...

Eksempler på genererede klasser er Security, Assertion og Header, som vises længere nede.

En Header indeholder tekniske og logistiske data, der vedrører forsendelse af request. Specifikke detaljer om hvordan en Header laves kan ses i eksempler længere nede. TODO

En Security er det samlende element for sikkerhedsoplysninger i et request, som indeholder informationer om signering, token og kryptering. For at lave en Security, kræver det at man først har et ID-kort.

Seal.Net giver mulighed for at konstruere to forskellige ID-kort, UserIdCard og SystemIdCard, til anvendelse i fagsystemer indenfor sundhedsvæesnet. Disse konstrueres vha. klassen 'SOSIFactory'.

...

Seal.NET indeholder nogle IEndPointBehavior-klasser som kan benyttes af WCF service referencesservices genereret ud fra WSDL. Disse er beskrevet længere nede under afsnittet EndpointBehaviors.

Klienter

Saml2SosiStsClient

Konverterer en SAML assertion til et ID kort.

Sosi2SamlStsClient

Konverterer et ID kort til en SAML assertion, enten via direkte kald til STS eller via SOSI Gateway.

ID kort

...

Headers

Headers er typer/XML-elementer som primært bruges til sikkerhed i DGWS. I nogle sammenhænge kaldes disse derfor blot "sikkerhed". De kan dog også være mere generelle, og indeholde tekniske og logistiske data, der vedrører forsendelse af request. Brugen af de følgende headers vises i afsnittet med eksempler.

Security

En Security er det samlende element for sikkerhedsoplysninger i et request, som indeholder informationer om signering, token og kryptering. For at lave en Security, kræver det at man først har et ID-kort. I Seal.NET findes Security som en type med samme navn. Typen er dog blevet erstattet af IdCardMessageHeader, som tager et ID-kort, og sætter security elementet i requestet ud fra det.

DGWS Header 

En header med DGWS-specifikke detaljer. Sættes i et request med XmlMessageHeader.

Andre

WhiteListingHeader

Nogle services kræver flere headers end blot DGWS og security. F.eks. kræver FMK en whitelisting header, som den bruger til at foretage autorisation af klientsystemer. Denne header genereres med klienten som en type i kodebasen, når klienten genereres ud  fra FMK's WSDL. Med andre ord indeholder WSDL-filen hvilke headers der er påkrævet.

Klienter

Saml2SosiStsClient

Konverterer en SAML assertion til et ID kort.

Sosi2SamlStsClient

Konverterer et ID kort til en SAML assertion, enten via direkte kald til STS eller via SOSI Gateway.

ID kort

IdCard indpakker svaret fra en STS (assertion) og giver mulighed for at benytte data i fremtidige kald.

Image Added

IdCard er en abstract klasse, som implementeres af SystemIdCard og UserIdCard, som hhv. repræsenter enten et system eller en bruger.

MessageHeaders

Disse MessageHeaders bruges til at indsætte relevant data i headeren på et request, som er lavet med en klient genereret ud fra en WCF service reference.

For at stemme overens med service references, implementerer MessageHeader-klasserne 'System.ServiceModel.Channels.Message'

fra https://www.nuget.org/packages/System.ServiceModel.Primitives/, som er det service references arbejder med. 

Rent lavpraktisk betyder det at MessageHeaders kan gives til 'OutgoingMessageHeaders.Add', og så bliver den data MessageHeaderen har, sat ind i headeren på det request man laver.

Nedenstående eksempler demonstrerer dette, hvor

IdCard er en abstract klasse, som implementeres af SystemIdCard og UserIdCard, som hhv. repræsenter enten et system eller en bruger.

MessageHeaders

Disse MessageHeaders bruges til at indsætte relevant data i headeren for et request, som er lavet med en klient genereret ud fra en WCF service reference.

For at stemme overens med service references, implementerer MessageHeader-klasserne 'System.ServiceModel.Channels.Message'

fra https://www.nuget.org/packages/System.ServiceModel.Primitives/, som er det service references arbejder med. 

Rent lavpraktisk betyder det at MessageHeaders kan gives til 'OutgoingMessageHeaders.Add', og så bliver den data MessageHeaderen har, sat ind i headeren på det request man laver.

