summaryrefslogtreecommitdiff
diff options
context:
space:
mode:
authorharald.bratko <harald.bratko@d688527b-c9ab-4aba-bd8d-4036d912da1d>2005-11-07 16:03:27 +0000
committerharald.bratko <harald.bratko@d688527b-c9ab-4aba-bd8d-4036d912da1d>2005-11-07 16:03:27 +0000
commitd4a1b03c89384c07c266130184c66cf12eb9a7d6 (patch)
tree18a3c961ab536e23c24bfd9f47b5263955a21c17
parent78f44702898600e7c495b2186ae1c1efd7c6b2bc (diff)
downloadmoa-id-spss-d4a1b03c89384c07c266130184c66cf12eb9a7d6.tar.gz
moa-id-spss-d4a1b03c89384c07c266130184c66cf12eb9a7d6.tar.bz2
moa-id-spss-d4a1b03c89384c07c266130184c66cf12eb9a7d6.zip
*** empty log message ***
git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@544 d688527b-c9ab-4aba-bd8d-4036d912da1d
Diffstat
-rw-r--r--id.server/build.xml4
-rw-r--r--id.server/doc/moa_id/id-admin_2.htm666
-rw-r--r--id.server/src/at/gv/egovernment/moa/id/auth/builder/SAMLResponseBuilder.java5
-rw-r--r--id.server/src/at/gv/egovernment/moa/id/auth/servlet/VerifyAuthenticationBlockServlet.java5
-rw-r--r--id.server/src/at/gv/egovernment/moa/id/auth/servlet/VerifyIdentityLinkServlet.java10
5 files changed, 348 insertions, 342 deletions
diff --git a/id.server/build.xml b/id.server/build.xml
index 0432046ea..504ff6d71 100644
--- a/id.server/build.xml
+++ b/id.server/build.xml
@@ -37,8 +37,8 @@
<property name="lib" value="lib"/>
<property name="lib.axis" value="${lib}/axis-1.1rc2"/>
<property name="lib.commons-logging" value="${lib}/commons-logging-1.0.2"/>
- <property name="lib.iaik-moa" value="${lib}/iaik-moa-20030703/full"/>
- <property name="lib.iaik-moa-eval" value="${lib}/iaik-moa-20030703/eval"/>
+ <property name="lib.iaik-moa" value="${lib}/iaik-moa-20051107/full"/>
+ <property name="lib.iaik-moa-eval" value="${lib}/iaik-moa-20051107/eval"/>
<property name="lib.jaxen" value="${lib}/jaxen-1.0"/>
<property name="lib.jaxp" value="${lib}/jaxp-1.2_01"/>
<property name="lib.jsse" value="${lib}/jsse-1.0.3_03"/>
diff --git a/id.server/doc/moa_id/id-admin_2.htm b/id.server/doc/moa_id/id-admin_2.htm
index 590997a33..d85daf2db 100644
--- a/id.server/doc/moa_id/id-admin_2.htm
+++ b/id.server/doc/moa_id/id-admin_2.htm
@@ -25,7 +25,7 @@
</style>
<script language="JavaScript">
-<!--
+<!--
function goWin(url) {
Fenster=window.open(url,"smallWin","toolbar=0,location=0,directories=0,status=0,menubar=0,resizable=yes,scrollbars=yes,width=500,height=480,top=20,screenY=0,left=20,screenX=0");
window.setTimeout("showWin()",300);
@@ -45,7 +45,7 @@ function showWin() { Fenster.focus(); }
<div style="margin-left:8px; margin-top:3px; font-size:8pt; color:#707070; ">
<!-- Development Center der BRZ GmbH, A-Trust und IAIK Graz -->&#160;
</div>
-<div style="margin-top:-65px; text-align:right; font-size:8pt; font-weight:bold; color:#d04040;" >
+<div style="margin-top:-65px; text-align:right; font-size:8pt; font-weight:bold; color:#d04040;" >
Projekt <span style="font-size:48pt; ">moa</span>&#160;
</div>
<br />
@@ -55,13 +55,13 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
<tr>
<td width="170" valign="top">
<div style="font-weight:bold; margin-top:12px">MOA-ID</div><br />
-<div id="klein"><a href="id-admin.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" />
+<div id="klein"><a href="id-admin.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" />
<b> &uuml;bersicht</b></a></div>
-<div id="klein"><a href="id-admin_1.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" />
+<div id="klein"><a href="id-admin_1.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" />
<b> Basis-Installation</b></a></div>
-<div id="klein"><img src="../moa_images/select.gif" border="0" width="13" height="14" />
+<div id="klein"><img src="../moa_images/select.gif" border="0" width="13" height="14" />
<b> Konfiguration </b></div>
-<div id="klein"><a href="id-admin_3.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" />
+<div id="klein"><a href="id-admin_3.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" />
<b> Optionale<br />&#160; &#160;&#160;Komponenten</b></a></div>
<br />
<div id="klein"><a href="moa.htm"><img src="../moa_images/west.gif" border="0" width="13" height="14" />
@@ -110,70 +110,70 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
</td>
- <td valign="top">
+ <td valign="top">
<div id="titel">Konfiguration von MOA ID v.1.3</div>
- <div id="moaid-konfiguration" />
+ <div id="moaid-konfiguration" />
<p id="subtitel">Konfiguration von MOA ID v.1.3</p>
- <p id="block"> Die Konfiguration von MOA ID wird mittels einer XML-basierten
- Konfigurationsdatei, die dem Schema <a href="../MOA-ID-Configuration-1.3.xsd" target="_new">MOA-ID-Configuration-1.3.xsd</a>
- entspricht, durchgef&uuml;hrt.
- <p /> Der Ort der Konfigurationsdatei wird im Abschnitt <a href="id-admin_1.htm#deployment">Deployment
- der Web-Applikation in Tomcat</a> beschrieben.
- <p /> Die folgenden Abschnitte erl&auml;utern das Format der Konfigurationsdatei.
- <a href="examples/conf/MOA-ID-Configuration.xml" target="_new">MOA-ID-Configuration.xml</a>
+ <p id="block"> Die Konfiguration von MOA ID wird mittels einer XML-basierten
+ Konfigurationsdatei, die dem Schema <a href="../MOA-ID-Configuration-1.3.xsd" target="_new">MOA-ID-Configuration-1.3.xsd</a>
+ entspricht, durchgef&uuml;hrt.
+ <p /> Der Ort der Konfigurationsdatei wird im Abschnitt <a href="id-admin_1.htm#deployment">Deployment
+ der Web-Applikation in Tomcat</a> beschrieben.
+ <p /> Die folgenden Abschnitte erl&auml;utern das Format der Konfigurationsdatei.
+ <a href="examples/conf/MOA-ID-Configuration.xml" target="_new">MOA-ID-Configuration.xml</a>
zeigt ein Beispiel f&uuml;r eine umfassende Konfigurationsdatei. </p>
- <p>Enth&auml;lt die Konfigurationsdatei relative Pfadangaben, werden
- diese relativ zum Verzeichnis, in dem sich die MOA-ID Konfigurationsdatei
+ <p>Enth&auml;lt die Konfigurationsdatei relative Pfadangaben, werden
+ diese relativ zum Verzeichnis, in dem sich die MOA-ID Konfigurationsdatei
befindet, interpretiert.<br>
</p>
- <div id="ConnectionParameter" />
+ <div id="ConnectionParameter" />
<p id="block"> <b>ConnectionParameter</b> <br />
- Das Element <tt>ConnectionParameter</tt> enth&auml;lt Parameter,
- die MOA-ID f&uuml;r den Aufbau von Verbindungen zu anderen Komponenten
- ben&ouml;tigt. Dieses Element tritt mehrfach in der Konfigurationsdatei
+ Das Element <tt>ConnectionParameter</tt> enth&auml;lt Parameter,
+ die MOA-ID f&uuml;r den Aufbau von Verbindungen zu anderen Komponenten
+ ben&ouml;tigt. Dieses Element tritt mehrfach in der Konfigurationsdatei
auf und wird daher vorab detailliert beschrieben. <br />
<br />
- Das Attribut <tt>URL</tt> enth&auml;lt die URL der Komponente zu
- der die Verbindung aufgebaut werden soll. Wird das Schema <tt>https</tt>
- verwendet, k&ouml;nnen die Kind-Elemente <tt>AcceptedServerCertificates</tt>
- und <tt>ClientKeyStore</tt> angegeben werden. Wird das Schema <tt>http</tt>
- verwendet m&uuml;ssen keine Kind-Elemente angegeben werden bzw.
- werden diese nicht ausgewertet. Andere Schemas werden nicht unterst&uuml;tzt.
+ Das Attribut <tt>URL</tt> enth&auml;lt die URL der Komponente zu
+ der die Verbindung aufgebaut werden soll. Wird das Schema <tt>https</tt>
+ verwendet, k&ouml;nnen die Kind-Elemente <tt>AcceptedServerCertificates</tt>
+ und <tt>ClientKeyStore</tt> angegeben werden. Wird das Schema <tt>http</tt>
+ verwendet m&uuml;ssen keine Kind-Elemente angegeben werden bzw.
