Versions Compared

Old Version 15

changes.mady.by.user Thomas Kilden Nielsen

Saved on

compared with

New Version Current

changes.mady.by.user Jacob Qvortrup

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

 

Navitabs
rootSeal.Java 3 - Leverancebeskrivelse
includeroottrue


Indledning

Denne omveksling kan modtage et NSP OIO Bootstrap Token og returnere et medarbejder DGWS ID kort (niveau 4).

Et NSP OIO Bootstrap Token er en SAML 2.0 Assertion der repræsentere en bruger. Det udstedes af en Identity Provider (IdP). Det er muligt at opbygge et NSP OIO Bootstrap Token vha. Seal.Java, men det er typisk kun til testformål. Et OIO Bootstrap token kan valideres ved at tjekke det audience der kontrollere, at audience svarer til den modtager, det er udstedt til, er det gyldigt i tid og er signaturen validat gyldighedsperioden ikke er udløbet, og at signaturen er gyldig. Signaturen for en SAML 2.0 Assertion valideres ved at benytte det indlejrede signeringscertifikat.

...

Et DGWS ID kort er en sikkerhedsbillet der overholder DGWS standarden. DGWS står for Den Gode WebService og er en SOAP-webservice profil, der fastlægger standarder for autentifikation og kommunikation af fælles sundhedsfaglige
oplysninger mellem sundhedssektorens parter. Den gør det muligt at kommunikere personhenførbare sundhedsoplysninger på en sikker og fleksibel måde. Et medarbejder DGWS ID kort er angivet til at have sikkerhedsniveau 4 og det er signeret med et MOCES OCES3 certifikat.

I det følgende vises nogle stykker kode der viser kodeeksempler, der demonstrerer, hvordan man som anvender skal bruge bruger Seal.Java til denne omveksling. 

Der findes et komplet eksempel (incl. STS omveksling) sidst på siden der virker uden at det kræver tilretning.

Eksempel

Bootstrap Token

 Læs OIO SAML Assertion fra IdP

?

...

En NSP OIO SAML Assertion

...

der stammer fra en Identity Provider og er repræsenteret i et W3C element kan Seal.Java parse til et OIOBSTSAMLAssertion objekt på følgende måde:

Code Block
OIOBSTSAMLAssertion oiosamlAssertion = OIOBSTSAMLAssertionFactory.createOIOBSTSAMLAssertion(assertionElement);

Hvor den modtagne OIO SAML Assertion er indlæst i et Element i variablen assertionElement.

Opbyg OIO SAML Assertion

Seal.Java kan anvendes til at opbygge kan anvendes til at opbygge en OIO SAML Assertion. Dette vil typisk ske i forbindelse med test.

...

Code Block
// CredentialVault og Factory
CredentialVault signingVault = new CredentialVaultTestUtil.getMoces3CredentialVault();
CredentialVault holderOfKeyVault = CredentialVaultTestUtil.getVocesHolderOfKeyCredentialVault(ClasspathCredentialVault(null, "Filnavn på PKCS#12 Medarbejdercertifikat", "Kodeord til Medarbejdercertifikat");
CredentialVault holderOfKeyVault = new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Holder of key certifikat", "Kodeord til Holder of key certifikat");
OIOSAMLFactory factory = new OIOSAMLFactory();

...

Code Block
// Byg OIOBSTSAMLAssertion
OIO3BSTSAMLAssertionBuilder oiosamlAssertionBuilder = factory.createOIO3BSTSAMLAssertionBuilder();
oiosamlAssertionBuilder.setIssuer("https://oio3bst-issuer.dk");
oiosamlAssertionBuilder.setNameId("KorsbaekKommune\\MSK");
oiosamlAssertionBuilder.setAudience("http://fmk-onlineaudience.nspoop.dk/dds");
oiosamlAssertionBuilder.setNotOnOrAfter(notOnOrAfter);
oiosamlAssertionBuilder.setCvr("20301823");
oiosamlAssertionBuilder.setOrganizationName("Korsbæk Kommune");
oiosamlAssertionBuilder.setHolderOfKeyCertificate(holderOfKey.getSystemCredentialPair().getCertificate());
oiosamlAssertionBuilder.setSigningVault(signingVault);
OIOBSTSAMLAssertion oiosamlAssertion = oiosamlAssertionBuilder.build();

 STS Request

Det samlede STS request med en NSP OIO SAML Assertion opbygges på denne måde.

