Indledning

Denne omveksling kan modtage et medarbejder DGWS ID kort udstedt af et anvendersystem og returnere en OIO Saml sikkerhedsbillet.

Et medarbejder DGWS ID kort er en sikkerhedsbillet der overholder DGWS standarden. DGWS står for Den Gode WebService og er en SOAP-webservice profil, der fastlægger standarder for autentifikation og kommunikation af fælles sundhedsfaglige
oplysninger mellem sundhedssektorens parter. Den gør det muligt at kommunikere personhenførbare sundhedsoplysninger på en sikker og fleksibel måde. Et medarbejder DGWS ID kort er angivet til at have sikkerhedsniveau 4 og det er signeret med et MOCES OCES3 certifikat.

Det samlede request der sendes til en STS er signeret af en troværdig tredjepart.

En OIO Saml sikkerhedsbillet er en Saml 2.0 Assertion der repræsentere en medarbejder.

I det følgende vises nogle stykker kode der viser hvordan man som anvender skal bruge Seal.Java til denne omveksling. 

Der findes et komplet eksempel (incl. STS omveksling) sidst på siden.

Eksempel

DGWS ID kort

2.1.1.  Læs medarbejder DGWS ID kort fra anvender

Et medarbeder DGWS ID kort der stammer fra en anvender kan Seal.Java parse til et IDCard objekt på følgende måde:

IDCard idCard = request.getIDCard();

Hvor det modtagne request er indlæst i variablen request og er af typen SecurityTokenRequest.

2.1.2. Opbyg DGWS ID kort

Seal.Java kan anvendes til at opbygge et medarbejder DGWS ID kort. Dette vil typisk ske i forbindelse med test.

Først skal CredentialVaults sættes op og der skal lave en instans af den factory der kan håndtere DGWS:

// CredentialVault og Factory CredentialVault signingVault = new ClasspathCredentialVault(null, "Filnavn på PKCS#12 Medarbejdercertifikat", "Kodeord til Medarbejdercertifikat"); 
SOSIFactory factory = new SOSIFactory(signingVault, new java.util.Properties());

Et signeret medarbejder DGWS ID kort (niveau 4) opbygges vha. Seal.Java på denne måde:

CareProvider careProvider = new CareProvider("medcom:cvrnumber", "20688092", "Lægehuset på bakken");

UserInfo userInfo = new UserInfo("2702681273", "Jens Sundbye", "Poulsen", "jens@email.dk", "overlæge", "7170", "004PT");

UserIDCard idcard = new UserIDCard(factory.createNewUserIDCard(EXPECTED_ITSYSTEMNAME, userInfo, careProvider, AuthenticationLevel.MOCES_TRUSTED_USER, null, null, null, "AltIdentifierStr"), "Issuer");

STS Request

Det samlede STS request indeholdende et signeret medarbejder DGWS ID kort (niveau 4) opbygges op denne måde:

// Et medarbejder DGWS ID kort findes i denne variabel:
UserIDCard idcard = ...

IDCardToOIOSAMLAssertionRequestDOMBuilder requestBuilder = factory.createIDCardToOIOSAMLAssertionRequestDOMBuilder();
requestBuilder.setAudience("http://audience.nspoop.dk/dds");
requestBuilder.setUserIDCard(idcard);

Document consumerStsRequestDocument = requestBuilder.build();

Når requestet sendes over netværket skal det konverteres til XML:

String consumerStsRequestXml = XmlUtil.node2String(consumerStsRequestDocument, false, false);

Nu vil en STS kunne modtage det og veksle det til en OIO Saml sikkerhedsbillet. Eksempel på hvordan Seal.Java kan anvendes til denne omveksling findes her: Seal.Java - Guide til anvendere (STS) - DGWS id-kort til OIO-Saml Token

STS Response

Service Request

Service Response

Komplet eksempel (incl. STS delen)


public class TestFactoryFlow extends AbstractUserIDCardTest {

    @Test
    public void testSosi2OIOSaml() {

        /**
         * Consumer sender request
         */

        // CredentialVault og Factory
        OIOSAMLFactory factory = new OIOSAMLFactory();
        CredentialVault signingVault = CredentialVaultTestUtil.getVoces3CredentialVault();
        CredentialVault holderOfKey = CredentialVaultTestUtil.getVocesHolderOfKeyCredentialVault();

