- Installationsvejledning for SOSIGW 1.2, NSP

Relaterede dokumenter
- Installationsvejledning for SOSIGW 1.1, NSP

- Installationsvejledning for SOSIGW 1.0.6

- Installationsvejledning for SOSIGW 1.1

SOSIGW. - Driftsvejledning for SOSIGW 1.2. Indeks

SOSIGW. - Driftsvejledning for SOSIGW 1.0. Indeks

SOSIGW. - Administrationskonsol for SOSIGW Indeks

STS Driftsvejledning. STS Driftsvejledning

STS Designdokument. STS Designdokument

Certificate Revocation Authority. Certificate Revocation Authority

e-tl System til System kommunikationstest

Kravspecifikation for SOSI-GW komponenten

OS2faktor. Windows Credential Providers. Version: Date: Author: BSG

STS Installationsvejledning. STS Installationsvejledning

KIH Database. Systemdokumentation for KIH Databasen. 1. maj Side 1 af 13

STS Designdokument. STS Designdokument

STS Installationsvejledning. STS Installationsvejledning

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april J.nr.: 4004 V

Sikkerhed i Stamdatamodulet KOMBIT

Version Dato Beskrivelse /11/2012 Initial version /03/2013 Tilføjet eksempel med Template Agent, generelt udvidet dokumentet.

VIGTIG information til alle kunder som kører backup over Internet via SSL - Kræver kundeaktion inden 17. april 2009!

LUDUS Web Installations- og konfigurationsvejledning

Hosted CRM Outlook client connector setup guide. Date: Version: 1. Author: anb. Target Level: Customer. Target Audience: End User

Brugerguide til Stamdatamodulets administrator-gui KOMBIT

LUDUS Web Installations- og konfigurationsvejledning

Installation og Drift. Aplanner for Windows Systemer Version 8.15

OS2faktor. AD FS Connector Vejledning. Version: Date: Author: BSG

SOSIGW. - Arkitektur og design for SOSIGW 1.0. Indeks

Ivan Overgaard 11/29/2012

Hosted CRM Outlook client connector setup guide. Date: Version: 1. Author: anb. Target Level: Customer. Target Audience: End User

SOSI STS Testscenarier

FairSSL Fair priser fair support

Sikkerhed i trådløst netværk

Indholdsfortegnelse. Version Serviceplatformen - opsætningsguide (Eksterne testmiljø) Indledning... 2

FairSSL Fair priser fair support

Præsentation af BSK regionens identity and access management platform

1.1 Formål Webservicen gør det muligt for eksterne parter, at fremsøge informationer om elevers fravær.

LUDUS Web Bestilling og installation af SSL-servercertifikat Introduktion Bestilling af certifikat fra andre udbydere...

LUDUS Web Installations- og konfigurationsvejledning

Specifikationsdokument for servicen RID-CPR

Resumé NSI har udviklet en funktionel prototype med en visuel brugergrænseflade, der giver ikke-teknikere mulighed for at tilgå adviseringsservicen.

Ruko SmartAir. Updater installation

Den Gode Webservice. version W 1

Digitaliseringsstyrelsen

FairSSL Fair priser fair support

FairSSL Fair priser fair support

EasyIQ ConnectAnywhere Release note

Navision Stat (NS 9.2)

FairSSL Fair priser fair support

SSO - FAQ - Kendte problemer med opsætninger

Bilag WebService LoginModule (BSKAuth)

SOSI STS Designdokument

Nets Rettighedsstyring

Teknisk guide til opsætning af SPF, DKIM og DMARC for at sikre optimale leveringsrater for s fra webcrm, ved brug af Mailjet.

DIADEM KOM GODT I GANG INTEGRATIONSVEJLEDNING IFT. SIKKERHED OG VERSIONERING AF WEBSERVICES VERSION: STATUS: FRIGIVET DATO: 22.

