diff options
author | Thomas Lenz <tlenz@iaik.tugraz.at> | 2014-05-23 11:09:30 +0200 |
---|---|---|
committer | Thomas Lenz <tlenz@iaik.tugraz.at> | 2014-05-23 11:09:30 +0200 |
commit | 8d8682e6f269d05d282b722d8dda08b075e71bf4 (patch) | |
tree | b928a9ac0e31ae88a473a8f6071ce269c7c73ddd | |
parent | f18b50f5924b12dc7ab751889125784f4ba8a8d6 (diff) | |
download | moa-id-spss-8d8682e6f269d05d282b722d8dda08b075e71bf4.tar.gz moa-id-spss-8d8682e6f269d05d282b722d8dda08b075e71bf4.tar.bz2 moa-id-spss-8d8682e6f269d05d282b722d8dda08b075e71bf4.zip |
Finalize IDP interfederation handbook
-rw-r--r-- | id/server/doc/handbook/config/config.html | 72 | ||||
-rw-r--r-- | id/server/doc/handbook/interfederation/blockdiagramm.png | bin | 0 -> 31933 bytes | |||
-rw-r--r-- | id/server/doc/handbook/interfederation/interfederation.html | 270 | ||||
-rw-r--r-- | id/server/doc/handbook/interfederation/interfederation_sequenz.png | bin | 0 -> 60391 bytes | |||
-rw-r--r-- | id/server/doc/handbook/protocol/protocol.html | 5 |
5 files changed, 269 insertions, 78 deletions
diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index cda71f616..a2de0539e 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -124,7 +124,6 @@ <li><a href="#konfigurationsparameter_oa_protocol_saml1">SAML 1</a></li> <li><a href="#konfigurationsparameter_oa_protocol_pvp21">PVP 2.1</a></li> <li><a href="#konfigurationsparameter_oa_protocol_openIDConnect">OpenID Connect</a></li> - <li><a href="#konfigurationsparameter_oa_protocol_vidp">VIDP Konfiguration</a></li> </ol> </li> <li><a href="#konfigurationsparameter_oa_additional">Zusätzliche allgemeine Einstellungen</a> @@ -1604,7 +1603,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der </em></p></td> <td align="center"> </td> <td align="center"> </td> - <td>Stammzahl eines privatwirtschaftlichen Unternehmens oder Ländercode des STORK Service-Providers bei Verwendung des Modules MOA-ID als <a href="#konfigurationsparameter_oa_protocol_vidp">STORK VIDP</a>. Die Angabe erfolgt durch den Prefix des Bereichs aus dem die Stammzahl stammt und der eigentlichen Stammzahl oder des Ländercodes im Falle von STORK.</td> + <td>Stammzahl eines privatwirtschaftlichen Unternehmens oder Ländercode des STORK Service-Providers bei Verwendung des Modules MOA-ID als <a href="./../interfederation/interfederation.html#vidp">STORK VIDP</a>. Die Angabe erfolgt durch den Prefix des Bereichs aus dem die Stammzahl stammt und der eigentlichen Stammzahl oder des Ländercodes im Falle von STORK.</td> </tr> </table> @@ -1900,74 +1899,9 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der <td>OpenID Connect Redirect URL. Nach erfolgreicher Authentifizierung wird die BenutzerIn oder der Benutzer an diese URL zurückgeleitet.</td> </tr> </table> -<h4><a name="konfigurationsparameter_oa_protocol_vidp" id="uebersicht_zentraledatei_aktualisierung31"></a>3.2.6.4 VIDP Konfiguration</h4> -<p>Dieser Abschnitt dient zur Konfiguration des VIDP Modus des Modules MOA-ID-Auth. Die Konfiguration der nachfolgenden Parameter ist somit nur nötig wenn die MOA-ID-Auth Instanz als STORK2 VIDP betrieben werden soll.</p> -<table width="1250" border="1"> - <tr> - <th width="185" scope="col">Name</th> - <th width="85" scope="col">Beispielwert</th> - <th width="66" scope="col">Optional</th> - <th width="886" scope="col">Beschreibung</th> - </tr> - <tr> - <td><p>VIDP Interface aktiv</p></td> - <td> </td> - <td align="center">X</td> - <td><p>Stellt fest, ob das VIDP Interface aktiviert wird.