Page History
| Navitabs | ||||
|---|---|---|---|---|
| ||||
Indledning
Denne guide beskriver hvordan en STS skal omveksle et DGWS ID kort (system / bruger) udstedt af et anvendersystem og returnere et OIO SAML Token.
Indledning
Omveksler ...
I det følgende vises nogle stykker kode der viser hvordan man som en STS kan modtage ..lave denne omveksling.
Der findes et komplet eksempel (incl. hvordan anvender opbygger request og modtager response) sidst på siden der virker uden at det kræver tilretning.
Eksempel
STS Request
STS Response
.
Eksempel
STS Request
Beskrivelse af hvordan Seal.Java anvendes til at opbygge et STS request findes her: Seal.Java 3 - Guide til anvendere (Consumer) - DGWS ID kort (system / medarbejder)
Opret en instans af OIOSAMLFactory og en CredentialVault der indeholder et virksomhedscertifikat der anvendes til denne omveksling:
| Code Block |
|---|
// CredentialVault og Factory
CredentialVault signingVault = new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Medarbejdercertifikat", "Kodeord til Medarbejdercertifikat");
OIOSAMLFactory factory = new OIOSAMLFactory(); |
En STS vil kunne anvende Seal.Java til at modtage et XML dokument indeholdende et request og det skal deserialiseres til et IDCardToOIOSAMLAssertionRequest modelobjekt:
| Code Block |
|---|
consumerStsRequestDocument = XmlUtil.readXml(new java.util.Properties(), consumerStsRequestXml, false);
IDCardToOIOSAMLAssertionRequest stsRequest = factory.createIDCardToOIOSAMLAssertionRequestModelBuilder().build(consumerStsRequestDocument); |
Nu vil en STS kunne verificere det indkomne DGWS ID kort. Dette er ikke relevant for denne anvenderguide, men her er et eksempel på hvordan man henter ID kortet ud, validere det og verificere tre attributter:
| Code Block |
|---|
// Her vil STS'en verificere ID kortet.
IDCard idCard = stsRequest.getIDCard();
// I dette eksempel verificeres følgende tre attributter:
Assert.assertEquals("1.0.1", idCard.getVersion());
Assert.assertEquals(AuthenticationLevel.VOCES_TRUSTED_SYSTEM, idCard.getAuthenticationLevel());
Assert.assertEquals("AltIdentifierStr", idCard.getAlternativeIdentifier()); |
STS Response
Her efter vil en STS bygge et response og først bygge en signeret OIO SAML Assertion:
| Code Block |
|---|
// Byg OIOSAMLAssertion
OIOSAMLAssertionBuilder oiosamlAssertionBuilder = factory.createOIOSAMLAssertionBuilder();
oiosamlAssertionBuilder.setAudienceRestriction("http://audience.nspoop.dk/dds");
oiosamlAssertionBuilder.setRecipientURL("https://fmk");
oiosamlAssertionBuilder.setIssuer("https://oio3bst-issuer.dk");
oiosamlAssertionBuilder.setUserIdCard(uidc);
oiosamlAssertionBuilder.setNotBefore(notBefore);
oiosamlAssertionBuilder.setNotOnOrAfter(notOnOrAfter);
oiosamlAssertionBuilder.setDeliveryNotOnOrAfter(d(10000L));
oiosamlAssertionBuilder.setSigningVault(signingVault);
OIOSAMLAssertion assertion = oiosamlAssertionBuilder.build(); |
Denne OIO SAML Assertion kan nu indlejres i det samlede svar fra STS:
| Code Block |
|---|
IDCardToOIOSAMLAssertionResponseDOMBuilder responseBuilder = factory.createIDCardToOIOSAMLAssertionResponseDOMBuilder();
responseBuilder.setOIOSAMLAssertion(assertion);
responseBuilder.setSigningVault(signingVault);
responseBuilder.setEncryptionKey(signingVault.getSystemCredentialPair().getCertificate().getPublicKey());
responseBuilder.setRelatesTo("relatesTo");
responseBuilder.setContext("context");
Document consumerStsResponseDocument = responseBuilder.build(); |
Svaret kan sendes over netværket som XML:
| Code Block |
|---|
String consumerStsResponseXml = XmlUtil.node2String(consumerStsResponseDocument, false, false); |
Nu vil en anvender kunne modtage det omvekslede OIO SAML Tokent og hvordan man anvender Seal.Java til at behandle dette svar er beskrevet her: Seal.Java 3 - Guide til anvendere (Consumer) - DGWS id-kort til OIO SAML Token
Komplet eksempel (incl. opbygning af request og modtagelse af response)