Code Block
// NSP OIO SAML Assertion findes i denne variabel:
OIOBSTSAMLAssertion oiosamlAssertion = ;...

OIOBSTSAMLAssertionToIDCardRequestDOMBuilder requestBuilder = factory.createOIOBSTSAMLAssertionToIDCardRequestDOMBuilder();
requestBuilder.setAudience("http://fmk-onlineaudience.nspoop.dk/dds");
requestBuilder.setITSystemName("Korsbæk Kommunes IT systemer");
requestBuilder.setSubjectNameID("Mads_Skjern");
requestBuilder.setSigningVault(signingVault);
requestBuilder.setOIOBSTSAMLAssertion(oiosamlAssertion);

Document consumerStsRequestDocument = requestBuilder.build();

...


Nu vil en STS kunne modtage det og veksle det til et DGWS ID kort. Eksempel på hvordan Seal.Java kan anvendes til denne omveksling findes her: Seal.Java 3 - Guide til anvendere (STS) - Bootstrap Token til DGWS id-kort

Request som stream

En consumer vil typisk have et NSP OIO SAML Bootstrap Token som en stream der kan sendes direkte til en STS. Dette vil man selv kunne deserialisere hvis man vil se indholdet:

Code Block
// Anvender har et XML dokument indeholdende NSP OIO SAML Bootstrap Token request:
String consumerStsRequestXml = "<soapenv:Envelope xmlns:soapenv=\"http://schemas.xmlsoap.org/soap/envelope/\" ... </soapenv:Envelope>";

Document requestDocument = XmlUtil.readXml(new Properties(), consumerStsRequestXml, false);
OIOBootstrapToIdentityTokenRequest request = factory.createOIOBootstrapToIdentityTokenRequestModelBuilder().build(requestDocument);

Det er nu muligt for en STS at se indholdet af requestet og på baggrund af indholdet vil en STS kunne bygge et response.


STS Response

Når consumeren modtager svaret fra STS, så skal det først indlæses i et W3C Document:

Code Block
// Konverter XML svaret fra STS til Document
Document consumerStsResponseDocument = XmlUtil.readXml(new java.util.Properties(), consumerStsResponseXml, false);

...

Code Block
// Hent Identity Token fra STS svar
IDCard idCardResponse = consumerStsResponse.getIDCard();

// Verificer at det er et DGWS ID kort token samt at værdierne for de to attributter AuthenticationLevel og Alternative Identifier er som forventet:
Assert.assertEquals("1.0.1", idCardResponse.getVersion());
Assert.assertEquals(AuthenticationLevel.MOCES_TRUSTED_USER, idCardResponse.getAuthenticationLevel());
Assert.assertEquals("hans@dampf.dk", idCardResponse.getAlternativeIdentifier());


Service Request

Når vi har STS svaret kan service requestet opbygges:

Code Block
// CredentialVault og Factory
CredentialVault signingVault = CredentialVaultTestUtil.getVoces3CredentialVault( new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Medarbejdercertifikat", "Kodeord til Medarbejdercertifikat");
SOSIFactory sosiFactory = new SOSIFactory(signingVault, new java.util.Properties());

Request serviceConsumerRequest = sosiFactory.createNewRequest(false, UUID.randomUUID().toString());
serviceConsumerRequest.setMessageID(messageIdSupplier.get());
serviceConsumerRequest.setIDCard(userIDCard);
serviceConsumerRequest.setBody(body);

Document serviceConsumerRequestDocument = serviceConsumerRequest.serialize2DOMDocument();

