Omveksler NSP OIO SAML Bootstrap Token til DGWS ID kort (medarbejder id kort).
Bemærk, at bootstrap token skal være signeret af troværdig tredjepart: Lokal IdP eller SEB
I det følgende vises nogle stykker kode der viser hvordan man som STS kan modtage et NSP OIO SAML Bootstrap Token om veksle det til et DGWS ID kort (medarbejder id kort).
Der findes et komplet eksempel (incl. hvordan anvender opbygger request og modtager response) sidst på siden der virker uden at det kræver tilretning.
Beskrivelse af hvordan Seal.Java anvendes til at opbygge et STS request findes her: Seal.Java - Guide til anvendere (Consumer) - Bootstrap Token til DGWS id-kort
Når en STS vil kunne modtage et NSP OIO SAML Bootstrap Token, så skal man starte med at sætte CredentialVault op og lave en instants af den factory der skal anvendes:
// CredentialVault og Factory CredentialVault signingVault = CredentialVaultTestUtil.getVoces3CredentialVault(); CredentialVault holderOfKey = CredentialVaultTestUtil.getVocesHolderOfKeyCredentialVault(); OIOSAMLFactory factory = new OIOSAMLFactory(); |
En STS vil modtage et XML dokument indeholdende et request og det skal deserialiseres til et OIOBSTSAMLAssertionToIDCardRequest modelobjekt:
// Deserialiser det indkomne request 'consumerStsRequestXml' til modelobjekt consumerStsRequestDocument = XmlUtil.readXml(new java.util.Properties(), consumerStsRequestXml, false); OIOBSTSAMLAssertionToIDCardRequest stsRequest = factory.createOIOBSTSAMLAssertionToIDCardRequestModelBuilder().build(consumerStsRequestDocument); |
Nu vil en STS kunne verificere det indkomne NSP OIO SAML Bootstrap Token. Dette er ikke relevant for denne anvenderguide, men her er et eksempel på hvordan man henter OIO SAML Assertion ud og verificere tre attributter:
// Her vil STS'en verificere det indkomne token. I dette eksempel verificeres følgende tre attributter:
OIOBSTSAMLAssertion oiobstsamlAssertion = stsRequest.getOIOBSTSAMLAssertion();
Assert.assertEquals("OIO-SAML-3.0", oiobstsamlAssertion.getSpecVersion());
Assert.assertEquals("20301823", oiobstsamlAssertion.getCvrNumberIdentifier());
Assert.assertEquals("http://fmk-online.dk", oiobstsamlAssertion.getAudienceRestriction()); |
Her efter vil en STS bygge et response og først bygges et signeret DGWS ID kort. I det samlede eksempel til sidst er opbygning af ID kort samlet i metoden createUserIDCard():
// CredentialVault og Factory CredentialVault signingVault = CredentialVaultTestUtil.getVoces3CredentialVault(); SOSIFactory factory = new SOSIFactory(signingVault, new java.util.Properties()); // Byg DGWS ID kort CareProvider careProvider = new CareProvider(careProviderType, EXPECTED_CVR, EXPECTED_ORGANIZATION); UserInfo userInfo = new UserInfo(EXPECTED_CPR, EXPECTED_GIVENNAME, EXPECTED_SURNAME, EXPECTED_EMAIL, EXPECTED_OCCUPATION, EXPECTED_USEREDUCATIONCODE, EXPECTED_AUTHORIZATIONCODE); UserIDCard idcard = sosiFactory.createNewUserIDCard(EXPECTED_ITSYSTEMNAME, userInfo, careProvider, AuthenticationLevel.MOCES_TRUSTED_USER, null, null, null, "hans@dampf.dk"); UserIDCard uidc = new UserIDCard(idcard, "newIssuer"); |
Dette Identity Token kan nu indlejres i det samlede svar fra STS:
OIOBSTSAMLAssertionToIDCardResponseDOMBuilder responseBuilder = factory.createOIOBSTSAMLAssertionToIDCardResponseDOMBuilder();
responseBuilder.setAudienceRestriction("http://fmk-online.dk");
responseBuilder.setIDCard(uidc);
responseBuilder.setSigningVault(signingVault);
responseBuilder.setContext("context");
responseBuilder.setRelatesTo("relatesTo");
Document consumerStsResponseDocument = responseBuilder.build(); |
Svaret kan sendes over netværket som XML:
// Konverter til XML så det kan sendes over netværket String consumerStsResponseXml = XmlUtil.node2String(consumerStsResponseDocument, false, false); |