+ werden diese nicht ausgewertet. Andere Schemas werden nicht unterst&uuml;tzt.
<br />
<br />
- Wird die Verbindung &uuml;ber TLS aufgebaut und erfordert der TLS-Server
- eine Client-Authentisierung mittels Zertifikate, dann muss das Kind-Element
- <tt>ClientKeyStore</tt> spezifiziert werden. Im Element <tt>ClientKeyStore</tt>
- wird der Filename des PKCS#12-Keys (relativ zur MOA-ID Konfigurationsdatei)
- angegeben. Diesem Keystore wird der private Schl&uuml;ssel f&uuml;r
- die TLS-Client-Authentisierung entnommen. Das Passwort zum Lesen
- des privaten Schl&uuml;ssels wird im Attribut <tt>ClientKeyStore/@password</tt>
+ Wird die Verbindung &uuml;ber TLS aufgebaut und erfordert der TLS-Server
+ eine Client-Authentisierung mittels Zertifikate, dann muss das Kind-Element
+ <tt>ClientKeyStore</tt> spezifiziert werden. Im Element <tt>ClientKeyStore</tt>
+ wird der Filename des PKCS#12-Keys (relativ zur MOA-ID Konfigurationsdatei)
+ angegeben. Diesem Keystore wird der private Schl&uuml;ssel f&uuml;r
+ die TLS-Client-Authentisierung entnommen. Das Passwort zum Lesen
+ des privaten Schl&uuml;ssels wird im Attribut <tt>ClientKeyStore/@password</tt>
konfiguriert.<br />
- Aufgrund der Tatsache, dass starke Verschl&uuml;sselung eine Voraussetzung
- f&uuml;r MOA-ID darstellt, werden clientseitig nur die folgenden
+ Aufgrund der Tatsache, dass starke Verschl&uuml;sselung eine Voraussetzung
+ f&uuml;r MOA-ID darstellt, werden clientseitig nur die folgenden
Cipher Suites unterst&uuml;tzt:<br/>
<ul>
<li><tt>SSL_RSA_WITH_RC4_128_SHA</tt></li>
<li><tt>SSL_RSA_WITH_RC4_128_MD5</tt></li>
<li><tt>SSL_RSA_WITH_3DES_EDE_CBC_SHA</tt></li>
</ul>
- Im Kind-Element <tt>AcceptedServerCertificates</tt> kann ein Verzeichnisname
- (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem
- die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In
- diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser
- Parameter wird lediglich &uuml;berpr&uuml;ft ob ein Zertifikatspfad
- zu den im Element <tt>&lt;TrustedCACertificates&gt;</tt> angegebenen
- Zertifikaten erstellt werden kann. Falls dies nicht m&ouml;glich ist,
- kommt es zu einem Fehlerfall.
+ Im Kind-Element <tt>AcceptedServerCertificates</tt> kann ein Verzeichnisname
+ (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem
+ die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In
+ diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser
+ Parameter wird lediglich &uuml;berpr&uuml;ft ob ein Zertifikatspfad
+ zu den im Element <tt>&lt;TrustedCACertificates&gt;</tt> angegebenen
+ Zertifikaten erstellt werden kann. Falls dies nicht m&ouml;glich ist,
+ kommt es zu einem Fehlerfall.
<p></p>
- <div id="AuthComponent" />
+ <div id="AuthComponent" />
<p id="block"> <b>AuthComponent</b> <br />
- <tt>AuthComponent</tt> enth&auml;lt Parameter, die nur die MOA-ID
- Authentisierungskomponente betreffen. Das Element ist optional
- und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID
+ <tt>AuthComponent</tt> enth&auml;lt Parameter, die nur die MOA-ID
+ Authentisierungskomponente betreffen. Das Element ist optional
+ und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID
Authentisierungskomponente installiert wird. <br />
<br />
- Das Element <tt>AuthComponent</tt> hat vier Kind-Element:
+ Das Element <tt>AuthComponent</tt> hat vier Kind-Element:
<ul>
<li><tt>BKUSelection</tt> (optional)</li>
<li><tt>SecurityLayer</tt></li>
@@ -181,60 +181,60 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
<li><tt>IdentityLinkSigners</tt></li>
</ul>
<p></p>
- <div id="BKUSelection" />
+ <div id="BKUSelection" />
<p id="block"> <b>AuthComponent/BKUSelection</b> <br />
- Das optionale Element <tt>BKUSelection</tt> enth&auml;lt Parameter
- zur Nutzung eines Auswahldienstes f&uuml;r eine B&uuml;rgerkartenumgebung
- (BKU). Wird das Element nicht angegeben, dann wird die lokale
- B&uuml;rgerkartenumgebung auf <tt>http://localhost:3495/http-security-layer-request</tt>
+ Das optionale Element <tt>BKUSelection</tt> enth&auml;lt Parameter
+ zur Nutzung eines Auswahldienstes f&uuml;r eine B&uuml;rgerkartenumgebung
+ (BKU). Wird das Element nicht angegeben, dann wird die lokale
+ B&uuml;rgerkartenumgebung auf <tt>http://localhost:3495/http-security-layer-request</tt>
verwendet. <br />
<br />
- Das Attribut <tt>BKUSelectionAlternative</tt> gibt an welche
- Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID unterst&uuml;tzt
- die Werte <tt>HTMLComplete</tt> (vollst&auml;ndige HTML-Auswahl)
- und <tt>HTMLSelect</tt> (HTML-Code f&uuml;r Auswahl) [<a href="../bku-auswahl.20030408.pdf">"Auswahl
+ Das Attribut <tt>BKUSelectionAlternative</tt> gibt an welche
+ Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID unterst&uuml;tzt
+ die Werte <tt>HTMLComplete</tt> (vollst&auml;ndige HTML-Auswahl)
+ und <tt>HTMLSelect</tt> (HTML-Code f&uuml;r Auswahl) [<a href="../bku-auswahl.20030408.pdf">"Auswahl
von B&uuml;rgerkartenumge-bungen"</a>, Arno Hollosi]. <br />
<br />
- Das Kind-Element <tt>ConnectionParameter</tt> spezifiziert die
- Verbindung zum Auswahldienst (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>),
- jedoch kann das Kind-Element <tt>ClientKeyStore</tt> nicht angegeben
+ Das Kind-Element <tt>ConnectionParameter</tt> spezifiziert die
+ Verbindung zum Auswahldienst (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>),
+ jedoch kann das Kind-Element <tt>ClientKeyStore</tt> nicht angegeben
werden. </p>
- <div id="SecurityLayer" />
+ <div id="SecurityLayer" />
<p id="block"> <b>AuthComponent/SecurityLayer</b> <br />
- Das Element <tt>SecurityLayer</tt> enth&auml;lt Parameter
+ Das Element <tt>SecurityLayer</tt> enth&auml;lt Parameter
zur Nutzung des Security-Layers. <br />
<br />
- Das Kind-Element <tt>TransformsInfo</tt> spezifiziert eine
- Transformation, die f&uuml;r die Erstellung der Signatur des
- AUTH-Blocks als Parameter in den <tt>CreateXMLSignatureRequest</tt>
- des Security-Layers integriert werden muss. Mehrere unterschiedliche
- Implementierungen des Security-Layer k&ouml;nnen durch die
- Angabe mehrerer <tt>TransformsInfo</tt>-Elemente unterst&uuml;tzt
+ Das Kind-Element <tt>TransformsInfo</tt> spezifiziert eine
+ Transformation, die f&uuml;r die Erstellung der Signatur des
+ AUTH-Blocks als Parameter in den <tt>CreateXMLSignatureRequest</tt>
+ des Security-Layers integriert werden muss. Mehrere unterschiedliche
+ Implementierungen des Security-Layer k&ouml;nnen durch die
+ Angabe mehrerer <tt>TransformsInfo</tt>-Elemente unterst&uuml;tzt
werden. <br />
<br />
- Das Attribut <tt>TransformsInfo/@filename</tt> verweist auf
- eine Datei, die das globale Element <tt>TransformsInfo</tt>
- vom Typ <tt>TransformsInfo</tt> enth&auml;lt. Die Angabe erfolgt
- relativ zur MOA-ID Konfigurationsdatei. Das Encoding dieser
+ Das Attribut <tt>TransformsInfo/@filename</tt> verweist auf
+ eine Datei, die das globale Element <tt>TransformsInfo</tt>
+ vom Typ <tt>TransformsInfo</tt> enth&auml;lt. Die Angabe erfolgt
+ relativ zur MOA-ID Konfigurationsdatei. Das Encoding dieser
Datei muss UTF-8 sein. <br />
<br />
- <a href="examples/TransformsInfoAuthBlock.txt">Beispiel f&uuml;r
+ <a href="examples/TransformsInfoAuthBlock.txt">Beispiel f&uuml;r
eine TransformsInfo-Datei</a> </p>
- <div id="MOA-SP" />
+ <div id="MOA-SP" />
<p id="block"> <b>AuthComponent/MOA-SP</b> <br />
- Das Element <tt>MOA-SP</tt> enth&auml;lt Parameter zur Nutzung
- von MOA-SP. MOA-SP wird f&uuml;r die &uuml;berpr&uuml;fung
- der Signatur der Personenbindung und des AUTH-Blocks verwendet.
