diff options
author | Thomas Lenz <tlenz@iaik.tugraz.at> | 2015-07-24 12:26:46 +0200 |
---|---|---|
committer | Thomas Lenz <tlenz@iaik.tugraz.at> | 2015-07-24 12:26:46 +0200 |
commit | 53a9b41048d9c5db633321906b9e14dc4a99624e (patch) | |
tree | da79e8a13a37c59094a13093947e9c49232ea9ea | |
parent | f45ab9ff37a33b5c92204f9a8dc91c60a0fb136e (diff) | |
download | moa-id-spss-53a9b41048d9c5db633321906b9e14dc4a99624e.tar.gz moa-id-spss-53a9b41048d9c5db633321906b9e14dc4a99624e.tar.bz2 moa-id-spss-53a9b41048d9c5db633321906b9e14dc4a99624e.zip |
update first parts of MOA-ID 3.x handbook
-rw-r--r-- | id/server/doc/handbook/additional/additional.html | 287 | ||||
-rw-r--r-- | id/server/doc/handbook/config/config.html | 248 |
2 files changed, 291 insertions, 244 deletions
diff --git a/id/server/doc/handbook/additional/additional.html b/id/server/doc/handbook/additional/additional.html index d26447748..fb9735990 100644 --- a/id/server/doc/handbook/additional/additional.html +++ b/id/server/doc/handbook/additional/additional.html @@ -32,6 +32,7 @@ </ol> </li> <li><a href="#networkconnections">Benötigte Netzwerkverbindungen (incoming / outgoing)</a></li> + <li><a href="#revisionslog">Revisions-Logging</a></li> </ol> <h2><a name="allgemeines"></a>1 Datenmanagement</h2> <p>Dieser Abschnitt spezifiziert jene Datensätze die während eines Anmeldevorgangs durch das Modul MOA-ID-Auth temporär oder permanent gespeichert werden. Hierbei handelt es sich sowohl um temporäre Sessiondaten als auch um dauerhaft gespeicherte Statistikdaten.</p> @@ -248,7 +249,289 @@ <td>Stammzahlenregister Gateway via SOAP Service</td> </tr> </table> - - </div> + <p> </p> + <h2><a name="revisionslog" id="networkconnections2"></a>3 Revisions Logging</h2> + <p>Ab der Version 3.x von MOA-ID-Auth steht zusätzlich zum normalen Logging und zur Generierung von Statisikdaten ein spezielles Reversions Logging zur Verfügung. Dieses Revisions Logging erstellt ein spezielles Log welches Informationen zum Identifikations- und Authentifikationsprozess mit Zeitstempel und Eventcode beinhaltet. Die Events, welche durch dieses Log aufgezeichnet werden lassen sich je MOA-ID-Auth Instanz und je Online-Applikation konfigurieren. Das Revisions Logging kann über die folgende Zeilen in der log4j Konfiguration der MOA-ID Instanz konfiguriert werden:</p> + <p><em>log4j.logger.at.gv.egiz.eventlog.plain.all=info,reversion</em></p> + <p><em>log4j.appender.reversion=org.apache.log4j.RollingFileAppender<br> + log4j.appender.reversion.File=$logDirectory/moa-id-reversion.log<br> + log4j.appender.reversion.MaxFileSize=10000KB<br> + log4j.appender.reversion.MaxBackupIndex=9999<br> + log4j.appender.reversion.layout=org.apache.log4j.PatternLayout<br> + log4j.appender.reversion.layout.ConversionPattern=%5p | %d{dd HH:mm:ss,SSS} | %t | %m%n</em></p> + <p> </p> + <p>Die nachstehenden Tabellen beschreibt alle Events welche aktuell in MOA-ID zur Verfügung stehen, wobei die erste Tabelle alle Basisevents beinhaltet die von MOA-ID auf jeden Fall geloggt werden. Die in der zweiten Tabelle angegebenen Events sind immer einer Session und einer Transaktion aus Tabelle 1 zugeordnet und können durch die MOA-ID Konfiguration ausgewählt werden.</p> + <table border="1" cellpadding="0" cellspacing="0" class="configtable"> + <tr> + <td width="125" valign="top"><p align="left"><strong>EventCode</strong></p></td> + <td width="201" valign="top"><p align="left"><strong>Wert</strong></p></td> + <td width="964" valign="top"><p align="left"><strong>Beschreibung</strong></p></td> + </tr> + <tr> + <td width="125"><p align="center">1000</p></td> + <td width="201"><p align="left">SessionID</p></td> + <td width="964" valign="top"><p>Eine neue Session wurde mit der angegebenen ID gestartet</p></td> + </tr> + <tr> + <td width="125"><p align="center">1001</p></td> + <td width="201"><p align="left">SessionID</p></td> + <td width="964" valign="top"><p>Die Session mit der angegebenen ID wurde beendet</p></td> + </tr> + <tr> + <td width="125"><p align="center">1002</p></td> + <td width="201"><p align="left">IP Adresse</p></td> + <td width="964" valign="top"><p>IP Addresse des Hosts der die Session geöffnet hat</p></td> + </tr> + <tr> + <td