Det samlede request kommer til at se sådan ud, hvor body delen her er tom:

Code Block
collapsetrue
<?xml version="1.0" encoding="UTF-8"?>
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"
    xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
    xmlns:medcom="http://www.medcom.dk/dgws/2006/04/dgws-1.0.xsd"
    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
    xmlns:sosi="http://www.sosi.dk/sosi/2006/04/sosi-1.0.xsd"
    xmlns:wsa="http://schemas.xmlsoap.org/ws/2004/08/addressing"
    xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"
    xmlns:wst="http://schemas.xmlsoap.org/ws/2005/02/trust"
    xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
    xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" id="Envelope">
    <soapenv:Header>
        <wsse:Security>
            <wsu:Timestamp>
                <wsu:Created>2025-08-11T12:21:17Z</wsu:Created>
            </wsu:Timestamp>
            <saml:Assertion IssueInstant="2025-08-11T12:16:17Z" Version="2.0" id="IDCard"
                xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
                xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
                <saml:Issuer>TEST1-NSP-STS</saml:Issuer>
                <saml:Subject>
                    <saml:NameID Format="medcom:other">urn:uuid:53767053-0628-4176-b66f-0da3a0b6e868</saml:NameID>
                    <saml:SubjectConfirmation>
                        <saml:ConfirmationMethod>urn:oasis:names:tc:SAML:2.0:cm:holder-of-key</saml:ConfirmationMethod>
                        <saml:SubjectConfirmationData>
                            <ds:KeyInfo>
                                <ds:KeyName>OCESSignature</ds:KeyName>
                            </ds:KeyInfo>
                        </saml:SubjectConfirmationData>
                    </saml:SubjectConfirmation>
                </saml:Subject>
                <saml:Conditions NotBefore="2025-08-11T12:16:17Z"
                    NotOnOrAfter="2025-08-12T12:16:17Z" />
                <saml:AttributeStatement id="IDCardData">
                    <saml:Attribute Name="sosi:IDCardID">
                        <saml:AttributeValue>EIuKqjSeANgrk+jfO9wsTQ==</saml:AttributeValue>
                    </saml:Attribute>
                    <saml:Attribute Name="sosi:IDCardVersion">
                        <saml:AttributeValue>1.0.1</saml:AttributeValue>
                    </saml:Attribute>
                    <saml:Attribute Name="sosi:IDCardType">
                        <saml:AttributeValue>user</saml:AttributeValue>
                    </saml:Attribute>
                    <saml:Attribute Name="sosi:AuthenticationLevel">
                        <saml:AttributeValue>4</saml:AttributeValue>
                    </saml:Attribute>
                </saml:AttributeStatement>
                <saml:AttributeStat

Request serviceConsumerRequest = sosiFactory.createNewRequest(false, UUID.randomUUID().toString());
serviceConsumerRequest.setMessageID(messageIdSupplier.get());
serviceConsumerRequest.setIDCard(userIDCard);
serviceConsumerRequest.setBody(body);

