Table of Contents
Introduktion
Denne side beskriver den sikkerhedsmodel, der er anvendes på STARs servicesnitflader. I STARs servicekatalog findes både SOAP-webservices og REST-services. Grundlæggende anvendes samme sikkerhedsmodel i begge tilfælde, hvor der primært er syntaks til forskel.
For alle services gælder, at de udstilles via HTTPS og skal kaldes med et klientcertifikat, som skal være et funktionscertifikat (FOCES). Derudover skal der medsendes metadata, som angiver, hvilken myndighed der kaldes på vegne af, samt hvem aftager agerer som databehandler for. Derudover skal angives hvilken bruger / medarbejder / applikationsproces (ved batch-processeringer) der foretager handlingen, uanset om det er en læse eller skriveoperation, for at dette kan logges. For SOAP-webservices medsendes metadata som soap headers og for REST-services medsendes som http headers.
Se også generelt om sikkerhed her: Sikkerhed
Metadata
Sikkerhedsmodellens metadata består af 3 dele (kun 2 for SOAP):
...
Feltnavn | Type | Detaljer | Forekomst | Beskrivelse |
---|---|---|---|---|
RequestUserMetadataHeader | RequestUserMetadataType | 1 | RequestUserMetadataHeader benyttes til at angive den kaldende myndighed overfor DFDG samt information om den kaldende bruger. | |
RequestUserStructureType | 1 | Struktur der indeholder beskrivelse af brugeren | ||
UserFullNameType Base: String | Length: 1-140 | 1 | Brugers fulde navn, ved systemkald angives systemets og jobbets navn her. Der skal så vidt muligt oplyses konkret navn på medarbejder, når der er tale om Webservice kald foranlediget af sagsbehandleres læsning eller opdatering af oplysninger i DFDG eller STARs øvrige systemer. Alternativt en éntydig brugeridentifikation, der muliggør, at der kan findes fra logs i STARs it-systemer til log entries i aftagernes it-systemer. | |
Base: Integer | 1 | Kodeliste med brugertyperne:
| ||
UserIdentifierType Base: String | Length: 1-255 | 1 | Unik identifikation af brugeren, f.eks. en GUID, et medarbejder ID, system ID, bruger ID, certifikat ID, cpr-nummer, email (hvis den er unik) o.l. Afhængigt af RequestUserTypeIdentifier udfyldes feltet med:
| |
EmailAddressIdentifierType String (E-mail) | Length: 2-256 Pattern: ([^>\(\)\[\]\\,;:@\s]{0,191}@[^>\(\)\[\]\\,;:@\s]{1,64}) | 0-1 | Hvis der angives e-mail: Brugerens e-mail adresse skal angives, når der er tale om Webservice kald foranlediget af sagsbehandleres læsning eller opdatering af oplysninger. Elementet kan undlades ved system-til-system kald. Der må ikke angives en tom streng / tom mailadresse, når elementet medtages. | |
RequestOrganisationStructureType | 1 | Information om den organisation, som brugeren, der har foretaget kaldet, tilhører. | ||
| OrganisationTypeIdentifierType Base: Integer | 1 | Kodeliste. Identificerer den type af organisation, som brugeren hører til. Dette er en kodeliste, dog angives værdien som en integer af historiske årsager. | |
String | 1 | Koden som identificerer organisationen. Det kan være et jobcenternummer, CVR nummer, en a-kassekode eller en kommunekode. | ||
DateTime | 1 | Registreringstidspunkt i kaldende system |
...
Name | Value |
---|---|
ActiveOrganisation | {"organisationType": 5, "OrganisationCode": "1"} |
RequestUserMetadata | {"RequestUserStructure":{"UserFullName": "FullName","RequestUserType": 1,"UserIdentifier": "test","UserEmail": "test@star.dk" },"RequestOrganisationStructure":{"OrganisationType":5,"OrganisationCode": "1"},"RegistrationDateTime": "2012-04-23T18:25:43.511Z"} |
CivilRegistrationIdentifier | 1234567890 |
...
