Versions Compared

Old Version 32

changes.mady.by.user Eva Troels

Saved on

compared with

New Version 33

changes.mady.by.user Eva Troels

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Anvendelse: Medarbejderomveksling

STS indeholder to services til brug for medarbejderomveksling. Det drejer sig om en service, der kan veksle et Bruger SOSI Idkort til en OIO SAML billet, og en service der veksler den anden fejl fra OIO SAML billet til Bruger SOSI Idkort.

Som det blev beskrevet i forgående afsnit er formålet med at anskaffe et Bruger SOSI Idkort at få adgang til en eller flere NSP DGWS Services.

Formålet med at fremskaffe en OIO SAML billet vil typisk være at foretage kald i NemLogin føderationen, som kræver OIO SAML billet. Dette kunne f.eks. være at opnå en "sikker browser opstart" for en sundhedsfaglig bruger til sundhed.dk.

Flowet for SOSI Idkort til OIO SAML er vist i diagrammet nedenfor:

Gliffy Diagram
displayNamemedarbejder-sosi-oiosaml-veksling
namemedarbejder-sosi-oiosaml-veksling
pagePin5

Pilene på tegningen viser følgende flow:

  1. Anvendersystemet er i besiddelse af et Bruger SOSI Idkort for en given medarbejder. Dette Idkort sendes i en forespørgsel til STS på omvekslingsendpointet. Som en den af forespørgslen angives et audience (dvs en tiltænkt anvendelse af den udstedte billet).
  2. STS validerer det indgående SOSI Idkort dvs at det pågældende kort ikke er udløbet, at det er udstedt af en troværdig udsteder (i praksis STS selv) samt at ingen af de anvendte certfikater i forespørgslen er at finde på de publicerede certifikatspærrelister (CRL). Derudover tjekkes det ønskede audience op i mod STS'ens egen konfiguration. STS arbejder med at konfigureret sæt af lovlige audiences, og det forespurgte audience må være blandt disse.
  3. Hvis forespørgslen er i orden danner STS en OIO SAML billet og underskriver den med sit eget certifikat.
  4. Den udstedte OIO SAML billet sendes tilbage til anvendersystemet
  5. Anvendersystemet kan nu anvende den udstedte billet til at aktivere services i NemLogin føderationen. I det viste eksempel giver den udstedte billet adgang for medarbejderen til sundhed.dk ved hjælp af en sikker browser opstart.

Den anden type medarbejderomveksling veksler fra en gyldig OIO SAML billet til et Bruger SOSI Idkort. Flowet er illustreret i diagrammet nedenfor.




Anvendelse: Borgeromveksling

...

Omveksling til OIO SAML sikkerhedsbillet minder i formål og flow om det, som blev beskrevet under Medarbejderomveksling. Der henvises til STS - Borger-billetomveksling for yderligere detaljer. Forskellen i borgeromvekslingen til OIO SAML er at inputbilletten til omvekslingen er et JWT. JWT tokenet skal være udstedt af en TODO, som STS'en stoler på f.eks. loginbrokeren, der anvendes i forbindelse med MinLæge app'en.

Den anden type af borgeromvekslinger veksler til OIO IDWS sikkerhedsbillet. Formålet med denne omveksling er at gøre det muligt for anvendere at tilgå borgerrettede IDWS services på National Service Platform f.eks. MinSpærring, Dokumentdelingsservice (DDS) eller Minlog2.

Anvendernes interaktion med STS i forbindelse med udstedelse af SOSI Idkort er fælles i begge tilfældeborgeromveksling til OIO IDWS sikkerhedsbillet :

Adgang til STS

Når en anvender skal i gang med at bruge STS på NSP skal følgende være på plads:

...