1. Indledning

Denne omveksling kan modtage et DGWS ID kort (system eller medarbejder) udstedt af et anvendersystem og returnere et system DGWS ID kort der kan anvendes til at kalde en NSP service. ID kortet skal være signerer med enten et virksomhedscertifikat eller medarbejdercertifikat udstedt af CA rodcertifikatet i den fællesoffentlige føderation.

Et DGWS ID kort er en sikkerhedsbillet der overholder DGWS standarden. DGWS står for Den Gode WebService og er en SOAP-webservice profil, der fastlægger standarder for autentifikation og kommunikation af fælles sundhedsfaglige oplysninger mellem sundhedssektorens parter. Den gør det muligt at kommunikere personhenførbare sundhedsoplysninger på en sikker og fleksibel måde.

Et system DGWS ID kort er angivet til at have sikkerhedsniveau 3 og det er signeret med et VOCES OCES3 certifikat.

Et medarbejder DGWS ID kort er angivet til at have sikkerhedsniveau 4 og det er signeret med et MOCES OCES3 certifikat.

I det følgende vises nogle stykker kode der viser hvordan man som anvender skal bruge Seal.Java til denne omveksling. 

Der findes et komplet eksempel (incl. STS omveksling) sidst på siden der virker uden at det kræver tilretning.

2. Eksempel

2.1. DGWS ID kort

2.1.1.  Læs DGWS ID kort fra anvender

Et NSP DGWS ID kort der stammer fra en anvender og er repræsenteret som et XML dokument (requestXML) kan Seal.Java parse til et IDCard objekt på følgende måde:

String requestXML = "...";

SecurityTokenRequest request = sosiFactory.deserializeSecurityTokenRequest(requestXML);
IDCard idCard = request.getIDCard();

Hvor det modtagne request er indlæst i variablen request og er af typen SecurityTokenRequest.

2.1.2. Opbyg DGWS ID kort

Seal.Java kan anvendes til at opbygge et NSP DGWS ID kort. Dette vil typisk ske i forbindelse med test.

Først skal CredentialVaults sættes op og der skal lave en instans af den factory der kan håndtere DGWS:

// CredentialVault og Factory
CredentialVault signingVault = new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Virksomhedscertifikat", "Kodeord til Virksomhedscertifikat");
SOSIFactory factory = new SOSIFactory(signingVault, new java.util.Properties());

Et signeret DGWS ID kort (niveau 3) opbygges vha. Seal.Java på denne måde:

CareProvider careProvider = new CareProvider(SubjectIdentifierTypeValues.CVR_NUMBER, "33257872", "Sundhedsdatastyrelsen");

SystemIDCard systemIDCard = factory.createNewSystemIDCard(
                									"SOSITEST",
									                careProvider,
									                AuthenticationLevel.VOCES_TRUSTED_SYSTEM,
									                null,
									                null,
									                signingVault.getSystemCredentialPair().getCertificate(),
									                "AltIdentifierStr");

2.2. STS Request

Det samlede STS request indeholdende et signeret DGWS ID kort (niveau 3) opbygges op denne måde:

// DGWS ID kort findes i denne variabel:
SystemIDCard systemIDCard = ...

SecurityTokenRequest consumerStsRequest = factory.createNewSecurityTokenRequest();
consumerStsRequest.setIDCard(systemIDCard);

Document consumerStsRequestDocument = consumerStsRequest.serialize2DOMDocument();

Når requestet sendes over netværket skal det konverteres til XML:

String consumerStsRequestXml = XmlUtil.node2String(consumerStsRequestDocument, false, false);

Nu vil en STS kunne modtage det og veksle det til et DGWS ID kort. Eksempel på hvordan Seal.Java kan anvendes til denne omveksling findes her: Seal.Java 3 - Guide til anvendere (STS) - DGWS ID kort (system og bruger)

2.3. STS Response

Man kan nu deserialisere XML dokumentet der kommer fra STS til et SecurityTokenResponse objekt.  