Fælles testmiljøer. Dato: Version: 1.1

Webservice kald. System-til-system integration. Ny Easy. ATP 1. februar 2017

SOSI STS Dokumentationsoverblik

Opdatering af ISOWARE til version 6.1.0

Smartair 6.0. Installations guide

Installation og Drift. Aplanner for Windows Systemer Version

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Kundevejledning. AD FS opsætning til Reindex. Version: 1.0. Dato: 19. april Forfatter: Lasse Balsvad (XPERION)

Projekt: VAX Integrator

OpenTele datamonitoreringsplatform

Tilslutning med Cisco AnyConnect VPN-klient (Windows) til AARHUS TECH P-net

BOULEVARDEN 19E 7100 VEJLE LERSØ PARKALLE KØBENHAVN Ø TLF Unik Maps Installationsvejledning

Navision Stat (NS 9.3)

OpenTele Server Performance Test Rapport

Opsætning af MobilePBX med Kalenderdatabase

ADFS Opsætning til MODST SSO Moderniseringsstyrelsen

Specifikationsdokument for servicen PID-CPR

STS Anvenderdokument i. STS Anvenderdokument

IP Telefoni. Modul 3

KIH Database. Systemdokumentation for KIH Databasen. 12. september Side 1 af 20

LUDUS Web version Den 19. november LUDUS Web

Ibrugtagning af Fødselsindberetningsservicen på NSP

Integrationsmanual. Anvendelse af webservice til kursusoversigt i Campus. Brugervejledning til udviklere

Installationsvejledning Installation af Digital Underskrift Enterprise

I denne øvelse vil du få vist hvordan opsætningen af netværket foregår. Målet er at du selv kan konfigurere en IP adresse på din lokal maskine.

EasyIQ Opdatering > 5.4.0

LUDUS Web version Den 15. februar LUDUS Web

Kald af PingService via SOAPUI

Sektornet VPN. Opsætning af Novell 4.1x server og klient på. Windows 2000/NT/XP

Forberedelser på klient PCer til EASY-A Webforms

FAQ til Web Ansøger, Web ejendomsfunktionær, Web investeringskunde og Web bestyrelse Installationsvejledning

Den Gode Webservice 1.1

OS2autoproces. Vejledning til AD importer løsningen

Digital skriftlig aflevering med Lectio Censormodul Stedprøver installationsvejledning

Specifikationsdokument for servicen PID-CPR

AuthorizationCodeService

FairSSL Fair priser fair support

Navision Stat 9.1. Installationsvejledning til NS CIS Invoker. Overblik. Side 1 af 8. ØSY/TJO/CPS Dato

Grundopsætning af Piccolo på server og terminal og brug af Check-In

BOULEVARDEN 19E 7100 VEJLE LERSØ PARKALLE KØBENHAVN Ø TLF Webservices Installationsvejledning

Oprettelse af Titelblok i Capture og Capture CIS

LUDUS Web version Den 1. marts LUDUS Web

Dokumentation Nets Rettighedsstyring (Attributtjeneste)

ecpr erstatnings CPR Design og arkitektur

LUDUS Web version Den 20. december LUDUS Web

Programmering af CS7050 TCP/IP modul

Transkript:

SOSIGW - Installationsvejledning for SOSIGW 1.2, NSP Indeks Indeks... 1 Revisionshistorik... 2 Introduktion... 2 Forudsætninger og krav... 2 Installér ønsket JDK.... 3 Konfigurer JDK til ubegrænset kryptering... 3 Export Policy... 3 Installér webcontainer... 3 JBoss 6... 3 Konfiguration... 4 Konfiguration... 4 Testklient... 7 Side 1 af 8