Nu vil en anvender kunne modtage det omvekslede token og hvordan man anvender Seal.Java til at behandle dette svar er beskrevet her: Seal.Java - Guide til anvendere (Consumer) - Bootstrap Token til DGWS id-kort
public class TestFactoryFlow extends AbstractUserIDCardTest {
@Test
public void testBST2SOSI() {
/**
* Consumer sender request
*/
// CredentialVault og Factory
CredentialVault signingVault = CredentialVaultTestUtil.getVoces3CredentialVault();
CredentialVault holderOfKey = CredentialVaultTestUtil.getVocesHolderOfKeyCredentialVault();
OIOSAMLFactory factory = new OIOSAMLFactory();
OIO3BSTSAMLAssertionBuilder oiosamlAssertionBuilder = factory.createOIO3BSTSAMLAssertionBuilder();
oiosamlAssertionBuilder.setIssuer("https://oio3bst-issuer.dk");
oiosamlAssertionBuilder.setNameId("KorsbaekKommune\\MSK");
oiosamlAssertionBuilder.setAudience("http://fmk-online.dk");
oiosamlAssertionBuilder.setNotOnOrAfter(notOnOrAfter);
oiosamlAssertionBuilder.setCvr("20301823");
oiosamlAssertionBuilder.setOrganizationName("Korsbæk Kommune");
oiosamlAssertionBuilder.setHolderOfKeyCertificate(holderOfKey.getSystemCredentialPair().getCertificate());
oiosamlAssertionBuilder.setSigningVault(signingVault);
OIOBSTSAMLAssertion oiosamlAssertion = oiosamlAssertionBuilder.build();
OIOBSTSAMLAssertionToIDCardRequestDOMBuilder requestBuilder = factory.createOIOBSTSAMLAssertionToIDCardRequestDOMBuilder();
requestBuilder.setAudience("http://fmk-online.dk");
requestBuilder.setITSystemName("Korsbæk Kommunes IT systemer");
requestBuilder.setSubjectNameID("Mads_Skjern");
requestBuilder.setSigningVault(signingVault);
requestBuilder.setOIOBSTSAMLAssertion(oiosamlAssertion);
Document consumerStsRequestDocument = requestBuilder.build();
/**
* Send request over netværk
*/
String consumerStsRequestXml = XmlUtil.node2String(consumerStsRequestDocument, false, false);
consumerStsRequestDocument = XmlUtil.readXml(new java.util.Properties(), consumerStsRequestXml, false);
/**
* STS modtager request
*/
OIOBSTSAMLAssertionToIDCardRequest stsRequest = factory.createOIOBSTSAMLAssertionToIDCardRequestModelBuilder().build(consumerStsRequestDocument);
// Her vil STS'en verificere ID kortet. I dette eksempel verificeres følgende tre attributter:
OIOBSTSAMLAssertion oiobstsamlAssertion = stsRequest.getOIOBSTSAMLAssertion();
Assert.assertEquals("OIO-SAML-3.0", oiobstsamlAssertion.getSpecVersion());
Assert.assertEquals("20301823", oiobstsamlAssertion.getCvrNumberIdentifier());
Assert.assertEquals("http://fmk-online.dk", oiobstsamlAssertion.getAudienceRestriction());
/**
* STS bygger response
*/
UserIDCard uidc = createUserIDCard();
OIOBSTSAMLAssertionToIDCardResponseDOMBuilder responseBuilder = factory.createOIOBSTSAMLAssertionToIDCardResponseDOMBuilder();
responseBuilder.setAudienceRestriction("http://fmk-online.dk");
responseBuilder.setIDCard(uidc);
responseBuilder.setSigningVault(signingVault);
responseBuilder.setContext("context");
responseBuilder.setRelatesTo("relatesTo");
Document consumerStsResponseDocument = responseBuilder.build();
/**
* Send response over netværk
*/
String consumerStsResponseXml = XmlUtil.node2String(consumerStsResponseDocument, false, false);
consumerStsResponseDocument = XmlUtil.readXml(new java.util.Properties(), consumerStsResponseXml, false);
/**
* Consumer modtager response
*/
OIOBSTSAMLAssertionToIDCardResponse consumerStsResponse = factory.createOIOBSTSAMLAssertionToIDCardResponseModelBuilder().build(consumerStsResponseDocument);
IDCard idCardResponse = consumerStsResponse.getIDCard();
Assert.assertEquals("1.0.1", idCardResponse.getVersion());
Assert.assertEquals(AuthenticationLevel.MOCES_TRUSTED_USER, idCardResponse.getAuthenticationLevel());
Assert.assertEquals("hans@dampf.dk", idCardResponse.getAlternativeIdentifier());
}
} |