Versions Compared

Old Version 9

changes.mady.by.user Thomas Kilden Nielsen

Saved on

compared with

New Version Current

changes.mady.by.user Jacob Qvortrup

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Navitabs
rootSeal.Java 3 - Leverancebeskrivelse
includeroottrue


Indledning

Denne omveksling kan modtage et medarbejder DGWS ID kort udstedt af et anvendersystem og returnere en et OIO Saml sikkerhedsbilletToken.

Et medarbejder DGWS ID kort er en sikkerhedsbillet der overholder DGWS standarden. DGWS står for Den Gode WebService og er en SOAP-webservice profil, der fastlægger standarder for autentifikation og kommunikation af fælles sundhedsfaglige
oplysninger mellem sundhedssektorens parter. Den gør det muligt at kommunikere personhenførbare sundhedsoplysninger på en sikker og fleksibel måde. Et medarbejder DGWS ID kort er angivet til at have sikkerhedsniveau 4 og det er signeret med et MOCES OCES3 certifikat.

Det samlede request der sendes til en STS er signeret af en troværdig tredjepart.

En OIO Saml sikkerhedsbillet SAML Token er en Saml SAML 2.0 Assertion der repræsentere en medarbejder. Seal.Java kan kun omveksle til et OIO SAML Token, men understøtter ikke anvendelse af det.

I det følgende vises nogle stykker kode der viser hvordan man som anvender skal bruge Seal.Java til denne omveksling. 

Der findes et komplet eksempel (incl. STS omveksling) sidst på siden.

Eksempel

DGWS ID kort

Læs medarbejder DGWS ID kort fra anvender

Et medarbeder NSP DGWS ID kort der stammer fra en anvender og er repræsenteret som et XML dokument (requestXML) kan Seal.Java parse til et IDCard objekt på følgende måde:

Code Block
String requestXML = "...";

SecurityTokenRequest request = sosiFactory.deserializeSecurityTokenRequest(requestXML);
IDCard idCard = request.getIDCard();

Hvor det modtagne request er indlæst i variablen request og er af typen SecurityTokenRequest.

Opbyg DGWS ID kort

Seal.Java kan anvendes til at opbygge et medarbejder DGWS ID kort. Dette vil typisk ske i forbindelse med test.

...

Code Block
CareProvider careProvider = new CareProvider("medcom:cvrnumber", "20688092", "Lægehuset på bakken");

UserInfo userInfo = new UserInfo("2702681273", "Jens Sundbye", "Poulsen", "jens@email.dk", "overlæge", "7170", "004PT");

UserIDCard idcard = new UserIDCard(factory.createNewUserIDCard(EXPECTED_ITSYSTEMNAME, userInfo, careProvider, AuthenticationLevel.MOCES_TRUSTED_USER, null, null, null, "AltIdentifierStr"), "Issuer");

STS Request

Det samlede STS request indeholdende et signeret medarbejder DGWS ID kort (niveau 4) opbygges op denne måde:

...

Nu vil en STS kunne modtage det og veksle det til en OIO Saml sikkerhedsbillet. Eksempel på hvordan Seal.Java kan anvendes til denne omveksling findes her: Seal.Java 3 - Guide til anvendere (STS) - DGWS id-kort til OIO-Saml Token

Request som stream

En anvender vil typisk have et medarbejder DGWS ID kort som en stream der kan sendes direkte til en STS. Dette vil man selv kunne deserialisere hvis man vil se indholdet:

Code Block
// Anvender har et XML dokument indeholdende NSP OIO SAML Bootstrap Token request:
String consumerStsRequestXml = "<soapenv:Envelope xmlns:soapenv=\"http://schemas.xmlsoap.org/soap/envelope/\" ... <soapenv:Body><wst:RequestSecurityToken Context="www.sosi.dk"> ... </soapenv:Envelope>";

Document requestDocument = XmlUtil.readXml(new Properties(), consumerStsRequestXml, false);
IDCardToOIOSAMLAssertionRequest stsRequest = factory.createIDCardToOIOSAMLAssertionRequestModelBuilder().build(consumerStsRequestDocument);

Det er nu muligt for en STS at se indholdet af requestet og på baggrund af indholdet vil en STS kunne bygge et response.

STS Response

Når consumeren modtager svaret fra STS, så skal det først indlæses i et W3C Document:

...

Her efter kan man hente OIO Saml sikkerhedsbilletten SAML Token ud, dekryptere den det og verificere attributterne:

Code Block
// Hent OIO Saml Assertion og dekrypter den: 
Element encryptedElement = consumerStsResponse.getEncryptedOIOSAMLAssertionElement();
Element element = EncryptionUtil.decryptAndDetach(encryptedElement, signingVault.getSystemCredentialPair().getPrivateKey());

// Verificer at det er en OIO Saml Assertion samt at værdierne for de to attributter AuthenticationLevel og Alternative Identifier er som forventet:
OIOSAMLAssertion assertionResponse = new OIOSAMLAssertion(element);
Assert.assertEquals("DK-SAML-2.0", assertionResponse.getSpecVersion());
Assert.assertEquals("3", assertionResponse.getAssuranceLevel());
Assert.assertEquals("http://audience.nspoop.dk/dds", assertionResponse.getAudienceRestriction());


Service Request

Det er pt. ikke muligt at opbygge service requests vha. Seal.Java for denne omveksling.