Document serviceConsumerRequestDocument = serviceConsumerRequest.serialize2DOMDocument();
ement   </saml:AttributeStatement>
                <saml:AttributeStatement id="UserLog">
                    <saml:Attribute Name="medcom:UserCivilRegistrationNumber">
                        <saml:AttributeValue>1511800494</saml:AttributeValue>
                    </saml:Attribute>
                    <saml:Attribute Name="medcom:UserGivenName">
                        <saml:AttributeValue>Margaret</saml:AttributeValue>
                    </saml:Attribute>
                    <saml:Attribute Name="medcom:UserSurName">
                        <saml:AttributeValue>Hamilton</saml:AttributeValue>
                    </saml:Attribute>
                    <saml:Attribute Name="medcom:UserRole">
                        <saml:AttributeValue>7170</saml:AttributeValue>
                    </saml:Attribute>
                    <saml:Attribute Name="medcom:UserAuthorizationCode">
                        <saml:AttributeValue>MJP84</saml:AttributeValue>
                    </saml:Attribute>
                </saml:AttributeStatement>
                <saml:AttributeStatement id="SystemLog">
                    <saml:Attribute Name="medcom:ITSystemName">
                        <saml:AttributeValue>Service Consumer Test</saml:AttributeValue>
                    </saml:Attribute>
                    <saml:Attribute Name="medcom:CareProviderID" NameFormat="medcom:cvrnumber">
                        <saml:AttributeValue>33257872</saml:AttributeValue>
                    </saml:Attribute>
                    <saml:Attribute Name="medcom:CareProviderName">
                        <saml:AttributeValue>Sundhedsdatastyrelsen</saml:AttributeValue>
                    </saml:Attribute>
                </saml:AttributeStatement>
                <ds:Signature id="OCESSignature">
                    <ds:SignedInfo>
                        <ds:CanonicalizationMethod
                            Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
                        <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
                        <ds:Reference URI="#IDCard">
                            <ds:Transforms>
                                <ds:Transform
                                    Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
                                <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
                            </ds:Transforms>
                            <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
                            <ds:DigestValue>0uO9vMgjBQnHjhYGnjm6mpiicL4=</ds:DigestValue>
                        </ds:Reference>
                    </ds:SignedInfo>
                    <ds:SignatureValue>
                        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</ds:SignatureValue>
                    <ds:KeyInfo>
                        <ds:X509Data>
                            <ds:X509Certificate>