width="125"><p align="center">1003</p></td> + <td width="201"><p align="left">SessionID</p></td> + <td width="964" valign="top"><p>Die Session mit der angebenden ID wurde wegen eines Fehler beendet</p></td> + </tr> + <tr> + <td width="125"><p align="center">1100</p></td> + <td width="201"><p align="left">TransaktionsID</p></td> + <td width="964" valign="top"><p>Eine neue Transaction wurde mit der angegebenen ID gestartet. Eine Transaktion ist immer eine Session zugeordnet</p></td> + </tr> + <tr> + <td width="125"><p align="center">1101</p></td> + <td width="201"><p align="left">TransaktionsID</p></td> + <td width="964" valign="top"><p>Die Transkation mit der angegebenen ID wurde beendet</p></td> + </tr> + <tr> + <td width="125"><p align="center">1102</p></td> + <td width="201"><p align="left">IP Adresse</p></td> + <td width="964" valign="top"><p>IP Addresse des Hosts der die Transaction geöffnet hat</p></td> + </tr> + <tr> + <td width="125"><p align="center">1103</p></td> + <td width="201" valign="top"><p>TransaktionsID</p></td> + <td width="964" valign="top"><p>Die Transkation mit der angebenden ID wurde wegen eines Fehler beendet</p></td> + </tr> + </table> + <p> </p> + <table border="1" cellpadding="0" cellspacing="0" class="configtable"> + <tr> + <td width="131" valign="top"><p align="left"><strong>EventCode</strong></p></td> + <td width="208" valign="top"><p align="left"><strong>Wert</strong></p></td> + <td width="946" valign="top"><p align="left"><strong>Beschreibung</strong></p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">3000</p></td> + <td width="208" valign="top"><p align="left">Protokolltype</p></td> + <td width="946" valign="top"><p>Type des verwendeten Authentifizierungsprotokolls (OpenID Connect, PVP2, STORK, SAML1)</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">3100</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>PVP 2.x Metadaten Request</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">3101</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>PVP 2.x Authentifizierungsrequest</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">3102</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>PVP 2.x Authentifizierungsresponse</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">3103</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>PVP 2.x Single LogOut Request</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">3104</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>PVP 2.x Attribute Query (im Fall IDP Interfederation mit zwischen MOA-IDs)</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">3200</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>OpenID Connect Auth Requsst</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">3201</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>OpenID Connect Tokken Request</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">3300</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>SAML1 StartAuthentication Request</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4000</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>Identifizierungs- und Authentifizierungsprozess wurde gestartet</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4001</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>Identifizierungs- und Authentifizierungsprozess wurde beendet</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4002</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>Anmeldeprozess mit Online Vollmachten</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4003</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>Anmeldeprozess mit STORK</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4004</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>Anmeldeprozess mit Single Sign-On</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4005</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>Ungültige Single Sign-On Session</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4006</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>Benutzeranfrage für Single Sign-On Verwendung gestellt</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4007</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>Benutzerantwort