SecurityTokenResponse consumerStsResponse = factory.deserializeSecurityTokenResponse(consumerStsResponseXml);

Her efter kan man hente ID kortet ud og verificere attributterne:

IDCard idCardResponse = consumerStsResponse.getIDCard();

// Verificer at det er et DGWS ID kort token samt at værdierne for de to attributter AuthenticationLevel og Alternative Identifier er som forventet:
Assert.assertEquals("1.0.1", idCardResponse.getVersion());
Assert.assertEquals(AuthenticationLevel.VOCES_TRUSTED_SYSTEM, idCardResponse.getAuthenticationLevel());
Assert.assertEquals("AltIdentifierStr", idCardResponse.getAlternativeIdentifier());


2.4. Service Request

Når vi har STS svaret kan service requestet opbygges:

// CredentialVault og Factory
CredentialVault signingVault = new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Virksomhedscertifikat", "Kodeord til Virksomhedscertifikat");
SOSIFactory sosiFactory = new SOSIFactory(signingVault, new java.util.Properties());

Request serviceConsumerRequest = sosiFactory.createNewRequest(false, UUID.randomUUID().toString());
serviceConsumerRequest.setMessageID(messageIdSupplier.get());
serviceConsumerRequest.setIDCard(userIDCard);
serviceConsumerRequest.setBody(body);

Document serviceConsumerRequestDocument = serviceConsumerRequest.serialize2DOMDocument();

Det samlede request kommer til at se sådan ud, hvor body delen her er tom:

