Loading…
Tilbage

Profilbillede

Sikre integrationer til backend

Morten Winther

Jeg vil høre hvordan vi kan få SAML token ud på den bruger der er logget på (når det er privat Nemid)

Grunden til at vi gerne vil gøre det er for at kunne lave sikre integrationer.

Eksempel: 

Jeg logger på som mig selv som privatperson og skal udfylde en ansøgning.

KK vil gerne forudfylde nogle data om indkomst, ægtefælle, børn mm og derfor laver vi en webservice som Orbeon kan kalde hos KK.

Vi kunne i dag lave en service der slår op via CPR nummer, men det er bare ikke sikkert nok. For hvad nu hvis BlanketMotor blvier kompromiteret og vores SAO service credentials blive tilgængelige for andre. Så vil de kunne kalde vores service med en lang række CPR numre og få en masse personfølsomme data.

Derfor vil vi gerne have SAML token fra NemId så vi til vores service kan medsende dette. Det giver en lang stærkere sikkerhed, hvor vores services udadtil ikke kan misbruges, da en bruger altid kun ville kunne få data hvor han har en gyldig SAML token vi kan validere i vores backend services.

Måske er det allerede nogle data/headers der sendes med fra Sector9? 

På forhånd tak.