für Single Sign-On Verwendung empfangen</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4008</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>Anmeldeprozess über IDP Föderation</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4009</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>Gültige Response von föderiertem IDP erhalten</p></td> + </tr> + <tr> + <td height="30" valign="top">4010</td> + <td valign="top">EntityID des IDP</td> + <td valign="top">Verwendeter IDP für föderierte Anmeldung</td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4011</p></td> + <td width="208" valign="top"><p align="left">Service Identifikator</p></td> + <td width="946" valign="top"><p>Eindeutiger Identifikator der/des Online-Applikation/Service an der/dem die Anmeldung erfolgt</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4110</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>BKU Auswahl gestartet</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4111</p></td> + <td width="208" valign="top"><p align="left">Bkutype (z.b. online, handy, local)</p></td> + <td width="946" valign="top"><p>Ausgewählter BKU Type</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4112</p></td> + <td width="208" valign="top"><p align="left">URL</p></td> + <td width="946" valign="top"><p>Verwendete BKU URL</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4113</p></td> + <td width="208" valign="top"><p align="left">IP Adresse</p></td> + <td width="946" valign="top"><p>IP Adresse mit der die BKU Daten an MOA-ID liefert</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4220</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>Personenbindung ausgelesen und gültig validiert</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4221</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>Signaturzertifikat ausgelesen und validiert</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4222</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>AuthBlock signiert und gültig validiert</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4223</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>Wechsel in den Modus für ausländische Signaturkarten</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4224</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>SZR-Gateway wird kontaktiert</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4225</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>Personenbindung von SZR-Gateway erhalten</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4300</p></td> + <td width="208" valign="top"><p align="left">ReferenceID des Vollmachtensystems</p></td> + <td width="946" valign="top"><p>Online-Vollmachten Service wird kontaktiert</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4301</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>Redirekt zum Online-Vollmachten Service</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">4302</p></td> + <td width="208" valign="top"><p align="left"> </p></td> + <td width="946" valign="top"><p>Vollmacht vom Online-Vollmachten Service erhalten</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">5000</p></td> + <td width="208" valign="top"><p align="left">bPK</p></td> + <td width="946" valign="top"><p>bPK bei Vollmacht mit berufsmäßigem Parteienvertreter oder Organwalter</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">5001</p></td> + <td width="208" valign="top"><p align="left">OID</p></td> + <td width="946" valign="top"><p>OID bei Vollmacht mit berufsmäßigem Parteienvertreter oder Organwalter</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">5002</p></td> + <td width="208" valign="top"><p align="left">JSON String</p></td> + <td width="946" valign="top"><p>Pseudoanonymisierte Personendaten der sich anmeldeten natürlichen Person.</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">5100</p></td> + <td width="208" valign="top"><p align="left">Vollmachtstype</p></td> + <td width="946" valign="top"><p>Type der ausgewählten Vollmacht</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">5101</p></td> + <td width="208" valign="top"><p align="left">jur / nat</p></td> + <td width="946" valign="top"><p>Vollmacht - Type der vertretenen Person (Juristische / natürliche Person)</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">5102</p></td> + <td width="208" valign="top"><p align="left">JSON String</p></td> + <td width="946" valign="top"><p>Pseudoanonymisierte Personendaten der vertretenen natürlichen Person.