Versions Compared

Old Version 116

changes.mady.by.user John Elkjær Montgomery

Saved on

compared with

New Version Current

changes.mady.by.user Stine Gjetting Stage

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Procedure kontrolleret. Proceduren/politikken er opdateret, og er i overensstemmelse med Databehandleraftalen
Table of Contents


Introduktion

Denne side beskriver den sikkerhedsmodel, der er anvendes på STARs servicesnitflader. I STARs servicekatalog findes både SOAP-webservices og REST-services. Grundlæggende anvendes samme sikkerhedsmodel i begge tilfælde, hvor der primært er syntaks til forskel.

For alle services gælder, at de udstilles via HTTPS og skal kaldes med et klientcertifikat, som skal være et funktionscertifikat (FOCES). Derudover skal der medsendes metadata, som angiver, hvilken myndighed der kaldes på vegne af, samt hvem aftager agerer som databehandler for. Derudover skal angives hvilken bruger / medarbejder / applikationsproces (ved batch-processeringer) der foretager handlingen, uanset om det er en læse eller skriveoperation, for at dette kan logges. For SOAP-webservices medsendes metadata som soap headers og for REST-services medsendes som http headers.

Se også generelt om sikkerhed her: Sikkerhed

Metadata

Sikkerhedsmodellens metadata består af 3 dele (kun 2 for SOAP):

...

Feltnavn

Type

Detaljer

Forekomst

Beskrivelse

RequestUserMetadataHeader

RequestUserMetadataType


1

RequestUserMetadataHeader benyttes til at angive den kaldende myndighed overfor DFDG samt information om den kaldende bruger.

    RequestUserStructure

RequestUserStructureType


1

Struktur der indeholder beskrivelse af brugeren

        UserFullName

UserFullNameType

Base: String

Length: 1-140

1

Brugers fulde navn, ved systemkald angives systemets og jobbets navn her.

Der skal så vidt muligt oplyses konkret navn på medarbejder, når der er tale om Webservice kald foranlediget af sagsbehandleres læsning eller opdatering af oplysninger i DFDG eller STARs øvrige systemer. Alternativt en éntydig brugeridentifikation, der muliggør, at der kan findes fra logs i STARs it-systemer til log entries i aftagernes it-systemer. (star)

Det bør undgås at angive brugers fulde navn uden mellemrum mellem fornavn, mellemnavn og efternavn. (star)(star)

        RequestUserTypeIdentifier

RequestUserTypeIdentifierType

Base: Integer


1

Kodeliste med brugertyperne:

  1. Citizen - Borger, f.eks. i selvbetjeningsløsninger

  2. CaseWorker - Sagsbehandler (fysisk person)

  3. System - En systemproces, som f.eks. et batchjob, eller noget andet automatiseret, herunder en robot, der ikke kan henledes til en brugerhandling.

  4. CompanyEmployee  - fx raskmelding foretaget af en medarbejder i en virksomhed (via NemRefusion)

        UserIdentifier

UserIdentifierType

Base: String

Length: 1-255

1

Unik identifikation af brugeren, f.eks. en GUID, et medarbejder ID, system ID, bruger ID, certifikat ID, cpr-nummer, email (hvis den er unik) o.l.

Afhængigt af RequestUserTypeIdentifier udfyldes feltet med:

  1. Borgers CPR nummer eller et andet unikt ID, der identificerer borgeren

  2. Sagsbehandler ID, der kan spores tilbage til brugeren, kan være en e-mail, et medarbejder id, eller lignende

  3. System ID, unik identifikation af den proces eller batchjob der foretog handlingen.

        UserEmail

EmailAddressIdentifierType

String (E-mail)

Length: 2-256

Pattern: ([^>\(\)\[\]\\,;:@\s]{0,191}@[^>\(\)\[\]\\,;:@\s]{1,64})

0-1

Hvis der angives e-mail: Brugerens e-mail adresse skal angives, når der er tale om Webservice kald foranlediget af sagsbehandleres læsning eller opdatering af oplysninger.