Nedenstående eksempler demonstrerer dette, hvor dk.nsi.seal.dgwstypes.Header og NSTWsProvider.NtsWSProviderClient er genereret ud fra en WSDL, ved at bruge nævnte WCF service references.

IdCardMessageHeader 

Benyttes til at tilføje et ID kort til headeren af et WCF request.

Laves med en static constructor 'IdCardMessageHeader.IdCardHeader'.

Eksempel:

using static dk.nsi.seal.MessageHeaders.IdCardMessageHeader;

var client = new NtsWSProviderClient(new BasicHttpsBinding(), new EndpointAddress("https://test1-cnsp.ekstern-test.nspop.dk:8443/nts/service"));

using (new OperationContextScope(client.InnerChannel))
{
    OperationContext.Current.OutgoingMessageHeaders.Add(IdCardHeader(idCard)); // Tilføj ID Kort med IdCardHeader 
    var response = client.invokeAsync("test");
}

XmlMessageHeader

Den Gode Webservice (DGWS) specificerer en ekstra headertype baseret på XML ( dk.nsi.seal.dgwstypes.Header ), som kan indsættes ud fra et objekt, der serialiseres til XML med XmlMessageHeader.

XmlMessageHeader indeholder en static constructor-metode, XmlHeader, til at lave instanser af den.

og NSTWsProvider.NtsWSProviderClient er genereret ud fra en WSDL, ved at bruge nævnte WCF service references.

IdCardMessageHeader 

Benyttes til at tilføje et ID kort til headeren af et WCF request.

Laves med en static constructor 'IdCardMessageHeader.IdCardHeader'.

EksempelEksempel på XmlHeader:

using static dk.nsi.seal.MessageHeaders.XmlMessageHeaderIdCardMessageHeader;

...

reply.Headers.Add(XmlHeader(header));

Mere komplet eksempel hvor dk.nsi.seal.dgwstypes.Header serialiseres til XML og indsættes:

var client = new NSTWsProvider.NtsWSProviderClient(bindingvar client = new NtsWSProviderClient(new BasicHttpsBinding(), new EndpointAddress("https://test1-cnsp.ekstern-test.nspop.dk:8443/nts/service"));


var dgwsHeader = new dk.nsi.seal.dgwstypes.Header()
{
    SecurityLevel = 4,using (new OperationContextScope(client.InnerChannel))
{
    OperationContext.Current.OutgoingMessageHeaders.Add(IdCardHeader(idCard)); // Tilføj ID Kort med IdCardHeader 
    SecurityLevelSpecifiedvar = true,
    Linking = new Linking { MessageID = Guid.NewGuid().ToString("D") }
};

using (new OperationContextScope(client.InnerChannel))
{
    OperationContext.Current.OutgoingMessageHeaders.Add(XmlHeader(dgwsHeader)); // Indsæt header som XML, ud fra serialiseret header
    var response = client.invokeAsync("test");
}

Endpointbehaviors

Bruges til at tilføje processering af requests og responses af WCF klienter.

response = client.invokeAsync("test");
}

XmlMessageHeader

Den Gode Webservice (DGWS) specificerer en ekstra headertype baseret på XML ( dk.nsi.seal.dgwstypes.Header), som kan indsættes ud fra et objekt, der serialiseres til XML med XmlMessageHeader.

XmlMessageHeader indeholder en static constructor-metode, XmlHeader, til at lave instanser af den.

Eksempel på XmlHeaderEksempel:

varusing static dk.nsi.seal.MessageHeaders.XmlMessageHeader;

...

reply.Headers.Add(XmlHeader(header));

Mere komplet eksempel hvor dk.nsi.seal.dgwstypes.Header serialiseres til XML og indsættes:

var client = new NSTWsProvider.NtsWSProviderClient(binding, new client = new NSTWsProvider.NtsWSProviderClient(new BasicHttpBinding(), new EndpointAddress("https://test1-cnsp.ekstern-test.nspop.dk:8443/nts/service"));
 
client.Endpoint.EndpointBehaviors.Add(new ViaBehavior(new Uri("http://test1.ekstern-test.nspop.dk:8080/sosigw/proxy/soap-request"))); // Tilføj Via endpointbehavior
var dgwsHeader = new dk.nsi.seal.dgwstypes.Header()
{
    SecurityLevel = 4,
    SecurityLevelSpecified = true,
    Linking = new Linking { MessageID = Guid.NewGuid().ToString("D") }
};

using (new OperationContextScope(client.InnerChannel))
{
    OperationContext.Current.OutgoingMessageHeaders.Add(XmlHeader(dgwsHeader)); // Indsæt header som XML, ud fra serialiseret header
    var response = client.invokeAsync("test");
}