+ Das Element <tt>MOA-SP</tt> enth&auml;lt Parameter zur Nutzung
+ von MOA-SP. MOA-SP wird f&uuml;r die &uuml;berpr&uuml;fung
+ der Signatur der Personenbindung und des AUTH-Blocks verwendet.
<br />
<br />
- Wird das Kind-Element <tt>ConnectionParameter</tt> angegeben,
+ Wird das Kind-Element <tt>ConnectionParameter</tt> angegeben,
dann wird MOA-SP &uuml;ber das Webservice angesprochen.</p>
- <p id="block">Wird das Kind-Element <tt>ConnectionParameter</tt>
- nicht angegeben so wird eine MOA-ID beiligende Version von
- MOA-SP direkt &uuml;ber das Java-API angesprochen. In diesem
- Fall muss das System-Property auf die verwendete Konfigurationsdatei
- von MOA-SP gesetzt werden. Eine beispielhafte MOA-SP Konfigurationsdatei
- ist in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/SampleMOASPSSConfiguration.xml</tt>
+ <p id="block">Wird das Kind-Element <tt>ConnectionParameter</tt>
+ nicht angegeben so wird eine MOA-ID beiligende Version von
+ MOA-SP direkt &uuml;ber das Java-API angesprochen. In diesem
+ Fall muss das System-Property auf die verwendete Konfigurationsdatei
+ von MOA-SP gesetzt werden. Eine beispielhafte MOA-SP Konfigurationsdatei
+ ist in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/SampleMOASPSSConfiguration.xml</tt>
enthalten. </p>
</div>
</div>
@@ -249,24 +249,24 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
<div id="SecurityLayer" />
<div id="MOA-SP" />
<div id="verifytransformsInfoProfile" />
- <p><b><i>Hinweis:</i></b><i> MOA-SP muss entsprechend konfiguriert
- werden - siehe hierzu Abschnitt <a href="#sp-config">Konfiguration
- von MOA-SP</a>. Alle Details zur Konfiguration von MOA-SP
- finden sie in der Distribution von MOA-SP/SS beiligenden
+ <p><b><i>Hinweis:</i></b><i> MOA-SP muss entsprechend konfiguriert
+ werden - siehe hierzu Abschnitt <a href="#sp-config">Konfiguration
+ von MOA-SP</a>. Alle Details zur Konfiguration von MOA-SP
+ finden sie in der Distribution von MOA-SP/SS beiligenden
Dokumentation im Abschnitt 'Konfiguration'.<br>
</i><br />
- Das Kind-Element <tt>VerifyIdentityLink/TrustProfileID</tt>
- spezifiziert eine TrustProfileID, die f&uuml;r den <tt>VerifyXMLSignatureRequest</tt>
- zur &Uuml;berpr&uuml;fung der Signatur der Personenbindung
- verwendet werden muss. Diese TrustProfileID muss beim
+ Das Kind-Element <tt>VerifyIdentityLink/TrustProfileID</tt>
+ spezifiziert eine TrustProfileID, die f&uuml;r den <tt>VerifyXMLSignatureRequest</tt>
+ zur &Uuml;berpr&uuml;fung der Signatur der Personenbindung
+ verwendet werden muss. Diese TrustProfileID muss beim
verwendeten MOA-SP Modul konfiguriert sein.<br />
<br />
- Die Kind-Elemente <tt>VerifyAuthBlock/TrustProfileID</tt>
- und <tt>VerifyAuthBlock/VerifyTransformsInfoProfileID</tt>
- spezifizieren eine TrustProfileID und eine ID f&uuml;r
- ein Transformationsprofil, die f&uuml;r den <tt>VerifyXMLSignatureRequest</tt>
- zur &uuml;berpr&uuml;fung der Signatur des Auth-Blocks
- verwendet werden m&uuml;ssen. Diese TrustProfileID muss
+ Die Kind-Elemente <tt>VerifyAuthBlock/TrustProfileID</tt>
+ und <tt>VerifyAuthBlock/VerifyTransformsInfoProfileID</tt>
+ spezifizieren eine TrustProfileID und eine ID f&uuml;r
+ ein Transformationsprofil, die f&uuml;r den <tt>VerifyXMLSignatureRequest</tt>
+ zur &uuml;berpr&uuml;fung der Signatur des Auth-Blocks
+ verwendet werden m&uuml;ssen. Diese TrustProfileID muss
beim verwendeten MOA-SP Modul konfiguriert sein.</p>
</div>
</div>
@@ -275,48 +275,48 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
</div>
</div>
</div>
- <div id="moaid-konfiguration" />
- <div id="ConnectionParameter" />
- <div id="AuthComponent" />
- <div id="BKUSelection" />
- <div id="SecurityLayer" />
- <div id="MOA-SP" />
- <div id="IdentityLinkSigners" />
- <p id="block"> <b>AuthComponent/IdentityLinkSigners</b>
+ <div id="moaid-konfiguration" />
+ <div id="ConnectionParameter" />
+ <div id="AuthComponent" />
+ <div id="BKUSelection" />
+ <div id="SecurityLayer" />
+ <div id="MOA-SP" />
+ <div id="IdentityLinkSigners" />
+ <p id="block"> <b>AuthComponent/IdentityLinkSigners</b>
<br />
- Dieses Element gibt an von welchen Signatoren die Signatur
- des IdentityLink erstellt werden musste damit der IdentityLink
- akzeptiert wird. F&uuml;r jeden Signator muss der <tt>X509SubjectName</tt>
+ Dieses Element gibt an von welchen Signatoren die Signatur
+ des IdentityLink erstellt werden musste damit der IdentityLink
+ akzeptiert wird. F&uuml;r jeden Signator muss der <tt>X509SubjectName</tt>
nach RFC 2253 spezifiziert werden. <br />
<br />
- <a href="examples/IdentityLinkSigners.txt">Beispiel</a>
+ <a href="examples/IdentityLinkSigners.txt">Beispiel</a>
<br />
<br />
</p>
- <div id="ProxyComponent" />
+ <div id="ProxyComponent" />
<p id="block"> <b>ProxyComponent</b> <br />
- <tt>ProxyComponent</tt> enth&auml;lt Parameter, die
- nur die MOA-ID Proxykomponente betreffen. Das Element
- ist optional und muss nicht verwendet werden, wenn auf
- dem Server keine MOA-ID Proxykomponente installiert
+ <tt>ProxyComponent</tt> enth&auml;lt Parameter, die
+ nur die MOA-ID Proxykomponente betreffen. Das Element
+ ist optional und muss nicht verwendet werden, wenn auf
+ dem Server keine MOA-ID Proxykomponente installiert
wird. <br />
<br />
- Das Element <tt>ProxyComponent</tt> hat nur das Kind-Element
- <tt>AuthComponent</tt>, das die Verbindung zur Authentisierungs-komponente
+ Das Element <tt>ProxyComponent</tt> hat nur das Kind-Element
+ <tt>AuthComponent</tt>, das die Verbindung zur Authentisierungs-komponente
beschreibt. <br />
<br />
- Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
- &uuml;ber ein Webservice auf, dann muss das Element
+ Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
+ &uuml;ber ein Webservice auf, dann muss das Element
<tt>ConnectionParameter</tt> spezifiziert werden. <br />
<br />
- Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
- &uuml;ber das API auf, dann wird das Element <tt>ConnectionParameter</tt>
+ Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
+ &uuml;ber das API auf, dann wird das Element <tt>ConnectionParameter</tt>
nicht spezifiziert. </p>
- <div id="OnlineApplication" />
+ <div id="OnlineApplication" />
<p id="block"> <b>OnlineApplication</b> <br />
- F&uuml;r jede Online-Applikation, die &uuml;ber MOA-ID
- authentisiert wird, gibt es ein Element <tt>OnlineApplication</tt>.
- Die Parameter betreffen teils die MOA-ID Authentisierungskomponente,
+ F&uuml;r jede Online-Applikation, die &uuml;ber MOA-ID
+ authentisiert wird, gibt es ein Element <tt>OnlineApplication</tt>.