Revisionshistorik Version Dato Ændring Ansvarlig 1 23/8/11 Nyt dokument baseret på JRF Installationsvejledning for SOSI-GW 1.1 rev. 6. Dette dokument beskriver kun NSPinstallation 2 29/08/13 Opdateret med NSP-Gateway informationer CHE Introduktion Denne vejledning beskriver arbejdsgange ved opsætning af SOSI-GW til driftsformål på NSP-platformen. Forudsætninger og krav Der kræves maskiner med mindst to separate netværk. Dette krav kan opfyldes enten ved at benytte servere med to fysiske netkort eller ved at benytte VLAN. I begge tilfælde skal de to net konfigureres til at være separate. Formålet er at have et net, der udelukkende kan tilgås af SOSI-GW serverne, til intra-cluster kommunikation. Til test og udviklingsformål kan man nøjes med ét netkort. Der kræves maskiner med tilstrækkeligt med RAM og CPU til at bære belastningen. Tests hos Trifork har vist at det er tilstrækkeligt med 1.5GB RAM og en 1.5GHz cpu for at servicere omkring 20.000 brugere med omkring 100.000 webservice-kald gennem SOSI-GW i timen. Der kan med fordel anvendes maskiner med flere cores/cpu'er, hvis større belastning forventes. Der bør anvendes mindst to servere og en loadbalancer (eller auto-balancerende klienter) for at kunne benytte fail-over og rullende opgradering uden afbrydelse af servicen overfor brugerne. Der kan også opsættes flere maskiner, hvis der ønskes skalerbarhed ud over hvad to maskiner kan bære. SOSI-GW er fuldstændig afhængig af korrekt systemtid og korrekt tidszone. Systemtiden indgår i de id-kort, der udstedes, og den skal ikke være mange sekunder forkert, før id-kortet ikke fungerer. Cluster-funktionaliteten kræver at systemtiden forløber kontinuerligt, mens den er mindre interesseret i at den er præcis. Som samlet resultat kræves der at serveren benytter NTP eller lignende, med en god implementation, der aldrig skifter tiden brat, men kun påvirker den ved glidende at tilpasse systemtiden til virkeligheden. Skulle det blive nødvendigt hårdt at stille systemtiden bør SOSI-GW stoppes på den pågældende server først. Side 2 af 8

Installér ønsket JDK. SOSI-GW kræver mindst JDK version 1.5.0 og er testet på Sun JDK-1.5.0_13 og Sun JDK-1.6.0_03. Konfigurer JDK til ubegrænset kryptering Dette er taget fra SOSI-SEAL vejledning. Det har ikke været nødvendigt for at gennemføre testene, men det nævnes som nødvendigt af SOSI-SEAL. Export Policy JDK 1.4 is shipped with policy files that supports strong but not unbounded encryption strength. However, SUN does distribute policy files that allows unbounded encryption strength which is needed by the SOSI component: Download og extract US_export_policy.jar and local_policy.jar from Sun 1.4.2: http://java.sun.com/j2se/1.4.2/download.html (in the bottom part of the page) Sun 1.5: http://java.sun.com/javase/downloads/index_jdk5.jsp IBM 1.4.2: http://www- 128.ibm.com/developerworks/java/jdk/security/142/ Copy these two files to $JRE_HOME/lib/security and overwrite the existing files. Installér webcontainer SOSI-GW kører på NSP på JBoss AS 6. JBoss 6 Deploy sosigw-jboss6.war til JBoss ved at kopiere filen ind i JBOSS.HOME/server/default/deploy. Kopier følgende filer fra releasen: log4j-sosigw.xml skal lægges i JBOSS.HOME/server/default/conf sosigw-staticconf.properties skal lægges i JBOSS.HOME /server/default/conf nspslalog-sosigw.properties skal lægges i JBOSS.HOME /server/default/conf Ved start af JBoss skal det sikres at der reserveres tilstrækkeligt med RAM til Java heap. Dette gøres for tiden ved at sætte JAVA_OPTS=-Xmx1024m før start, eller rette i JBOSS.HOME/bin/run.conf. 1024 megabytes til heapen kræver at maskinen har mindst 1.2GB ram til rådighed. JBoss har som standard en threadpool på 250, hvilket begrænser SOSI-GW til at håndtere 250 samtidige requests. Hvis dette er for lavt til formålet, så hæv maxthreads i server.xml på den Connector, der bruges til http. Lad være med at konfigurere tomcat clustering. SOSI-GW har sin egen cluster-funktionalitet. Side 3 af 8