</p></td> + </tr> + <tr> + <td width="131" valign="top"><p align="center">5103</p></td> + <td width="208" valign="top"><p align="left">baseID</p></td> + <td width="946" valign="top"><p>Stammzahl der vertretenen juristischen Person </p></td> + </tr> + </table> +<p> </p> +<p>Einzelne Events werden um einen Transaktionsparameter ergänzt, welcher in der Spalte Wert beschrieben ist. <br> + </p> +<p>Die pseudoanonymisierten Personendaten für natürliche Personen werden anhand des nachfolgenden Schemas generiert. Als pseudoanonymisiertes Personendatum dient der SHA256 Hash über die in eine JSON Struktur eingetragenen Personendaten. Hierfür wird das folgende JSON Schema verwendet, welches als Input für die SHA256 Berechnung dient.</p> +<p><br> + {"person":{"givenname":"<em>Vorname der Person</em>","familyname":"<em>Nachname der Person</em>","dateofbirth":"<em>Geburtsdatum der Person</em>"},"salt":"<em>Zufallszahl</em>"}<br> + </p> +<p>Anschließend wird das pseudoanonymisiert Personendatum als JSON Wert bei den entsprechenden Events eingetragen. Der eingetragener JSON Wert entspricht dem folgenden Schema</p> +<p><br> + {"hash":"<em>BASE64 codierte Personendatum</em>","salt:"<em>Zufallzahl welche zur Generierung des Personendatums verwendet wurde</em>"}</p> +<p> </p> + </div> </body> </html> diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index 18be88951..d20f3f546 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -170,7 +170,7 @@ <li><a href="#konfigurationsparameter_allgemein">Allgemeine Konfiguration des Modules MOA-ID-Auth</a></li> <li><a href="#konfigurationsparameter_oa">Konfiguration von Online-Applikationen</a></li> </ol> - <p>Optional kann nach dem Schritt 3 Basiskonfiguration des Modules MOA-ID-Auth eine <a href="#import_export_legacy">bestehende MOA-ID 1.5.1 Konfiguration importiert</a> werden. Für bestehende Konfigurationen < 1.5.1 wird eine vollständige Neukonfiguration empfohlen.</p> + <p>Optional kann nach dem Schritt 3 Basiskonfiguration des Modules MOA-ID-Auth eine <a href="#import_export_legacy">bestehende MOA-ID 2.x.x Konfiguration importiert</a> werden. Für bestehende Konfigurationen < 2.x.x wird eine vollständige Neukonfiguration empfohlen.</p> <h2><a name="uebersicht_zentraledatei" id="uebersicht_zentraledatei"></a>2 Basiskonfiguration</h2> <p>Die Basiskonfiguration für die Module MOA-ID-Auth und MOA-ID-Configuration erfolgt mit Hilfe textueller properties-Dateien. Diese properties-Dateien beinhalten alle Konfigurationsparameter welche für den Start der Module erforderlich sind und müssen der Java Virtual Machine durch eine System Property mitgeteilt werden. Alle Änderungen die an der Basiskonfiguration vorgenommen werden erfordern einen Neustart der jeweiligen Java Virtual Machine.</p> <p><strong>Hinweis:</strong> Alle URL Konfigurationsparameter auf Dateien ohne den Prefix <em>file:/</em> werden als relative Pfadangaben zum Konfigurationsbasisverzeichnis des jeweiligen Modules interpretiert.</p> @@ -178,7 +178,8 @@ <p>Dieser Abschnitt behandelt die Basiskonfiguration des Modules MOA-ID-Configuration. Der erste Teilabschnitt behandelt die Bekanntmachung der Konfigurationsdatei mittels einer System Property und der zweite Teilabschnitt beschreibt die einzelnen Konfigurationsparameter im Detail. Eine Konfiguration die als Ausgangspunkt für die individuelle Konfiguration verwendet werden kann finden Sie <a href="../../conf/moa-id-configuration/moa-id-configtool.properties">hier</a>.</p> <h4><a name="moa_id_config_property" id="uebersicht_zentraledatei_aktualisierung7"></a>2.1.1 Bekanntmachung der Konfigurationsdatei</h4> <p>Die zentrale Konfigurationsdatei von MOA-ID-Configuration wird der <span class="term">Java Virtual Machine</span>, in der MOA-ID-Configuration läuft, durch eine <span class="term">System Property </span> mitgeteilt (wird beim Starten der <span class="term">Java Virtual Machine</span> in der Form <code>-D<name>=<wert></code> gemacht). Der Name der <span class="term">System Property</span> lautet <code>moa.id.webconfig</code> als Wert der <span class="term">System Property</span> ist der Pfad sowie der Name der Konfigurationsdatei im Dateisystem anzugeben, z.B.