Versions Compared

Old Version 37

changes.mady.by.user Thomas Kilden Nielsen

Saved on

compared with

New Version Current

changes.mady.by.user Thomas Kilden Nielsen

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

/sts/services/Bst2Idws

Omveksler OIO Saml bootstrap token til OIO IDWS sikkerhedsbillet rettet mod et givet audience, f.eks. FMK, Dokumentdelingsservice eller MinSpærring.

Typen af bootstrap token kan enten være OIO3BST_CITIZEN, OIO2BST_CITIZEN eller OIO2BST_LEGACY.

Bemærk, at bootstrap token skal være signeret af troværdig tredjepart (fx SEB IdP, NemLog-in IdP eller NemLog-in STS).

/sts/services/JWT2Idws

Ombytter JSON Web token (JWT) til OIO IDWS sikkerhedsbillet rettet mod et givet audience, f.eks. FMK, Dokumentdelingsservice eller MinSpærring.

Bemærk, at JWT tokenet skal være signeret af troværdig tredjepart (pt. en OpenID Connect provider)

/sts/services/JWT2OIOSaml

Omveksler JSON Web token (JWT) til OIO Saml sikkerhedsbillet rettet mod et specifikt audience, f.eks. forløbsplaner.dk.

Billetten er krypteret og er tænkt benyttet til sikker-browseropstart (SBO)

Bemærk, at JWT tokenet skal være signeret af troværdig tredjepart (pt. en OpenID Connect provider)

 



De to services Bst2Idws og JWT2Idws minder om hinanden i opbygning af requests, understøttede claims og valideringer. Disse beskrives derfor under et i afsnittet om claims og valideringer. JWT2OIOSaml beskrives for sig selv.

...

  • https://audience.nspop.dk/dds: Dokumentdelingsservicen
  • https://audience.nspop.dk/minspaerring: MinSpærring
  • https://audience.nspop.dk/minlog: MinLog2
  • https://fmk: FMK

Der bliver desuden valideret at borgerens alder opfylder kravet for den minimale alder der er konfigureret i STS'en for borgeromvekslinger.

I eksemplerne nedenfor vises der eksempler på vekslinger af bootstraptoken til Idws og JWT til Idws. I eksemplet med bootstraptoken er der ydermere vist eksempler på anvendelsen af claims til både CPR for den kaldende bruger samt fuldmagt.

...

Man kan også vedlægge en claim om værgemål eller forældremyndighed ift. en anden borger. Dette gøres under "dk:healthcare:saml:attribute:OnBehalfOf", og der er følgende to muligheder i praksis:de to muligheder der ses herunder. Bemærk dog, at man kun kan claime "WardCustody" hvis man specifikt er blevet whitelisted til det som anvender.

Code Block
languagexml
titleEksempel på claim af værgemål
linenumberstrue
collapsetrue
<auth:ClaimType Uri="dk:healthcare:saml:attribute:OnBehalfOf">  
    <auth:Value>
      urn:dk:healthcare:saml:actThrough:WardCustody:cprNumberIdentifier:1111111118
    </auth:Value>
</auth:ClaimType>

...

STS vil gennem IDSAS slå op om sløring er ønsket. Sløring vil optræde som specificeret i OIOITP Blurring Instructions Profile 1.1 i billetten.

Returværdien fra STS indeholder sløringer hvis xml'en indeholder attributten "urn:dk:healthcare:saml:attribute:BlurringInstructions":

Code Block
titleEksempel på sløring i STS retursvar
collapsetrue
<?xml version="1.0" encoding="UTF-8"?>
<saml:Attribute
	xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	Name="urn:dk:healthcare:saml:attribute:BlurringInstructions"
	NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
	<saml:AttributeValue xsi:type="xs:string">
		<!-- Slørings-oplysninger i Base64 encodet form. -->
		PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNvZGluZz0iVVRGLTgiPz4NCjxiaXA6Qmx1cnJpbmdJbnN0cnVj
		dGlvbnMgeG1sbnM6YmlwPSJ1cm46ZGs6aG-
		VhbHRoY2FyZTpzYW1sOmJsdXJyaW5nX2luc3RydWN0aW9uX3Byb2ZpbGU6MS4wIiBjdXItcmVudFNhbH
		Q9IjVrWlpMTlFNTkl-
		rejFZN3RDRGozR1E9PSI+DQoJPGJpcDpCbHVyRW1wbG95ZWVOYW1lc0Zyb21Pcmcgb3JnVHlwZT0iQ1Z
		SIiByZWFzb249ImZyb21fcmVsYXRlZF9wZXJzb24iPg0KCQkyOTE5MDkyNQ0KCTwvYml-
		wOkJsdXJFbXBsb3llZU5hbWVzRnJvbU9yZz4NCjwvYmlwOkJsdXJyaW5nSW5zdHJ1Y3Rpb25zPg== </saml:AttributeValue>
</saml:Attribute>

Værdien er base64 encoded, og kan indeholde forskellige værdier. Disse er beskrevet nedenunder. Eksemplerne viser værdien efter en base64 decode.

 Brugerspecifik sløring fra to CVR numre

Eksempel på en borgerspecifik sløring fra både Region Midtjylland (CVR:29190925) og Region Nordjylland (CVR:29190941).

