IPS grensesnittet - signering personID
Buypass Cloud Signature Services (BCSS)
Buypass launched Buypass Cloud Signature Services with remote eSeal for Enterprice signing autumn 2022, and will launch a new eSigning service for person signing autumn 2023.
See some developer details for Enterprice signing here - Buypass Cloud Signature Services
A end-of-life date for the existing signing service with Buypass Bx-protocol (implemented by IPS) will be published on release of BCSS eSigning.
Signing Keys
From 01.09.2023 Buypass will not support signing with SHA1 keys when using the Buypass BX-protocol. From that date SHA256 keys must be used in signing request.
Reed more here - SHA-256 som hashalgoritme ved signering
Fra og med 01.09.2023 vil Buypass ikke lenger støtte signering med SHA1 nøkler i Buypass BX-protokollen. Fra den dato må SHA256 nøkler oppgis i signeringsrequesten.
Overordnet
IPS er en web-basert autentiserings- og signeringsløsning, men for autentisering benyttes nå kun oidc-auth - se Authentication.
IPS kommuniserer med brukeren over http på tradisjonelt web-vis gjennom nettleseren. Det vil si at initiativet fra nettleseren ved signering overlates til IPS, og gjennomføres i sin helhet før initiativet gis tilbake til brukerstedet. Dette gjøres enten ved at brukeren redirigeres "helt" over til IPS, slik at IPS overtar hele nettleservinduet under den aktuelle operasjonen, eller at IPS kommuniserer med sluttbrukeren gjennom en FRAME/IFRAME, som innkapsles på nettsidene til det aktuelle brukerstedet.
Brukerstedet har med andre ord ikke noe forhold til den klient-server spesifikke sekvensen som utføres for hver operasjon, utover det å sette i gang en operasjon, og avslutte den. Igangsetting og avslutting av operasjoner gjøres i samme mønster uavhengig av operasjonstype.
Innhold denne siden:
Innhold underliggende sider:
Kommunikasjon med IPS
Igangsetting og avslutting av operasjoner i IPS gjøres enten:
ved å utveksle XML meldinger via nettleseren via et GET/POST-POST pattern, eller
utveksle tilsvarende XML meldinger direkte til IPS ved server til server kommunikasjon.
Alle XML meldinger som utveksles mellom brukersted og IPS er krypterte og signerte, uavhengig av om de utveksles gjennom nettleser, eller fra server til server. Det genereres i hovedsak 4 parametere som sendes til IPS ved en forespørsel (samme for begge mønstrene over):
En kryptert og signert XML forespørsel (parameteren PSE)
En kryptert forespørselspesifikk nøkkel (parameteren E)
Operasjonsidentifikator (parameteren OP)
BrukerstedsID (parameteren M)
I retur får man en parameter som inneholder den krypterte responsen (parameteren PE). Denne responsen kan kun dekrypteres med samme nøkkel som ble brukt i forespørselen.
Leverandøren tilbyr forhåndsprogrammerte støtte biblioteker for alle nødvendige mekanismer på Java og .NET plattform. Disse bibliotekene håndterer i hovedsak XML oppbygging, parsing, kryptering/dekryptering og signering av disse meldingene. Sammensetting og tolking av forespørsler og responser programmeres iht. spesifikasjon ved hjelp av disse bibliotekene, slik at man ikke trenger å bytte ut/oppgradere disse bibliotekene for å ta i bruk ny funksjonalitet.
IPS-Bx protokollen
Kommunikasjon og meldingsutveksling
Kommunikasjon med IPS skjer basert på utveksling av krypterte og signerte XML meldinger, enten gjennom nettleseren over SSL (redirect), eller direkte server-til-server (direct). All kommunikasjon med IPS går over HTTP(S).
Den vanligste kommunikasjonsformen er via nettleser. Leverandøren leverer protokoll orientert støtte biblioteker for Java og .NET som forenkler generering/parsing, kryptering/dekryptering og signering/verifisering av disse XML meldingene. Disse støtte bibliotekene er ikke funksjonsorienterte i forhold til tjenestene IPS tilbyr, men protokoll orienterte i den forstand at de tilbyr støtte for håndteringen av den underliggende protokollen mellom brukerstedet og IPS.
Sende forespørsler til IPS
I hovedsak består en forespørsel av fire http form data parametere:
PSE (Parameters Signed Encrypted)
E (Encrypted)
OP (operation)
M (merchantID)
PSE parameteren inneholder en signert, kryptert og base64 enkodet utgave av BX XML forespørselen. Parameteren E inneholder en kryptert og base64 enkodet versjon av sesjonsnøkkelen brukt til å kryptere innholdet i parametere PSE. OP angir operasjonstype, og M angir brukersteds ID'en.
I retur vil brukerstedet motta én parameter; PE (Parameters Encrypted). Denne inneholder en kryptert og base64 enkodet versjon av BX XML responsen. Responsen er kryptert med samme nøkkel som ble brukt til å kryptere forespørselen. Sesjonsnøkkelen i initiativet (PE) er kryptert med en Buypass' Public Key for kryptering av slike nøkler.
Request parametere
Parameter | Påkrevd | Beskrivelse |
---|---|---|
OP | Ja | Operasjonsidentifikator |
M | Ja | BrukerstedsID |
PSE | Ja | Signert, kryptert og base64 enkodet utgave av forespørselen |
E | Ja | Kryptert sesjonsnøkkel |
FOU | Nei | Failover URL |
Respons parametere
Parameter | Påkrevd | Beskrivelse |
---|---|---|
PE | Ja | Kryptert og base64 enkodet response data |
Direct forespørsler
Ved direkte kommunikasjon med IPS utveksles de samme parameterne vha POST over HTTP direkte fra brukerstedets server til IPS. Responsdataene (innholdet i PE) returneres som svar på den aktuelle POST'en.
Redirect baserte forespørsler
Ved bruk av "redirect" i kommunikasjonen med IPS, utveksles alle forespørsler og responser via nettleseren i et Get/Post-Post pattern. Dvs. at initiativet til forespørselen blir først sendt til brukerstedet, for eksempel et initiativ om pålogging. Deretter genererer brukerstedet de fire parameterne (PSE, E, OP og M) og sender dette som en HTML form tilbake til nettleseren.
Nettleseren POST'er så disse dataene automatisk vha javascript inn til IPS. Tilsvarende vil IPS sende en HTML form tilbake til nettleseren med responsen i vha av samme Get/Post-Post pattern, som i sin tur POST'er responsen tilbake til angitt returadresse.