# MS-Proxy-Service v1.0.0 Release vom 26.08.2022

## Beschreibung
Das MS-Proxy-Service implementiert eine Bridge zwischen dem österreichischen E-ID System und dem eIDAS Framework um österreichischen Benutzern eine Anmeldung an ausländischen Service-Providern zu ermöglichen.

### Änderungen in dieser Version

  - Initiale Version des eIDAS MS-Proxy-Service



## Minimalinformation zu Konfiguration und Start

Nachfolgend finden Sie die erforderlichen Schritte für das Update eines bestehenden MS-Proxy-Service auf die aktuelle Version 1.0.1. Das vollständige Handbuch mit allen Konfigurationsparametern finden Sie im Releasepackage im Verzeichnis: _infos/handbook/_

#### Konfiguration

Die Konfiguration besteht aus einer Minimalkonfiguration [`default_config.properties`](./../config/default_config.properties)  und eine in das MS-Proxy-Service integrierten Defaultkonfiguration. Die nachfolgende Aufzählung umfasst die neuen oder geänderten Konfigurationsparameter, beschreibt jedoch keine Aufteilung einer bestehenden Konfiguration in Minimal- und Defaultteil. Eine vollständige Beschreibung aller Konfigurationswerte finden Sie im Handbuch zum AT MS-Proxy-Service.

1. Die *MS-Proxy-Service* Applikation benötigt folgende Betriebsumgebung

   - Java 11
   - Apache Tomcat 9
   - Konfiguration des vorgeschaltetem Web-Servers inkl. TLS-Zertifikat
   - Netzwerktechnische Freischaltungen, sodass die im Apache Tomcat betriebene Applikation „AT-spezifisches Proxy-Service“ via vorgeschaltetem Web-Server von extern erreichbar ist

2. Entpacken Sie das Releasepacket *ms_specific_proxyservice-1.0.0-dist.zip* in ein temporäres Verzeichnis welches in weiterer Folge __MsProxyServicePackage__ bezeichnet wird.

3. Kopieren sie die Applikation __MsProxyServicePackage__/ms_proxyservice.war nach in das Applikationsverzeichnis ihres Applikationsservers

4. Kopieren sie die Konfiguration __MsProxyServicePackage__/config/* in das von ihrem Applikationsservers verwendeten Konfigurationsverzeichnis. Z.B. *TOMCAT_HOME/conf/ms_proxyservice/*

5. Anpassung der Konfigurationsdatei __MsProxyServicePackage__/config/eIDAS/igniteSpecificCommunication.xml  
   **Hinweis:** Siehe auch Update-Hinweise zur EIDAS-Node v2.5

6. Die Übergabe der MS-Proxy-Service Konfiguration an den Applikationsserver erfolgt via SystemD Property:
   ```-Deidas.ms-proxy.configuration=/path/to/configuration/default_config.properties```

7. Die Registrierung einer externen Logger-Konfiguration am Applikationsserver erfolgt via SystemD Property:
   ```-Dlogging.config=file:/path/to/configuration/logback_config.xml```

8. Erstellung / Anforderung eines KeyStores zur Anbindung an das ID Austria System

   Der _KeyStore_ für SAML2 Anbindung an das ID Austria System kann bis zu drei unterschiedliche Schlüssel für die Anbindung an das ID Austria System enthalten. Diese Schlüssel werden für folgende Operationen verwendet:

   - _eidas.ms.modules.idaustriaauth.metadata.sign.*_ Signatur der SAML2 Metadaten zur Registrierung am IDA System
   - _eidas.ms.modules.idaustriaauth.request.sign.*_ Signatur des SAML2 Authentifizierungsrequests an das IDA System
   - _eidas.ms.modules.idaustriaauth.response.encryption.*_ Verschlüsselung der SAML2 Response welche vom IDA System an das MS-Proxy-Service returniert wird

   Das hierfür verwendete Zertifikats- und Schlüsselmaterial kann sowohl Self-Signed als auch aus einer CA stammen. 