dens default, 40, til et passende, større tal. Dette tal begrænser hvor mange samtidige klienter, SOSI-GW vil håndtere. Det sættes typisk højt, men lavt nok til ikke at løbe tør for fildescriptors/handles. Til test er benyttet 400. Konfiguration Alle parametre, både dem der traditionelt har været kaldt statiske og dem der tidligere er kaldt runtimekonfiguration, står i filen sosigw-staticconf.properties med kommentarer om deres funktion. Det er vigtigt, at property runtimeconfig.storage.type bevarer værdien properties, ellers vil SOSI-GW forsøge at indlæse runtimekonfigurationen fra database, hvilket ikke ønskes på NSP. Derudover skal følgende rettes før første opstart af applikationen. cluster.ip.prefix ip-prefix'er skal sættes til f.eks. 10.7., hvis det lukkede net til intra-cluster kommunikation har fået tildelt adresser i 10.7.x.y nettet. Intentionen med denne indstilling er at forhindre at uvedkommende får mulighed for at sende pakker til clusteret, samt at øge stabilitet og performance ved at benytte et separat net til formålet. sosigw.mode Den valgte mode afspejler formålet med clusteret og vælger hvilken STS der benyttes. Til testformål benyttes værdien test og til drift benyttes production. Den eneste forskel mellem test og production er hvilken STS, der anvendes, samt at SLAlogning per default er slået fra i test -mode (dette kan overstyres i test -mode ved brug af konfigurationsparameteren sosigw.slalog). Ved opsætning af et nyt cluster benyttes først værdien bootstrap, der sætter SOSI-GW i en mode, hvor den ikke deltager i cluster og ikke processerer webservice-requests, men til gengæld tillader adgang til administrationskonsollen uden adgangskontrol. Formålet er at lade en administrator få adgang til at tilføje sig selv til listen over brugere med login-mulighed i konsollen, samt at opsætte initielle restriktioner på hvilke webservices, der kan kaldes gennem den. Når dette er sket skiftes til enten test eller production, og øvrige servere i clusteret startes herefter. Det er kun nødvendigt at benytte bootstrap på den første server, da nye servere herefter får konfigurationen foræret af de allerede kørende servere. Ændringer i sosigw-staticconf.properties bliver ikke automatisk indlæst og kræver derfor en genstart af serveren. Indholdet af filen distribueres heller ikke automatisk, så dette skal gøres udefra via fx rsync. Konfiguration Den dynamiske konfiguration sker på NSP også i filen sosigw-staticconf.properties. Instanser skal som for statisk konfiguration genstartes før ændringer slår igennem. Side 4 af 8