<?xml version="1.0" encoding="UTF-8"?>
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"
    xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
    xmlns:medcom="http://www.medcom.dk/dgws/2006/04/dgws-1.0.xsd"
    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
    xmlns:sosi="http://www.sosi.dk/sosi/2006/04/sosi-1.0.xsd"
    xmlns:wsa="http://schemas.xmlsoap.org/ws/2004/08/addressing"
    xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"
    xmlns:wst="http://schemas.xmlsoap.org/ws/2005/02/trust"
    xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
    xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" id="Envelope">
    <soapenv:Header>
        <wsse:Security>
            <wsu:Timestamp>
                <wsu:Created>2025-09-30T06:44:14Z</wsu:Created>
            </wsu:Timestamp>
            <saml:Assertion IssueInstant="2025-09-30T06:39:14Z" Version="2.0" id="IDCard">
                <saml:Issuer>TEST1-NSP-STS</saml:Issuer>
                <saml:Subject>
                    <saml:NameID Format="medcom:other">SubjectDN={C=DK, OID.2.5.4.97=NTRDK-33257872,
                        O=Sundhedsdatastyrelsen,
                        SERIALNUMBER=UI:DK-O:G:fff1a408-5a41-43ae-8db0-5350e0b595a1, CN=SDS
                        Systemcertifikat til DRG},IssuerDN={C=DK, O=Den Danske Stat, OU=Test - cti,
                        CN=Den Danske Stat OCES udstedende-CA
                        1},CertSerial={134832822292620880796002513376339840043054648357}</saml:NameID>
                    <saml:SubjectConfirmation>
                        <saml:ConfirmationMethod>urn:oasis:names:tc:SAML:2.0:cm:holder-of-key</saml:ConfirmationMethod>
                        <saml:SubjectConfirmationData>
                            <ds:KeyInfo>
                                <ds:KeyName>OCESSignature</ds:KeyName>
                            </ds:KeyInfo>
                        </saml:SubjectConfirmationData>
                    </saml:SubjectConfirmation>
                </saml:Subject>
                <saml:Conditions NotBefore="2025-09-30T06:39:14Z"
                    NotOnOrAfter="2025-10-01T06:39:14Z" />
                <saml:AttributeStatement id="IDCardData">
                    <saml:Attribute Name="sosi:IDCardID">
                        <saml:AttributeValue>mukI+LVaIvIPJb29vpFbrQ==</saml:AttributeValue>
                    </saml:Attribute>
                    <saml:Attribute Name="sosi:IDCardVersion">
                        <saml:AttributeValue>1.0.1</saml:AttributeValue>
                    </saml:Attribute>
                    <saml:Attribute Name="sosi:IDCardType">
                        <saml:AttributeValue>system</saml:AttributeValue>
                    </saml:Attribute>
                    <saml:Attribute Name="sosi:AuthenticationLevel">
                        <saml:AttributeValue>3</saml:AttributeValue>
                    </saml:Attribute>
                    <saml:Attribute Name="sosi:OCESCertHash">
                        <saml:AttributeValue>1d5rft55h9iJusVQMdzEU5/tE4U=</saml:AttributeValue>
                    </saml:Attribute>
                </saml:AttributeStatement>
                <saml:AttributeStatement id="SystemLog">
                    <saml:Attribute Name="medcom:ITSystemName">
                        <saml:AttributeValue>DRG</saml:AttributeValue>
                    </saml:Attribute>
                    <saml:Attribute Name="medcom:CareProviderID" NameFormat="medcom:cvrnumber">
                        <saml:AttributeValue>33257872</saml:AttributeValue>
                    </saml:Attribute>
                    <saml:Attribute Name="medcom:CareProviderName">
                        <saml:AttributeValue>Sundhedsdatastyrelsen</saml:AttributeValue>
                    </saml:Attribute>
                </saml:AttributeStatement>
                <ds:Signature id="OCESSignature">
                    <ds:SignedInfo>
                        <ds:CanonicalizationMethod
                            Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
                        <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
                        <ds:Reference URI="#IDCard">
                            <ds:Transforms>