                                MIIGiDCCBLygAwIBAgIUR5IfpZdXnxp/UHxA0KWAcKzWcm4wQQYJKoZIhvcNAQEKMDSgDzANBglghkgBZQMEAgEFAKEcMBoGCSqGSIb3DQEBCDANBglghkgBZQMEAgEFAKIDAgEgMGsxLTArBgNVBAMMJERlbiBEYW5za2UgU3RhdCBPQ0VTIHVkc3RlZGVuZGUtQ0EgMTETMBEGA1UECwwKVGVzdCAtIGN0aTEYMBYGA1UECgwPRGVuIERhbnNrZSBTdGF0MQswCQYDVQQGEwJESzAeFw0yMzA1MTIxMTIzMDFaFw0yNjA1MTExMTIzMDBaMIGeMR0wGwYDVQQDDBRTT1NJIFRlc3QgRmVkZXJhdGlvbjE3MDUGA1UEBRMuVUk6REstTzpHOjU4ZjEwNDNkLTNkMmYtNGRlZC1hYjUwLTk0MGRiNDc3NmExODEeMBwGA1UECgwVU3VuZGhlZHNkYXRhc3R5cmVsc2VuMRcwFQYDVQRhDA5OVFJESy0zMzI1Nzg3MjELMAkGA1UEBhMCREswggGiMA0GCSqGSIb3DQEBAQUAA4IBjwAwggGKAoIBgQCDqOcDXr2tsBXp3QqYpoZCyJAJQ4+rEtmOLJL/Qyol+5e2NyBOqIGdpXdcSI6hCTYEQu/67EDFRcO9yU6yD/u7xOcy+t3eCqx1ydOy20AZCdcKwRmxBzyQN5er+mBErG2+iprTWJdpwCw0mwjNt5edusm7Nwufk0AkN5nxvEEynwesTdTqgLzL99Jk1zdg0uokROg1s13CCvpenYks8+yXwgddO/36WmUn9V8N+1MIu+UpwsULB9zsNCU8qlDzlgg1u6nr8nnKTBBwT2mXl4xCOF2EEJF5lGUaJ+NOu/ljI2WN2pEUsiqpZPvsI14teJKucH4zCV2y7PhyCBacuti7rEZjuZ6ELeTiUvgs+TqqTFGn3dxCq6FOgz5z5N2ypPTPzg/ntBH0CqkjFn+loh5GIBcA8ff5AHNjqM3Ygu/u1p+BwszeGJLAwk0AUtp67aB4QBGuh73vWsaeERwg4Hc1HeNldv/I4iyMQFlp1qsZoAC6cApeoM6umihYcTfi7rMCAwEAAaOCAYYwggGCMAwGA1UdEwEB/wQCMAAwHwYDVR0jBBgwFoAUfyif2XGZQuJ159c1di5NCCVtdl4wewYIKwYBBQUHAQEEbzBtMEMGCCsGAQUFBzAChjdodHRwOi8vY2ExLmN0aS1nb3YuZGsvb2Nlcy9pc3N1aW5nLzEvY2FjZXJ0L2lzc3VpbmcuY2VyMCYGCCsGAQUFBzABhhpodHRwOi8vY2ExLmN0aS1nb3YuZGsvb2NzcDAhBgNVHSAEGjAYMAgGBgQAj3oBATAMBgoqgVCBKQEBAQMHMDsGCCsGAQUFBwEDBC8wLTArBggrBgEFBQcLAjAfBgcEAIvsSQECMBSGEmh0dHBzOi8vdWlkLmdvdi5kazBFBgNVHR8EPjA8MDqgOKA2hjRodHRwOi8vY2ExLmN0aS1nb3YuZGsvb2Nlcy9pc3N1aW5nLzEvY3JsL2lzc3VpbmcuY3JsMB0GA1UdDgQWBBQoPAINYQR2GfgN1KAQMauutePL6jAOBgNVHQ8BAf8EBAMCBaAwQQYJKoZIhvcNAQEKMDSgDzANBglghkgBZQMEAgEFAKEcMBoGCSqGSIb3DQEBCDANBglghkgBZQMEAgEFAKIDAgEgA4IBgQC31Dtgc8+hxB0v+/RL1N3SsyfIxKNVJBhkl2Rfihn700Or5E+0ETyP8mV8MadraDBDYbwMkd3TNOzuF6Ct8c4X5mv+XKr8m0eDPlh7I7mMZ5zzpVw5Co4Wiwwiv9Hb59P/c182FaSPAA1bpmko9AH+duPcquiQELoSRfqW23B2cejACd95XbyXQVFdbCdhyCGAexbJ4egChJsXPU2zAOXq1/pa5bNSmJMsJgqP36bTbA6r+mjv0FArkrL76W1kmchpj6F4tSuDaaJlUmKvmzzBomwhlQRr/vxZc0FOamnJ8is9wC49tOaEMUx2l2iSWZKXMh4C6LQC8hQsjiXnYsERAWgeqwzqtVE3iKaGhOv+W7ECKFndGjYM95bdVK8x9BymTrPun63BCiVGqhMzsEc2RkvbKgBpb7L+Ont0EAahwcTshBzfe0jhA2thWHNGFxXpNqI0ZaAo/NKJpHK3I0EACAB0/VjiQZ/inSKtPnof1/nQZ32QWX3ij0VkX2mE2Pw=</ds:X509Certificate>
                        </ds:X509Data>
                    </ds:KeyInfo>
                </ds:Signature>
            </saml:Assertion>
        </wsse:Security>
        <medcom:Header>
            <medcom:SecurityLevel>4</medcom:SecurityLevel>
            <medcom:Linking>
                <medcom:FlowID>a42cae4b-b55a-4e5f-90c3-56ae8cd063b4</medcom:FlowID>
                <medcom:MessageID>52515936-695c-410c-8570-4ed141756a28</medcom:MessageID>
            </medcom:Linking>
            <medcom:RequireNonRepudiationReceipt>no</medcom:RequireNonRepudiationReceipt>
        </medcom:Header>
    </soapenv:Header>
    <soapenv:Body>
    ...
    </soapenv:Body>
</soapenv:Envelope>

