Page History
...
STS konfiguration
STS indeholder endvidere 4 6 tabeller med konfigurationsdata. Disse befinder sig på Backoffice og replikeres ud på de enkelte NSP-noder. Data vedligeholdes gennem separate changes:
Database | Skema | Tabel | Beskrivelse | Opdateringer | SQL |
---|---|---|---|---|---|
Backoffice (replikeret) | sts_audconf | audienceConfiguration | Indeholder konfiguration af borger-billetomveksling med angivelse af audiences, og adgang til disse. beskrevet nærmere i driftsvejledningen | Via changes | Konfigurabel i services.xml |
Backoffice (replikeret) | sts_audconf | iboConfig | Indeholder konfiguration af (Medarbejder) billet omveksling fra id-kort til OIOSaml token (sikker browseropstart). Beskrevet nærmere i driftsvejledningen. | Via changes | Konfigurabel i services.xml |
Backoffice (replikeret) | sts_audconf | roleDefinitions | Indeholder konfiguration af gyldige nationale roller (dvs. de SEB-roller der accepteres af STS, og hvorledes disse ser ud i id-kortet) | Via changes | Konfigurabel i services.xml |
Backoffice (replikeret) | sts_audconf | trustedCvr | Beskriver hvilke cvr-numre der har adgang til at anvende nationale roller, uden at få disse verificeret. | Via changes | Konfigurabel i services.xml |
sts databasebrugeren skal således have læs adgang til disse tabeller.
STS cache
STS indeholder indeholder endelig følgende to caches:
Backoffice (replikeret) | sts_audconf | trustedIdpConfiguration | Indeholder konfiguration af trusted idP'er til BST2SOSI billetomveksling. Beskrevet nærmere i driftsvejledningen. | Via changes | Konfigurabel i services.xml |
Backoffice (replikeret) | sts_audconf | trustedIdpCitizenConfiguration | Indeholder konfiguration af trusted idP'er til BST2IDWS billetomveksling. Beskrevet nærmere i driftsvejledningen. | Via changes | Konfigurabel i services.xml |
sts databasebrugeren skal således have læs adgang til disse tabeller.
STS cache
STS indeholder indeholder endelig følgende to caches:
1) en til mapningen fra SubjectSerialNumber til cpr 1) en til mapningen fra SubjectSerialNumber til cpr nummer for medarbejdere og borgere. Dvs. SubjectSerialNumber kan enten være et PID eller et cvr-rid.
...
TIMING; heri logges timing information, som nedbryder responstiden i de enkelt operationer. Denne funktion kan slåes er slået fra som default.
AUDIT; heri logges request og respose. Denne log indeholder hele requestet, hvori også certifikatet kan findes.
øvrigt logges til filen sts.log
...
• sts/config.xml
• sts/cvr-rid.xml
• sts/• sts/federation.xml
• sts/interface.xml
• sts/seal.xml
• sts/services.xml
• sts/timers.xml
• sts/uuid2cpr.xml
• sts/uuid-rid.xml
Tilpasning til produktion
...
Signerings certifikatet (STS’ens certifikat) skal ændres til produktions certifikatet - alternativt skal LUNA opsætning justeres.
CVR-RID og UUID2CPR konfigurationen skal tilpasses til produktionsmiljøer; der skal ikke længere refereres til PP test.
- Endpoints-check skal tilpasses produktions endpoint
I sealI federation.xml:sosiFederation skal SOSITestFederation ændres til SOSIFederation.
- I uuid2cpr.xml skal uuid2cprProxyClient tilpasses til at pege på en deployet version af STS-UUID2CPR-PROXY.
Adresser på eksterne endpoints skal tilrettes.
...
En række guides er opdaterede og bør offentliggøres, herunder anvenderguide, design og arkitektur, installations- og driftsvejledning. Guides under arosiis space bør gennemgås med henblik på at få opdateringer offentliggjort.
Opgradering til STS-2.7.8
Konfigurationsændringer
Filen uuid2cpr.xml er tilføjet, hvor konfiguration til ny UUID service er defineret.