9. Neue Konfigurationsparameter

   Nachfolgend finden Sie die wichtigesten Konfigurationsparameter des MS-Proxy-Services welche auf jeden Fall entsprechend der verwendeten Deploymentstruktur angepasst werden muss.

```properties
###############################################################################
## Basic application configuration
eidas.ms.context.url.prefix=               ## öffentliche URL des MS-Proxy-Service z.B. https://eidas.bmi.gv.at/ms_proxyservice
eidas.ms.core.configRootDir=file:./        ## Pfad auf das Konfigurationsverzeichs siehe Punkt 4

##Monitoring
eidas.ms.monitoring.eIDASNode.metadata.url=     ## URL auf die Metadaten des eIDAS Nodes z.B. https://eidas.bmi.gv.at/EidasNode/ServiceMetadata


#############################################
## eIDAS Ref. Implementation connector ##
eidas.ms.auth.eIDAS.node_v2.proxy.forward.endpoint=     ## URL auf den Weiterleitungsendpunkt am eIDAS Node z.B. TODO

## Mandate configuration 
## Details siehe Handbuch
eidas.ms.auth.eIDAS.proxy.mandates.enabled=true
eidas.ms.auth.eIDAS.proxy.mandates.profiles.natural.default=GeneralvollmachtBilateral
eidas.ms.auth.eIDAS.proxy.mandates.profiles.legal.default=Einzelvertretungsbefugnis


#############################################
## PVP2 S-Profile communication with ID Austria System 
# EntityId and optional metadata of ID Austria System
eidas.ms.modules.idaustriaauth.idp.entityId=https://eid.oesterreich.gv.at/auth/idp/shibboleth

# Common SAML2 configuration
eidas.ms.pvp2.metadata.organisation.name=BM.I
eidas.ms.pvp2.metadata.organisation.friendyname=Republik Oesterreich - Bundesministerium fuer Inneres
eidas.ms.pvp2.metadata.organisation.url=https://bmi.gv.at/
eidas.ms.pvp2.metadata.contact.givenname=BM.I
eidas.ms.pvp2.metadata.contact.surname=Helpdesk
eidas.ms.pvp2.metadata.contact.email=helpdesk@bmi.gv.at

# SAML2 client configuration
eidas.ms.modules.idaustriaauth.keystore.type=jks
eidas.ms.modules.idaustriaauth.keystore.path=keys/....
eidas.ms.modules.idaustriaauth.keystore.password=
eidas.ms.modules.idaustriaauth.metadata.sign.alias=
eidas.ms.modules.idaustriaauth.metadata.sign.password=
eidas.ms.modules.idaustriaauth.request.sign.alias=
eidas.ms.modules.idaustriaauth.request.sign.password=
eidas.ms.modules.idaustriaauth.response.encryption.alias=
eidas.ms.modules.idaustriaauth.response.encryption.password=

# TrustStore IDA SAML2 Metadaten
eidas.ms.modules.idaustriaauth.truststore.type=jks
eidas.ms.modules.idaustriaauth.truststore.path=keys/truststore_ida.jks
eidas.ms.modules.idaustriaauth.truststore.password=password

```

10. Registrierung am ID Austria System  

    Das MS-Proxy-Service authentifiziert den Benutzer unter Verwendung des ID Austria Systems. Hierfür ist eine Registrierung am ID Austria System erforderlich. Aus Sicht des MS-Proxy-Service sind folgende Registrierungsparameter auf jeden Fall notwendig:

    - Eindeutige Identifier: 

      - P-Stage: https://eidas.bmi.gv.at/ms_proxyservice/sp/idaustria/eidas/metadata
      - T-Stage: https://eidas-test.bmi.gv.at/ms_proxyservice/sp/idaustria/eidas/metadata

    - bPK-Berech: **ZP-eidas**

    - Attribute:

      - Ausstellungsland
      - Vorname (wird für öffentliche SP's per Default übertragen)
      - Familienname (wird für öffentliche SP's per Default übertragen)
      - Geburtsdatum (wird für öffentliche SP's per Default übertragen)
      - bPK (wird per Default übertragen)
      - Authentifizierungslevel des Bürgers  (wird per Default übertragen)
      - Vollmachtenattribute 	werden automatisch mit der Aktivierung von Vertetungen inkludiert

    - ​	Anmeldung in Vertretung erlauben

      - Vollmachtenprofile entsprechend den in der MS-Proxy-Service hinterlegten Profile

    - SAML2 Metadaten

      Die für die Registrierung benötigten SAML2 Metadaten werden automatisch generiert und  können unter den folgenden Endpunkten abgerufen werden.

      - P-Stage: https://eidas.bmi.gv.at/ms_proxyservice/sp/idaustria/eidas/metadata
      - T-Stage: https://eidas-test.bmi.gv.at/ms_proxyservice/sp/idaustria/eidas/metadata