Findes under namespace 'dk.nsi.seal'. Endpointbehaviors implementer System.ServiceModel.Dispatcher.IClientMessageInspector fra NuGet Gallery | System.ServiceModel.Primitives 4.10.0.

SealSigningEndpointBehavior

Tilpasser request XML header med manglende DGWS attributter og underskriver request vha. et associeret certifikat der gives til dens constructor. Yderligere valideres underskriften af response.

SealEndpointBehavior

Tjekker om det returnerede svar indeholder fejl og smider en exception der indeholder en beskrivelse af fejlen.

ViaBehavior

Portering af ClientViaBehavior Class (System.ServiceModel.Description) | Microsoft Learn til .NET Standard.

Meget simpel klasse, der internt blot sætter en enkelt værdi til den via URL man angiver.

Factories

Image Removed
SosiFactory har static metoder der kan generere nye IdCards.

ItSystemName er navnet på det system, som har oprettet ID-kortet.

ItSystemName er et krav fra DGWS-specifikation, og er navnet på det system som har oprettet ID-kortet.

...

Endpointbehaviors

Bruges til at tilføje processering af requests og responses af WCF klienter.

Eksempel:

var client = new NSTWsProvider.NtsWSProviderClient(new BasicHttpBinding(), new EndpointAddress("https://test1-cnsp.ekstern-test.nspop.dk:8443/nts/service"));
 
client.Endpoint.EndpointBehaviors.Add(new ViaBehavior(new Uri("http://test1.ekstern-test.nspop.dk:8080/sosigw/proxy/soap-request"))); // Tilføj Via endpointbehavior

using (new OperationContextScope(client.InnerChannel))
{
    var = response client.invokeAsync("test");
}

Findes under namespace 'dk.nsi.seal'. Endpointbehaviors implementer System.ServiceModel.Dispatcher.IClientMessageInspector fra NuGet Gallery | System.ServiceModel.Primitives 4.10.0.

SealSigningEndpointBehavior

Tilpasser request XML header med manglende DGWS attributter og underskriver request vha. et associeret certifikat der gives til dens constructor. Yderligere valideres underskriften af response.

SealEndpointBehavior

Tjekker om det returnerede svar indeholder fejl og smider en exception der indeholder en beskrivelse af fejlen.

ViaBehavior

Portering af ClientViaBehavior Class (System.ServiceModel.Description) | Microsoft Learn til .NET Standard.

Meget simpel klasse, der internt blot sætter en enkelt værdi til den via URL man angiver.

Factories

Image Added
SosiFactory har static metoder der kan generere nye IdCards.

ItSystemName er navnet på det system, som har oprettet ID-kortet.

ItSystemName er et krav fra DGWS-specifikation, og er navnet på det system som har oprettet ID-kortet.

OioSamlFactory kan generere nye Requests. Normalt laver man en DOM builder som genererer selve XML'en og bagefter en ModelBuilder for at lave selve Requesten. Requesten kan så blive sendt ved hjælp af dk.nsi.seal.SealUtilities.SignIn funktion. Derudover kan man sende requests fra OioSamlFactory afsted uden brug af klienter.

DomBuilders

Image Added
Dombuilders er et hierarki, som bliver brugt til at generere XML kode. Til venstre er der 3 klasser der håndterer bygning af selve assertions, mens det højre klassehierarki bliver brugt til at generere selve SOAP beskeden uden Assertion.

Requests

Image Added
Requests er selve modeller over XML'en. De har diverse convenience methods til at hente informationer direkte ud fra XML'en.

Vaults

Vaults bruges til at holde certifikater, eller læse dem ind fra enhedens trust store.