I config.xml er der tilføjet følgende import:
Code Block | ||
---|---|---|
| ||
<import resource="uuid2cpr.xml"/> |
I log4j-sts.xml er timing log blevet disabled:
Code Block | ||
---|---|---|
| ||
<category name="STS.TIMING" additivity="false">
<priority value="OFF"/>
<appender-ref ref="TIMING"/>
</category> |
I services.xml er der tilføjet følgende beans:
Code Block | ||
---|---|---|
| ||
<bean id="userDataService" class="dk.sosi.sts.user.data.DbUserDataService">
<property name="dataSource" ref="sts.db"/>
<property name="sql" value="select * from sts_audconf.userData where cpr = ?" />
</bean>
<bean id="idpConfigService" class="dk.sosi.sts.idp.DBIdpConfigService">
<constructor-arg ref="sts.db"/> <!-- the dataSource used -->
<property name="selectByIssuer" value="SELECT attribute, attribute_value FROM sts_audconf.trustedIdpConfiguration WHERE issuer = ?" />
<property name="selectAllEncryptionKeys" value="SELECT attribute_value FROM sts_audconf.trustedIdpConfiguration WHERE attribute like 'encryptionKey%'" />
</bean>
<bean id="idpCitizenConfigService" class="dk.sosi.sts.idp.DBIdpConfigService">
<constructor-arg ref="sts.db"/> <!-- the dataSource used -->
<property name="selectByIssuer" value="SELECT attribute, attribute_value FROM sts_audconf.trustedIdpCitizenConfiguration WHERE issuer = ?" />
<property name="selectAllEncryptionKeys" value="SELECT attribute_value FROM sts_audconf.trustedIdpCitizenConfiguration WHERE attribute like 'encryptionKey%'" />
</bean>
<bean id="BST2SOSIRequestHandler" class="dk.sosi.sts.server.BST2SOSIRequestHandler" parent="abstractRequestHandler">
<property name="allowedDriftInSeconds" value="120"/> <!-- the number of seconds that the NemLogin IdP may drift from STS time -->
<property name="allowedAudience" value="https://sts.sosi.dk/"/>
<property name="fuzzyTime" value="300000"/> <!-- validity back in time for 5 minutes -->
<property name="idCardDuration" value="86400000"/> <!-- validity forward in time for 24 hours -->
<property name="userValidationService" ref="userValidationService" />
<property name="userDataService" ref="userDataService" />
<property name="idpConfigService" ref="idpConfigService" />
<property name="whitelistValidation" value="true" />
</bean> |
I services.xml har følgende beans fået nye properties:
Code Block | ||
---|---|---|
| ||
<bean id="nationalRolesService" class="dk.sosi.sts.roles.nationalroles.DbNationalRoleService">
...
<property name="uuidSql" value="select * from stamdata.nationalRoles where global_employee_uuid = ? and ValidFrom <= ? and (ValidTo is null or ValidTo > ?)" />
</bean>
<bean id="userValidationService" class="dk.sosi.sts.server.UserValidationService">
...
<constructor-arg ref="uuidService" />
</bean>
<bean name="nboConfiguration" class="dk.sosi.sts.server.NboConfig">
...
<property name="cprTrustCertificates">
<list>
...
<value>UI:DK-O:G:23550132-5e1f-4e43-a5f9-048acf49e0b8</value><!-- lokal IT test - OCES3 -->
</list>
</property>
</bean>
<bean id="bs2IdwsRequestHandler" class="dk.sosi.sts.server.Bootstrap2IdwsRequestHandler" parent="abstractRequestHandler">
...
<property name="idpConfigService" ref="idpCitizenConfigService" />
</bean>
<bean id="iboRequestHandler" class="dk.sosi.sts.server.IboRequestHandler" parent="abstractRequestHandler">
...
<property name="emptyAttributeValue" value="NONE"/>
</bean> |
Databaseændringer
I databasen sts_audconf er der sket følgende (se 04-create-audconf-db.sql):
- Tilføjet 2 nye tabeller: trustedIdpConfiguration, trustedIdpCitizenConfiguration (sts-databasebrugeren skal have læs-adgang til disse)
- Tilføjet kolonnen 'comment' til tabellen audienceConfiguration
OBS: Tabellen userData i sts_audconf simulerer det view der skal findes eller oprettes til opslag af fornavn og efternavn på CPR stamdata.