Elementet kan undlades ved system-til-system kald.

Der må ikke angives en tom streng / tom mailadresse, når elementet medtages.

    RequestOrganisationStructure

RequestOrganisationStructureType


1

Information om den organisation, som brugeren, der har foretaget kaldet, tilhører.

        OrganisationTypeIdentifier

OrganisationTypeIdentifierType

Base: Integer


1

Kodeliste. Identificerer den type af organisation, som brugeren hører til. Dette er en kodeliste, dog angives værdien som en integer af historiske årsager.

        OrganisationCode

String


1

Koden som identificerer organisationen. Det kan være et jobcenternummer, CVR nummer, en a-kassekode eller en kommunekode.

    RegistrationDateTime

DateTime


1

Registreringstidspunkt i kaldende system

...

Name

Value

x-activeOrganisation

{"organisationType":5,"OrganisationCode":"1"}

x-requestUserMetadata

{"RequestUserStructure":{"UserFullName": "FullName","RequestUserType": 1,"UserIdentifier": "test","UserEmail": "test@star.dk" },"RequestOrganisationStructure":{"OrganisationType":5,"OrganisationCode": "1"},"RegistrationDateTime": "2012-04-23T18:25:43.511Z"}

x-civilRegistrationIdentifier

1234567890

...

OrganisationType
Identifier

Organisation

OrganisationCode
Beskrivelse 

Format

Eksempel

1

Arbejdsformidlingen




2

A-kasse

A-kassekode

Integer - 2 cifre

15

Se Identifikator feltet i kodeliste: GetUnemploymentFundList

3

UdgaaetKommuner

Kommunekode

Integer - 3 cifre

101

4

Anden Aktør

CVR-nummer

Integer - 8 cifre

31299004

5

STAR

Afdelings-/systemnummer

0=Ikke specificeret (Udgår)
1=DFDG
2=LSS
3=Amportal
4=Jobnet
5=Jobbing
6=MitJobkompas
7=EØS
8=VITAS
9=Planner
10=JobAG
11=JobKon
12=Jobservice Danmark
13=Borger.dk
14=IOM (Input Output Management System)
15=JobSearch
16=Taxonomy
17=WikiUploader
18 = Ydelsesudstilling
19 = Eures
20 = Revi
21 = Borgerkommunikation
22 = PerformanceMonitor
23 = LogViewer
24 = EksterneData
25 = StarTools
26 = Kontaktforloeb
27 = Virksomhedsindsats
28 = VisiteringOgStatus
29 = Komposit
30 = EksternKommunikation
31 = Match
32 = Borgerindsats
33 = IAM
34 = Jobannonce WIDK
100 = Ukendt (bør udgå)

Integer


6

Driftsselskab

Jobcenterkode

Integer - 5 cifre

10100

Se kodeliste: GetJobCenterList

7

Kommune

Kommunekode

Integer

3 cifre

101

Se kodeliste: GetMunicipalityList

8

JobCenter

Jobcenterkode

Integer - 5 cifre

10100

Se kodeliste: GetJobCenterList

9

Beskæftigelsesregion




11

Uddannelsesinstitution

CVR-nummer

Integer - 8 cifre

32435465

12

Samarbejdspartner

CVR-nummer

Integer - 8 cifre

32435465

13

Sygehusregion

CVR-nummer

Integer - 8 cifre

32435465

14

Kriminalforsorgen

CVR-nummer

Integer - 8 cifre

32435465

15

Styrelsen for IT- og Læring

CVR-nummer

Integer - 8 cifre

32435465

16

Styrelsen for Videregående Uddannelser

CVR-nummer

Integer - 8 cifre

32435465

17

Fagforbund

CVR-nummer eller CPR-nummer 1)

Integer 8/
string 10

32435465 / 0101714321

18

Udbetaling Danmark (UDK)

CVR-nummer

Integer - 8 cifre

32435465

19

Udlændinge, Integrations- og Boligministeriet (UIBM)

CVR-nummer

Integer - 8 cifre

32435465

20

Privat jobbank eller vikarbureau

CVR-nummer eller CPR-nummer 1)

Integer 8/ string 10

32435465 / 0101714321

21

AUB (arb.givernes uddannelsesbidrag = borger.dk)

CVR-nummer

Integer - 8 cifre

12345678

22

Revisor

CVR-nummer

Integer - 8 cifre

12345678

23

Ministerie

CVR-nummer

Integer - 8 cifre

12345678

24

Virksomhed

CVR-nummer

Integer - 8 cifre

12345678

25

Klientsystem

ClientSystemTypeIdentifier

Integer

4

...

Anchor
Note1
Note1
 1) Hvis der kaldes ind fra systemet, forventes RequestUserType sat til 3 - System og OrganisationCode er et CVR nummer. Derimod forventes kald fra borgervendt selvbetjeningsløsning at komme med RequestUserType 1 - Citizen og UserIdentifier: CPR-nummer.

...

Feltnavn

Indhold

ActiveOrganisationHeader

OrganisationTypeIdentifier = 8

OrganisationCode = Jobcenterkode (det henvisende jobcenter) / 10100 (i eksemplet Kbh jobcenter 10100)

RequestUserMetadataHeader

Hvis anden aktør eller fx en kursusleverandør medarbejder:

  • OrganisationTypeIdentifier = 4

  • OrganisationCode = CVR nummer på AA eller fx kursusleverandør / 32435465


Se også: ExternalOperatorRegistrationService (Version 6)

...

Jobnet for jobkonsulenter 

I forbindelse med at sagsbehandlerne kommer online på Jobnet via NemID erhverv, skal der i kommunikationen med DFDG stadig anvendes FOCES certifikatet. Medarbejderens myndighed fra NemID sendes som en del af metadata i dette tilfælde.

...

Feltnavn

Indhold

ActiveOrganisationHeader

OrganisationTypeIdentifier = 5

OrganisationCode = 4

RequestUserMetadataHeader

Hvis borger:

  • OrganisationTypeIdentifier = 5 (* i mangel af en organisationkode for borgere)

  • OrganisationCode = 4

  • RequestUserTypeIdentifier = 1 

  • UserIdentifier = CPR eller CV-number

For sagsbehandlere kaldes med følgende, der dog kræver at Jobnet selv tjekker om sagsbehandler må få adgang til borger, enten via jobcentertilknytning, gæsteadgang eller henvisning.

Hvis jobcenter sagsbehandler:

  • OrganisationTypeIdentifier = 8

  • OrganisationCode = Jobcenterkode

  • RequestUserTypeIdentifier = 2

  • UserIdentifier = Certifikat RID

Hvis anden aktør sagsbehandler:

  • OrganisationTypeIdentifier = 4

  • OrganisationCode = CVR number

  • RequestUserTypeIdentifier = 2

  • UserIdentifier = Certifikat RID

Jobnet for arbejdsgivere 

Når JobAG gennem online snitflade eller WS snitflade agerer på vegne af anden myndighed eller virksomhed fremgår denne af RequestUserMetadata

...

Certifikater og testmiljøer

STAR stiller testcertifikater til rådighed som giver adgang til at agere som en eller flere myndigheder på et eller flere testmiljøer.

Serviceaftagers forpligtigelser

Web service aftageren skal etablere og opretholde fornødne sikkerhedsmæssige tiltag til sikring af, at meddelelser, der udveksles via Webservices, ikke kommer til uvedkommendes kendskab, forvanskes eller går til grunde.

Det er web service aftagernes eget ansvar at sikre, at dennes IT-systemer er konfigureret og eventuelt tilrettet i nødvendigt omfang til at kunne få adgang til de i dette dokument beskrevne Web services.

Ligeledes er web service aftagernes ansvar at sikre, at der er knyttet forsvarlige sikkerhedsforanstaltninger til de applikationer og systemer, denne benytter for at kunne anvende de i dette dokument beskrevne Webservices.

Yderligere specifikation af de krav der stilles til webservice aftageren findes i tilslutningsaftalen. 

Følgende beskriver de forpligtelser serviceaftageren påtager sig i forbindelse med en hver form for brug af de i dette dokument beskrevne services.

Serviceaftageren forpligter sig til følgende:

  • Såfremt serviceaftageren tilgår webservices der kræver unik identifikation af hvilken medarbejder/sagsbehandler/bruger der har fortaget handlingen, skal aftager enten anvende en certifikatmodel, der understøtter dette eller specifikt anvende versioner af webservices, hvor der medsendes brugerid.

  • Serviceaftager skal i webservices, hvor det er beskrevet, at der skal medsendes navn på den sagsbehandler, der er ansvarlig eller den sagsbehandler, der foretager læsning eller registrering af oplysninger, som minimum oplyse medarbejdernes for- og efternavn i servicekaldet, dvs.

    • der skal oplyses konkret navn på medarbejder, når der er tale om ws-kald foranlediget af sagsbehandleres læsning eller opdatering af oplysninger DFDG eller STARs øvrige systemer - der må i sådanne tilfælde ikke oplyses fx "Unknown" eller et systemnavn som navn på medarbejderen

    • angivelse af kun systemnavn er alene tilstrækkeligt, hvis ws-kald til DFDG er foranlediget af batchjob i det aftagende system

  • Serviceaftageren er forpligtet til at logge de kvitteringer der returneres af servicen

  • Serviceaftageren forpligter sig til at logge alle SOAP faults inkl. fejl koden som en del af deres fejl log.

  • Serviceaftageren forpligter sig til, at reagere på de SOAP-falts som DFDG og STARs andre it-systemer returnerer ved forsøg på registrering i DFDG og STARs andre it-systemer

Krav til logging hos aftageren

Web service aftageren skal gennemføre en grundlæggende logging i forhold til kommunikationen med de i dette dokument beskrevne web services.

Web service aftageren skal opretholde en log med de kvitteringer der returneres til aftageren når serviceaftageren sender hændelser til de udstillede services.

Hvis der i kommunikationen opstår en fejl skal web service aftageren logge fejlen incl. allle fejl informationer der returneres fra servicen, samt den afsendte besked.

Web service aftageren skal som minimum også logge følgende indformationer:

  • BrugerID – Unik identifikation af brugeren

  • Den organisationstype brugeren repræsenterer f.eks. jobcenter eller a-kasse

  • Den organisationskode der er knyttet til den organisation brugeren repræsenterer

  • Timestamp

Hvis der indgår personoplysninger i applikationen skal logningen være i overensstemmelse med Bekendtgørelse nr 528 af 15/06/2000 - Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.

Se iøvrigt: Krav til logning i applikationer

Anvendelse af OrganisationType ved WSRM

Når der skal hentes beskeder over WSRM anvendes OrganisationType på følgende måde:

  • Jobcenter medarbejdere kalder med OrganisationType=8

  • Kommunale medarbejdere kalder med OrganisationType=7

  • A-kassen kalder med OrganisationType=2

...

AMPs sikkerhedsmodul (baseret på MOCES/nemid erhverv) fortsætter med at fungerer. Brugerdatabasen indeholder kun brugere, der anvender SAML løsningen. Denne løsning er separat fra webservices FOCES sikkerhedsmodel og beskrives derfor ikke yderligere her.

 

Webservicebeskeder (WSB)

Denne del beskriver kort sikkerhedsmodellen for webservicebeskeder og de krav, der gælder for aftagere. For at kunne foretage kald til webservicebeskeder er der en række sikkerhedsforanstaltninger, der skal overholdes.

...