...

Code Block
// Konverter til XML så det kan sendes over netværket
String serviceConsumerRequestXml = XmlUtil.node2String(serviceConsumerRequestDocument, false, true);


 Service Response

Seal.Java kan nu benyttes til at validere det samlede response fra servicen. Ved kald til en DGWS service kan man vha. kald til Seal.Java tjekke om svaret indeholder en fejl og evt. fejlbesked og fejlkode.

...

Code Block
// CredentialVault og Factory
CredentialVault signingVault = CredentialVaultTestUtil.getVoces3CredentialVault();
SOSIFactory sosiFactory = new SOSIFactory(signingVault, new java.util.Properties());

Reply reply = sosiFactory.deserializeReply(serviceConsumerResponseXml);

// Verify DGWS service response for errors
if (reply.isFault()) {
   log.error("Response error: " + reply.getFaultString() + ", error code: " + reply.getFaultCode());
   return false;
}
return true;

Komplet eksempel (incl. STS delen)


Code Block
collapsetrue
public class TestFactoryFlow {

    private static final String EXPECTED_AUTHORIZATIONCODE = "004PT";
    private static final String EXPECTED_CPR = "2702681273";
    private static final String EXPECTED_CVR = "20688092";
    private static final String EXPECTED_EMAIL = "jens@email.dk";
    private static final String EXPECTED_GIVENNAME = "Jens Sundbye";
    private static final String EXPECTED_ITSYSTEMNAME = "Harmoni/EMS";
    private static final String EXPECTED_OCCUPATION = "overlæge";
    private static final String EXPECTED_ORGANIZATION = "Lægehuset på bakken";
    private static final String EXPECTED_SURNAME = "Poulsen";
    private static final String EXPECTED_USEREDUCATIONCODE = "7170";

    private static final Date notOnOrAfter = d(10);

    @Test
    public void testBST2SOSI() {

        /**
         * Consumer sender request
         */

        // CredentialVault og Factory Factory
        CredentialVault signingVault = new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Medarbejdercertifikat", "Kodeord til Medarbejdercertifikat");
        CredentialVault signingVaultholderOfKeyVault = CredentialVaultTestUtil.getMoces3CredentialVault();
        CredentialVault holderOfKey = CredentialVaultTestUtil.getVocesHolderOfKeyCredentialVault(new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Holder of key certifikat", "Kodeord til Holder of key certifikat");
        OIOSAMLFactory    OIOSAMLFactory factory = new OIOSAMLFactory();

        OIO3BSTSAMLAssertionBuilder oiosamlAssertionBuilder = factory.createOIO3BSTSAMLAssertionBuilder();
        oiosamlAssertionBuilder.setIssuer("https://oio3bst-issuer.dk");
        oiosamlAssertionBuilder.setNameId("KorsbaekKommune\\MSK");
        oiosamlAssertionBuilder.setAudience("http://fmk-onlineaudience.nspoop.dk/dds");
        oiosamlAssertionBuilder.setNotOnOrAfter(notOnOrAfter);
        oiosamlAssertionBuilder.setCvr("20301823");
        oiosamlAssertionBuilder.setOrganizationName("Korsbæk Kommune");
        oiosamlAssertionBuilder.setHolderOfKeyCertificate(holderOfKey.getSystemCredentialPair().getCertificate());
        oiosamlAssertionBuilder.setSigningVault(signingVault);
        OIOBSTSAMLAssertion oiosamlAssertion = oiosamlAssertionBuilder.build();

        OIOBSTSAMLAssertionToIDCardRequestDOMBuilder requestBuilder = factory.createOIOBSTSAMLAssertionToIDCardRequestDOMBuilder();
        requestBuilder.setAudience("http://fmk-onlineaudience.nspoop.dk/dds");
        requestBuilder.setITSystemName("Korsbæk Kommunes IT systemer");
        requestBuilder.setSubjectNameID("Mads_Skjern");
        requestBuilder.setSigningVault(signingVault);
        requestBuilder.setOIOBSTSAMLAssertion(oiosamlAssertion);

        Document consumerStsRequestDocument = requestBuilder.build();

