Versions Compared

Old Version 4

changes.mady.by.user Claus Leth Gregersen

Saved on

compared with

New Version Current

changes.mady.by.user Mads Haargaard

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Navitabs
rootNspAdministrations Modul (NADM) - Nationalt Administrations Modul - Leverancebeskrivelse


Table of Contents

...

Da web facaden benytter sig af oiosaml OIOSAML.java biblioteket fra digitaliseringsstyrelsen hvilket kræver selvstændige konfigurationsfiler skal disse være tilgængelig i oiosaml.home under deployment - oiosaml.home sættes med JAVA_OPTS i compose filerne og er sat til /pack/oiosaml.

OIOSAML konfigurationsfiler er miljøspecifikke.

...

Konfigurationsfiler



oiosaml-sp.log4j.xml

lndeholder Log4j opsætninger der følger gængs standard på NSP.
oiosaml-sp.properties

# Properties used by oiosaml-j

# Reference to the location of the certificate used for signing SAML documents with - relative to ${oiosaml.home}

oiosaml-sp.certificate.location

# Opaque/encrypted password to the certificate used for signing SAML documents
oiosaml-sp.certificate.password

# Required authentication level. 2=password, 3=certificate
oiosaml-sp.assurancelevel

# Name of the meta data file located in metadata/SP/ for the current service provider 
common.saml2.metadata.sp.filename

# URI References to the current service provider
oiosaml-sp.uri.home

# Force login
#oiosaml-sp.authn.force

# Disable support for self-signed certificates by default
oiosaml-sp.selfsignedcertificates

# Disable revocation checking on OCES test certificats (because the CRL/OCSP endpoints are behind a firewall)
oiosaml-sp.crl.disable-in-oces-test


# Enable this setting to be eid compatible. Note this effects how AuthnRequests are generated
oiosaml-sp.eid.compatible

Sundhedsdatastyrelsen_Test_NADM.p12

JKS fil indeholdende Sundhedsdatastyrelsen NADM funktionscertifikat certifikatet skal registreres hos SEB.

Skal være samme navn som oiosaml-sp.certificate.location i oiosaml-sp.properties

metadata/idP/IdPMetadata.xml

IdP metadata for trustede IdPer. Det vil i nuværende form kun være SEB.

Metadata for SEB IdPen kan hentes fra

TEST :https://t-sebloginseb.nsidkseb.dk/runtime/saml2/metadata.idp

PROD: https://sebloginseb.nsidkseb.dk/runtime/saml2/metadata.idp
metadata/SP/SPMetadata.xmlService Provider metadata  (SAML MetaData for denne komponent) svarende til det som er registreret ved SEB

...

Den officielle dokumentation for OIOSAML.java kan findes på https://github.com/digst/OIOSAML.Java/tree/release/oiosaml2/docs.

I følgende afsnit tabel beskrives udvalgte dele af denne konfiguration som forventeligt skal opdateres, når et nyt miljø skal konfigureres op trin for trin.

Hvad

...


CertifikatetUnder ${oiosaml.home}/certificate/ ligges et keystore indeholdende det certifikat, som skal bruges til at signere OIOSAML Requests.

SPMetadata

Under metadata/SP ligges en

...

service provider metadata xml fil overholdende SAML specifikationen.

Der kan med fordel tages udgangspunkt i eksisterende SPMetadata hvor følgende attributter ændres.

Denne fil  bliver i nedenstående trin registreret hos SEB.

EntityID - unik identifier hos SEB

Miljø

EntityID

DEVhttp://saml.dev/nadm
PRODhttps://saml.nadm.insp.nspop.dk
TEST1https://saml.nadm-test1.nspop.dk
TEST2https://saml.nadm-test2.nspop.dk
STAGINGhttps://saml.nadm-stage.nspop.dk

X509Certificate - Certifikat fra ovenstående trin

Opdatering af service endpoints - FQDN til SAML-filterets endpoints. Det er HOST + PORT fra tidligere registreringer der skal opdateres.

Opdatering af kontakt person

Den endelige fil kan valideres med https://www.samltool.com/validate_xml.php

IdPMetadata

I metadata/idP/ skal en metadata

...

XML-fil for samtlige trusted IdPer ligges. Hvis entityId eller

...

certikat for disse IdP opdateres, skal dette afspejles i denne konfiguration.

EntityId skal matche det entityId som skrives SAML tokens, som udstedes af denne IdP.

...

https://t-seblogin.nsi.dk/runtime/saml2/metadata.idp (test)

https://seblogin.nsi.dk/runtime/saml2/metadata.idp (prod)

Properties

Opdatering af properties. De fleste properties for sikkerhedsniveau er konstante, men der skal tjekkes om relative sti til keystore, keystore password og SPMetadata fil navn passer.

  • Registrering af SP

SPMetadata (xml XML fil fra ovenstående trin) filen sendes til seb-metadata-koordinator@lakeside SEBDRIFT@sundhedsdata.dk med en beskrivelse af, projektet samt miljø.