Service Response

Det er pt. ikke muligt at benytte Seal.Java til at modtage service responses for denne omveksling.

Komplet eksempel (incl. STS delen)


Code Block
collapsetrue
public class TestFactoryFlow {

    @Test
    public void testSosi2OIOSaml() {

        /**
         * Consumer sender request
         */

        // CredentialVault og Factory
        CredentialVault signingVault = new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Medarbejdercertifikat", "Kodeord til Medarbejdercertifikat");  
        OIOSAMLFactory factory = new OIOSAMLFactory();
       
        UserIDCard uidc = createUserIDCard(signingVault);

        final IDCardToOIOSAMLAssertionRequestDOMBuilder requestBuilder = factory.createIDCardToOIOSAMLAssertionRequestDOMBuilder();
        requestBuilder.setAudience("http://audience.nspoop.dk/dds");
        requestBuilder.setUserIDCard(uidc);
        Document consumerStsRequestDocument = requestBuilder.build();

        /**
         * Send request over netværk
         */
        String consumerStsRequestXml = XmlUtil.node2String(consumerStsRequestDocument, false, false);
        consumerStsRequestDocument = XmlUtil.readXml(new java.util.Properties(), consumerStsRequestXml, false);

        /**
         *  STS modtager request
         */
        IDCardToOIOSAMLAssertionRequest stsRequest = factory.createIDCardToOIOSAMLAssertionRequestModelBuilder().build(consumerStsRequestDocument);

        // Her vil STS'en verificere ID kortet. I dette eksempel verificeres følgende tre attributter:
        IDCard idCard = stsRequest.getUserIDCard();
        Assert.assertEquals("1.0.1", idCard.getVersion());
        Assert.assertEquals(AuthenticationLevel.MOCES_TRUSTED_USER, idCard.getAuthenticationLevel());
        Assert.assertEquals("AltIdentifierStr", idCard.getAlternativeIdentifier());

        /**
         *  STS bygger response
         */

        // Byg OIOSAMLAssertion
        OIOSAMLAssertionBuilder oiosamlAssertionBuilder = factory.createOIOSAMLAssertionBuilder();
        oiosamlAssertionBuilder.setAudienceRestriction("http://audience.nspoop.dk/dds");
        oiosamlAssertionBuilder.setRecipientURL("https://fmk");
        oiosamlAssertionBuilder.setIssuer("https://oio3bst-issuer.dk");
        oiosamlAssertionBuilder.setUserIdCard(uidc);
        oiosamlAssertionBuilder.setNotBefore(notBefore);
        oiosamlAssertionBuilder.setNotOnOrAfter(notOnOrAfter);
        oiosamlAssertionBuilder.setDeliveryNotOnOrAfter(d(10000L));
        oiosamlAssertionBuilder.setSigningVault(signingVault);
        OIOSAMLAssertion assertion = oiosamlAssertionBuilder.build();

        IDCardToOIOSAMLAssertionResponseDOMBuilder responseBuilder = factory.createIDCardToOIOSAMLAssertionResponseDOMBuilder();
        responseBuilder.setOIOSAMLAssertion(assertion);
        responseBuilder.setSigningVault(signingVault);
        responseBuilder.setEncryptionKey(signingVault.getSystemCredentialPair().getCertificate().getPublicKey());
        responseBuilder.setRelatesTo("relatesTo");
        responseBuilder.setContext("context");

        Document consumerStsResponseDocument = responseBuilder.build();

        /**
         *  Send response over netværk
         */
        String consumerStsResponseXml = XmlUtil.node2String(consumerStsResponseDocument, false, false);
        consumerStsResponseDocument = XmlUtil.readXml(new java.util.Properties(), consumerStsResponseXml, false);

        /**
         *  Consumer modtager response
         */
        IDCardToOIOSAMLAssertionResponse consumerStsResponse = factory.createIDCardToOIOSAMLAssertionResponseModelBuilder().build(consumerStsResponseDocument);
        consumerStsResponse.validateSignature();

        Element encryptedElement = consumerStsResponse.getEncryptedOIOSAMLAssertionElement();
        Element element = EncryptionUtil.decryptAndDetach(encryptedElement, signingVault.getSystemCredentialPair().getPrivateKey());

        OIOSAMLAssertion assertionResponse = new OIOSAMLAssertion(element);
        Assert.assertEquals("DK-SAML-2.0", assertionResponse.getSpecVersion());
        Assert.assertEquals("3", assertionResponse.getAssuranceLevel());
        Assert.assertEquals("http://audience.nspoop.dk/dds", assertionResponse.getAudienceRestriction());
    }
}

...