Dette kan ske uden tab af IDkort cachen gennem rullende genstart, dvs én søjle af gangen genstartes. Opsæt Systemnavn og -CVR Ydermere skal systemet konfigureres til det rette SOSI systemnavn og CVRnummer: runtimeconfig.general.careprovider.cvr sættes til det CVR-nummer, som SOSIGW skal operere under. Alle certifikatlogins skal ske med certifikater, der har dette nummer dette gælder både for login til administrationskonsol og for browsersigneringsrequests. runtimeconfig.general.careprovider.cvr.name sættes til organisationens navn. Opsæt STS-Url(er) For produktion skal den rette STS udpeges i property runtimeconfig.general.sts.service.url Værdien af denne property kan sættes til at være en enkelt url til den STS, man ønsker at kalde, fx http://nsp-test-sts.trifork.com:8180/test-sts/services/securitytokenservice. For at give større fejltolerance eller skalerbarhed, er det også muligt at angive en liste af URL er. Listen angives som værdi til samme property (sts.service.url) og skal være adskilt af mellemrum. Et eksempel: http://nsp-test-sts.trifork.com:8180/test-sts/services/securitytokenservice http://pan.certifikat.dk/sts/services/securitytokenservice Hvis den første STS i listen ikke kan kontaktes, hvis kaldet fejler eller hvis svartiden er for lang, kontaktes den næste i listen. Skiftet til en alternativ STS sker uden at den kaldende service får besked hvis nsp-test-sts.trifork.com fejler, mens pan.certifikat.dk svarer i ovenstående eksempel, vil den oprindelige klient altså få svaret fra pan.certifikat.dk uden at kunne se, at SOSI-GW først forsøgte nsp-teststs.trifork.com. Det tidsrum, der ventes på svar fra en STS, før den opgives og den næste kontaktes, er konfigurerbar i property sts.timeout.millis Værdien er som standard 10000. Hvis man kører med kun én STS konfigureret, vil man muligvis ønske at sætte værdien højere. Opsæt circuit breaker I en situation, hvor en STS (fx nsp-test-sts.trifork.com i eksemplet overfor) bliver overbelastet og begynder at svare langsommere, vil alle klientkald skulle vente timeout-værdien (sts.timeout.millis), før SOSI-GW kontakter en alternativ STS og kan returnere svaret til klienten. Derfor er der for hver STS implementeret en såkaldt Circuit Breaker. Dens funktion er at holde styr på, hvor mange kald mod en STS, der er fejlet i træk. Når antallet når over en fastsat værdi, holder SOSI-GW helt op med at kontakte denne STS man siger, at circuit breakeren åbner. Side 5 af 8

Antallet af tilladte, fejlende kald i træk er konfigurerbart i property runtimeconfig.general.sts.number.failures.before.open.cb Efter et stykke tid, hvor circuit breakeren har været åben, forsøger SOSI-GW et enkelt prøve-kald mod STS en. Hvis dette går godt, begynder SOSI-GW igen at lave forespørgsler mod STS en. Det stykke tid der går inden prøvekaldet foretages, er konfigurerbart i property runtimeconfig.general.sts.millis.before.attempting.close.cb Opsætning af SLA logning SOSI-GW benyttter NSP-Util til SLA-logning. Dette kræver at opsætningsfilen nspslalog-sosigw.properties findes i samme directory som sosigw-staticconf.properties. For eksempler på indhold i konfigurationsfilen henvises til NSP-util kildekoden i etc/nspslalog-example.properties Opsætning af Cache Partitionering (NSP-Gateway) Hvis SOSI-GW installeres i et miljø hvor idkort cachen ønskes partionieret (f.eks. på NSP-Gateway) sættes runtime propertyen runtimeconfig.general.cache-partitioning.enabled til true og propertyen runtimeconfig.general.cache-partitioning.http-header.name sættes til navnet på den http header som infrastrukturen anvender til at identificere de enkelte anvenderorganisationer, eksempelvis kunne den sættes til SOSIGW_PARTITION. Hvis SOSI-GW er placeret før DCC en (som f.eks. på NSP-Gateway) skal SOSI-GW kende DCC ens endpoint. Det konfigureres med propertyen runtimeconfig.general.decoupling-component.url, der sættes til endpointet for DCC en. Hvis idkort cachen er partitioneret, er der særlige krav til konfiguration af den foranstående loadbalancer: - Loadbalanceren skal tilføje en passende http-header, der unikt identificerer de enkelte anvendere (og det skal konfigureres i SOSI-GW hvilket headernavn, der benyttes se ovenfor) - Det skal være muligt at mappe imellem de ID er, loadbalanceren tildeler de enkelte anvendere, og anvenderne, idet der ved konfigurationen af browserendpoints (se nedenfor) er behov for at koblingen mellem ID og anvender Der er endvidere mulighed for at konfigurere browserendpoints til de enkelte anvendere (til applet-signering af IDkort). Den eksisterende parameter for url en (runtimeconfig.general.browsersigning.url) er default, og der kan for hver anvender Side 6 af 8

