filen /pack/wildfly8/standalone/configuration/sts.services.xml (neenstående viser aktuel indstilling for produktion): 

    Code Block
    <property name="cprTrustCertificates">
    <list>
        <value>CVR:34051178-UID:77371184</value> <!-- nemlogin prod -->
    </list>
</property>
  5. Ændringen kræver genstart af STS (eller wildfly).

...

Konfigurationen består af et antal indgange på "map-format", audience, attribute, attribute_value. For et givet audience (f.eks. http://forloebsplaner.dk) kan der være følgende indgange

atributeNameBeskrivelse
lifetimeAngiver gyldighed af det udstedte token, f.eks. 3600 (s). Tilstedeværelsen af denne "aktiverer" det givne audience
certificate.xxxAngiver ssn for et certifikat der har mulighed for at benytte servicen. Dette certifikat benyttes af anvender til at signere hele beskeden (beskeden har så bl.a. en Assertion, typisk signeret af NemLog-in). Der kan (og vil) være flere certifikater pr. audience, hvilket blot betyder at flere anvendere kan tilgå det. Disse skal blot have forskellige xxx navne.  Suffikset er ligegyldigt og tjener alene til støtte for den som kigger på konfigurationen.
jwtScopeAktiverer JWT (Json web token) support for dette audience. Omveksling kan kun foretages hvis det indgående JWT indeholder det pågældende jwtScope.
publicKeyden offentlige nøgle som anvendes til kryptering af den omvekslede token. Bemærk at indholdet er tilgivende overfor line-breaks og whitespaces, så der kan formateres valgfrit.
recipientURLden URL hvor modtagersystemet kan nåes på.
includeBSTom token skal inkluderes i den svarede assertion. (ja/nej)

Konfiguration i database er altid den gældende — det er ikke nødvendigt at genstarte før ændringer træder i kraft.

...

IDNavnBeskrivelse
200
AbstractStsRequestHandler.request
Alle forespørgelser, der modtages rammer dette logpunkt.
210
SecurityTokenService.issueIdCard
Når et IDKort signeres, vil dette logpunkt blive ramt.
220
WsOcesCvrRidService.findRelatedCpr
Ved opslag til CVR-RID tjenesten vil dette logpunkt blive ramt.
221
WsOcesPidService.isRelated
Ved opslag til PID tjenesten vil dette logpunkt blive ramt.
222
ProcurationWebService.getProcurationPrivileges
Ved opslag til Fuldmagt tjenesten vil dette logpunkt blive ramt.
250
NboRequestHandler.serialize
Ved omveksling mellem  OIOSaml tokens (NemLogin tokens) til SOSI
idkort vil dette log punkt blive brugt.
260
SignatureProvider.sign
Dette logpunkt kaldes når STS signerer enten et id-kort eller en IDWS billet.
270
NboIdwsRequestHandler.convert
Dette logpunkt ved omveksling af andet token til et borger-IDWS-token


Genstart

Servicen kan genstartes ved at genstarte den docker container, som servicen den kører i.