+ Die Parameter betreffen teils die MOA-ID Authentisierungskomponente,
teils die MOA-ID Proxykomponente, teils beide. <br />
<br />
Das ab Version 1.3 optionale Attribut <tt>OnlineApplication/@type</tt>
@@ -327,29 +327,29 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
Ist dieses Attribut nicht gesetzt, so wird der Typ <tt>publicService</tt>
vorausgesetzt. <br />
<br />
- Das Attribut <tt>OnlineApplication/@publicURLPrefix</tt>
- entspricht dem URL-Pr&auml;fix der nach au&szlig;en
- sichtbaren Dom&auml;ne der Online-Applikation, welcher
- von der MOA-ID Proxykomponente durch den URL-Pr&auml;fix
- der wirklichen Dom&auml;ne (Attribut <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>)
- ersetzt wird. Es dient als Schl&uuml;ssel zum Auffinden
- der Konfigurationsparameter zur Online-Applikation.
+ Das Attribut <tt>OnlineApplication/@publicURLPrefix</tt>
+ entspricht dem URL-Pr&auml;fix der nach au&szlig;en
+ sichtbaren Dom&auml;ne der Online-Applikation, welcher
+ von der MOA-ID Proxykomponente durch den URL-Pr&auml;fix
+ der wirklichen Dom&auml;ne (Attribut <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>)
+ ersetzt wird. Es dient als Schl&uuml;ssel zum Auffinden
+ der Konfigurationsparameter zur Online-Applikation.
</p>
- <p id="block">Das Attribut <tt>OnlineApplication/@keyBoxIdentifier</tt>
- gibt das Schl&uuml;sselpaar an, welches von der B&uuml;rgerkartenumgebung
- zum Signieren des Auth Blocks verwendet wird. M&ouml;gliche
+ <p id="block">Das Attribut <tt>OnlineApplication/@keyBoxIdentifier</tt>
+ gibt das Schl&uuml;sselpaar an, welches von der B&uuml;rgerkartenumgebung
+ zum Signieren des Auth Blocks verwendet wird. M&ouml;gliche
Werte: <tt>CertifiedKeypair </tt>sowie<tt> SecureSignatureKeypair.<br>
</tt><br />
- Das Element <tt>OnlineApplication</tt> hat optional
- zwei Kind-Elemente: <tt>AuthComponent</tt> und <tt>ProxyComponent</tt>.
+ Das Element <tt>OnlineApplication</tt> hat optional
+ zwei Kind-Elemente: <tt>AuthComponent</tt> und <tt>ProxyComponent</tt>.
</p>
- <div id="OnlineApplication/AuthComponent" />
- <p id="block"> <b>OnlineApplication/AuthComponent</b>
+ <div id="OnlineApplication/AuthComponent" />
+ <p id="block"> <b>OnlineApplication/AuthComponent</b>
<br />
- Das Element <tt>OnlineApplication/AuthComponent</tt>
- muss verwendet werden wenn auf dem Server die Authentisierungskomponente
- installiert wird. Es enth&auml;lt Parameter, die
- das Verhalten der Authentisierungskomponente bez&uuml;glich
+ Das Element <tt>OnlineApplication/AuthComponent</tt>
+ muss verwendet werden wenn auf dem Server die Authentisierungskomponente
+ installiert wird. Es enth&auml;lt Parameter, die
+ das Verhalten der Authentisierungskomponente bez&uuml;glich
der Online-Applikation konfiguriert. <br />
<br />
Das optionale Attribut <tt>slVersion</tt> definiert die Version des
@@ -357,37 +357,37 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
Requests, die von MOA-ID an die B&uuml;rgerkartenumgebung
geschickt werden. Dieses Attribut kann entweder den Wert <tt>1.1</tt>
oder <tt>1.2</tt> annehmen. Fehlt das Attribut, so wird als
- Defaultwert <tt>1.1</tt> gesetzt.
+ Defaultwert <tt>1.1</tt> gesetzt.
<br />Wurde als Typ der Online-Applikation
der Wert <tt>businessService</tt> (vgl. Attribut <tt>OnlineApplication/@type</tt>)
spezifiziert, so wird das Attribut <tt>slVersion</tt> ignoriert
- und immer der Wert <tt>1.2</tt> verwendet, da die f&uuml;r
+ und immer der Wert <tt>1.2</tt> verwendet, da die f&uuml;r
Applikationen aus dem privatwirtschaftlichen Bereich notwendige
Berechnung des <tt>wirtschaftsbereichsspezifischen Personenkennzeichens</tt>
(<tt>wbPK</tt>) erst ab SecurityLayer Version <tt>1.2</tt> m&ouml;glich ist.
<br /><br />
- Das Attribut <tt>provideStammzahl</tt> bestimmt,
- ob die Stammzahl in den Anmeldedaten aufscheint
- oder ob der Wert ausgeblendet (d.h. auf den Leerstring gesetzt)
- wird. Die Attribute <tt>provideAUTHBlock</tt> und
- <tt>provideIdentityLink</tt> steuern, ob die Anmeldedaten
- den Auth-Block bzw. die Personenbindung enthalten.
- Ab Version 1.3 kann das Attribut <tt>provideSignerCertificate</tt>
+ Das Attribut <tt>provideStammzahl</tt> bestimmt,
+ ob die Stammzahl in den Anmeldedaten aufscheint
+ oder ob der Wert ausgeblendet (d.h. auf den Leerstring gesetzt)
+ wird. Die Attribute <tt>provideAUTHBlock</tt> und
+ <tt>provideIdentityLink</tt> steuern, ob die Anmeldedaten
+ den Auth-Block bzw. die Personenbindung enthalten.
+ Ab Version 1.3 kann das Attribut <tt>provideSignerCertificate</tt>
verwendet werden, um das Signatorzertifikat in die
Anmeldedaten aufzunehmen.
- Alle Attribute sind optional und haben den Default-Wert
+ Alle Attribute sind optional und haben den Default-Wert
<tt>false</tt>. <br />
<br />
</p>
- <div id="OnlineApplication/AuthComponent/IdentificationNumber" />
- <p id="block"> <b>OnlineApplication/AuthComponent/IdentificationNumber</b>
+ <div id="OnlineApplication/AuthComponent/IdentificationNumber" />
+ <p id="block"> <b>OnlineApplication/AuthComponent/IdentificationNumber</b>
<br />
Das <tt>wirtschaftsbereichsspezifische Personenkennzeichen</tt> (<tt>wbPK</tt>)
wird aus der auf der B&uuml;rgerkarte gespeicherten Stammzahl des B&uuml;rgers
und der Stammzahl des Wirtschaftsunternehmens berechnet.
Laut <a href="http://reference.e-government.gv.at/E-Government-Gesetz.394.0.html" target="_new">E-Governmentgesetz</a>
- darf die <i>Errechnung eines wbPK aus der Stammzahl nicht beim Auftraggeber eines
- privaten Bereichs durchgeführt werden</i> (vgl. E-GovGesetz §12(1).4), und muss deshalb
+ darf die <i>Errechnung eines wbPK aus der Stammzahl nicht beim Auftraggeber eines
+ privaten Bereichs durchgeführt werden</i> (vgl. E-GovGesetz §12(1).4), und muss deshalb
an die Bürgerkartenumgebung ausgelagert werden.
Das <tt>OnlineApplication/AuthComponent/IdentificationNumber</tt> Element
wird nun verwendet, um die Stammzahl des Wirtschaftsunternehmens zu spezifizieren,
@@ -398,7 +398,7 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
Das Element hat genau eines der folgenden m&ouml;glichen Kindelemente
aus dem <a href="http://www.buergerkarte.at/konzept/personenbindung/spezifikation/20050214/" target="_new">PersonData</a>
Namespace, die als einzigen Inhalt die jeweilige Stammzahl des Unternehmens enthalten:
- <ul>
+ <ul>
<li>
Das Element <tt>pr:Firmenbuchnummer</tt> enth&auml;lt als einzigen Inhalt
die Firmenbuchnummer des Unternehmens.
@@ -414,10 +414,10 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
<li>
Das Element <tt>pr:ZMRzahl</tt> enth&auml;lt als einzigen Inhalt eine
Stammzahl einer nat&uuml;rlichen in &Ouml;sterreich meldepflichtigen Person.
- </li>
+ </li>
</ul>
-
- Die Stammzahl ist jeweils ohne Pr&auml;fix anzugeben, also wird zum Beispiel
+
+ Die Stammzahl ist jeweils ohne Pr&auml;fix anzugeben, also wird zum Beispiel
die Firmenbuchnummer <tt>FN468924i</tt> folgendermaßen definiert:
<br /> <br />
<tt>&lt;pr:Firmenbuchnummer&gt;468924i&lt;/pr:Firmenbuchnummer&gt;</tt>
@@ -430,19 +430,41 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
<tt>468924 i</tt> wird zu <tt>468924i</tt><br />
<tt>00468924</tt> wird zu <tt>468924i</tt><br />
<tt>468924-i</tt> wird zu <tt>468924i</tt><br />
- </blockquote>
+ </blockquote>
+ Alternativ zu den oben angef&uuml;hrten Elementen aus dem
+ <a href="http://www.buergerkarte.at/konzept/personenbindung/spezifikation/20050214/" target="_new">PersonData</a>
+ Namespace kann auch das Element <tt>AnyNumber</tt> verwendet werden, um
+ Stammzahlen zu spezifizieren, die nicht einer der vier oben aufgelisteten
+ Kategorien zugeordnet werden können.
