update handbook

2 files changed, 89 insertions, 1 deletions

diff --git a/id/server/doc/handbook/interfederation/blockdiagramm_storkpvpgateway.png b/id/server/doc/handbook/interfederation/blockdiagramm_storkpvpgateway.png
new file mode 100644
index 000000000..dd5a52674
--- /dev/null
+++ b/id/server/doc/handbook/interfederation/blockdiagramm_storkpvpgateway.png
diff --git a/id/server/doc/handbook/interfederation/interfederation.html b/id/server/doc/handbook/interfederation/interfederation.html
index bd97061ab..f52556e23 100644
--- a/id/server/doc/handbook/interfederation/interfederation.html
+++ b/id/server/doc/handbook/interfederation/interfederation.html
@@ -37,6 +37,7 @@
       </ol>
     </li>
     <li><a href="#vidp">STORK VIDP Konfiguration</a></li>
+    <li><a href="#storkpvpgateway">STORK &lt;-&gt; PVP Gateway</a></li>
 </ol>
 <p>&nbsp;</p>
   <h1><a name="general" id="konfigurationsparameter_allgemein_bku7"></a>1 Allgemeines</h1>
@@ -153,6 +154,18 @@
     <td>Wenn eingehende SSO Intefederation erlaubt ist besteht zus&auml;tzlich die M&ouml;glichkeit diesen einmal verwendeten IDP an die Benutzersession zu binden. In diesem Fall k&ouml;nnen weitere SSO Authentifizierungen &uuml;ber diesen interfederation IDP auch ohne Angabe des IDP Identifiers (siehe <a href="#sequenzediagramm">Sequenzdiagramm</a> oder <a href="#usage">Integration in bestehende Systeme</a>) durchgef&uuml;hrt werden.</td>
   </tr>
   <tr>
+    <td><span id="wwlbl_loadIDP_moaIDP_passiveRequest">Verwende SAML2 isPassive Attribut</span></td>
+    <td>&nbsp;</td>
+    <td align="center">&nbsp;</td>
+    <td>Wird dieser Parameter aktiviert erfolgt der Authentifizierungsrequest im Schritt 9 (siehe <a href="#sequenzediagramm">Sequenzdiagramm</a>) unter Verwendung des SAML 2 <em>isPassiv</em> Flags. Wenn die Benutzerin oder der Benutzer keine aktive SSO Session an diesem IDP besitzt wird ein Fehler returniert und KEINE Authentifizierung an diesem IDP durchgef&uuml;hrt. </td>
+  </tr>
+  <tr>
+    <td><span id="wwlbl_loadIDP_moaIDP_localAuthOnError">Im Fehlerfall Authentifizierung lokal durchf&uuml;hren</span></td>
+    <td>&nbsp;</td>
+    <td align="center">&nbsp;</td>
+    <td><p>Wird dieser Parameter aktiviert erfolgt im Falle eines returnierten Fehlers im Schritt 11 (siehe <a href="#sequenzediagramm">Sequenzdiagramm</a>) keine lokale Authentifizierung und dem Service Provider wird eine Fehlermeldung returniert. </p></td>
+  </tr>
+  <tr>
     <td><span id="wwlbl_loadIDP_moaIDP_queryURL">AttributQuery Service URL</span></td>
     <td>https://demo.egiz.gv.at/moa-id-auth/pvp2/attributequery</td>
     <td align="center">X</td>
@@ -269,6 +282,14 @@
     <td>StorkAttributeRequestProvider</td>
     <td>Allgemeines Plugin, wird verwendet f&uuml;r die Restf&auml;lle.</td>
   </tr>
+  <tr>
+    <td>PVPAuthenticationProvider</td>
+    <td><p>Dieser Provider dient zur Authentifizierung des Benutzers &uuml;ber den Portalverbund der &ouml;sterreichischen Beh&ouml;rden. Wird ein zu diesem Provider konfiguriertes Attribut angefragt erfolgt die Authentifizerung des Benutzers NICHT am VIDP sondern in der nationalen Infrastruktur, wobei die Anmeldedaten &uuml;ber den VIDP an den Service Provider weitergereicht werden. Als URL ist der Link auf den nationalen <a href="#storkpvpgateway">STORK&lt;-&gt;PVP Gateway</a> zu hinterlegen.</p>