                                <ds:Transform
                                    Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
                                <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
                            </ds:Transforms>
                            <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
                            <ds:DigestValue>y7BE6ZXEsgYBYe3klCB8ttghHg8=</ds:DigestValue>
                        </ds:Reference>
                    </ds:SignedInfo>
                    <ds:SignatureValue>
                        aBabhIvkpgwUxXYvG1UZpio524FUb4jLkLG3cojFmPqxSoP2lWnNXNrxVz0w4YxaYlnbdQePmbHVG+B88lbp26eggorXRo7y4rjJeiLJaTuMjzgLbr1Azoanunf61RKzxAX7dIWwD79RNPNwSF9/jPdIXUnBkK3lk87zBSBz+zTNltjtlmfhuwTwMejO8JZAW3afRrj8u72zWPCBkCqe6RhdiN9dkBn/ac7kWiAIva2gz9aB0X0aVpyY0a3dbfsYcJSEGyeqYZmnpF0Y7NYIUfsv6kUZcXugv23KYN1xbTT5v7oC0QeEDbHw2ueyr0+e7SqDLDGqbrcRTzoJOL2K3Y7yxAp0pYrUuB7a/yOmtRgDAgZgfC1SIBIui2iNADe+w9z5YpcdUadxENA8c6Z3Kx2nupiDYpLmoiwyLXva2MLCmxamtwF/M25Q0HhRtH16VXXCJSpaD/W1eSzeOBqOKZqfxay8x8LP3msRY51T9MchRtESnvUcjc3zIO646hsH</ds:SignatureValue>
                    <ds:KeyInfo>
                        <ds:X509Data>
                            <ds:X509Certificate>
                                MIIGiDCCBLygAwIBAgIUR5IfpZdXnxp/UHxA0KWAcKzWcm4wQQYJKoZIhvcNAQEKMDSgDzANBglghkgBZQMEAgEFAKEcMBoGCSqGSIb3DQEBCDANBglghkgBZQMEAgEFAKIDAgEgMGsxLTArBgNVBAMMJERlbiBEYW5za2UgU3RhdCBPQ0VTIHVkc3RlZGVuZGUtQ0EgMTETMBEGA1UECwwKVGVzdCAtIGN0aTEYMBYGA1UECgwPRGVuIERhbnNrZSBTdGF0MQswCQYDVQQGEwJESzAeFw0yMzA1MTIxMTIzMDFaFw0yNjA1MTExMTIzMDBaMIGeMR0wGwYDVQQDDBRTT1NJIFRlc3QgRmVkZXJhdGlvbjE3MDUGA1UEBRMuVUk6REstTzpHOjU4ZjEwNDNkLTNkMmYtNGRlZC1hYjUwLTk0MGRiNDc3NmExODEeMBwGA1UECgwVU3VuZGhlZHNkYXRhc3R5cmVsc2VuMRcwFQYDVQRhDA5OVFJESy0zMzI1Nzg3MjELMAkGA1UEBhMCREswggGiMA0GCSqGSIb3DQEBAQUAA4IBjwAwggGKAoIBgQCDqOcDXr2tsBXp3QqYpoZCyJAJQ4+rEtmOLJL/Qyol+5e2NyBOqIGdpXdcSI6hCTYEQu/67EDFRcO9yU6yD/u7xOcy+t3eCqx1ydOy20AZCdcKwRmxBzyQN5er+mBErG2+iprTWJdpwCw0mwjNt5edusm7Nwufk0AkN5nxvEEynwesTdTqgLzL99Jk1zdg0uokROg1s13CCvpenYks8+yXwgddO/36WmUn9V8N+1MIu+UpwsULB9zsNCU8qlDzlgg1u6nr8nnKTBBwT2mXl4xCOF2EEJF5lGUaJ+NOu/ljI2WN2pEUsiqpZPvsI14teJKucH4zCV2y7PhyCBacuti7rEZjuZ6ELeTiUvgs+TqqTFGn3dxCq6FOgz5z5N2ypPTPzg/ntBH0CqkjFn+loh5GIBcA8ff5AHNjqM3Ygu/u1p+BwszeGJLAwk0AUtp67aB4QBGuh73vWsaeERwg4Hc1HeNldv/I4iyMQFlp1qsZoAC6cApeoM6umihYcTfi7rMCAwEAAaOCAYYwggGCMAwGA1UdEwEB/wQCMAAwHwYDVR0jBBgwFoAUfyif2XGZQuJ159c1di5NCCVtdl4wewYIKwYBBQUHAQEEbzBtMEMGCCsGAQUFBzAChjdodHRwOi8vY2ExLmN0aS1nb3YuZGsvb2Nlcy9pc3N1aW5nLzEvY2FjZXJ0L2lzc3VpbmcuY2VyMCYGCCsGAQUFBzABhhpodHRwOi8vY2ExLmN0aS1nb3YuZGsvb2NzcDAhBgNVHSAEGjAYMAgGBgQAj3oBATAMBgoqgVCBKQEBAQMHMDsGCCsGAQUFBwEDBC8wLTArBggrBgEFBQcLAjAfBgcEAIvsSQECMBSGEmh0dHBzOi8vdWlkLmdvdi5kazBFBgNVHR8EPjA8MDqgOKA2hjRodHRwOi8vY2ExLmN0aS1nb3YuZGsvb2Nlcy9pc3N1aW5nLzEvY3JsL2lzc3VpbmcuY3JsMB0GA1UdDgQWBBQoPAINYQR2GfgN1KAQMauutePL6jAOBgNVHQ8BAf8EBAMCBaAwQQYJKoZIhvcNAQEKMDSgDzANBglghkgBZQMEAgEFAKEcMBoGCSqGSIb3DQEBCDANBglghkgBZQMEAgEFAKIDAgEgA4IBgQC31Dtgc8+hxB0v+/RL1N3SsyfIxKNVJBhkl2Rfihn700Or5E+0ETyP8mV8MadraDBDYbwMkd3TNOzuF6Ct8c4X5mv+XKr8m0eDPlh7I7mMZ5zzpVw5Co4Wiwwiv9Hb59P/c182FaSPAA1bpmko9AH+duPcquiQELoSRfqW23B2cejACd95XbyXQVFdbCdhyCGAexbJ4egChJsXPU2zAOXq1/pa5bNSmJMsJgqP36bTbA6r+mjv0FArkrL76W1kmchpj6F4tSuDaaJlUmKvmzzBomwhlQRr/vxZc0FOamnJ8is9wC49tOaEMUx2l2iSWZKXMh4C6LQC8hQsjiXnYsERAWgeqwzqtVE3iKaGhOv+W7ECKFndGjYM95bdVK8x9BymTrPun63BCiVGqhMzsEc2RkvbKgBpb7L+Ont0EAahwcTshBzfe0jhA2thWHNGFxXpNqI0ZaAo/NKJpHK3I0EACAB0/VjiQZ/inSKtPnof1/nQZ32QWX3ij0VkX2mE2Pw=</ds:X509Certificate>
                        </ds:X509Data>
                    </ds:KeyInfo>
                </ds:Signature>
            </saml:Assertion>
        </wsse:Security>
        <medcom:Header>
            <medcom:SecurityLevel>3</medcom:SecurityLevel>
            <medcom:Linking>
                <medcom:FlowID>38e27e90-7642-409b-aa07-54efadc6bf7a</medcom:FlowID>
                <medcom:MessageID>AAABmZldU5K/DV5L7XFqwVNPU0k=</medcom:MessageID>
            </medcom:Linking>
            <medcom:RequireNonRepudiationReceipt>no</medcom:RequireNonRepudiationReceipt>
        </medcom:Header>
    </soapenv:Header>
    <soapenv:Body>
       ...
    </soapenv:Body>
</soapenv:Envelope>