+ <br></br>
+ Das Element <tt>AnyNumber</tt> hat genau ein Attribut namens <tt>Identifier</tt>,
+ das das Pr&auml;fix der jeweiligen Stammzahl ent&auml;lt. Der Inhalt des
+ Elements <tt>AnyNumber</tt> ist die Stammzahl selbst, wobei die selben Regeln
+ wie oben gelten.
+ <br></br>
+ Die Firmenbuchnummer aus obigem Beispiel k&ouml;nnte man nun beispielsweise mit Hilfe das Elements
+ <tt>AnyNumber</tt> auch folgendermaßen definieren:
+ <br></br>
+ <tt>&lt;AnyNumber Identifier="FN"&gt;468924i&lt;/AnyNumber&gt;</tt>
+ <br></br>
+ Es sei aber nochmals daraufhingewiesen, dass f&uuml;r Stammzahlen der
+ Kategorien <tt>Firmenbuchnummer</tt>, <tt>Vereinsnummer</tt>,
+ <tt>ERJPZahl</tt> und <tt>ZMRzahl</tt> die vordefinierten Elemente aus
+ dem <a href="http://www.buergerkarte.at/konzept/personenbindung/spezifikation/20050214/" target="_new">PersonData</a>
+ Namespace verwendet werden sollen. Das Element <tt>AnyNumber</tt> wurde haupts&auml;chlich in
+ das Schema aufgenommen, um offen f&uuml;r m&ouml;gliche Erweiterungen zu sein.
</p>
-
- <div id="OnlineApplication/AuthComponent/TransformsInfo" />
- <p id="block"> <b>OnlineApplication/AuthComponent/TransformsInfo</b>
+
+ <div id="OnlineApplication/AuthComponent/TransformsInfo" />
+ <p id="block"> <b>OnlineApplication/AuthComponent/TransformsInfo</b>
<br />
- Dieses Kindelement kann mehrfach vorkommen und entspricht in seiner Struktur
+ Dieses Kindelement kann mehrfach vorkommen und entspricht in seiner Struktur
dem Element <tt>AuthComponent/SecurityLayer/TransformsInfo</tt>.
Das Element kann verwendet werden, um f&uuml;r unterschiedliche
Online-Applikationen unterschiedliche Transformationen zu spezifizieren.
- Alle über dieses Element definierten Transformationen haben
+ Alle über dieses Element definierten Transformationen haben
Vorrang gegen&uuml;ber die durch <tt>AuthComponent/SecurityLayer/TransformsInfo</tt>
- angegebenen Transformationen. Das heißt, ist f&uuml;r eine
+ angegebenen Transformationen. Das heißt, ist f&uuml;r eine
Online-Applikation das Kindelement <tt>AuthComponent/TransformsInfo</tt>
vorhanden, so wird f&uuml;r diese Applikation die durch dieses Element
spezifizierte Transformation verwendet (das Element kann nat&uuml;rlich
@@ -453,152 +475,152 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
&quot;Default-Transformationen&quot; verwendet. <br />
Dabei ist zu beachten, dass f&uuml;r jede definierte Transformation
ein entsprechendes <tt>MOA-SP/VerifyAuthBlock/VerifyTransformsInfoProfileID</tt>
- Element vorhanden sein muss.</p>
- </p>
-
- <div id="OnlineApplication/ProxyComponent" />
- <p id="block"> <b>OnlineApplication/ProxyComponent</b>
+ Element vorhanden sein muss.</p>
+ </p>
+
+ <div id="OnlineApplication/ProxyComponent" />
+ <p id="block"> <b>OnlineApplication/ProxyComponent</b>
<br />
- Das Element <tt>OnlineApplication/ProxyComponent</tt>
- muss verwendet werden wenn auf dem Server die
+ Das Element <tt>OnlineApplication/ProxyComponent</tt>
+ muss verwendet werden wenn auf dem Server die
Proxykomponente installiert wird. <br />
<br />
- Das optionale Attribut <tt>configFileURL</tt>
- verweist auf eine Konfigurationsdatei die dem
- Schema <a href="../MOA-ID-Configuration-1.3.xsd" target="_new">MOA-ID-Configuration-1.3.xsd</a>
- entspricht mit Dokument-Element <tt>Configuration</tt>.
- Die Angabe erfolgt relativ zur verwendeten MOA-ID
- Konfigurationsdatei. Beispiel f&uuml;r das Element
+ Das optionale Attribut <tt>configFileURL</tt>
+ verweist auf eine Konfigurationsdatei die dem
+ Schema <a href="../MOA-ID-Configuration-1.3.xsd" target="_new">MOA-ID-Configuration-1.3.xsd</a>
+ entspricht mit Dokument-Element <tt>Configuration</tt>.
+ Die Angabe erfolgt relativ zur verwendeten MOA-ID
+ Konfigurationsdatei. Beispiel f&uuml;r das Element
<tt>configFileURL</tt>: &quot;oa/SampleOAConfiguration.xml&quot;.<br />
- Defaultm&auml;&szlig;ig wird versucht die Datei
- von der betreffenden OnlineApplikation unter dem
- Wert: <tt>http://&lt;realURLPrefix&gt;/MOAConfig.xml</tt>
+ Defaultm&auml;&szlig;ig wird versucht die Datei
+ von der betreffenden OnlineApplikation unter dem
+ Wert: <tt>http://&lt;realURLPrefix&gt;/MOAConfig.xml</tt>
zu laden.<br/>
- (<tt>&lt;realURLPrefix&gt;</tt> entspricht dem
- Wert von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>)
+ (<tt>&lt;realURLPrefix&gt;</tt> entspricht dem
+ Wert von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>)
<br />
<br />
- Das optionale Attribut <tt>sessionTimeOut</tt>
- legt das Timeout einer Benutzersession in der
+ Das optionale Attribut <tt>sessionTimeOut</tt>
+ legt das Timeout einer Benutzersession in der
Proxykomponente in Sekunden fest.<br />
Default-Wert: 3600 <br />
<br />
- Im optionalen Attribut <tt>loginParameterResolverImpl</tt>
- kann der Klassenname eines zu verwendenden <tt>LoginParameterResolver</tt>
- angegeben werden, welcher die Defaultimplementierung
+ Im optionalen Attribut <tt>loginParameterResolverImpl</tt>
+ kann der Klassenname eines zu verwendenden <tt>LoginParameterResolver</tt>
+ angegeben werden, welcher die Defaultimplementierung
ersetzt. <br />
</p>
- <p id="block">Im optionelen Attribut <tt>loginParameterResolverConfiguration
- </tt>kann ein Configurationsstring f&uuml;r die
- Initialisierung der betreffenden <tt>loginParameterResolverImpl</tt>
+ <p id="block">Im optionelen Attribut <tt>loginParameterResolverConfiguration
+ </tt>kann ein Configurationsstring f&uuml;r die
+ Initialisierung der betreffenden <tt>loginParameterResolverImpl</tt>
angegeben werden.<br>
<br />
- Im optionalen Attribut <tt>connectionBuilderImpl</tt>
- kann der Klassenname eines zu verwendenden ConnectionBuilder
- angegeben werden, welcher die Defaultimplementierung
+ Im optionalen Attribut <tt>connectionBuilderImpl</tt>
+ kann der Klassenname eines zu verwendenden ConnectionBuilder
+ angegeben werden, welcher die Defaultimplementierung
ersetzt. <br />
<br />
- Im Kind-Element <tt>ConnectionParameter</tt> ist
- konfiguriert, wie MOA-ID-PROXY zur Online-Applikation
+ Im Kind-Element <tt>ConnectionParameter</tt> ist
+ konfiguriert, wie MOA-ID-PROXY zur Online-Applikation
verbindet. </p>
- <div id="ChainingModes" />
+ <div id="ChainingModes" />
<p id="block"> <b>ChainingModes</b><br />
- Das Element <tt>ChainingModes</tt> definiert,
- ob bei der Zertifikatspfad-&uuml;berpr&uuml;fung
- das Kettenmodell (<tt>"chaining"</tt>) oder
- das Modell nach PKIX RFC 3280 (<tt>"pkix"</tt>)
+ Das Element <tt>ChainingModes</tt> definiert,
+ ob bei der Zertifikatspfad-&uuml;berpr&uuml;fung
+ das Kettenmodell (<tt>"chaining"</tt>) oder
+ das Modell nach PKIX RFC 3280 (<tt>"pkix"</tt>)