Code Block
titleEksempel på borger specifik sløring fra to CVR numre
collapsetrue
<?xml version="1.0" encoding="UTF-8"?>
<bip:BlurringInstructions
	xmlns:bip="urn:dk:healthcare:saml:blurring_instruction_profile:1.1"
	currentSalt="5kZZLNQMNIkz1Y7tCDj3GQ==">

	<bip:BlurEmployeeNamesFromOrg orgType="CVR" reason="specific_for_person">
		29190925
    </bip:BlurEmployeeNamesFromOrg>
	
    <bip:BlurEmployeeNamesFromOrg orgType="CVR" reason="specific_for_person">
		29190941
    </bip:BlurEmployeeNamesFromOrg>
</bip:BlurringInstructions>

Ingen sløringer

Bemærk: <bip:BlurringInstructions> med currentSalt skal altid indlejres, uanset om der er sløringer ej.

Code Block
titleEksempel på ingen sløringer
collapsetrue
<?xml version="1.0" encoding="UTF-8"?>
<bip:BlurringInstructions
xmlns:bip="urn:dk:healthcare:saml:blurring_instruction_profile:1.1"
currentSalt="5kZZLNQMNIkz1Y7tCDj3GQ==" />

Sløringer fra en relateret person  

Hvis borgeren skal se oplysninger om en relateret person (f.eks. en fuldmagtsgiver), skal der også sløres for borgeren, når der er sløret for fuldmagtsgiveren.

Code Block
titleEksempel på sløringer fra en relateret person
collapsetrue
<?xml version="1.0" encoding="UTF-8"?>
<bip:BlurringInstructions
xmlns:bip="urn:dk:healthcare:saml:blurring_instruction_profile:1.1"
currentSalt="5kZZLNQMNIkz1Y7tCDj3GQ==">

   <bip:BlurEmployeeNamesFromOrg orgType="CVR" reason="from_related_person">
   29190925
   </bip:BlurEmployeeNamesFromOrg>

</bip:BlurringInstructions>

Sløringer både personlige og for en relateret person

I sjældne tilfælde kan der både være sløret for ’subject’ og den som ’subject’ ønsker at slå op på:

Code Block
titleEksempel på personlige sløringer og fra en relateret person
collapsetrue
<?xml version="1.0" encoding="UTF-8"?>
<bip:BlurringInstructions
	xmlns:bip="urn:dk:healthcare:saml:blurring_instruction_profile:1.1"
	currentSalt="5kZZLNQMNIkz1Y7tCDj3GQ==">

	<bip:BlurEmployeeNamesFromOrg orgType="CVR" reason="specific_for_person">
		29190925
    </bip:BlurEmployeeNamesFromOrg>

	<bip:BlurEmployeeNamesFromOrg orgType="CVR" reason="from_related_person">
		29190941
    </bip:BlurEmployeeNamesFromOrg>

</bip:BlurringInstructions>

Simpel afdelingssløring

Afdelingssløringer vil i mange tilfælde optræde uden tilhørende borgerspecifikke sløringer:

Code Block
titleEksempel på simpel afdelingssløring
collapsetrue
<?xml version="1.0" encoding="UTF-8"?>
<bip:BlurringInstructions
	xmlns:bip="urn:dk:healthcare:saml:blurring_instruction_profile:1.1"
	currentSalt="5kZZLNQMNIkz1Y7tCDj3GQ==">

	<bip:BlurEmployeeNamesFromOrg orgType="SOR" reason="specific_department">
		<!-- Retspsykiatrien Glostrup, SOR kode --> 
        536331000016003 
    </bip:BlurEmployeeNamesFromOrg>

	<bip:BlurEmployeeNamesFromOrg orgType="SHAK" reason="specific_department">
		<!-- Retspsykiatrien Glostrup, SHAK kode --> 
        1500P1V 
    </bip:BlurEmployeeNamesFromOrg>

</bip:BlurringInstructions>

Kombination af specifikke sløringer og afdelingssløringer

Afdelingssløringer kombineret med borgerspecifikke sløringer:

Code Block
titleEksempel på specifikke sløringer og afdelingssløringer
collapsetrue
<?xml version="1.0" encoding="UTF-8"?>
<bip:BlurringInstructions
	xmlns:bip="urn:dk:healthcare:saml:blurring_instruction_profile:1.1"
	currentSalt="5kZZLNQMNIkz1Y7tCDj3GQ==">

	<bip:BlurEmployeeNamesFromOrg orgType="CVR" reason="specific_for_person">
		<!-- Slør for alle medarbejdere i Reg. Midt, CVR kode --> 
        29190925 
    </bip:BlurEmployeeNamesFromOrg>
	
    <bip:BlurEmployeeNamesFromOrg orgType="SOR" reason="specific_department">
		<!-- Retspsykiatrien Glostrup, SOR kode --> 
        536331000016003 
    </bip:BlurEmployeeNamesFromOrg>
	
    <bip:BlurEmployeeNamesFromOrg orgType="SHAK" reason="specific_department">
		<!-- Retspsykiatrien Glostrup, SHAK kode --> 
        1500P1V 
    </bip:BlurEmployeeNamesFromOrg>
</bip:BlurringInstructions>