Bemærk man kan se det er et DGWS request ud fra SAML attributten "IDCardVersion" der har værdien "1.0.1". 

Man kan også se det er et system ID kort ud fra SAML attributten "AuthenticationLevel" når den har værdien "3".

Service requestet kan nu sendes til servicen over netværket:

// Konverter til XML så det kan sendes over netværket
String serviceConsumerRequestXml = XmlUtil.node2String(serviceConsumerRequestDocument, false, true);


2.5. Service Response

Seal.Java kan nu benyttes til at validere det samlede response fra servicen. Ved kald til en DGWS service kan man vha. kald til Seal.Java tjekke om svaret indeholder en fejl og evt. fejlbesked og fejlkode.

Eksempel på dette hvor vi antager at vi har svaret som XML streng i variablen serviceConsumerResponseXml:

// CredentialVault og Factory
CredentialVault signingVault = new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Virksomhedscertifikat", "Kodeord til Virksomhedscertifikat");
SOSIFactory sosiFactory = new SOSIFactory(signingVault, new java.util.Properties());

Reply reply = sosiFactory.deserializeReply(serviceConsumerResponseXml);

// Verify DGWS service response for errors
if (reply.isFault()) {
   log.error("Response error: " + reply.getFaultString() + ", error code: " + reply.getFaultCode());
   return false;
}
return true;


3. Komplet eksempel (incl. STS delen)


public class TestFactoryFlow {

    @Test
    public void testNewSecurityTokenService() {

        /**
         * Consumer sender request
         *
         */

        // CredentialVault og Factory
        CredentialVault signingVault = new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Virksomhedscertifikat", "Kodeord til Virksomhedscertifikat");
        SOSIFactory factory = new SOSIFactory(signingVault, new java.util.Properties());

        // System ID kort
        CareProvider careProvider = new CareProvider(SubjectIdentifierTypeValues.CVR_NUMBER, "33257872", "Sundhedsdatastyrelsen");
 
        SystemIDCard systemIDCard = factory.createNewSystemIDCard(
                									"SOSITEST",
									                careProvider,
									                AuthenticationLevel.VOCES_TRUSTED_SYSTEM,
									                null,
									                null,
									                signingVault.getSystemCredentialPair().getCertificate(),
									                "AltIdentifierStr");
        // Byg STS request
        SecurityTokenRequest consumerStsRequest = factory.createNewSecurityTokenRequest();
        consumerStsRequest.setIDCard(systemIDCard);

        // Endelig STS request
        Document consumerStsRequestDocument = consumerStsRequest.serialize2DOMDocument();

        /**
         * Send request over netværk
         */
        String consumerStsRequestXml = XmlUtil.node2String(consumerStsRequestDocument, false, false);

        /**
         *  STS modtager request
         */
        SecurityTokenRequest stsRequest = factory.deserializeSecurityTokenRequest(consumerStsRequestXml);

        // Her vil STS'en validere ID kortet:
        IDCard idCard = stsRequest.getIDCard();
        idCard.validateSignature();
        idCard.validateSignatureAndTrust(signingVault);

        // I dette eksempel verificeres følgende tre attributter:
        Assert.assertEquals("1.0.1", idCard.getVersion());
        Assert.assertEquals(AuthenticationLevel.VOCES_TRUSTED_SYSTEM, idCard.getAuthenticationLevel());
        Assert.assertEquals("AltIdentifierStr", idCard.getAlternativeIdentifier());

        /**
         *  STS bygger response
         */
        SecurityTokenResponse stsResponse = factory.createNewSecurityTokenResponse(stsRequest);
        stsResponse.setIDCard(idCard);

        Document consumerStsResponseDocument = XmlUtil.createEmptyDocument();
        stsResponse.serialize2DOMDocument(consumerStsResponseDocument);

        /**
         *  Send response over netværk
         */
        String consumerStsResponseXml = XmlUtil.node2String(consumerStsResponseDocument, false, false);

        /**
         *  Consumer modtager response
         */
        SecurityTokenResponse consumerStsResponse = factory.deserializeSecurityTokenResponse(consumerStsResponseXml);

        // Verify ID card
        IDCard idCardResponse = consumerStsResponse.getIDCard();

        if (!systemIDCard.isValidInTime()) {
            throw new RuntimeException("Invalid DGWS Token");
        }

        Assert.assertEquals("1.0.1", idCardResponse.getVersion());
        Assert.assertEquals(AuthenticationLevel.VOCES_TRUSTED_SYSTEM, idCardResponse.getAuthenticationLevel());
        Assert.assertEquals("AltIdentifierStr", idCardResponse.getAlternativeIdentifier());
    }
}


  • No labels