        UserIDCard uidc = createUserIDCard();

        final IDCardToOIOSAMLAssertionRequestDOMBuilder requestBuilder = factory.createIDCardToOIOSAMLAssertionRequestDOMBuilder();
        requestBuilder.setAudience("http://fmk-online.dk");
        requestBuilder.setUserIDCard(uidc);
        Document consumerStsRequestDocument = requestBuilder.build();

        /**
         * Send request over netværk
         */
        String consumerStsRequestXml = XmlUtil.node2String(consumerStsRequestDocument, false, false);
        consumerStsRequestDocument = XmlUtil.readXml(new java.util.Properties(), consumerStsRequestXml, false);

        /**
         *  STS modtager request
         */
        IDCardToOIOSAMLAssertionRequest stsRequest = factory.createIDCardToOIOSAMLAssertionRequestModelBuilder().build(consumerStsRequestDocument);

        // Her vil STS'en verificere ID kortet. I dette eksempel verificeres følgende tre attributter:
        IDCard idCard = stsRequest.getUserIDCard();
        Assert.assertEquals("1.0.1", idCard.getVersion());
        Assert.assertEquals(AuthenticationLevel.MOCES_TRUSTED_USER, idCard.getAuthenticationLevel());
        Assert.assertEquals("hans@dampf.dk", idCard.getAlternativeIdentifier());

        /**
         *  STS bygger response
         */

        // Byg OIOSAMLAssertion
        OIOSAMLAssertionBuilder oiosamlAssertionBuilder = factory.createOIOSAMLAssertionBuilder();
        oiosamlAssertionBuilder.setAudienceRestriction("http://fmk-online.dk");
        oiosamlAssertionBuilder.setRecipientURL("https://fmk");
        oiosamlAssertionBuilder.setIssuer("https://oio3bst-issuer.dk");
        oiosamlAssertionBuilder.setUserIdCard(uidc);
        oiosamlAssertionBuilder.setNotBefore(notBefore);
        oiosamlAssertionBuilder.setNotOnOrAfter(notOnOrAfter);
        oiosamlAssertionBuilder.setDeliveryNotOnOrAfter(d(10000L));
        oiosamlAssertionBuilder.setSigningVault(signingVault);
        OIOSAMLAssertion assertion = oiosamlAssertionBuilder.build();

        IDCardToOIOSAMLAssertionResponseDOMBuilder responseBuilder = factory.createIDCardToOIOSAMLAssertionResponseDOMBuilder();
        responseBuilder.setOIOSAMLAssertion(assertion);
        responseBuilder.setSigningVault(signingVault);
        responseBuilder.setEncryptionKey(signingVault.getSystemCredentialPair().getCertificate().getPublicKey());
        responseBuilder.setRelatesTo("relatesTo");
        responseBuilder.setContext("context");

        Document consumerStsResponseDocument = responseBuilder.build();

        /**
         *  Send response over netværk
         */
        String consumerStsResponseXml = XmlUtil.node2String(consumerStsResponseDocument, false, false);
        consumerStsResponseDocument = XmlUtil.readXml(new java.util.Properties(), consumerStsResponseXml, false);

        /**
         *  Consumer modtager response
         */
        IDCardToOIOSAMLAssertionResponse consumerStsResponse = factory.createIDCardToOIOSAMLAssertionResponseModelBuilder().build(consumerStsResponseDocument);
        consumerStsResponse.validateSignature();

        Element encryptedElement = EncryptionUtil.decryptAndDetach(consumerStsResponse.getEncryptedOIOSAMLAssertionElement(), signingVault.getSystemCredentialPair().getPrivateKey());
        OIOSAMLAssertion assertionResponse = new OIOSAMLAssertion(encryptedElement);
        Assert.assertEquals("DK-SAML-2.0", assertionResponse.getSpecVersion());
        Assert.assertEquals("3", assertionResponse.getAssuranceLevel());
        Assert.assertEquals("http://fmk-online.dk", assertionResponse.getAudienceRestriction());
    }
}