Da web facaden benytter sig af oiosaml fra digitaliseringsstyrelsen hvilket kræver selvstændige konfigurationsfiler skal disse være tilgængelig i oiosaml.home under deployment - oiosaml.home sættes med JAVA_OPTS i compose filerne og er sat til /pack/oiosaml.
OIOSAML konfigurationsfiler er miljøspecifikke.
Der findes i filerne under "compose/configuration/oiosaml" i kildekoden konfigurationer for development / test1 / test2. Disse Metadata for disse installationer skal være registreret hos SEB.
Konfigurationsfiler | |
|---|---|
oiosaml-sp.log4j.xml | lndeholder Log4j opsætninger der følger gængs standard på NSP. |
| oiosaml-sp.properties | # Properties used by oiosaml-j oiosaml-sp.certificate.location
|
| Sundhedsdatastyrelsen_Test_NADM.p12 | JKS fil indeholdende Sundhedsdatastyrelsen NADM funktionscertifikat certifikatet skal registreres hos SEB. Skal være samme navn som oiosaml-sp.certificate.location i oiosaml-sp.properties |
| metadata/idP/IdPMetadata.xml | IdP metadata for trustede IdPer. Det vil i nuværende form kun være SEB. Metadata for SEB IdPen kan hentes fra TEST :https://t-seblogin.nsi.dk/runtime/saml2/metadata.idp PROD: https://seblogin.nsi.dk/runtime/saml2/metadata.idp |
| metadata/SP/SPMetadata.xml | Service Provider metadata (SAML MetaData for denne komponent) svarende til det som er registreret ved SEB |
Hele oiosaml konfigurationsmappen skal udskiftes til de forskellige miljøer. Så fx for localhost og test1 ser mapning således ud:
-../configuration/oiosaml/localhost-development-standalone:/pack/oiosaml # localhost-../configuration/oiosaml/test1:/pack/oiosaml # test1
Den officielle dokumentation for OIOSAML.java kan findes på https://github.com/digst/OIOSAML.Java/tree/release/oiosaml2/docs.
I følgende afsnit beskrives udvalgte dele af denne konfiguration som forventeligt skal opdateres, når et nyt miljø skal konfigureres op trin for trin.
Under oiosaml.home/certificate/ ligges et keystore indeholdende det certifikat, som skal bruges til at signere OIOSAML Requests.
Under metadata/SP ligges en Service provider metadata xml fil overholdende SAML specifikationen.
Der kan med fordel tages udgangspunkt i eksisterende SPMetadata hvor følgende attributter ændres.
Denne fil bliver i nedenstående trin registreret hos SEB.
EntityID - unik identifier hos SEB
Miljø | EntityID |
|---|---|
| DEV | http://saml.dev/nadm |
| PROD | https://saml.nadm.insp.nspop.dk |
| TEST1 | https://saml.nadm-test1.nspop.dk |
| TEST2 | https://saml.nadm-test2.nspop.dk |
| STAGING | https://saml.nadm-stage.nspop.dk |
X509Certificate - Certifikat fra ovenstående trin
Opdatering af service endpoints - FQDN til SAML-filterets endpoints. Det er HOST + PORT fra tidligere registreringer der skal opdateres.
Opdatering af kontakt person
Den endelige fil kan valideres med https://www.samltool.com/validate_xml.php
I metadata/idP/ skal en metadata xml-fil for samtlige trusted IdPer ligges. Hvis entityId eller Certikat for disse IdP opdateres, skal dette afspejles i denne konfiguration.
EntityId skal matche det entityId som skrives SAML tokens, som udstedes af denne IdP.
Idp Metadata for seb kan hentes på
https://t-seblogin.nsi.dk/runtime/saml2/metadata.idp (test)
https://seblogin.nsi.dk/runtime/saml2/metadata.idp (prod)
Opdatering af properties. De fleste properties for sikkerhedsniveau er konstante, men der skal tjekkes om relative sti til keystore, keystore password og SPMetadata fil navn passer.
SPMetadata (xml fil fra ovenstående trin) filen sendes til seb-metadata-koordinator@lakeside.dk med en beskrivelse af, projektet samt miljø.