Page History
...
Læs meget mere om IDWS/OIOIDWS her. De fællesoffentlige profiler finder du her hos Digitaliseringsstyrelsen.
Opbygning af service-kald
...
Ovenstående er et eksempel på strukturen i en DGWS service. En hel del af det, der kan findes her på NSPOP, handler om, hvordan Headeroplysningerne Header oplysningerne og adgangsbilletter er opbygget. Der er lidt forskel på, hvordan et DGWS og et IDWS kald ser ud, men den overordnede struktur er nogenlunde ens.
- I DGWS kald er adgangsbilletten et såkaldt 'SOSI ID-kort' og header- og body-strukturen skal følge "Den Gode Web Service" profilen. I DGWS kald kan adgangsbilletten typisk caches lidt længere og bruges mere på tværs af services end i IDWS kald. Det op til servicen at afgøre, om den medsendte adgangsbillet er "frisk" og stærk nok til at få adgang til servicen. Hvis adgangsbilletten (i forhold til den pågældende service) ikke er god nok, returneres der en fejl, men servicen kan kaldes efter der er rekvireret en ny adgangsbillet.
- I IDWS kald er adgangsbilletten et såkaldt "identity token" og er bundet til et bestemt 'audience'. Typisk kan et identity token kun anvendes i få minutter og kun mod en bestemt service, så der skal veksles lidt oftere. Den overordnede struktur af header og body på IDWS kald følger OIOIDWS SOAP profilen. Den overordnede struktur for IDWS adgangsbilletter (identity tokens) følger OIO Identity Token Profile.
Når borgeren skal se oplysninger for en pårørende / nærtstående med fuldmagter
Borgeres adgang til services med fuldmagt
Når en borger ønsker at hjælpe eller støtte en pårørende eller en nærtstående, så kan de få adgang til NSP services med fuldmagt. Fuldmagten afgives i den fællesoffentlige fuldmagtsløsning på Borger.dk.
Når den, der har fået fuldmagt (fuldmagtshaveren), logger ind på f.eks. Sundhedsjournalen/Sundhed.dk, så vælger fuldmagtshaveren, hvem vedkommende gerne vil se eller ændre data for (fuldmagtsgiveren). 'Beviset' for at fuldmagtshaver har en gyldig fuldmagt til at kunne tilgå en bestemt service, indbygges i adgangsbilletten. Det sker i omvekslingen (step 2 ovenfor), hvor Sundhedsjournalen/Sundhed.dk vedlægger et såkaldt "claim" om, at brugeren har fuldmagt. Det efterprøver STS-servicen, og hvis det er korrekt, så indlejres beviset i adgangsbilletten (identity token).
OIO Identity Token Profile er udformet så smart, at der kan indlejres mange forskellige beviser, der kan overholde flere forskellige profiler.
Lige netop for den slags særligt basale privilegier, som en fuldmagt jo er, har Digitaliseringsstyrelsen udarbejdet en rammeprofil, der hedder OIO Basic Privilege Profile. Den regulerer hvordan sådan nogle basale privilegier skal udformes i IdentityToken for IDWS kald. Når OIOBPP ikke længere slår til, kan man lokalt i domænet udvikle andre profiler, hvor der kan opnås bedre standardisering og udtrykskraft. Det benyttede vi os af i 2023-2024, hvor de to nederste profiler på figuren ovenfor (Blurring Instructions Profile og Subject Relations Profile) blev udarbejdet og taget i brug (se evt. mere i ID Sløring projektområdet) - førstnævnte anvendes til at udtrykke sløring, og sidstnævnte anvendes til at udtrykke potentielt adgangsgivende relationer mellem personer, som f.eks. forældremyndighed.
Helt konkrete eksempler på, hvordan sådan nogle profilerede "beviser" ser ud i indlejrede IdentityTokens finder du her:
- Fuldmagter udtrykt i OIOBPP:
- Sløringsinstruktioner udtrykt i Blurring Instructions Profile (BIP profilen):
- Profilbeskrivelse: OIOITP_Blurring_Instructions_Profile-v11.pdf
- IDWS eksempel på BIP attribut
- Relation til pårørende/nærtstående udtrykt i Subject Relations Profile (SRP profilen):
- Profilbeskrivelse: OIOITP_Subjet_Relations_Profile-v11b.pdf
- Eksempler: Se kapitel 4-6 i profilbeskrivelsen.
- Indlejrede assertions Encodede attributværdier