verwendet werden soll. <br />
<br />
- Das Attribut <tt>systemDefaultMode</tt> spezifiziert
- das Modell, das im Standardfall verwendet werden
+ Das Attribut <tt>systemDefaultMode</tt> spezifiziert
+ das Modell, das im Standardfall verwendet werden
soll. <br/>
<br/>
- Mit dem Kind-Element <tt>TrustAnchor</tt> kann
- f&uuml;r jeden Trust Anchor ein abweichendes
- Modell spezifiziert werden. Ein Trust Anchor
- ist ein Zertifikat, das in <tt>TrustedCACertificates</tt>
- spezifiziert ist. Ein Trust Anchor wird durch
- den Typ <tt>&lt;dsig:X509IssuerSerialType&gt;</tt>
- spezifiziert. Das f&uuml;r diesen Trust Anchor
- g&uuml;ltige Modell wird durch das Attribut
+ Mit dem Kind-Element <tt>TrustAnchor</tt> kann
+ f&uuml;r jeden Trust Anchor ein abweichendes
+ Modell spezifiziert werden. Ein Trust Anchor
+ ist ein Zertifikat, das in <tt>TrustedCACertificates</tt>
+ spezifiziert ist. Ein Trust Anchor wird durch
+ den Typ <tt>&lt;dsig:X509IssuerSerialType&gt;</tt>
+ spezifiziert. Das f&uuml;r diesen Trust Anchor
+ g&uuml;ltige Modell wird durch das Attribut
<tt>mode</tt> spezifiziert. <br/>
<br/>
- G&uuml;ltige Werte f&uuml;r die Attribute <tt>systemDefaultMode</tt>
- und <tt>mode</tt> sind <tt>"chaining"</tt> und
+ G&uuml;ltige Werte f&uuml;r die Attribute <tt>systemDefaultMode</tt>
+ und <tt>mode</tt> sind <tt>"chaining"</tt> und
<tt>"pkix"</tt>. <br/>
<br/>
- <a href="examples/ChainingModes.txt">Beispiel</a>
+ <a href="examples/ChainingModes.txt">Beispiel</a>
</p>
- <div id="TrustedCACertificates" />
+ <div id="TrustedCACertificates" />
<p id="block"> <b>TrustedCACertificates</b><br />
- Das Element <tt>TrustedCACertificates</tt>
- enth&auml;lt das Verzeichnis (relativ zur
- MOA-ID Konfigurationsdatei), das jene Zertifikate
- enth&auml;lt, die als vertrauensw&uuml;rdig
- betrachtet werden. Im Zuge der &Uuml;berpr&uuml;fung
- der TLS-Serverzertifikate wird die Zertifikatspfaderstellung
+ Das Element <tt>TrustedCACertificates</tt>
+ enth&auml;lt das Verzeichnis (relativ zur
+ MOA-ID Konfigurationsdatei), das jene Zertifikate
+ enth&auml;lt, die als vertrauensw&uuml;rdig
+ betrachtet werden. Im Zuge der &Uuml;berpr&uuml;fung
+ der TLS-Serverzertifikate wird die Zertifikatspfaderstellung
an einem dieser Zertifikate beendet. </p>
- <div id="GenericConfiguration" />
+ <div id="GenericConfiguration" />
<p id="block"> <b>GenericConfiguration</b><br />
- Das Element <tt>GenericConfiguration</tt>
- erm&ouml;glicht das Setzen von Namen-Werte
- Paaren mittels der Attribute <tt>name</tt>
- und <tt>value</tt>. Die folgende Liste spezifiziert
+ Das Element <tt>GenericConfiguration</tt>
+ erm&ouml;glicht das Setzen von Namen-Werte
+ Paaren mittels der Attribute <tt>name</tt>
+ und <tt>value</tt>. Die folgende Liste spezifiziert
<ul>
- <li>g&uuml;ltige Werte f&uuml;r das name-Attribut,
+ <li>g&uuml;ltige Werte f&uuml;r das name-Attribut,
</li>
<li>eine Beschreibung </li>
- <li>g&uuml;ltige Werte f&uuml;r das value-Attribut
+ <li>g&uuml;ltige Werte f&uuml;r das value-Attribut
und (falls vorhanden)</li>
- <li>den Default-Wert f&uuml;r das value-Attribut.
+ <li>den Default-Wert f&uuml;r das value-Attribut.
</li>
</ul>
<table border="0" cellspacing="3" cellpadding="2">
- <tr id="DirectoryCertStoreParameters.RootDir">
+ <tr id="DirectoryCertStoreParameters.RootDir">
<th align="left">name: DirectoryCertStoreParameters.RootDir</th>
</tr>
- <tr>
- <td id="info"> Gibt den Pfadnamen zu einem
- Verzeichnis an, das als Zertifikatsspeicher
- im Zuge der TLS-Server-Zertifikats&uuml;berpr&uuml;fung
+ <tr>
+ <td id="info"> Gibt den Pfadnamen zu einem
+ Verzeichnis an, das als Zertifikatsspeicher
+ im Zuge der TLS-Server-Zertifikats&uuml;berpr&uuml;fung
verwendet wird.<br />
<hr />
<b>value: </b><br />
- G&uuml;ltige Werte: Name eines g&uuml;ltigen
+ G&uuml;ltige Werte: Name eines g&uuml;ltigen
Verzeichnisses (relativ zur MOA-ID Konfigurationsdatei)<br />
- <b>Dieser Parameter muss angegeben werden.</b>
+ <b>Dieser Parameter muss angegeben werden.</b>
</td>
</tr>
</table>
<table border="0" cellspacing="3" cellpadding="2">
- <tr id="AuthenticationSession.TimeOut">
+ <tr id="AuthenticationSession.TimeOut">
<th align="left">name: AuthenticationSession.TimeOut</th>
</tr>
- <tr>
- <td id="info"> Gibt die Zeitspanne in
- Sekunden vom Beginn der Authentisierung
- bis zum Anlegen der Anmeldedaten an.
- Wird die Angegebene Zeitspanne &uuml;berschritten
- wird der Anmeldevorgang abgebrochen.
+ <tr>
+ <td id="info"> Gibt die Zeitspanne in
+ Sekunden vom Beginn der Authentisierung
+ bis zum Anlegen der Anmeldedaten an.
+ Wird die Angegebene Zeitspanne &uuml;berschritten
+ wird der Anmeldevorgang abgebrochen.
<br />
<hr />
<b>value: </b><br />
- G&uuml;ltige Werte: positive Ganzzahlen
+ G&uuml;ltige Werte: positive Ganzzahlen
<br />
Default-Wert: 120 </td>
</tr>
</table>
<table border="0" cellspacing="3" cellpadding="2">
- <tr id="AuthenticationData.TimeOut">
+ <tr id="AuthenticationData.TimeOut">
<th align="left">name: AuthenticationData.TimeOut</th>
</tr>
- <tr>
- <td id="info"> Gibt die Zeitspanne in
- Sekunden an, f&uuml;r die die Anmeldedaten
- in der Authentisierungskomponente zum
- Abholen durch die Proxykomponente oder
- eine nachfolgende Applikation bereitstehen.
- Nach Ablauf dieser Zeitspanne werden
+ <tr>
+ <td id="info"> Gibt die Zeitspanne in
+ Sekunden an, f&uuml;r die die Anmeldedaten
+ in der Authentisierungskomponente zum
+ Abholen durch die Proxykomponente oder
+ eine nachfolgende Applikation bereitstehen.
+ Nach Ablauf dieser Zeitspanne werden
die Anmeldedaten gel&ouml;scht.<br />
<hr />
<b>value: </b><br />
@@ -607,18 +629,18 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
</tr>
</table>
<table border="0" cellspacing="3" cellpadding="2">
- <tr id="TrustManager.RevocationChecking">
+ <tr id="TrustManager.RevocationChecking">
<th align="left">name: TrustManager.RevocationChecking</th>
</tr>
- <tr>
- <td id="info"> F&uuml;r die TLS-Server-Authentisierung
- d&uuml;rfen nur Server-Zertifikate verwendet
- werden, die eine CRLDP-Extension enthalten
- (andernfalls kann von MOA-ID keine CRL-&uuml;berpr&uuml;fung
+ <tr>
+ <td id="info"> F&uuml;r die TLS-Server-Authentisierung
+ d&uuml;rfen nur Server-Zertifikate verwendet
+ werden, die eine CRLDP-Extension enthalten
+ (andernfalls kann von MOA-ID keine CRL-&uuml;berpr&uuml;fung
durchgef&uuml;hrt werden). <br />
- Soll das RevocationChecking generell
- ausgeschaltet werden, ist dieses Attribut
- anzugeben und auf "false" zu setzen.
+ Soll das RevocationChecking generell
+ ausgeschaltet werden, ist dieses Attribut
+ anzugeben und auf "false" zu setzen.