</p> -<pre>moa.id.webconfig=C:/Programme/apache/tomcat-4.1.30/conf/moa-id-configuration/moa-id-configuration.properties</pre> +<pre>WINDOWS: moa.id.webconfig=file:/C:/Programme/apache/tomcat-4.1.30/conf/moa-id-configuration/moa-id-configuration.properties +UNIX: moa.id.webconfig=file:C:/Programme/apache/tomcat-4.1.30/conf/moa-id-configuration/moa-id-configuration.properties </pre> <p>Weitere Informationen zum Bekanntmachen der zentralen Konfigurationsdatei für MOA-ID-Configuration erhalten Sie in <a href="../install/install.html#moa_id_configuration_deploy">Abschnitt 2.1.2.4</a> des Installationshandbuchs.</p> <h4><a name="moa_id_config_parameters" id="uebersicht_zentraledatei_aktualisierung8"></a>2.1.2 Konfigurationsparameter</h4> <p>Aus Gründen der Übersichtlichkeit werden die einzelnen Konfigurationsparameter in logisch zusammenhängende Blöcke unterteilt. Die Konfiguration der Blöcke <a href="#moa_id_config_parameters_generel">Allgemeine Konfigurationsparameter</a> und <a href="#moa_id_config_parameters_database">Datenbankzugriff</a> sind nicht optional und müssen für den Betrieb angepasst werden. </p> @@ -191,25 +192,10 @@ <th scope="col">Beschreibung</th> </tr> <tr> - <td>general.login.deaktivate</td> - <td>true / false</td> - <td>Hiermit kann die Authentifizierung am Konfigurationstool deaktiviert werden. Diese Funktion ist für die <a href="#moa_id_config_init">Initialisierung</a> des Modules erforderlich.</td> - </tr> - <tr> - <td>general.publicURLContext</td> - <td>https://demo.egiz.gv.at/moa-id-configuration/</td> - <td>Public URL Prefix unter dem das Module MOA-ID-Configuration erreichbar ist</td> - </tr> - <tr> - <td>general.moaid.instance.url</td> - <td>https:/demo.egiz.gv.at/moa-id-auth/</td> - <td>Public URL Prefix unter dem die zu konfigurierende MOA-ID-Auth Instanz erreichbar ist. Dieser Parameter wird für die Vorschau der BKU Auswahlskonfiguration benötigt.</td> - </tr> - <tr> <td>general.defaultlanguage</td> <td>de, en</td> <td><p>Hiermit kann die Sprache, welche für die Darstellung der Texte verwendet wird, festgelegt werden.</p> - <p><strong>Hinweis</strong>: Aktuell wird nur Deutsch (de) oder Englisch (en) unterstützt.</p></td> + <p><strong>Hinweis</strong>: Aktuell wird nur Deutsch (de) oder Englisch (en) unterstützt.</p></td> </tr> <tr> <td>general.ssl.certstore</td> @@ -233,11 +219,6 @@ <td><p>Hiermit kann die Schemavalidierung für konfigurierte PVP Metadaten deaktiviert werden.</p> <strong>Hinweis:</strong> Standardmäßig ist die Schemavalidierung aktiv.</td> </tr> - <tr> - <td>general.userrequests.cleanup.delay</td> - <td>18</td> - <td>Innerhalb dieses Zeitraums muss ein neuer Benutzer die im Benutzerprofil hinterlegte eMail Adresse validieren. </td> - </tr> </table> <h5>2.1.2.3 Datenbankzugriff</h5> <p>Diese Konfigurationsparameter sind nicht optional und müssen in der Konfigurationsdatei enthalten sein und individuell angepasst werden. Für die Beispielkonfiguration wurde mySQL als Datenbank verwendet wodurch sich die Konfigurationsparameter auf mySQL beziehen. Das Modul MOA-ID-Configuration kann jedoch auch mit Datenbanken anderer Hersteller betrieben werden. Hierfür wird jedoch auf die <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> verwiesen, welches im Module MOA-ID-Configuration für den Datenbankzugriff verwendet wird. </p> @@ -275,193 +256,6 @@ </table> <p> </p> <p>Die Beispielkonfiguration beinhaltet noch zusätzliche Konfigurationsparameter für den Datenbankzugriff welche direkt aus der Beispielkonfiguration übernommen werden können. Eine detaillierte Beschreibung der einzelnen Einstellungsparameter kann der <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> entnommen werden.