1. Indledning
Denne omveksling kan modtage et JSON Web Token og omveksle det til en NSP OIO IDWS sikkerhedsbillet.
Et JSON Web Token repæsentere en borger. Det udstedes af en Identity Provider (IdP). Det er muligt at opbygge et JSON Web Token vha. Seal.Java, men det er typisk kun til testformål. Et JSON Web Token kan valideres ved at kontrollere, at audience svarer til den modtager, det er udstedt til og at gyldighedsperioden ikke er udløbet. Signaturen kan valideres ved at benytte det signeringscertifikat der er indlejret i requestet.
Et NSP OIO IDWS Identity Token er en SAML 2.0 Assertion der repræsentere en borger. Det kan opbygges af Seal.Java og det vil typisk være en STS der gør dette i forbindelse med omveksling. Det kan benyttes ved borgerkald af NSP services. Et NSP OIO IDWS Identity Token kan valideres ved at kontrollere, at audience svarer til den modtager, det er udstedt til, at gyldighedsperioden ikke er udløbet, og at signaturen er gyldig. Signaturen for en SAML 2.0 Assertion valideres ved at benytte det indlejrede signeringscertifikat.
I det følgende vises nogle stykker kode der viser hvordan man som anvender skal bruge Seal.Java til denne omveksling.
Der findes et komplet eksempel (incl. STS omveksling) sidst på siden.
2. Eksempel
2.1. JWT Token
2.1.1. Læs JWT Token fra IdP
Et JWT Token der stammer fra en Identity Provider kan Seal.Java parse til en Jwt struktur indeholdende alle oplysninger fra JWT Token:
JWTToIdentityTokenRequest request = ...; String jwt = request.getJsonWebToken(); Jws<Claims> claimsJws = jwtParser.parseClaimsJws(jwt);
2.1.2. Opbyg JWT Token
Seal.Java kan anvendes til at opbygge et JWT Token. Dette vil typisk ske i forbindelse med test.
Først skal CredentialVaults sættes op og der skal lave en instans af den factory der kan håndtere JWT Tokens:
// CredentialVault og Factory CredentialVault signingVault = new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Medarbejdercertifikat", "Kodeord til Medarbejdercertifikat"); CredentialVault holderOfKeyVault = new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Holder of key certifikat", "Kodeord til Holder of key certifikat"); OIOSAMLFactory factory = new OIOSAMLFactory();
Et signeret JWT Token (JTP-H profil) opbygges vha. Seal.Java på denne måde:
String audience = "http://audience.nspoop.dk/dds";
String sub = "urn:dk:healthcare:eid:uuid:global:person:594f7fc0-30cf-4b83-8521-4d3f810b3107";
String acr = "https://data.gov.dk/concept/core/nsis/loa/Substantial";
String cpr = "1111901113";
JwtBuilder builder = Jwts.builder();
String jtph = builder.header()
.keyId("test_foces3_2027")
.and().claims()
.issuer("http://sts-tester")
.id(UUID.randomUUID().toString())
.audience().add(audience).and()
.issuedAt(notBefore)
.expiration(notOnOrAfter)
.subject(sub)
.add("scope", "clear sosi-sts ignoredScope")
.add("system_name", "MyTestSystem")
.add("auth_time", String.valueOf(notBefore))
.add("acr", acr)
.add("iss-policy", "urn:dk:sundhed:oidc:policy_strict")
.add("cpr", cpr)
.add("cpr_uuid", "594f7fc0-30cf-4b83-8521-4d3f810b3107")
.add("over_15", "true")
.and().signWith(SignatureAlgorithm.RS256, signingVault.getSystemCredentialPair().getPrivateKey())
.compact();
2.2. STS Request
Det samlede STS request med et JWT Token (JTP-H profil) opbygges på denne måde.
// JTW Token (JTP-H profil) findes i denne variabel: String jtph = .... JWTToIdentityTokenRequestDOMBuilder requestBuilder = factory.createJWTToIdentityTokenRequestDOMBuilder(); requestBuilder.setCPRNumberClaim(cpr); requestBuilder.setJWTToken(jtph); requestBuilder.setSigningVault(signingVault); requestBuilder.setAudience(audience); Document consumerStsRequestDocument = requestBuilder.build();
Når requestet sendes over netværket skal det konverteres til XML:
String consumerStsRequestXml = XmlUtil.node2String(consumerStsRequestDocument, false, false);
Nu vil en STS kunne modtage det og veksle det til et NSP OIO IDWS Identity Token. Eksempel på hvordan Seal.Java kan anvendes til denne omveksling findes her: Seal.Java 3 - Guide til anvendere (STS) - JSON Web token (JWT) til OIO IDWS token
2.2.1. Request som stream
En consumer vil typisk have et JWT Token som en stream der kan sendes direkte til en STS. Dette vil man selv kunne deserialisere hvis man vil se indholdet:
// Anvender har et XML dokument indeholdende JSON Web Token request:
String consumerStsRequestXml = "<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"
...
