Innehållsförteckning
Dokumentation för version 1.0 (äldre version)
Om man vill köra en egen instans av edusign.sunet.se krävs en del programvara som levereras som docker-containers:
- https://github.com/SUNET/docker-sign-app - detta är programvaran som körs edusign.sunet.se
- Färdigbyggd image: docker.sunet.se/upload-sign-app:1.0.4
- https://github.com/SUNET/docker-shibsp-ajp - detta är en komponent som kopplar edusign mot Swamid..
- Färdigbyggd image: docker.sunet.se/shibsp-ajp:latest
Detta krävs för att sätta upp en egen instans av edusign 1.0
Såhär ser en installation av edusign 1.0 ut:
För att köra en egen instans av samma programvara som edusign.sunet.se kör krävs följande:
- Kunna köra docker-containers - programvaran levereras som ett antal docker-images (se ovan)
- Konfigurera och sätta upp en instans av docker.sunet.se/upload-sign-app:<version> (dokumentation i README-filen på https://github.com/SUNET/docker-sign-app)
- Sätta upp och registrera en SP i Swamid (tex https://edusign.<universitet>.se/) tex genom att köra en instans av docker.sunet.se/shibsp-ajp:latest (baserad på shibboleth)
- Koppla SPn (som förslagsvis kör docker.sunet.se/shibsp-ajp:latest eller motsvarande) till en instans av docker.sunet.se/upload-sign-app:<version>
- Koppla ihop instansen med signeringsinfrastrukturen. Detta steg kräver en registrering av instansen i en intern behörighetskontrollfunktion - kontakta Sunet för detaljer!
För närvarande är den senaste versionen av upload-sign-app 1.0.5 men kontrollera med dokumentationen för vad som är aktuellt.
Dokumentation för version 2.0 (nuvarande version)
Den 29/9 2021 planerar vi att släppa den nya versionen av edusign. Här finner du programvaran vi kommer köra:
- https://github.com/SUNET/docker-edusign-app
- Färdigbyggd image: docker.sunet.se/edusign-sp:stable samt docker.sunet.se/edusign-app:stable
Samtidigt med den nya versionen finns ett API tillgängligt som kan användas för att integrera med egna applikationer. Länk till dokumentation nedan. Det är inte nödvändigt att uppgradera från 1.0 till 2.0 - version 1.0 kommer vi underhålla med kritiska buggfixar under minst ett år.
Detta krävs för att sätta upp en egen instans av 2.0
såhär ser en installation av edusign 2.0 ut:
För att köra en egen instans av samma programvara som edusign.sunet.se kör krävs följande:
- Kunna köra docker-containers - programvaran levereras som ett antal docker-images (se ovan)
- Konfigurera och sätta upp en instans av docker.sunet.se/edusign-sp:<version> samt docker.sunet.se/edusign-app som båda byggs och dokumenteras från detta repo: https://github.com/SUNET/docker-edusign-app
- Sätta upp och registrera en SP i Swamid (tex https://edusign.<universitet>.se/) baserat på docker.sunet.se/edusign-sp
- De två docker-images kopplas ihop enligt dokumentation i docker.sunet.se/edusign-app
- Koppla ihop instansen med signeringsinfrastrukturen och med API-servern. Detta steg kräver en registrering av instansen i en intern behörighetskontrollfunktion - kontakta Sunet för detaljer!
Specifikationer
Specifikationer för underskriftstjänst finns på Sweden Connect under följande länk https://docs.swedenconnect.se/technical-framework/.
De dokument som är relevanta är:
- DSS Extension for Federated Central Signing Services
- Certificate Profile for Certificates Issued by Central Signing Services
- Implementation Profile for using OASIS DSS in Central Signing Services
Dessa specifikationer är baserade på Digital Signature Service Core Protocols, Elements, and Bindings Version 1.0 (https://docs.oasis-open.org/dss/v1.0/oasis-dss-core-spec-v1.0-os.html)
Utöver dessa specifikationer följer underskriftstjänsten de normativa specifikationerna för fristående underskriftstjänst från Myndigheten för digital förvaltning DIGG. Version 1.3 finns att tillgå på: https://www.elegnamnden.se/eunderskrift/levereraeunderskrift/bligodkandleverantoravfristaendeeunderskriftstjanst.4.4498694515fe27cdbcf154.html.
API-dokumentation
Länk till dokumentation av REST-api:et nedan
Det finns även krav på en tjänst som integreras med edusign API som måste uppfyllas av alla som integrerar med API:et i produktion.
Krav på en tjänst som integreras med edusign API
För att en tjänst ska få integreras direkt med edusign API måste den uppfylla samma krav på tydlighet, säkerhet mm som den applikation som används på edusign.sunet.se. Integration direkt med API:et kräver därför att en tjänst genomgår en granskning av Sunet i syfte att kontrollera att den uppfyller följande krav:
- Identifiering av användare måste ske på ett sätt som är ekvivalent eller bättre än som sker på edusign.sunet.se.
- Användare måste tydligt informeras om att en signatur sker på ett sätt som uppfyller krav på informerat medgivande i GDPR.
- Tjänsten måste hantera inloggningsuppgifter till API:et på ett sätt som gör att endast den tjänsten har möjlighet att för användarens räkning begära en signatur
- Tjänsten måste tillse att endast de signaturer som användaren avser att genomföra kan begäras av signaturtjänst och API:er
- Tjänste måste tydligt visa upp resultatet av en signatur för användaren.
Från och med införandet av edusign 2.0 och edusign API gäller detta även för de som väljer att köra egna instanser om det finns ett krav/önskemål på att kunna signera via både den egna instansen och edusign.sunet.se.