I databasen sts er der sket følgende (se 05-create-sts-localdb.sql):
- Tilføjet 2 nye tabeller: uuidcprhash, uuidcprcache (sts-databasebrugeren skal have læs- og skriv-adgang til disse)
Testdata
I databasen sts_audconf skal der ifm test tilføjes en ekstra tabel userData (se 04-create-audconf-db.sql) (sts-databasebrugeren skal have læs-adgang):
I databasen stamdata er der sket følgende (se 10-create-sdm-roles.sql):
- Tilføjet kolonnen 'global_employee_uuid' til tabellen nationalRoles
Følgende scripts til at indsætte testdata er blevet opdateret:
- 99-crl-testdata.sql
- 07-sts-testdata.sql
- 08-autreg-testdata.sql
- 11-sdm-roletestdata.sql
- 12-sts-roletestdata.sql
- 14-sts-testdata-trustedcvr.sql
- 17-sts-authorizationdata_nydata.sql
Følgende scripts til at indsætte testdata er blevet tilføjet:
- 19-sts-testdata.sql
- 20-sts-create-bst2sosi-testdata.sql
- 21-sts-create-bst2idws-testdata.sql
Andre ændringer
De to test keystores test-jwt-idp-trust.jks og test-new-nemLogin-idp.keystore er blevet opdateret.
Et nyt volume er blevet tilføjet til docker-compose.yml:
Code Block | ||
---|---|---|
| ||
services:
sts:
...
volumes:
- ../configuration/uuid2cpr.xml:/pack/wildfly8/standalone/configuration/sts/uuid2cpr.xml
... |
Opgradering til STS-2.8.1
Konfigurationsændringer
I services.xml er property 'uuidSql' blevet fjernet igen.
Databaseændringer
De opdaterede og nye sql scripts fra STS-2.7.8 er blevet erstattet af:
- 19-sts-trustedidpconfiguration.sql
- 20-sts-update-audconf.sql
- 21-sts-uuidcpr.sql
- 22-sts-testdata.sql
- 23-sdm-testdata.sql (kun til lokal test)
- 24-sts-testdata.sql
- 25-sts-create-bst2sosi-testdata.sql
- 26-sts-create-bst2idws-testdata.sql
Opgradering til STS-2.8.2
Konfigurationsændringer
Der er foretaget en oprydning af beans i uuid2cpr.xml
Databaseændringer
OCES3 specifikke testdata er blevet flyttet fra 23-sdm-testdata.sql til 27-sdm-testdata-oces3.sql
Opgradering til STS-2.8.12
Konfigurationsændringer
Der er tilføjet en konfigurationsfil, federation.xml. Filen indeholder en bean, sosiFederation, som tidligere lå i seal.xml.
Databaseændringer
Ingen.
Opgradering til STS-2.8.20
Konfigurationsændringer
Der er tilføjet en konfigurationsfil, uuid-rid.xml, til opsætning af den nye uuid-rid service.
config.xml er opdateret, så den importerer uuid-rid.xml
Konfiguration af uuid2cprProxyClient er blevet samlet i uuid2cpr.xml. Det medfører også en ændring i cvr-rid.xml.
services.xml er opdateret, så nationalRolesService benytter den nye uuid-rid service.
Databaseændringer
Følgende script indsætter ny tabel til caching af uuid-rid relationer:
- 42-sts-uuidrid.sql
Følgende scripts indsætter nyt testdata:
- 43-sdm-testdata.sql (kun til lokal test)
- 44-sts-insert-userdata.sql
Andre ændringer
Et nyt volume er blevet tilføjet til docker-compose.yml:
Code Block | ||
---|---|---|
| ||
services: sts: ... volumes: - ../configuration/uuid-rid.xml:/pack/wildfly8/standalone/configuration/sts/uuid-rid.xml ... |