| Code Block | ||
|---|---|---|
| ||
public class TestFactoryFlow extends AbstractUserIDCardTest { @Test public void testSosi2OIOSaml() { /** * Consumer sender request */ // CredentialVault og Factory OIOSAMLFactoryCredentialVault factorysigningVault = new OIOSAMLFactory();ClasspathCredentialVault(null, "Filnavn på PKCS#12 Medarbejdercertifikat", "Kodeord til Medarbejdercertifikat"); CredentialVaultOIOSAMLFactory signingVaultfactory = new CredentialVaultTestUtil.getVoces3CredentialVaultOIOSAMLFactory(); CredentialVault holderOfKey = CredentialVaultTestUtil.getVocesHolderOfKeyCredentialVault(); UserIDCard uidc = createUserIDCard(signingVault); final IDCardToOIOSAMLAssertionRequestDOMBuilder requestBuilder = factory.createIDCardToOIOSAMLAssertionRequestDOMBuilder(); requestBuilder.setAudience("http://fmk-onlineaudience.nspoop.dk/dds"); requestBuilder.setUserIDCard(uidc); Document consumerStsRequestDocument = requestBuilder.build(); /** * Send request over netværk */ String consumerStsRequestXml = XmlUtil.node2String(consumerStsRequestDocument, false, false); consumerStsRequestDocument = XmlUtil.readXml(new java.util.Properties(), consumerStsRequestXml, false); /** * STS modtager request */ IDCardToOIOSAMLAssertionRequest stsRequest = factory.createIDCardToOIOSAMLAssertionRequestModelBuilder().build(consumerStsRequestDocument); // Her vil STS'en verificere ID kortet. I dette eksempel verificeres følgende tre attributter: IDCard idCard = stsRequest.getUserIDCard(); Assert.assertEquals("1.0.1", idCard.getVersion()); Assert.assertEquals(AuthenticationLevel.MOCES_TRUSTED_USER, idCard.getAuthenticationLevel()); Assert.assertEquals("hans@dampf.dkAltIdentifierStr", idCard.getAlternativeIdentifier()); /** * STS bygger response */ // Byg OIOSAMLAssertion OIOSAMLAssertionBuilder oiosamlAssertionBuilder = factory.createOIOSAMLAssertionBuilder(); oiosamlAssertionBuilder.setAudienceRestriction("http://fmk-onlineaudience.nspoop.dk/dds"); oiosamlAssertionBuilder.setRecipientURL("https://fmk"); oiosamlAssertionBuilder.setIssuer("https://oio3bst-issuer.dk"); oiosamlAssertionBuilder.setUserIdCard(uidc); oiosamlAssertionBuilder.setNotBefore(notBefore); oiosamlAssertionBuilder.setNotOnOrAfter(notOnOrAfter); oiosamlAssertionBuilder.setDeliveryNotOnOrAfter(d(10000L)); oiosamlAssertionBuilder.setSigningVault(signingVault); OIOSAMLAssertion assertion = oiosamlAssertionBuilder.build(); IDCardToOIOSAMLAssertionResponseDOMBuilder responseBuilder = factory.createIDCardToOIOSAMLAssertionResponseDOMBuilder(); responseBuilder.setOIOSAMLAssertion(assertion); responseBuilder.setSigningVault(signingVault); responseBuilder.setEncryptionKey(signingVault.getSystemCredentialPair().getCertificate().getPublicKey()); responseBuilder.setRelatesTo("relatesTo"); responseBuilder.setContext("context"); Document consumerStsResponseDocument = responseBuilder.build(); /** * Send response over netværk */ String consumerStsResponseXml = XmlUtil.node2String(consumerStsResponseDocument, false, false); consumerStsResponseDocument = XmlUtil.readXml(new java.util.Properties(), consumerStsResponseXml, false); /** * Consumer modtager response */ IDCardToOIOSAMLAssertionResponse consumerStsResponse = factory.createIDCardToOIOSAMLAssertionResponseModelBuilder().build(consumerStsResponseDocument); consumerStsResponse.validateSignature(); Element encryptedElement = EncryptionUtil.decryptAndDetach(consumerStsResponse.getEncryptedOIOSAMLAssertionElement(); Element element = EncryptionUtil.decryptAndDetach(encryptedElement, signingVault.getSystemCredentialPair().getPrivateKey()); OIOSAMLAssertion assertionResponse = new OIOSAMLAssertion(encryptedElementelement); Assert.assertEquals("DK-SAML-2.0", assertionResponse.getSpecVersion()); Assert.assertEquals("3", assertionResponse.getAssuranceLevel()); Assert.assertEquals("http://fmk-onlineaudience.nspoop.dk/dds", assertionResponse.getAudienceRestriction()); } } |
...