'ThumbprintCertStoreCredentialVault' læser certifikater fra enhedens trust store.

'InMemoryCredentialVault' er et simpelt dataobjekt, der indeholder et certifikat.

Begge er forholdsvis simple klasser med én metode, 'GetSystemCredentials', som returner et enkelt certifikat.

'InMemoryCredentialVault' kan bruges når man selv ønsker at bestemme hvordan certifikater læses ind - man læser certifikatet ind som et X509Certificate2, og giver det til 'InMemoryCredentialVault', som så kan gives videre til metoderne i Seal.NET.

På sigt kan dette blive simplificeret, så man direkte kan give et X509Certificate2, i stedet for at man skal forbi 'ICredentialVault', som er det interface vaults arver fra.

Findes under namespace 'dk.nsi.seal.Vault'.

Federation

Federations bliver brugt når man skal validere certfikatet fra den service man snakker med. En Federation gives til 'dk.nsi.seal.Model.SignatureUtil.Validate'.

Klassen 'SosiFederation' vil validere servicens certifikat op mod OCES2/OCES3 root certifikatet for at sikre, at servicen er autoriseret.

Klassen 'SosiTestFederation' vil validere op mod OCES2/OCES3 test root certifikat.

Hvis SignatureUtil.Validate kaldes uden en Federation, skal root certifikatet af den pågældende services certifikat (eller selve certifikatet) ligge i trust store på den enhed programmet eksekveres af.

På windows vil det betyde at importere det givne certifikat som et 'trusted root certificate', med programmet 'Manage Computer Certificates'.

Image Added

Hjælpefunktioner

Image Added
Indeholder forskellige funktioner. F.eks. til at signere og validere en signatur.

Brug af Seal.NET API

I dette afsnit beskrives overordnet hvordan Seal.Net benyttes til at opbygge en klient eller en service applikation.

Konfiguration

Der er to slags valideringer af et certifikat, der kan aktiveres/deaktiveres i appsettings.json.

CheckTrust

CheckTrust specificerer om certifikatet skal valideres op mod et root certifikat og om chainen skal valideres. Hvis en federation er specificeret så er det valideringen mod den federation, som bliver aktiveret/deaktiveret.

Skal slås fra ved self signed certifikater.

{
    "CheckTrust": true
}

CheckTrust er per default True.

CheckCrl

CheckCrl specificerer om certifikatet skal checkes op mod en Certificate Revocation List. Skal slås fra ved self-signed certifikater.

{
    "CheckCrl": false
}

CheckCrl er per default False.

Klienteksempler

En klient til en WebService af typen Den Gode Webservice benyttes som enhver anden webservice.
I Visual Studio tilføjes en Service-Reference til den pågældende WSDL. Herefter genereres en proxy indeholdende alle datatyper for webservicen.
Det er også muligt at benytte WCF svcutil tool hvis Visual Studio ikke er tilstrækkelig.

Det er en god ide at se kommentarerne igennem i kodeeksemplerne, da de også gælder i de efterfølgende eksempler.

Opstarts-eksempel med kald til NTS

Når man har generet sin klient ud fra den WSDL som tilhører den service man gerne vil snakke med (i dette tilfælde NTS), så er man klar til at begynde at bruge Seal.Net til at lave et kald til servicen.

Først et "bare-bones" eksempel på et kald til NTS:

private static Task<invokeResponse> CallNts(IdCard idc) // invokeResponse-typen kommer fra klienten der er genereret ud fra WSDL
{
	// NtsWSProviderClient er klienten generet ud fra WSDL
    var client = new NtsWSProviderClient(new BasicHttpBinding(), new EndpointAddress("http://test1.ekstern-test.nspop.dk:8080/nts/service"));
    client.Endpoint.EndpointBehaviors.Add(new SealEndpointBehavior()); // SealEndpointBehavior er beskrevet under afsnittet 'EndpointsBehaviors'

    var dgwsHeader = new Header // Header-type som er generet ud fra NTS WSDL. Gennem denne sættes DGWS-specifikke detaljer.
    {
        SecurityLevel = 4,
        SecurityLevelSpecified = true,
        Linking = new Linking { MessageID = Guid.NewGuid().ToString("D") }
    };

    using (new OperationContextScope(client.InnerChannel))
    {
        // Tilføjer security og DGWS header til request
        OperationContext.Current.OutgoingMessageHeaders.Add(IdCardHeader(idc));
        OperationContext.Current.OutgoingMessageHeaders.Add(XmlHeader(dgwsHeader));
        return client.invokeAsync("test");
    }
}

