Loading…
Tilbage

Fælles komponenter: overblik over NemLog-in STS


09-04-2015 15:45:54

Introduktion

NemLog-in's Security Token Service (STS) er en vigtig fælles komponent, som muliggør udstilling og anvendelse af web services med et security token. Det er hensigten, at tværgående ajourføringsservices skal anvende NemLog-in STS til adgangsstyring, og herved sker administration af adgange eksternt og løst koblet fra servicen.

Komponenten kaldes i sikkerhedsmodellen for ”Grunddata STS”, og den anvendes på flg. måde:

  1. Anvenderen af en web service (klienten) anmoder NemLog-in om et security token til den service, som ønskes kaldt. Anmodningen er signeret.
  2. NemLog-in verificerer kaldet og udsteder et security token på baggrund af klientens tildelte rettigheder til web servicen.
  3. Security tokenet medsendes i web service kaldet og valideres af serviceudbyder i forbindelse med adgangskontrollen.

STS Flow

Der findes en introducerende guide til NemLog-in STS på: http://digitaliser.dk/resource/2487153/artefact/Guide+til+NemLogin+Security+Token+Service.pdf 

Bemærk at denne guide beskriver emnet ”Identitetsbaserede Web Services” (IDWS), som ikke helt er den model, der benyttes i grunddataprogrammet. Her skal ”systembrugermodellen” anvendes, som pt. er under udvikling.

I systembrugermodellen er det klientsystemet (systembrugeren), der er blevet tildelt adgange og kan få udstedt et token, hvori disse er repræsenteret, på baggrund af autentifikation med et OCES Funktionscertifikat. I personbrugermodellen (IDWS) ”låner” klienten en personbrugers adgang til en tjeneste, så denne er mere kompleks.

Terminologi

I denne gruppe anvendes følgende begreber:

Klient = Systembruger = Web Service Consumer
Det system, som er tildelt rettigheder til at kalde en ekstern web service, og som henter og medsender et security token i kaldet.


Web Service = WSP
Det system, som udstiller en web service, hvor adgang opnås ved at præsentere et security token udstedt af en betroet STS. 

Standarder og snitflader

På figuren sker kaldet (1) og (2) via en dansk profil af WS-Trust protokollen. Se gruppen https://digitaliser.dk/resource/516724 for detaljer.

Det returnerede security token i (2) er et SAML token overholdende OIO Identity Token Profilen. Se  http://digitaliser.dk/resource/516724 for detaljer.

Roller til web servicen indkodes i SAML tokenet ved brug af OIO Basic Privilege Profile: Se  http://digitaliser.dk/resource/2377872 for detaljer.

Kaldet (3) sker ved at anvende Liberty Basic SOAP Binding. Se  http://digitaliser.dk/resource/414852 for detaljer.

Registrering

Inden NemLog-in’s STS kan anvendes i systembrugerregi, skal der være foretaget en række registreringer i NemLog-in’s administrationsmodul (https://administration.nemlog-in.dk):

  • Web servicen skal være oprettet og evt. tilhørende roller (privilegier) defineret.
  • Web service klienten (systembrugeren) skal være oprettet og bl.a. registrere sit certifikat, som benyttes til efterfølgende autentifikation.
  • Administratoren for systembrugeren skal anmode om adgang til web servicen og angive, hvilke roller der ønskes tildelt til klienten.
  • Administratoren for web servicen skal godkende adgangen for systembrugeren.

Referenceimplementeringer

Der er igangsat udvikling af referenceimplementeringer, som med kørende kodeeksempler demonstrerer, hvordan en klient kan anmode om et token og hvordan en service kan håndhæve adgang på baggrund af et token. Referenceimplementeringer ventes publiceret medio maj 2015.

Filer og referencer

Titel Type
STS-flow.png application/octet-stream