OrganisationType Identifier | Organisation | OrganisationCode Beskrivelse | Format | Eksempel |
---|---|---|---|---|
2 | A-kasse | A-kassekode | Integer - 2 cifre | 15 Se Identifikator feltet i kodeliste: GetUnemploymentFundList |
| ||||
4 | Anden Aktør | CVR-nummer | Integer - 8 cifre | 31299004 |
5 | STAR | Afdelings-/systemnummer 0=Ikke specificeret (Udgår) 24 = EksterneData 25 = StarTools | Integer | |
6 | Driftsselskab | Jobcenterkode | Integer - 5 cifre | 10100 Se kodeliste: GetJobCenterList |
7 | Kommune | Kommunekode | Integer 3 cifre | 101 Se kodeliste: GetMunicipalityList |
8 | JobCenter | Jobcenterkode | Integer - 5 cifre | 10100 Se kodeliste: GetJobCenterList |
11 | Uddannelsesinstitution | CVR-nummer | Integer - 8 cifre | 32435465 |
12 | Samarbejdspartner | CVR-nummer | Integer - 8 cifre | 32435465 |
13 | Sygehusregion | CVR-nummer | Integer - 8 cifre | 32435465 |
14 | Kriminalforsorgen | CVR-nummer | Integer - 8 cifre | 32435465 |
15 | Styrelsen for IT- og Læring | CVR-nummer | Integer - 8 cifre | 32435465 |
16 | Styrelsen for Videregående Uddannelser | CVR-nummer | Integer - 8 cifre | 32435465 |
17 | Fagforbund | CVR-nummer eller CPR-nummer 1) | Integer 8/ string 10 | 32435465 / 0101714321 |
18 | Udbetaling Danmark (UDK) | CVR-nummer | Integer - 8 cifre | 32435465 |
19 | Udlændinge, Integrations- og Boligministeriet (UIBM) | CVR-nummer | Integer - 8 cifre | 32435465 |
20 | Privat jobbank eller vikarbureau | CVR-nummer eller CPR-nummer 1) | Integer 8/ string 10 | 32435465 / 0101714321 |
21 | AUB | CVR-nummer | Integer - 8 cifre | 12345678 |
22 | Revisor | CVR-nummer | Integer - 8 cifre | 12345678 |
23 | Ministerie | CVR-nummer | Integer - 8 cifre | 12345678 |
24 | Virksomhed | CVR-nummer | Integer - 8 cifre | 12345678 |
...
Anchor | ||||
---|---|---|---|---|
|
...
I forhold til at have adgang til borger så validerer DFDG på om der foreligger en henvisning til borgeren for CVR nummeret for AA eller fx en kursusleverandør.
Feltnavn | Indhold |
---|---|
ActiveOrganisationHeader | OrganisationTypeIdentifier = 8 OrganisationCode = Jobcenterkode (det henvisende jobcenter) / 10100 (i eksemplet Kbh jobcenter 10100) |
RequestUserMetadataHeader | Hvis anden aktør eller fx en kursusleverandør medarbejder:
|
Se også: ExternalOperatorRegistrationService (Version 6)
...
Jobnet for jobkonsulenter
I forbindelse med at sagsbehandlerne kommer online på Jobnet via NemID erhverv, skal der i kommunikationen med DFDG stadig anvendes FOCES certifikatet. Medarbejderens myndighed fra NemID sendes som en del af metadata i dette tilfælde.
...
Feltnavn | Indhold |
---|---|
ActiveOrganisationHeader | OrganisationTypeIdentifier = 5 OrganisationCode = 4 |
RequestUserMetadataHeader | Hvis borger:
For sagsbehandlere kaldes med følgende, der dog kræver at Jobnet selv tjekker om sagsbehandler må få adgang til borger, enten via jobcentertilknytning, gæsteadgang eller henvisning. Hvis jobcenter sagsbehandler:
Hvis anden aktør sagsbehandler:
|
Jobnet for arbejdsgivere
Når JobAG gennem online snitflade eller WS snitflade agerer på vegne af anden myndighed eller virksomhed fremgår denne af RequestUserMetadata
...
Feltnavn | Indhold |
---|---|
ActiveOrganisationHeader | OrganisationTypeIdentifier = 5 (STAR) OrganisationCode = 8 (VITAS) |
RequestUserMetadataHeader | Der kaldes med følgende Hvis jobcenter sagsbehandler (incl. virksomhedssupport)
Hvis STAR support (incl. jobcentersupport)
Hvis virksomhed:
Ved webservicekald viderestilles data fra webservicekaldet Ved batchjobkald:
|
Vitas - og anden aktør
Ved kald fra VITAS pva. Anden aktør mangler vi et "på vegne af - lag", hvorfor vi - for at kaldet sikkerhedsteknisk kan gennemføres - tillader at man ikke kan genkende at det er VITAS der er kaldt fra/igennem:
Feltnavn | Indhold |
---|---|
ActiveOrganisationHeader | OrganisationTypeIdentifier = 8 OrganisationCode = Jobcenterkode (det henvisende jobcenter) / 10100 (i eksemplet Kbh jobcenter 10100) |
RequestUserMetadataHeader | Hvis anden aktør eller fx en kursusleverandør medarbejder:
|
Certifikater og testmiljøer
STAR stiller testcertifikater til rådighed som giver adgang til at agere som en eller flere myndigheder på et eller flere testmiljøer.