Header typen findes også i Seal.NET som en selvstændig type. Det er den samme type som bliver genereret ud fra service WSDL, da alle WSDL bruger den samme header, da den er specificieret af DGWS standarden. Så om man bruger Header fra Seal.NET, eller Header fra den kode der er generet ud fra WSDL, giver det samme i det request der sendes afsted.

Her skal man være opmærksom på at den WSDL man genererer sin WSDL ud fra, måske indeholder Header og Security (der findes WSDL'er med sikkerhed som vil have disse headers, og tilsvarende WSDL'er uden sikkerhed, hvor disse headers ikke vil være tilstede. Den samme service kan uden problemer have begge udgaver). Hvis den gør det, så vil det sidste kald "client.invokeAsync" ikke blot kræve body af SOAP-beskeden (rettere sagt, den værdi man ønsker at sende - her "test"), men også Security og Header typen. Hvis dette er tilfældet, bør man omskrive sin kode til ovenstående. Hvorfor og hvordan, er beskrevet i afsnittet 'Fejlfinding' under 'Invalid ID-kort ved kald til service'.

Afhængig af hvilken service man gerne vil sende requests til, kan der være brug for mere konfiguration af sin klient, som kan gøres vha. CustomBinding og EndpointsBehaviors:

private static Task<invokeResponse> CallNts(IdCard idCard)
{
    var binding = new CustomBinding(); // Med en CustomBinding kan der styres flere ting, f.eks. hvilken udgave af SOAP man ønsker at bruge
    binding.Elements.Add(new TextMessageEncodingBindingElement(MessageVersion.Soap11WSAddressingAugust2004, Encoding.UTF8));
    binding.Elements.Add(new HttpTransportBindingElement())

    var client = new NSTWsProvider.NtsWSProviderClient(binding, new EndpointAddress("https://test1-cnsp.ekstern-test.nspop.dk:8443/nts/service"))
    client.Endpoint.EndpointBehaviors.Add(new SealEndpointBehavior());
    client.Endpoint.EndpointBehaviors.Add(new ViaBehavior(new Uri("http://test1.ekstern-test.nspop.dk:8080/sosigw/proxy/soap-request"))) // Kald via SOSI-GW

    var dgwsHeader = new Header
    {
        SecurityLevel = 4,
        SecurityLevelSpecified = true,
        Linking = new Linking { MessageID = Guid.NewGuid().ToString("D") }
    }
    
    using (new OperationContextScope(client.InnerChannel))
    {
        // Adding seal-security and dgws-header soap header
        OperationContext.Current.OutgoingMessageHeaders.Add(IdCardHeader(idCard));
        OperationContext.Current.OutgoingMessageHeaders.Add(XmlHeader(dgwsHeader))
        return client.invokeAsync("test");
    }
}

Begge kodeeksempler indgår i tests i Seal.NET kodebasen i (bl.a.) klasserne 'SosiGWTest' og 'NemIdAssertionTest'.

Specificikke eksempler for forskellige scenarier

Der kan

DomBuilders

Image Removed
Dombuilders er et hierarki, som bliver brugt til at generere XML kode. Til venstre er der 3 klasser der håndterer bygning af selve assertions, mens det højre klassehierarki bliver brugt til at generere selve SOAP beskeden uden Assertion.

Requests

Image Removed
Requests er selve modeller over XML'en. De har diverse convenience methods til at hente informationer direkte ud fra XML'en.

Vaults

Vaults bruges til at holde certifikater, eller læse dem ind fra enhedens trust store.

'ThumbprintCertStoreCredentialVault' læser certifikater fra enhedens trust store.

'InMemoryCredentialVault' er et simpelt dataobjekt, der indeholder et certifikat.

Begge er forholdsvis simple klasser med én metode, 'GetSystemCredentials', som returner et enkelt certifikat.