<soapenv:Body wsu:Id="body">
<wst:RequestSecurityToken Context="urn:uuid:2fe494b3-7e86-4b34-8bb5-172869244234">
<wst:TokenType>http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0</wst:TokenType>
<wst:RequestType>http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue</wst:RequestType>
<wst14:ActAs>
<wsse:BinarySecurityToken ValueType="urn:ietf:params:oauth:token-type:jwt">eyJraWQiOiJ0ZXN0X2ZvY2VzM18yMDI3IiwiYWxnIjoiUlMyNTYifQ.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.sZSfXzLyzxM_63T1ZGTExV47_ggvIN49aKvQI0af-98ZcVBb01I3N7MeRI3ZTf9NkfSMw3B8gFBMqB1Qoy3EDwfFzObvMNakcdDcRL0Dw-Eolg5XApNxrgxzny5fRSeU41zZtPhdGoXTc61yzeIAusmGDx6ZURePy0pE_ScatcGQAx5tFte-RV307NZcO4Smhpxj5EwhjTdOJG-Iz_ngxiJ9Ns8aEmmoYGXe6Zellpj464Eay9kxG0xdcL0KnieHsxyYxuYEpXmZU56d2bixxhlB5-lzZXTP64QUnkVfPtTS-4sXF6YdQ7CDh9xTbYP4PrHLg_YKr8owmRopLgIs2KUASROFw9qHqTmJNihZ3YeUr8DNUvd2O7C_bdFoJ1X3ffukU9i6lSsdW0kuq3frcTJdJAlQx-PaQaAX4ii0GZosTkOI2Fwx_DCSXcyfUAZJm0ug4QJVucbZ0QqG4GhXdiYgyqJc4Y2-FIpmKxWqAthRzJ1Oywg1KHAMiPfocp8L</wsse:BinarySecurityToken>
</wst14:ActAs>
<wsp:AppliesTo>
<wsa:EndpointReference>
<wsa:Address>http://audience.nspoop.dk/dds</wsa:Address>
</wsa:EndpointReference>
</wsp:AppliesTo>
<wst:Claims Dialect="http://docs.oasis-open.org/wsfed/authorization/200706/authclaims">
<auth:ClaimType Uri="dk:gov:saml:attribute:CprNumberIdentifier">
<auth:Value>1111901113</auth:Value>
</auth:ClaimType>
</wst:Claims>
</wst:RequestSecurityToken>
</soapenv:Body>
</soapenv:Envelope>";
Document requestDocument = XmlUtil.readXml(new Properties(), consumerStsRequestXml, false);
JWTToIdentityTokenRequest stsRequest = factory.createJWTToIdentityTokenRequestModelBuilder().build(requestDocument);
Værdien af BinarySecurityToken indeholder JWT Token og det kan parses her: https://www.jwt.io/. Hvis det er signeret med en private key kan signaturen valideres vha den tilhørende public key.
2.3. STS Response
Når consumeren modtager svaret fra STS, så skal det først indlæses i et W3C Document:
// Konverter XML svaret fra STS til Document Document consumerStsResponseDocument = XmlUtil.readXml(new java.util.Properties(), consumerStsResponseXml, false);
Man kan nu deserialisere svaret til et JWTToIdentityTokenResponse modelobjekt:
// Deserialiser STS svaret til modelobjekt JWTToIdentityTokenResponse consumerStsResponse = factory.createJWTToIdentityTokenResponseModelBuilder().build(consumerStsResponseDocument);
Her efter kan man hente NSP IDWS Identity Token ud og verificere attributterne:
// Hent Identity Token fra STS svar
IdentityToken identityTokenResponse = consumerStsResponse.getIdentityToken();
// Verificer at det er et IDWS Identity Token samt at værdierne for de to attributter AudienceRestriction og Cpr er som forventet:
Assert.assertEquals("DK-SAML-2.0", identityTokenResponse.getSpecVersion());
Assert.assertEquals("http://audience.nspoop.dk/dds", identityTokenResponse.getAudienceRestriction());
Assert.assertEquals(cpr, identityTokenResponse.getCpr());
2.4. Service Request
Når vi har STS svaret kan service requestet opbygges:
// Factory OIOSAMLFactory factory = new OIOSAMLFactory(); // Identity Token findes her: IdentityToken identityTokenResponse = ...; // serviceConsumerRequestDocument er et W3C Document indeholdende body-delen og den er ikke relevant her. LibertyRequestDOMEnhancer enhancer = factory.createRequestDOMEnhancer(serviceConsumerRequestDocument); enhancer.setIdentityToken(identityTokenResponse); enhancer.setWSAddressingMessageID(messageIdSupplier.get()); enhancer.setWSAddressingAction(soapAction); enhancer.enhanceAndSign();
Det samlede request kommer til at se sådan ud, hvor body delen her er tom:
2.5. Service Response
Seal.Java kan nu benyttes til at validere det samlede response fra servicen. Ved kald til en IDWS service kan man vha. kald til Seal.Java tjekke om svaret indeholder en fejl og evt. fejlbesked og fejlkode.
Eksempel på dette hvor vi antager at vi har svaret som et Document i variablen serviceConsumerResponseDocument:
Federation federation = new SOSITestFederation(new Properties());
OIOBootstrapToIdentityTokenResponse response = new OIOBootstrapToIdentityTokenResponseModelBuilder().build(serviceConsumerResponseDocument);
// Verify IDWS service response for errors
if (response.isFault()) {
log.error("Response error: " + response.getFaultString() + ", error code: " + response.getFaultCode());
return false;
}
// Validate IDWS service response
try {
response.validateSignature();
response.validateSignatureAndTrust(federation);
} catch (ModelBuildException e) {
log.error("Validation error: " + e.getMessage());
return false;
}
return true;
3. Komplet eksempel (incl. STS delen)