</p> -<h5><a name="moa_id_config_parameters_pvp2" id="uebersicht_zentraledatei_aktualisierung11"></a>2.1.2.4 Bürgerkarten LogIn</h5> -<p>Zusätzlich zur Authentifizierung mittels Benutzername und Passwort unterstützt das Modul MOA-ID-Configuration auch eine Authentifizierung mittels Bürgerkarte oder Handy-Signatur unter Verwendung des <a href="./protocol/protocol.html">Authentifizierungsprotokolls PVP2.1</a>. Wenn eine Authentifizierung mittels Bürgerkarte oder Handy-Signatur gewünscht wird müssen die nachfolgen Parameter konfiguriert werden.</p> -<table class="configtable"> - <tr> - <th>Name</th> - <th>Beispielwert</th> - <th>Beschreibung</th> - </tr> - <tr> - <td>general.login.pvp2.isactive</td> - <td>true /false</td> - <td>Aktiviert oder deaktiviert die Authentifizierung mittels PVP2.1</td> - </tr> - <tr> - <td>general.login.pvp2.idp.metadata.url</td> - <td>https://demo.egiz.gv.at/moa-id-auth/<br> - pvp2/metadata</td> - <td>URL unter der die PVP2.1 Metadaten des IDP abgeholt werden können.</td> - </tr> - <tr> - <td>general.login.pvp2.idp.metadata.certificate</td> - <td>keys/moa_idp.crt</td> - <td>Zertifikat mit dem die PVP2.1 Metadaten des IDP signiert sind. Dieses Zertifikat wird zur Prüfung der IDP Metadaten verwendet.</td> - </tr> - <tr> - <td>general.login.pvp2.idp.metadata.entityID</td> - <td>https://demo.egiz.gv.at/moa-id-auth/</td> - <td>EntityID des IDP in den Metadaten (Details siehe PVP2.1 Spezifikation)</td> - </tr> - <tr> - <td>general.login.pvp2.idp.sso.logout.url</td> - <td>https://demo.egiz.gv.at/moa-id-auth/LogOut?redirect=<br> - https://demo.egiz.gv.at/moa-id-configuration</td> - <td>URL zum Single Log-Out (SLO) Service des IDP. Details zum SLO Service von MOA-ID-Auth finden Sie <a href="./protocol/protocol.html#allgemeines_ssologout">hier</a>.</td> - </tr> - <tr> - <td>general.login.pvp2.metadata.entities.name</td> - <td>MOA-ID 2.x Configuration Tool</td> - <td>Name der Applikation, welcher in den Metadaten der Applikation angegeben wird</td> - </tr> - <tr> - <td>general.login.pvp2.keystore.url</td> - <td>keys/application[password].p12</td> - <td>Keystore mit Schlüssel und Zertifikaten welche für das signieren und verschlüsseln der PVP2.1 Nachrichten verwendet werden sollen.</td> - </tr> - <tr> - <td>general.login.pvp2.keystore.password</td> - <td>password</td> - <td>Passwort des Keystores</td> - </tr> - <tr> - <td>general.login.pvp2.keystore.type</td> - <td>PKCS12</td> - <td><p>Type des Keystores. Aktuell werden folgende Keystore Typen unterstützt</p> - <ul> - <li>PKCS12: PKCS12 Keystore</li> - <li>JKS: Java-Keystore</li> - </ul></td> - </tr> - <tr> - <td>general.login.pvp2.keystore.metadata.key.alias</td> - <td>pvp_metadata</td> - <td>Name des Schlüssels der zum Signieren der Metadaten des Modules MOA-ID-Configuration verwendet werden soll</td> - </tr> - <tr> - <td>general.login.pvp2.keystore.metadata.key.password</td> - <td>password</td> - <td>Passwort des Schlüssels der zum Signieren der Metadaten verwendet werden soll.</td> - </tr> - <tr> - <td>general.login.pvp2.keystore.authrequest.encryption.key.alias</td> - <td>pvp_encryption</td> - <td>Name des Schlüssels der zum Verschlüsseln der Anmeldeinformation, welche vom IDP an das Konfigurationstool übermittelt, verwendet werden soll</td> - </tr> - <tr> - <td>general.login.pvp2.keystore.authrequest.encryption.key.password</td> - <td>password</td> - <td>Passwort des Schlüssels zum Verschlüsseln der Anmeldeinformation.</td> - </tr> - <tr> - <td>general.login.pvp2.keystore.authrequest.key.alias</td> - <td>pvp_request</td> - <td>Name des Schlüssels zum Signieren des Authentifizierungsrequests der an den IDP gestellt wird.</td> - </tr> - <tr> - <td>general.login.pvp2.keystore.authrequest.key.password</td> - <td>password</td> - <td>Passwort des Schlüssels zum Signieren des Authentifizierungsrequests.</td> - </tr> -</table> -<p> </p> -<p>Die Metadaten des Modules MOA-ID-Configuration werden dynamisch erstellt und stehen unter folgender URL zum Download bereit.</p> -<pre> -http://<host>:<port>/moa-id-configuration/servlet/metadata</pre> -<p>bzw. </p> -<pre> -https://<host>:<port>/moa-id-configuration/servlet/metadata</pre> -<h5><a name="moa_id_config_parameters_mail" id="uebersicht_zentraledatei_aktualisierung12"></a>2.1.2.5 Mailversand</h5> -<p>Das Modul MOA-ID-Configuration bietet die Möglichkeit zur Generierung von automatischen Statusmeldungen welche via eMail versendet werden. Diese Statusmeldungen betreffen die Aktivierung neuer Online-Applikationen oder Benutzeraccounts und die Verifikation von eMail Adressen welche einem Benutzeraccount zugeordnet sind. Detailinformationen hierzu finden Sie im Abschnitt <a href="#moa_id_config_user">Benutzerverwaltung</a>.