tilføjes en konfiguration på formen runtimeconfig.general.browsersigning.url.xxx, hvor XXX er partitionsid et tildelt af infrastrukturen. Testklient Det er vanskeligt at verificere at konfigurationen for en produktions-nsp er korrekt. Selvom en driftstekniker måtte have de fornødne akkreditiver (medarbejdersignatur med tilknyttet CPR nummer) til at få udstedt et SOSI idkort er der ingen services vedkommende med rette må kalde. Derfor sker verifikation typisk først når klinikere forsøger at tilgå services gennem NSP platformen med den ulempe at fejlkonfigurationer opdages meget sent i et opsætnings- eller opgraderingsforløb og potientelt ender med at genere mange brugere. For at kunne afprøve konfigurationer i et produktion (eller produktions-lignende) miljø er der derfor udviklet en simpel NSP test-service (NTS) der kan deployes på NSP samt udvikling af en kommando-linie testklient. Test-servicen udbyder ingen kliniske data, men stiller nogle håndtag til rådighed der kan verificere at kaldet indeholder at gyldigt idkort med det korrekte autentifikationsniveau. Testklienten giver mulighed for at en driftstekniker kan kalde test-servicen i gennem SOSI-GW og DCC og derved validere at SOSI-GW (og STS) er korrekt konfigureret for det pågældende miljø, dvs. enten et NSP-Gateway setup eller et standard regionalt NSP setup. Klienten opretter et idkort i SOSI-GW cachen og kalder derefter NTS gennem gatewayen, kaldet foretages ved hjælp af JAX-WS klasser genereret ud fra en simpel wsdl fil. Hvis ikke andet er angivet, så anvender klienten de samme default værdier som de eksisterende unit tests (taget fra Abstract IntegrationTests.java). Alle værdier kan specificeres med en property fil eller via kommandolinien. NTSClient -- help vil give en liste over de options der kan angives. Der er lavet et ant target nts-client, hvor properties filen angives ved hjælp af -Dntsclient.properties=site.properties Følgende er et eksempel på en site.properties fil med de default værdier der anvendes: # The value of the medcom:careproviderid attribute in the SystemLog attribute-statement - part of idcard.careprovider.id=19343634 # The value of the medcom:careprovidername attribute in the SystemLog attribute-statement - part of idcard.careprovider.name=vi brækker dit hårde øre # The name format of the medcom:careproviderid attribute in the SystemLog attribute-statement - part of Side 7 af 8

idcard.careprovider.type=medcom:cvrnumber # The issuer of idcard.issuer=sosigwtester # The value of the medcom:itsystemname attribute in the SystemLog attribute-statement - part of idcard.itsystem=sositest # The value of the SAML NameId idcard.nameid=mitbrugernavnsomermereend10tegnlangt # The value of the medcom:userauthorizationcode attribute in the UserLog attribute-statement - part of idcard.user.authorizationcode=12345 # The value of the medcom:usercivilregistrationnumber attribute in the UserLog attributestatement - part of idcard.user.cpr=1111111118 # The value of the medcom:useremailaddress attribute in the UserLog attribute-statement - part of idcard.user.email=test@trifork.com # The value of the medcom:usergivenname attribute in the UserLog attribute-statement - part of idcard.user.givenname=tester # The value of the medcom:useroccupation attribute in the UserLog attribute-statement - part of idcard.user.occupation=gråstenæblegrødskoger # The value of the medcom:userrole attribute in the UserLog attribute-statement - part of the SAML Assertion idcard.user.role=læge # The value of the medcom:usersurname attribute in the UserLog attribute-statement - part of the SAML Assertion idcard.user.surname=blåbærgrød # The alias of the certificate in the keystore that should be used keystore.alias=sosi:alias_system # The password of the keystore containing the user certificate keystore.password=!234qwer # The path to the keystore containing the user certificate keystore.path=etc/validmocesvault.jks # The host name and port number used by the NTS nts.host=localhost:8080 # The host name and port number used by the SOSI GW sosigw.host=localhost:8080 Side 8 af 8

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback