SamlSSOService (2023-3)


DENNE SIDE ER UNDER KONSTRUKTION I FORHOLD TIL DET NYE Nemlogin3

Forretningsbeskrivelse

Denne service er en del af den Single Sign On (SSO) løsning, som benyttes af STARs interne systemer.

Formål med service

Servicens formål er at udstille oplysninger for en bruger, dennes roller samt information om brugerens pågældende organisation. Dette med henblik på at understøtte Single Sign On (SSO) i STARs interne systemer.

Servicen returnerer oplysninger for en bruger i en såkaldt ClaimsIdentity, som indeholder Claims. De enkelte Claims angiver med sin Claim type og værdi én bestemt oplysning for brugeren, eksempelvis en rolle.

ClaimsIdentity

Det ClaimsIdentity, som servicen udstiller, angiver, hvorvidt brugeren er godkendt eller ej. For godkendte bruger vil et ClaimsIdentity indeholde en liste af Claims, der angiver bestemte oplysninger for brugeren. Er brugeren ikke blevet godkendt, vil listen af ClaimsClaimsIdentity være tom.

Der kan sagtens være flere Claims med samme Claim type i en ClaimsIdentity, hvilket vil være tilfældet, hvis brugeren har mere end en rolle. I det tilfælde vil ClaimsIdentity have et Claim pr. rolle, hvor Claim typen angiver, at der er tale om en rolle og værdien angiver selve rollen.

En ClaimsIdentity for en godkendt bruger indeholder kun de Claims, hvortil brugeren har en værdi. Det betyder, at en ClaimsIdentity ikke vil indeholde et Claim for mailadresse, hvis denne oplysning ikke er registreret for brugeren.

Claim

Hvert Claim, som servicen udstiller, angiver med sin Claim type og værdi én bestemt oplysning om den godkendte bruger, eksempelvis navn eller en rolle.

Claim typer

Servicen udstiller Claims med følgende Claim typer:

Claim typeBeskrivelse af værdi i ClaimForekomst
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Brugerens identifikation

Eksempel på UUID: c223dde4-1305-4e27-90c6-75106ec318f2

Eksempel på CVR:RID: CVR:11223344-RID:1100000000194

0 - 1
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Brugerens fulde navn

Eksempel: John Doe

0 - 1
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Brugerens mailadresse

Eksempel john.doe@star.dk

0 - 1
urn:star:dfdg:claims:rid

Brugerens "gamle" identifikation

Eksempel på UUID: c223dde4-1305-4e27-90c6-75106ec318f2

Eksempel på CVR:RID: CVR:11223344-RID:1100000000194

0 - 1
urn:star:dfdg:claims:cvr

CVR-nummer på brugeren organisation

Eksempel: 11223344

0 - 1
urn:star:dfdg:claims:activeorganization:organizationtype

Angivelse af brugerens aktuelle organisationstype

Eksempel: 5

0 - 1
urn:star:dfdg:claims:activeorganization:organizationcode

Angivelse af brugeren aktuelle organisationskode

Eksempel: 1

0 - 1
http://schemas.microsoft.com/ws/2008/06/identity/claims/role

Angivelse af en rolle, som brugeren har

Eksempel: Listevisning

0 - *
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod

Angivelse af metoden, hvormed brugeren er blevet godkendt

Eksempel: SamlSSO

1
urn:star:dfdg:claims:clientsystemtype

Angivelse af en ClientSystemTypeIdentifier, som brugeren repræsenterer

Eksempel: 21 

0 - *

Sikkerhed og kald fra interne STAR systemer

Fra og med version 2 af servicen gælder det, at servicen følger STARs sikkerhedsmodel. Dette betyder, at servicen skal kaldes med et certifikat (funktionscertifikat) og de respektive sikkerhedsheaders, som er tilknyttet denne sikkerhedsmodel. Når et internt STAR system kalder servicen, skal systemet kalde, som angivet her:

  • Certifikat, som skal være det funktionscertifikat, der er udstillet til det interne STAR system, eksempelvis funktionscertifikatet til LSS.
  • ActiveOrganisation (header), som skal udfyldes med de værdier, der angiver det interne STAR system.
  • RequestUserMetadata (header), som skal udfyldes med værdier, der angiver det interne STAR system, herunder:
    • UserFullName, hvor systemnavnet angives.
    • RequestUserTypeIdentifier, hvor det angives, at der er tale om et system.
    • UserIdentifier, hvor RID/FID eller UUID fra funktionscertifikatet til det interne STAR system angives.
    • RequestOrganisationStructure, som skal udfyldes med de værdier, der angiver det interne STAR system.

Metoder

AuthenticationQuery

Henter et ClaimsIdentity for brugeren. Dette ClaimsIdentity kan enten være:

  • Godkendt (IsAuthenticated = true) og oplysninger om brugeren returneres i listen af Claims.
  • Ikke godkendt (IsAuthenticated = false) og listen af Claims vil være tom.