</p> -<table class="configtable"> - <tr> - <th>Name</th> - <th>Beispielwert</th> - <th>Beschreibung</th> - </tr> - <tr> - <td>general.mail.host</td> - <td>demomail.gv.at</td> - <td>URL des SMTP Services zum Mailversand</td> - </tr> - <tr> - <td>general.mail.host.port</td> - <td> </td> - <td>Port an dem der SMTP Service erreichbar ist. Sollte kein Port angegeben werden wird automatisch das Port 25 verwendet.</td> - </tr> - <tr> - <td>general.mail.host.username</td> - <td> </td> - <td>Benutzername für den SMTP Zugriff</td> - </tr> - <tr> - <td>general.mail.host.password</td> - <td> </td> - <td>Passwort für den SMTP Zugriff</td> - </tr> - <tr> - <td>general.mail.from.name</td> - <td>MOA-ID 2.x Konfigurationstool</td> - <td>Name des Absenders der Statusmeldungen</td> - </tr> - <tr> - <td>general.mail.from.address</td> - <td>no-reply@demo.egiz.gv.at</td> - <td>eMail Adresse des Absenders</td> - </tr> - <tr> - <td>general.mail.admin.adress</td> - <td>admin@demo.egiz.gv.at</td> - <td>An diese Adresse werden Statusmeldungen an den Administrator des Modules MOA-ID-Configuration versendet</td> - </tr> - <tr> - <td>general.mail.admin.subject</td> - <td>Statusmeldung</td> - <td>Betreff einer Statusmeldungs eMail</td> - </tr> - <tr> - <td>general.mail.admin.adresses.template</td> - <td>mail/admin_template.html</td> - <td>Template für die Generierung der Statusmeldungs eMail</td> - </tr> - <tr> - <td>general.mail.useraccountrequest.verification.subject</td> - <td>Benutzerverifikation</td> - <td>Betreff der eMail zur Verifikation von Benutzer eMail-Adressen</td> - </tr> - <tr> - <td>general.mail.useraccountrequest.verification.template</td> - <td>mail/verification_template.html</td> - <td>Template der eMail zur Verifikation von Benutzer eMail-Adressen</td> - </tr> - <tr> - <td>general.mail.useraccountrequest.isactive.subject</td> - <td>Benutzeraktivierung</td> - <td>Betreff der eMail über die Aktivierung/Deaktivierung des Benutzeraccounts</td> - </tr> - <tr> - <td>general.mail.useraccountrequest.isactive.template</td> - <td>mail/activation_template.html</td> - <td>Template der eMail zur Aktivierung eines Benutzeraccounts</td> - </tr> - <tr> - <td>general.mail.useraccountrequest.rejected.template</td> - <td>mail/rejected_template.html</td> - <td>Template der eMail zur Deaktivierung eines Benutzeraccounts</td> - </tr> - <tr> - <td>general.mail.createOArequest.isactive.subject</td> - <td>Online-Applikationsaktivierung</td> - <td>Betreff der eMail zur Aktivierung der Online-Applikation</td> - </tr> - <tr> - <td>general.mail.createOArequest.isactive.template</td> - <td>mail/oa_activation_template.html</td> - <td>Template der eMail zur Aktivierung der Online-Applikation</td> - </tr> -</table> -<p> </p> <h4><a name="moa_id_config_init" id="uebersicht_zentraledatei_aktualisierung13"></a>2.1.3 Initialisierung des Modules MOA-ID-Configuration</h4> <p>Für den ersten Start muss die Authentifizierung deaktiviert werden (siehe <em>general.login.deaktivate</em> <a href="#moa_id_config_parameters_generel">Abschnitt 2.2.2.1</a>). Anschließend kann die Benutzerverwaltung des Modules MOA-ID-Configuration unter der folgenden Adresse aufgerufen werden.</p> <pre>http://<host>:<port>/moa-id-configuration/secure/usermanagementInit.action</pre> @@ -570,7 +364,8 @@ https://<host>:<port>/moa-id-configuration/secure/usermanagementInit <p>Dieser Abschnitt behandelt die Basiskonfiguration des Modules MOA-ID-Auth. Der erste Teilabschnitt behandelt die Bekanntmachung der Konfigurationsdatei mittels einer System Property und der zweite Teilabschnitt beschreibt die einzelnen Konfigurationsparameter im Detail. Eine Konfiguration die als Ausgangspunkt für die individuelle Konfiguration verwendet werden kann finden Sie <a href="../../conf/moa-id/moa-id.properties">hier</a>.