+    <p><strong>Hinweis:</strong> Aktuell fordert folgende Attribute eine nationale Authentifizierung: </p>
+    <ul>
+      <li><em>ECApplicationRole</em></li>
+    </ul></td>
+  </tr>
 </table>
 <p>&nbsp;</p>
 <p>Beispiel eines Eintrages f&uuml;r Attributprovider:</p>
@@ -283,8 +304,75 @@
     <td>http://mis.testvidp.at/moa-id-auth/stork2/MISProvider</td>
     <td>mandateContent,<span class="term">attribut1</span>,<span class="term">attribut2</span></td>
   </tr>
+</table></pre>
+<p>&nbsp;</p>
+<h1><a name="storkpvpgateway" id="konfigurationsparameter_allgemein_bku10"></a>5 STORK &lt;-&gt; PVP Gateway</h1>
+<p>Das Modul MOA-ID-Auth kann auch als Gateway zwischen dem Portalverbund der &ouml;sterreichischen Beh&ouml;rden und der STORK Infrastruktur betrieben werden. Diese Konfiguration konfiguriert einen Gateway welcher zur Authentifizierung &ouml;sterreichischer Benutzerinnen oder Benutzer im Falle einer STORK Anmeldung mit Hilfe der &ouml;sterreichischen PVP Infrastruktur dient. Der Einsprung zum Gateway erfolgt &uuml;ber den <em>PVPAuthenticationProvider</em> in der <a href="#vidp">VIDP Konfiguration</a>.</p>
+<p>Die nachstehende Grafik skizziert den Prozessfluss eines solchen Anmeldevorgangs.</p>
+<p><img src="blockdiagramm_storkpvpgateway.png" width="1000" height="734" alt="Blockdiagramm STORK-PVP Gateway"></p>
+<ol>
+  <li>Eine &ouml;sterreichische Benutzerin oder ein &ouml;sterreichischer Benutzer m&ouml;chte sich an einer europ&auml;ischen Online Applikation (Applikation 1) anmelden.</li>
+  <li>Die Benutzerin oder der Benutzer wird an den entsprechenden VIDP unter Verwendung des STORK Protokolls zur Authentifizierung weitergeleitet. F&uuml;r den Fall das spezielle Attribute durch die Applikation angefordert wurden (z.B. <em>ECApplicationRole</em>) kann die Authentifizierung nicht am VIDP vorgenommen werden. In diesem Fall erfolgt eine Weiterleitung an den nationalen STORK-PVP Gateway (siehe <a href="#vidp">VIDP Konfiguration</a>).</li>
+  <li>Die Benutzerin oder der Benutzer wird an den zentralen STORK-PVP Gateway weitergeleitet. Der STORK-PVP Gateway generiert einen PVP Authentifizierungsrequest und sendet diesen an das im Gateway konfigurierte Stamm- oder Anwendungsportal. Hierf&uuml;r muss das Stamm- oder Anwendungsportal als <a href="#config">MOA-ID IDP</a> konfiguriert sein.</li>
+  <li>Die Benutzerin oder der Benutzer wird an das jeweilige Stamm- oder Anwendungsportal weitergeleitet wo die eigentliche Authentifizierung erfolgt. Nach erfolgreicher Authentifizierung werden PVP spezifische Authentifizierungsdaten generiert.</li>
+  <li>Diese PVP spezifischen Authentifizierungsdaten werden an den STORK-PVP Gateway &uuml;bertragen (PVP Assertion). Der Gateway validiert die Assertion und generiert eine STORK protokollspezifsche Assertion inkl. Signatur aus den PVP Authentifizierungsdaten (Mapping aller Attribute und Benutzerrollen). Sollte eine direkte Generierung der STORK eID nicht m&ouml;glich sein wird diese an Stammzahlenregister (SZR) abgefragt.</li>
+  <li>Optional: Abfrage der STORK eID am Stammzahlenregister.</li>