<br />
<hr />
<b>value: </b><br />
@@ -627,28 +649,28 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
</tr>
</table>
<table border="0" cellspacing="3" cellpadding="2">
- <tr id="TrustManager.RevocationChecking">
+ <tr id="TrustManager.RevocationChecking">
<th align="left">name: FrontendServlets.EnableHTTPConnection</th>
</tr>
- <tr>
- <td id="info">
- <p>Standardm&auml;&szlig;ig k&ouml;nnen
- die beiden Servlets &quot;StartAuthentication&quot;
- und &quot;SelectBKU&quot; welche das
- User-Frontend darstellen, aus Sicherheitsgr&uuml;nden,
- nur &uuml;ber das Schema HTTPS aufgerufen
+ <tr>
+ <td id="info">
+ <p>Standardm&auml;&szlig;ig k&ouml;nnen
+ die beiden Servlets &quot;StartAuthentication&quot;
+ und &quot;SelectBKU&quot; welche das
+ User-Frontend darstellen, aus Sicherheitsgr&uuml;nden,
+ nur &uuml;ber das Schema HTTPS aufgerufen
werden. </p>
- <p>Wenn die beiden Servlets jedoch auch
- Verbindungen nach dem Schema HTTP
- entgegennehmen sollen, so kann mittels
- dem Attribut &quot;EnableHTTPServletConnection&quot;
+ <p>Wenn die beiden Servlets jedoch auch
+ Verbindungen nach dem Schema HTTP
+ entgegennehmen sollen, so kann mittels
+ dem Attribut &quot;EnableHTTPServletConnection&quot;
erlaubt werden.</p>
- <p>Hinweis: Sicher und sinnvoll ist
- das Erlauben der HTTP Verbindung nur
- dann, wenn ein Vorgeschalteter Webserver
- das HTTPS handling &uuml;bernimmt,
- und eine Verbindung zu den Servlets
- nur &uuml;ber diesen Webserver m&ouml;glich
+ <p>Hinweis: Sicher und sinnvoll ist
+ das Erlauben der HTTP Verbindung nur
+ dann, wenn ein Vorgeschalteter Webserver
+ das HTTPS handling &uuml;bernimmt,
+ und eine Verbindung zu den Servlets
+ nur &uuml;ber diesen Webserver m&ouml;glich
ist.</p>
<hr />
<b>value: </b><br />
@@ -657,31 +679,31 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
</tr>
</table>
<table border="0" cellspacing="3" cellpadding="2">
- <tr id="TrustManager.RevocationChecking">
- <th align="left"><a name="DataURLPrefix"></a>name:
+ <tr id="TrustManager.RevocationChecking">
+ <th align="left"><a name="DataURLPrefix"></a>name:
FrontendServlets.DataURLPrefix</th>
</tr>
- <tr>
- <td id="info">
- <p>Standardm&auml;&szlig;ig wird als
- DataURL Prefix das URL Pr&auml;fix
- unter dem die MOA-ID Servlets erreichbar
- sind verwendet. Im Falle das sich
- der MOA-ID Server hinter einer Firewall
- befindet und die Requests von einem
- vorgelagertem Webserver weitergereicht
- werden, kann mit FrontendServlets.DataURLPrefix
- ein alternatives URL Pr&auml;fix angegeben
- werden. In diesem Fall muss der Webserver
- so konfiguriert sein, dass er Request
- auf diese URLs an den MOA-ID Server
+ <tr>
+ <td id="info">
+ <p>Standardm&auml;&szlig;ig wird als
+ DataURL Prefix das URL Pr&auml;fix
+ unter dem die MOA-ID Servlets erreichbar
+ sind verwendet. Im Falle das sich
+ der MOA-ID Server hinter einer Firewall
+ befindet und die Requests von einem
+ vorgelagertem Webserver weitergereicht
+ werden, kann mit FrontendServlets.DataURLPrefix
+ ein alternatives URL Pr&auml;fix angegeben
+ werden. In diesem Fall muss der Webserver
+ so konfiguriert sein, dass er Request
+ auf diese URLs an den MOA-ID Server
weiterleitet.</p>
<hr />
<b>value: </b><br />
- G&uuml;ltige Werte: URLs nach dem Schema
+ G&uuml;ltige Werte: URLs nach dem Schema
'http://' und 'https://'<br />
Default-Wert: kein Default-Wert<br>
- Beispiel: &lt;GenericConfiguration name=&quot;FrontendServlets.DataURLPrefix&quot;
+ Beispiel: &lt;GenericConfiguration name=&quot;FrontendServlets.DataURLPrefix&quot;
value=&quot;https://&lt;your_webserver&gt;/moa-id-auth/&quot;/&gt;</td>
</tr>
</table>
@@ -720,12 +742,12 @@ Die Konfiguration der OA beschreibt die Art und Weise, wie die Proxykomponente d
durchf&uuml;hrt.
<br /><br />
Der Name der Konfigurationsdatei wird in der Konfiguration von MOA-ID als Wert des Attributs
-<tt>configFileURL</tt> des Elements <tt>MOA-IDConfiguration/OnlineApplication/ProxyComponent</tt> hinterlegt.
+<tt>configFileURL</tt> des Elements <tt>MOA-IDConfiguration/OnlineApplication/ProxyComponent</tt> hinterlegt.
<br/>Ist dieses Attribut nicht gesetzt, dann wird die Datei von <tt>http://&lt;realURLPrefix&gt;/MOAConfig.xml</tt> geladen,
wobei <tt>&lt;realURLPrefix&gt;</tt> dem Konfigurationswert <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt> entspricht.
<br /><br />
Die Konfigurationsdatei ist eine XML-Datei, die dem Schema
-<a href="../MOA-ID-Configuration-1.3.xsd" target="_new">MOA-ID-Configuration-1.3.xsd</a> mit dem Wurzelelement
+<a href="../MOA-ID-Configuration-1.3.xsd" target="_new">MOA-ID-Configuration-1.3.xsd</a> mit dem Wurzelelement
<tt>Configuration</tt> entspricht.
</div>
@@ -764,9 +786,7 @@ Werte annehmen. G&uuml;ltige Werte von <tt>MOAAuthDataType</tt> sind:
<li><tt>MOADateOfBirth</tt> - das Geburtsdatum des Benutzers, wie in der Personenbindung enthalten
<li><tt>MOABPK</tt> - die bereichsspezifische Personenkennzeichnung des Benutzers, wie von der
Authentisierungskomponente berechnet
-<li><tt>MOAWBPK</tt> - das wirtschaftsbereichsspezifische Personenkennzeichen des Benutzers, wie von der
-Bürgerkartenumgebung berechnet
-<li><tt>MOAPublicAuthority</tt> - wird durch <tt>true</tt> ersetzt, falls der Benutzer mit einem Zertifikat signierte,
+<li><tt>MOAPublicAuthority</tt> - wird durch <tt>true</tt> ersetzt, falls der Benutzer mit einem Zertifikat signierte,
welches eine <a href="../OID-1-0-3.pdf">Beh&ouml;rdenerweiterung</a> beinhaltet. Andernfalls wird <tt>false</tt> gesetzt
<li><tt>MOABKZ</tt> - das Beh&ouml;rdenkennzeichen (nur sinnvoll, wenn <tt>MOAPublicAuthority</tt> den Wert <tt>true</tt>
ergibt)
@@ -796,7 +816,7 @@ zusammen mit der Konfiguration von <tt>OnlineApplication/@publicURLPrefix</tt> u
Das Element <tt>BasicAuth</tt> konfiguriert die &uuml;bergabe der Authentisierungs-Parameter an die Online-Appliktion
mittels HTTP Basic Authentication. Es enth&auml;lt zwei Kind-Elemente.
<br /><br />
-Das Element <tt>UserID</tt> gibt die UserId des zu authentisierenden Benutzers an und kann einen der durch
+Das Element <tt>UserID</tt> gibt die UserId des zu authentisierenden Benutzers an und kann einen der durch
<tt>MOAAuthDataType</tt> beschriebenen Werte annehmen.
<br /><br />
Das Element <tt>Password</tt> gibt das Passwort des zu authentisierenden Benutzers an und kann einen der durch
@@ -817,7 +837,7 @@ in HTTP Request Headern. Das Element kann ein oder mehrere Kind-Elemente <tt>&l
<b>HeaderAuth/Header</b><br />
Das Element <tt>&lt;Header&gt;</tt> enth&auml;lt die Attribute Name und Value.
<br /><br />
-Das Attribut <tt>Name</tt> beschreibt den Namen des Header und ist ein frei zu w&auml;hlender String.
+Das Attribut <tt>Name</tt> beschreibt den Namen des Header und ist ein frei zu w&auml;hlender String.
<br /><br />
Das Attribut <tt>Value</tt> beschreibt den Inhalt des Header und kann einen der durch <tt>MOAAuthDataType</tt>
beschriebenen Werte annehmen.
@@ -849,21 +869,21 @@ Etwaige Header aus dem urspr&uuml;nglichen Request an die Proxykomponente, die d
<p id="subtitel">Konfiguration von MOA-SP</p>
<div id="block">
- <p id="block"> MOA-ID &uuml;berpr&uuml;ft die Signaturen der Personenbindung und
- des AUTH-Blocks mit dem <tt>VerifyXMLSignatureRequest</tt> von
- MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden.