'InMemoryCredentialVault' kan bruges når man selv ønsker at bestemme hvordan certifikater læses ind - man læser certifikatet ind som et X509Certificate2, og giver det til 'InMemoryCredentialVault', som så kan gives videre til metoderne i Seal.NET.

På sigt kan dette blive simplificeret, så man direkte kan give et X509Certificate2, i stedet for at man skal forbi 'ICredentialVault', som er det interface vaults arver fra.

Findes under namespace 'dk.nsi.seal.Vault'.

Federation

Federations bliver brugt når man skal validere certfikatet fra den service man snakker med. En Federation gives til 'dk.nsi.seal.Model.SignatureUtil.Validate'.

Klassen 'SosiFederation' vil validere servicens certifikat op mod OCES2/OCES3 root certifikatet for at sikre, at servicen er autoriseret.

Klassen 'SosiTestFederation' vil validere op mod OCES2/OCES3 test root certifikat.

Hvis SignatureUtil.Validate kaldes uden en Federation, skal root certifikatet af den pågældende services certifikat (eller selve certifikatet) ligge i trust store på den enhed programmet eksekveres af.

På windows vil det betyde at importere det givne certifikat som et 'trusted root certificate', med programmet 'Manage Computer Certificates'.

...

Hjælpefunktioner

Image Removed
Indeholder forskellige funktioner. F.eks. til at signere og validere en signatur.

Brug af Seal.NET API

I dette afsnit beskrives overordnet hvordan Seal.Net benyttes til at opbygge en klient eller en service applikation.

Konfiguration

Der er to slags valideringer af et certifikat, der kan aktiveres/deaktiveres i appsettings.json.

CheckTrust

CheckTrust specificerer om certifikatet skal valideres op mod et root certifikat og om chainen skal valideres. Hvis en federation er specificeret så er det valideringen mod den federation, som bliver aktiveret/deaktiveret.

Skal slås fra ved self signed certifikater.

{
    "CheckTrust": true
}

CheckTrust er per default True.

CheckCrl

CheckCrl specificerer om certifikatet skal checkes op mod en Certificate Revocation List. Skal slås fra ved self-signed certifikater.

{
    "CheckCrl": false
}

CheckCrl er per default False.

Klienteksempler

En klient til en WebService af typen Den Gode Webservice benyttes som enhver anden webservice.
I Visual Studio tilføjes en Service-Reference til den pågældende WSDL. Herefter genereres en proxy indeholdende alle datatyper for webservicen.
Det er også muligt at benytte WCF svcutil tool hvis Visual Studio ikke er tilstrækkelig.
Herefter kan der være flere klient-scenarier:

1. Føderalt: Et ID-kort der oprettes lokalt valideres via et kald til en STS, som returnerer et kort der er digitalt underskrevet. Dette kort benyttes til fremtidige kald af webservices. Service Udbyderen skal nu kun autentificere STS'en.
2. NemId:Hvis en bruger allerede er logget på et system via NemLogin, kan dette login benyttes til at kalde en webservice. Til NemLogin er associeret en SAML token. Denne token skal veksles til et DGWS ID kort. Når ID kortet er modtaget, benyttes det til fremtidige kald.
3. SOSI Gateway: Benyttes bl.a. til at cache ID kort, så en session kan håndteres af SOSI Gateway.
4. MitID: MitID omvekslinger.
5. OIOSAML: Kald til STS for at få tokens til eksterne systemer, f.eks. til Sikker Browser Opstart (SBO).

...

I et føderalt login skal en bruger først logges på føderationen (STS'en). Dette gøres ved at kalde 'SealUtilities.SignIn' med et lokalt signeret ID kort.