        /**
         * Send request over netværk
         */
        String consumerStsRequestXml = XmlUtil.node2String(consumerStsRequestDocument, false, false);
        consumerStsRequestDocument = XmlUtil.readXml(new java.util.Properties(), consumerStsRequestXml, false);

        /**
         *  STS modtager request
         */
        OIOBSTSAMLAssertionToIDCardRequest stsRequest = factory.createOIOBSTSAMLAssertionToIDCardRequestModelBuilder().build(consumerStsRequestDocument);

        // Her vil STS'en verificere ID kortet. I dette eksempel verificeres følgende tre attributter:
        OIOBSTSAMLAssertion oiobstsamlAssertion = stsRequest.getOIOBSTSAMLAssertion();
        Assert.assertEquals("OIO-SAML-3.0", oiobstsamlAssertion.getSpecVersion());
        Assert.assertEquals("20301823", oiobstsamlAssertion.getCvrNumberIdentifier());
        Assert.assertEquals("http://fmk-onlineaudience.nspoop.dk/dds", oiobstsamlAssertion.getAudienceRestriction());

        /**
         *  STS bygger response
         */
        UserIDCard uidc = createUserIDCard(signingVault);

        OIOBSTSAMLAssertionToIDCardResponseDOMBuilder responseBuilder = factory.createOIOBSTSAMLAssertionToIDCardResponseDOMBuilder();
        responseBuilder.setAudienceRestriction("http://fmk-onlineaudience.nspoop.dk/dds");
        responseBuilder.setIDCard(uidc);
        responseBuilder.setSigningVault(signingVault);
        responseBuilder.setContext("context");
        responseBuilder.setRelatesTo("relatesTo");

        Document consumerStsResponseDocument = responseBuilder.build();

        /**
         *  Send response over netværk
         */
        String consumerStsResponseXml = XmlUtil.node2String(consumerStsResponseDocument, false, false);
        consumerStsResponseDocument = XmlUtil.readXml(new java.util.Properties(), consumerStsResponseXml, false);

        /**
         *  Consumer modtager response
         */
        OIOBSTSAMLAssertionToIDCardResponse consumerStsResponse = factory.createOIOBSTSAMLAssertionToIDCardResponseModelBuilder().build(consumerStsResponseDocument);

        IDCard idCardResponse = consumerStsResponse.getIDCard();
        Assert.assertEquals("1.0.1", idCardResponse.getVersion());
        Assert.assertEquals(AuthenticationLevel.MOCES_TRUSTED_USER, idCardResponse.getAuthenticationLevel());
        Assert.assertEquals("hans@dampf.dk", idCardResponse.getAlternativeIdentifier());
    }

    private UserIDCard createUserIDCard(CredentialVault signingVault) {
        SOSIFactory factory = new SOSIFactory(signingVault, new java.util.Properties());

        CareProvider careProvider = new CareProvider(NameSpaces.NS_MEDCOM + ":cvrnumber", EXPECTED_CVR, EXPECTED_ORGANIZATION);
        UserInfo userInfo = new UserInfo(EXPECTED_CPR, EXPECTED_GIVENNAME, EXPECTED_SURNAME, EXPECTED_EMAIL, EXPECTED_OCCUPATION, EXPECTED_USEREDUCATIONCODE, EXPECTED_AUTHORIZATIONCODE);
        UserIDCard idcard = factory.createNewUserIDCard(EXPECTED_ITSYSTEMNAME, userInfo, careProvider, AuthenticationLevel.MOCES_TRUSTED_USER, null, null, null, "hans@dampf.dk");
        return new UserIDCard(idcard, "newIssuer");
    }

    private static Date d(int minutesFromNow) {
        long l = minutesFromNow * 60L * 1000L;
        return d(l);
    }

    private static Date d(long milliSecondsFromNow) {
        Calendar now = Calendar.getInstance();
        now.set(Calendar.MILLISECOND, 0);

        return new Date(now.getTimeInMillis() + milliSecondsFromNow);
    }
}

...