Serviceaftagers forpligtigelser
Web service aftageren skal etablere og opretholde fornødne sikkerhedsmæssige tiltag til sikring af, at meddelelser, der udveksles via Webservices, ikke kommer til uvedkommendes kendskab, forvanskes eller går til grunde.
Det er web service aftagernes eget ansvar at sikre, at dennes IT-systemer er konfigureret og eventuelt tilrettet i nødvendigt omfang til at kunne få adgang til de i dette dokument beskrevne Web services.
Ligeledes er web service aftagernes ansvar at sikre, at der er knyttet forsvarlige sikkerhedsforanstaltninger til de applikationer og systemer, denne benytter for at kunne anvende de i dette dokument beskrevne Webservices.
Yderligere specifikation af de krav der stilles til webservice aftageren findes i tilslutningsaftalen.
Følgende beskriver de forpligtelser serviceaftageren påtager sig i forbindelse med en hver form for brug af de i dette dokument beskrevne services.
Serviceaftageren forpligter sig til følgende:
- Såfremt serviceaftageren tilgår webservices der kræver unik identifikation af hvilken medarbejder/sagsbehandler/bruger der har fortaget handlingen, skal aftager enten anvende en certifikatmodel, der understøtter dette eller specifikt anvende versioner af webservices, hvor der medsendes brugerid.
- Serviceaftager skal i webservices, hvor det er beskrevet, at der skal medsendes navn på den sagsbehandler, der er ansvarlig eller den sagsbehandler, der foretager læsning eller registrering af oplysninger, som minimum oplyse medarbejdernes for- og efternavn i servicekaldet, dvs.
- der skal oplyses konkret navn på medarbejder, når der er tale om ws-kald foranlediget af sagsbehandleres læsning eller opdatering af oplysninger DFDG eller STARs øvrige systemer - der må i sådanne tilfælde ikke oplyses fx "Unknown" eller et systemnavn som navn på medarbejderen
- angivelse af kun systemnavn er alene tilstrækkeligt, hvis ws-kald til DFDG er foranlediget af batchjob i det aftagende system
- Serviceaftageren er forpligtet til at logge de kvitteringer der returneres af servicen
- Serviceaftageren forpligter sig til at logge alle SOAP faults inkl. fejl koden som en del af deres fejl log.
- Serviceaftageren forpligter sig til, at reagere på de SOAP-falts som DFDG og STARs andre it-systemer returnerer ved forsøg på registrering i DFDG og STARs andre it-systemer
Krav til logging hos aftageren
Web service aftageren skal gennemføre en grundlæggende logging i forhold til kommunikationen med de i dette dokument beskrevne web services.
Web service aftageren skal opretholde en log med de kvitteringer der returneres til aftageren når serviceaftageren sender hændelser til de udstillede services.
Hvis der i kommunikationen opstår en fejl skal web service aftageren logge fejlen incl. allle fejl informationer der returneres fra servicen, samt den afsendte besked.
Web service aftageren skal som minimum også logge følgende indformationer:
- BrugerID – Unik identifikation af brugeren
- Den organisationstype brugeren repræsenterer f.eks. jobcenter eller a-kasse
- Den organisationskode der er knyttet til den organisation brugeren repræsenterer
- Timestamp
Hvis der indgår personoplysninger i applikationen skal logningen være i overensstemmelse med Bekendtgørelse nr 528 af 15/06/2000 - Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
Se iøvrigt: Krav til logning i applikationer
Anvendelse af OrganisationType ved WSRM
Når der skal hentes beskeder over WSRM anvendes OrganisationType på følgende måde:
- Jobcenter medarbejdere kalder med OrganisationType=8
- Kommunale medarbejdere kalder med OrganisationType=7
- A-kassen kalder med OrganisationType=2
...
AMPs sikkerhedsmodul (baseret på MOCES/nemid erhverv) fortsætter med at fungerer. Brugerdatabasen indeholder kun brugere, der anvender SAML løsningen. Denne løsning er separat fra webservices FOCES sikkerhedsmodel og beskrives derfor ikke yderligere her.