...

var userInfo = new UserInfo(
    cpr,
    givenName,
    surName,
    email,
    occupation,
    role,
    authCode
);

var idCardRequest = SOSIFactory.CreateNewUserIdCard(
    systemName,
    userInfo,
    new CareProvider(systemCareProviderIdFormat, systemCareProviderId, systemCareProviderName),
    AuthenticationLevel.MocesTrustedUser,
    username,
    password,
    userCertificate,
	alternativeIdentifier 
); 

SOSIFactory factory = CreateFactory(); 
idCardRequest.Sign<Assertion>(factory.SignatureProvider);
var idc = SealUtilities.SignIn(SignatureProvider); // Signér lokalt ID-kort
var idc = SealUtilities.SignIn( // Kald STS, og hvis den godkender det lokalt signerede ID-kort, fås et STS-signeret ID-kort
    idCardRequest,
    systemName,
    "http://test2.ekstern-test.nspop.dk:8080/sts/services/NewSecurityTokenService"
);

var client = new MedicineCardPortTypeClient(MedicineCardPortTypeClient.EndpointConfiguration.MedicineCardPort, new EndpointAddress(new Uri("https://test2.fmk.netic.dk/fmk12/ws/MedicineCard")));
var/fmk12/ws/MedicineCard")));

using (new OperationContextScope(client.InnerChannel))
{
    // Adding seal-security and dgws-header soap header
    OperationContext.Current.OutgoingMessageHeaders.Add(IdCardHeader(idc));
    OperationContext.Current.OutgoingMessageHeaders.Add(XmlHeader(dgwsHeader)) 
    var response = client.GetMedicineCard_2015_06_01Async(
        Security: null, // Security og header er sat til'null', da de er på OutgoingMessageHeaders ovenover. Se afsnittet 'Fejlfinding' under 'Invalid ID-kort ved kald til service'
        SecurityHeader: SecurityHeaderUtil.MakeSecurityUsingDgwsTypes(idc),
        Header: requestHeader,null, // dgwsHeader kan formentlig godt gives her i stedet for OutgoingMessageHeaders 
        WhitelistingHeader: makeWhitelistingHeader,
        GetMedicineCardRequest: new GetMedicineCardRequestType
        {
            PersonIdentifier = new PersonIdentifierType { source = "CPR", Value = requestCpr }
        }
	);
}

Token til eksternt system (SBO)

...

var idCardRequest = SOSIFactory.CreateNewUserIdCard(
    systemName,
    new UserInfo(requestCpr, givenName, surName, email, occupation, role, authorizationcode),
    new CareProvider(careProviderIdFormat, careProviderId, careProviderName),
    AuthenticationLevel.MocesTrustedUser, userName, password, user.Certificate, "alternativeIdentifier");

await LoginToGateway(idCardRequest, certificate);

var binding = new CustomBinding();
binding.Elements.Add(new TextMessageEncodingBindingElement(MessageVersion.Soap11WSAddressingAugust2004, Encoding.UTF8));
binding.Elements.Add(new HttpTransportBindingElement());  

var client = new Fmk.MedicineCardPortTypeClient(     	
	binding, // MedicineCardPortTypeClient.EndpointConfiguration.MedicineCardPort kan evt. bruges i stedet for CustomBinding
    new EndpointAddress(new Uri("http://test2.ekstern-test.nspop.dk:8080/sosigw/proxy/soap-request")));
client.Endpoint.EndpointBehaviors.Add(
    new ViaBehavior(new Uri("https://test2.fmk.netic.dk/fmk12/ws/MedicineCard")));

var/fmk12/ws/MedicineCard")));

 using (new OperationContextScope(client.InnerChannel))
{
    OperationContext.Current.OutgoingMessageHeaders.Add(IdCardHeader(idCardRequest)); // Samme ID-kort der blev gemt i SOSI-GW
    OperationContext.Current.OutgoingMessageHeaders.Add(XmlHeader(dgwsHeader));
    var response = await client.GetMedicineCard_2015_06_01Async(
    Security: new SecurityHeaderType()null,
    Header: requestHeadernull,
    WhitelistingHeader: whitelistingHeader,
    GetMedicineCardRequest: new GetMedicineCardRequestType
    {
        PersonIdentifier = new PersonIdentifierType
        {
            source = "CPR",
            Value = requestCpr
        }
    });
}

Der henvises til dokumentation af SOSI Gateway for yderligere detaljer.