+  <li>Die STORK Assertion wird vom Gateway an den VIDP &uuml;bertragen und am VIDP validiert. Anschlie&szlig;end wird STORK Assertion f&uuml;r die Applikation 1 generiert   und durch den VIDP signiert.</li>
+  <li>Die STORK Assertion wird an die Applikation 1 &uuml;bermittelt. Nach g&uuml;ltiger Validierung ist die Benutzerin oder der Benutzer an Applikation 1 authentifiziert.</li>
+</ol>
+<p>&nbsp;</p>
+<p>Die Konfiguration eines STORK-PVP Gateways besteht aus folgenden Elementen.</p>
+<table width="1199" border="1">
+  <tr>
+    <th width="153" scope="col">Name</th>
+    <th width="204" scope="col">Beispielwert</th>
+    <th width="57" scope="col">Optional</th>
+    <th width="757" scope="col">Beschreibung</th>
+  </tr>
+  <tr>
+    <td>Online-Applikation ist  aktiviert</td>
+    <td>&nbsp;</td>
+    <td align="center">&nbsp;</td>
+    <td>Aktiviert oder deaktiviert den Gatewy. Es k&ouml;nnen nur aktive Gatewaykonfigurationen verwendet werden.</td>
+  </tr>
+  <tr>
+    <td><p>Eindeutiger Identifikator</p></td>
+    <td>https://vidp.egiz.gv.at/moa-id-auth/</td>
+    <td align="center">&nbsp;</td>
+    <td><p>Dieser Parameter dient als Schl&uuml;ssel zum Auffinden der Gateway Konfigurationsparameter. Hierf&uuml;r ist ein eindeutiger Identifikator f&uuml;r die VIDP Instanz erforderlich, welcher diesen Gateway nutzen m&ouml;chte. Dieser eindeutige Identifikator                             muss mindestens dem URL-Pr&auml;fix der nach au&szlig;en                              sichtbaren Dom&auml;ne des VIDP entsprechen</p></td>
+  </tr>
+  <tr>
+    <td><p>Name der <br>
+      Online-Applikation</p></td>
+    <td>IT STORK-PVP Gateway</td>
+    <td align="center">&nbsp;</td>
+    <td>Hier muss ein   benutzerfreundlicher Name f&uuml;r den Gateway angegeben werden. </td>
+  </tr>
+  <tr>
+    <td>Privatwirtschaftliche  Applikation</td>
+    <td>&nbsp;</td>
+    <td align="center">&nbsp;</td>
+    <td><p>Definiert ob der VIDP, welcher den Gateway verwendet dem &ouml;ffentlichen Bereich oder dem privatwirtschaftlichen Bereich (Business Service) zugeordnet ist.</p>
+    <p><strong>Hinweis</strong>: im STORK Kontext immer privatwirtschaftlich. </p></td>
+  </tr>
 </table>
-</pre>
+<p>&nbsp;</p>
+<table width="1199" border="1">
+  <tr>
+    <th width="153" scope="col">Name</th>
+    <th width="204" scope="col">Beispielwert</th>
+    <th width="57" scope="col">Optional</th>
+    <th width="757" scope="col">Beschreibung</th>
+  </tr>
+  <tr>
+    <td><span id="wwlbl_loadIDP_pVPGateway_entityID">EntityID des PVP Portals:</span></td>
+    <td>&nbsp;</td>
+    <td align="center">&nbsp;</td>
+    <td><p>Dieser Parameter definiert die EntityID des Stamm- oder Anwendungsportals an welches die Benutzerin oder der Benutzer zur Authentifizierung weitergeleitet werden soll. </p>
+    <p><strong>Hinweis:</strong> In der Interfederation Konfiguration muss ein MOA-ID IDP mit der entsprechenden EntityID konfiguriert sein.</p></td>
+  </tr>
+</table>
+<p>&nbsp;</p>
 <p>&nbsp;</p>
 <h1><a name="referenzierte_spezifikation" id="uebersicht_zentraledatei_aktualisierung30"></a>A Referenzierte Spezifikation</h1>
 <table class="fixedWidth" border="1" cellpadding="2">