+ <p id="block"> MOA-ID &uuml;berpr&uuml;ft die Signaturen der Personenbindung und
+ des AUTH-Blocks mit dem <tt>VerifyXMLSignatureRequest</tt> von
+ MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden.
<br />
<br />
<b>VerifyTransformsInfoProfile</b><br />
- Der Request zum &uuml;berpr&uuml;fen der Signatur des AUTH-Blocks
- verwendet ein vordefiniertes VerifyTransformsInfoProfile. Die
- im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei
- im Element <tt>/MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/
- VerifyTransformsInfoProfileID</tt> definiert. Entsprechend muss
- am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender
- ID definiert werden. Die Profiledefinition selbst ist in der Auslieferung
- von MOA-ID in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml</tt>
- enthalten. Diese Profildefinition muss unver&auml;ndert &uuml;bernommen
+ Der Request zum &uuml;berpr&uuml;fen der Signatur des AUTH-Blocks
+ verwendet ein vordefiniertes VerifyTransformsInfoProfile. Die
+ im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei
+ im Element <tt>/MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/
+ VerifyTransformsInfoProfileID</tt> definiert. Entsprechend muss
+ am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender
+ ID definiert werden. Die Profiledefinition selbst ist in der Auslieferung
+ von MOA-ID in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml</tt>
+ enthalten. Diese Profildefinition muss unver&auml;ndert &uuml;bernommen
werden. </p>
<div id="verifytransformsInfoProfile" /></div>
@@ -885,8 +905,8 @@ das als TrustProfile verwendet werden kann. Weitere Zertifikate k&ouml;nnen als
<p id="block">
<b>Certstore</b><br />
Zum Aufbau eines Zertifikatspfades k&ouml;nnen ben&ouml;tigte Zertifikate aus einem Zertifikatsspeicher verwendet werden.
-Die Auslieferung von MOA-ID enth&auml;lt das Verzeichnis <tt>$MOA_ID_INST_AUTH/conf/moa-spss/certstore</tt>, das als initialer
-Zertifikatsspeicher verwendet werden kann.
+Die Auslieferung von MOA-ID enth&auml;lt das Verzeichnis <tt>$MOA_ID_INST_AUTH/conf/moa-spss/certstore</tt>, das als initialer
+Zertifikatsspeicher verwendet werden kann.
</p>
</div>
@@ -909,7 +929,7 @@ Zertifikatsspeicher verwendet werden kann.
Der Inhalt dieser Konfiguration, bzw. jene Teile, auf die indirekt verwiesen wird, k&ouml;nnen w&auml;hrend des laufenden
Betriebes des MOA-Servers ge&auml;ndert werden. Der Server selbst wird durch den Aufruf einer <a href="id-admin_1.htm#ConfigUpdate">URL</a>
(im Applikationskontext von MOA ID) dazu veranlasst, die ge&auml;nderte Konfiguration neu einzulesen.
-Im Falle einer fehlerhaften neuen Konfiguration wird die urspr&uuml;ngliche Konfiguration beibehalten.
+Im Falle einer fehlerhaften neuen Konfiguration wird die urspr&uuml;ngliche Konfiguration beibehalten.
</div>
diff --git a/id.server/src/at/gv/egovernment/moa/id/auth/builder/SAMLResponseBuilder.java b/id.server/src/at/gv/egovernment/moa/id/auth/builder/SAMLResponseBuilder.java
index d7dac3907..945aa54fd 100644
--- a/id.server/src/at/gv/egovernment/moa/id/auth/builder/SAMLResponseBuilder.java
+++ b/id.server/src/at/gv/egovernment/moa/id/auth/builder/SAMLResponseBuilder.java
@@ -4,11 +4,9 @@ import java.text.MessageFormat;
import org.w3c.dom.Element;
-import at.gv.egovernment.moa.id.*;
+import at.gv.egovernment.moa.id.BuildException;
import at.gv.egovernment.moa.util.Constants;
import at.gv.egovernment.moa.util.DOMUtils;
-import at.gv.egovernment.moa.util.OutputXML2File;
-import at.gv.egovernment.moa.id.auth.MOAIDAuthConstants;
/**
* Builder for the <code>lt;samlp:Response&gt;</code> used for passing
@@ -68,7 +66,6 @@ public class SAMLResponseBuilder implements Constants {
subStatusCode == null ?
"" :
MessageFormat.format(SUB_STATUS_CODE, new Object[] {subStatusCode});
- OutputXML2File.debugOutputXML2File("SamlAssertion.xml", samlAssertion, MOAIDAuthConstants.DEBUG_OUTPUT_HIERARCHY);
String xmlResponse = MessageFormat.format(RESPONSE, new Object[] {
responseID,
diff --git a/id.server/src/at/gv/egovernment/moa/id/auth/servlet/VerifyAuthenticationBlockServlet.java b/id.server/src/at/gv/egovernment/moa/id/auth/servlet/VerifyAuthenticationBlockServlet.java
index 56d506e1b..744dc5bc8 100644
--- a/id.server/src/at/gv/egovernment/moa/id/auth/servlet/VerifyAuthenticationBlockServlet.java
+++ b/id.server/src/at/gv/egovernment/moa/id/auth/servlet/VerifyAuthenticationBlockServlet.java
@@ -10,10 +10,8 @@ import javax.servlet.http.HttpServletResponse;
import at.gv.egovernment.moa.id.MOAIDException;
import at.gv.egovernment.moa.id.auth.AuthenticationServer;
-import at.gv.egovernment.moa.id.auth.MOAIDAuthConstants;
import at.gv.egovernment.moa.id.auth.data.AuthenticationSession;
import at.gv.egovernment.moa.logging.Logger;
-import at.gv.egovernment.moa.util.OutputXML2File;
/**
* Servlet requested for verifying the signed authentication block
@@ -73,9 +71,6 @@ public class VerifyAuthenticationBlockServlet extends AuthServlet {
String sessionID = req.getParameter(PARAM_SESSIONID);
String createXMLSignatureResponse = (String)parameters.get(PARAM_XMLRESPONSE);
- // debug XMLSignatureResponse from BKU
- if(null != createXMLSignatureResponse)
- OutputXML2File.debugOutputXML2File("CreateXMLSignatureResponse.xml", createXMLSignatureResponse, MOAIDAuthConstants.DEBUG_OUTPUT_HIERARCHY);
try {
AuthenticationSession session = AuthenticationServer.getSession(sessionID);
String samlArtifactBase64 =
diff --git a/id.server/src/at/gv/egovernment/moa/id/auth/servlet/VerifyIdentityLinkServlet.java b/id.server/src/at/gv/egovernment/moa/id/auth/servlet/VerifyIdentityLinkServlet.java
index 8253c804d..a69d71181 100644
--- a/id.server/src/at/gv/egovernment/moa/id/auth/servlet/VerifyIdentityLinkServlet.java
+++ b/id.server/src/at/gv/egovernment/moa/id/auth/servlet/VerifyIdentityLinkServlet.java
@@ -12,9 +12,7 @@ import at.gv.egovernment.moa.id.MOAIDException;
import at.gv.egovernment.moa.id.auth.AuthenticationServer;
import at.gv.egovernment.moa.id.auth.builder.DataURLBuilder;
import at.gv.egovernment.moa.id.auth.data.AuthenticationSession;
-import at.gv.egovernment.moa.id.auth.MOAIDAuthConstants;
import at.gv.egovernment.moa.logging.Logger;
-import at.gv.egovernment.moa.util.OutputXML2File;
/**
* Servlet requested for verifying the identity link
@@ -68,9 +66,7 @@ public class VerifyIdentityLinkServlet extends AuthServlet {
Map parameters = getParameters(req);
String sessionID = req.getParameter(PARAM_SESSIONID);
String infoboxReadResponse = (String)parameters.get(PARAM_XMLRESPONSE);
- // debug output
- if(null != infoboxReadResponse)
- OutputXML2File.debugOutputXML2File("InfoboxReadResponse.xml", infoboxReadResponse, MOAIDAuthConstants.DEBUG_OUTPUT_HIERARCHY);
+
try {
String createXMLSignatureRequest =
AuthenticationServer.getInstance().verifyIdentityLink(sessionID, infoboxReadResponse);
@@ -82,9 +78,7 @@ public class VerifyIdentityLinkServlet extends AuthServlet {
//TODO test impact of explicit setting charset with older versions of BKUs (HotSign)
resp.setContentType("text/xml;charset=UTF-8");
- // debug output
- if(null != createXMLSignatureRequest)
- OutputXML2File.debugOutputXML2File("CreateXMLSignatureRequest.xml", createXMLSignatureRequest, MOAIDAuthConstants.DEBUG_OUTPUT_HIERARCHY);
+
OutputStream out = resp.getOutputStream();
out.write(createXMLSignatureRequest.getBytes("UTF-8"));
out.flush();
generated by cgit v1.2.3 (git 2.39.1) at 2025-10-31 02:20:14 +0000