...

var callingSystem = new CallingSystem(
    systemName: "Seal.Net.Fmk.Demo",
    careProviderId: "30808460",
    careProviderName: "TRIFORK SERVICES A/S",
    careProviderIdFormat:
    dk.nsi.seal.dgwstypes.SubjectIdentifierType.medcomcvrnumber,
    certificate: new X509Certificate2("Resources/certificates/Statens_Serum_Institut_FOCES.p12", "Test1234"));
var user = new User(
    cpr: "1802602810",
    givenName: "Stine",
    surName: "Svendsen",
    email: "stineSvendsen@example.com",
    role: "læge",
    authCode: "ZXCVB",
    occupation: "Overlæge",
    certificate:
    new X509Certificate2("Resources/certificates/MOCES_cpr_gyldig.p12", "Test1234"));
ICredentialVault userVault = <Create vault>;

var assertion = new OioSamlAssertion(nemidAssertion); // nemidAssertion expected to have been generated at an earlier login.   var domBuilder = OIOSAMLFactory.CreateOiosamlAssertionToIdCardRequestDomBuilder();
domBuilder.SigningVault = userVault;
domBuilder.OioSamlAssertion = assertion;
domBuilder.ItSystemName = system.SystemName;
domBuilder.UserAuthorizationCode = user.AuthCode;
domBuilder.UserEducationCode = null;
domBuilder.UserGivenName = user.GivenName;
domBuilder.UserSurName = user.SurName;
var requestDoc = domBuilder.Build();

var request = OIOSAMLFactory.CreateOioSamlAssertionToIdCardRequestModelBuilder().Build(requestDoc);
var idCard = SealUtilities.SignIn(request, "http://test2.ekstern-test.nspop.dk:8080/sts/services/OIOSaml2Sosi");

var client = new MedicineCardPortTypeClient(<FMK configuration>);
using (new OperationContextScope(client.InnerChannel))
{
    OperationContext.Current.OutgoingMessageHeaders.Add(IdCardHeader(idCard));
    OperationContext.Current.OutgoingMessageHeaders.Add(XmlHeader(MakeHeader())); 
    var response = client.GetMedicineCard_2015_06_01Async(
            Security: SecurityHeaderUtil.MakeSecurityUsingDgwsTypes(idCard)null,
            Header: MakeHeader()null,
            WhitelistingHeader: MakeWhitelistingHeader(),
            GetMedicineCardRequest: new GetMedicineCardRequestType
            {
                PersonIdentifier = new PersonIdentifierType
                {
                    source = "CPR",
                    Value = "2603558084"
                }
            }
        );
}

static Header MakeHeader() =>
    new()
    {
        SecurityLevel = 3,
        TimeOut = TimeOut.Item1440,
        TimeOutSpecified = true,
        Linking = new Linking
        {
            FlowID = Guid.NewGuid().ToString("D"),
            MessageID = Guid.NewGuid().ToString("D")
        },
        FlowStatus = FlowStatus.flow_running,
        FlowStatusSpecified = true,
        Priority = Priority.RUTINE,
        RequireNonRepudiationReceipt = RequireNonRepudiationReceipt.yes
    };  

// Trinene ved brugen af OioSamlFactory til at udveksle en Nemid assertion med FMK:
// 1. Generer bruger- og systeminformation for nem tilgængelighed.
// 2. Opret ny CredentialVault med bruger certifikat.
// 3. Opret en ny Saml2Assertion ud fra informationerne.
// 4. Opret OioSamlAssertion ud fra NemidAssertion
// 5. Opret ny OioSamlFactory
// 6. Opret ny OiosamlAssertionToIdCardRequestDomBuilder og initialiser med korrekte informationer.
// 7. Byg dokumentet
// 8. Opret OioSamlAssertionToIdCardRequestModelBuilder og byg requesten.Brug Sealutilities.Signin til at
//    sende requesten til serveren.Returnerer nyt IdCard signed fra STS
// 9. Opret ny klient til FMK kommunikation
// 10. Kald FMK.

...

Denne fejl ses hvis man anvender en klient der er genereret ud fra WSDL som specificerer security og Security (som indeholder det signerede ID-kort). Problemet opstår fordi klienten laver om på namespaces i assertion i ID-kortet, som gør signaturen invalid.

...

Hvis der findes en udgave af WSDL som ikke specificerer security Security og ID-kortHeader, kan man undgå null. Alternativt kan man selv lave et overload der ikke tager argumenterne, og selv sætter null i metoden.

...