</p> <h4><a name="uebersicht_bekanntmachung" id="uebersicht_bekanntmachung"></a>2.2.1 Bekanntmachung der Konfigurationsdatei</h4> <p>Die zentrale Konfigurationsdatei von MOA-ID-Configuration wird der <span class="term">Java Virtual Machine</span>, in der MOA-ID-Configuration läuft, durch eine <span class="term">System Property </span> mitgeteilt (wird beim Starten der <span class="term">Java Virtual Machine</span> in der Form <code>-D<name>=<wert></code> gemacht). Der Name der <span class="term">System Property</span> lautet <code>moa.id.webconfig</code> als Wert der <span class="term">System Property</span> ist der Pfad sowie der Name der Konfigurationsdatei im Dateisystem anzugeben, z.B.</p> - <pre>moa.id.configuration=C:/Programme/apache/tomcat-4.1.30/conf/moa-id/moa-id.properties</pre> + <pre>Windows: moa.id.configuration=file:/C:/Programme/apache/tomcat-4.1.30/conf/moa-id/moa-id.properties +UNIX: moa.id.configuration=file:C:/Programme/apache/tomcat-4.1.30/conf/moa-id/moa-id.properties</pre> <p>Weitere Informationen zum Bekanntmachen der zentralen Konfigurationsdatei für MOA-ID-Auth erhalten Sie in <a href="../install/install.html#webservice_basisinstallation_installation_spssdeploy">Abschnitt 2.1.2.3</a> des Installationshandbuchs.</p> <h4><a name="basisconfig_moa_id_auth_param" id="uebersicht_bekanntmachung2"></a>2.2.2 Konfigurationsparameter</h4> <p>Aus Gründen der Übersichtlichkeit werden die einzelnen Konfigurationsparameter in logisch zusammenhängende Blöcke unterteilt.</p> @@ -2237,37 +2032,6 @@ Alle in diesem Abschnitt angegebenen Parameter sind Optional und werden bei Beda <p> </p> <p><strong>Hinweis:</strong> Bei Verwendung einer online-applikationsspezifischen B\FCrgerkartenauswahl stehen alle Parameter die die B\FCrgerkartenauswahl betreffen nicht zur Verf\FCgung.</p> <p><strong>Hinweis:</strong> Bei Verwendung eines online-applikationsspezifischen Security-Layer-Request Templates stehen alle Parameter die das SL-Template betreffen nicht zur Verf\FCgung.</p> -<h5><a name="konfigurationsparameter_oa_additional_encbpk" id="uebersicht_zentraledatei_aktualisierung31"></a>3.2.8.2 Fremd-bPK Konfiguration</h5> -<p>Dieser Konfigurationsparameter ermöglicht die Konfiguration eines Key Stores, welcher im Falle einer<a href="../interfederation/interfederation.html"> Anmeldung mittels Single Sign-On Interfederation</a> zur Entschlüsselung einer verschlüsselten Fremd-bPK verwendet werden soll. Hierfür sind folgende Konfigurationsparameter notwenig.</p> -<table class="configtable"> - <tr> - <th>Name</th> - <th>Beispielwert</th> - <th>Beschreibung</th> - </tr> - <tr> - <td>KeyStore hochladen</td> - <td> </td> - <td>Dateiname des Java Keystore oder PKCS12 Keystore welcher den privaten Schlüssel zur Entschlüsselung von Fremd-bPKs beinhaltet.</td> - </tr> - <tr> - <td><span id="wwlbl_loadOA_BPKEncDecr_keyStorePassword">KeyStore Password</span></td> - <td>password</td> - <td>Passwort zum Keystore</td> - </tr> - <tr> - <td><span id="wwlbl_loadOA_BPKEncDecr_keyAlias">Schlüsselname</span></td> - <td>pvp_metadata</td> - <td>Name des Schlüssels der zum Entschlüsseln der Fremd-bPK verwendet werden soll</td> - </tr> - <tr> - <td><span id="wwlbl_loadOA_BPKEncDecr_keyPassword">Schlüsselpassword</span></td> - <td>password</td> - <td>Passwort des Schlüssels der zum Entschlüsseln der Fremd-bPK verwendet werden soll</td> - </tr> -</table> -<p> </p> -<p><strong>Hinweis:</strong> Diese Konfiguration ist jedoch nur nötig wenn die für das Modul MOA-ID-Auth Interfederation verwendet und von weiteren Identity Providern in der Federation Fremd-bPKs übermittelt werden welche bereits im Modul MOA-ID-Auth entschlüsselt werden sollen (z.B. bei Verwendung von SAML 1 als Authentifizierungsprotokoll). Bei Verwendung von PVP 2.1 und OpenID Connect kann die Fremd-bPK auch direkt an die Online Applikation weitergeben werden wodurch eine Entschlüsselung auf Seiten des Modules MOA-ID-Auth nicht zwingend notwendig ist.</p> <h3><a name="import_export" id="uebersicht_zentraledatei_aktualisierung4"></a>3.3 Import / Export</h3> <p>\DCber diese Funktionalit\E4t besteht die M\F6glichkeit eine bestehende MOA-ID 1.5.1 Konfiguration in MOA-ID 2.0 zu importieren. Zus\E4tzlich besteht die M\F6glichkeit eine MOA-ID-Auth 2.0 |