</p></td> - </tr> - <tr> - <td><p>Zustimmung für das Ausliefern der Attribute</p></td> - <td> </td> - <td align="center">X</td> - <td><p>Stellt fest, ob die Zustimmung für das Ausliefern der Attribute vom Benutzer erforderlich ist. Diese Zustimmung ist für grenzübergreifenden Datenverkehr aufgrund Datenschützbestimmungen oft notwendig. </p></td> - </tr> -</table> -<p> </p> -<p>Außerdem können zusätzliche Attributsproviders eingetragen werden. -Diese Attributprovider werden für die Abholung einiger Attributen von österreichischen Bürger benötigt (Anmeldung in Ausland). Die Eintragung und Auswahl von Attributprovidern ist <span class="term">optional</span>. </p> -<p>Während des Anmeldevorgangs wird der Benutzer an den entsprechenden Attributtprovider weitergeleitet. Am Attributprovider werden die erforderlichen Attribute ausgewählt und zurück an VIDP (am ServiceProvider) geliefert. </p> -<br/> -<table width="1250" border="1"> - <tr> - <th width="167" scope="col">Name des Plugins</th> - <th width="781" scope="col">Beschreibung</th> - </tr> - <tr> - <td>EHvdAttributeProvider</td> - <td>Für Gesundheitsbereich spezifisches Attributprovider. </td> - </tr> - <tr> - <td>SignedDocAttributeRequestProvider</td> - <td>Attributprovider verwendet für die Signatur von Dokumenten (<span class="term">Signature Service</span>).</td> - </tr> - <tr> - <tr> - <td>MISAttributeRequestProvider</td> - <td>Attributprovider verwendet für die Vertretungsfälle.</td> - </tr> - <tr> - <td>StorkAttributeRequestProvider</td> - <td>Allgemeines Plugin, wird verwendet für die Restfälle.</td> - </tr> -</table> -<p> </p> -<p>Beispiel eines Eintrages für Attributprovider:</p> -<pre><table width="1220" border="1"> - <tr> - <th width="167" scope="col">AP Plugin</th> - <th width="681" scope="col">URL</th> - <th width="281" scope="col">Attribute</th> - </tr> - <tr> - <td>MISAttributeRequestProvider</td> - <td>http://mis.testvidp.at/moa-id-auth/stork2/MISProvider</td> - <td>mandateContent,<span class="term">attribut1</span>,<span class="term">attribut2</span></td> - </tr> -</table></pre> -<p> </p> -<h3><a name="konfigurationsparameter_oa_additional" id="uebersicht_zentraledatei_aktualisierung28"></a>3.2.7 Zusätzliche allgemeine Einstellungen</h3> +<h4><a name="konfigurationsparameter_oa_additional" id="uebersicht_zentraledatei_aktualisierung28"></a>3.2.7 Zusätzliche allgemeine Einstellungen</h4> <p>In Abschnitt ermöglicht eine erweiterte online-applikationsspezifische Individualisierung des AuthBlocks und der Bürgerkartenauswahl. -Die Individualisierung des AuthBlocks steht jedoch dann zur Verfügung wenn die dem Module MOA-ID-Auth beigelegte Security-Layer Transformation verwendet wird oder + Die Individualisierung des AuthBlocks steht jedoch dann zur Verfügung wenn die dem Module MOA-ID-Auth beigelegte Security-Layer Transformation verwendet wird oder wenn die individuelle Security-Layer Transformation den Formvorschriften der Spezifikation entspricht.</p> <table width="1250" border="1"> <tr> diff --git a/id/server/doc/handbook/interfederation/blockdiagramm.png b/id/server/doc/handbook/interfederation/blockdiagramm.png Binary files differnew file mode 100644 index 000000000..8a1f6a49a --- /dev/null +++ b/id/server/doc/handbook/interfederation/blockdiagramm.png diff --git a/id/server/doc/handbook/interfederation/interfederation.html b/id/server/doc/handbook/interfederation/interfederation.html index b67124806..4e4f35c54 100644 --- a/id/server/doc/handbook/interfederation/interfederation.html +++ b/id/server/doc/handbook/interfederation/interfederation.html @@ -19,19 +19,271 @@ <hr/> <h1>Inhalt</h1> <ol> - <li><a href="#allgemeines">Allgemeines</a> + <li><a href="#general">Allgemeines</a> <ol> - <li>. </li> + <li><a href="#sequenzediagramm">Sequenzdiagramm</a></li> </ol> </li> + <li><a href="#config">Konfiguration</a> +<ol> + <li><a href="#config_basic">Basiskonfiguration</a></li> + <li><a href="#config_idps">Konfiguration einzelner IDPs</a></li> + </ol> + </li> + <li><a href="#useage">Integration in bestehende Systeme</a> + <ol> + <li><a href="#usage_direct">Direkte Übermittlung im Authentifizierungsrequest</a></li> + <li><a href="#usage_redirect">Verwendung des Redirekt Servlets</a></li> + </ol> + </li> + <li><a href="#vidp">STORK VIDP Konfiguration</a></li> +</ol> +<p> </p> + <h1><a name="general" id="konfigurationsparameter_allgemein_bku7"></a>1 Allgemeines</h1> + <p>Ab der Version 2.1.0 des Modulpakets MOA-ID unterstützt das Modul MOA-ID-Auth Single Sign-On Interfederation zwischen Instanzen des Modules MOA-ID-Auth, welche bei unterschiedlichen Service Providern betrieben werden. Die nachfolgende Abbildung zeigt das Blockdiagramm einer solchen Systemkonfiguration und beschreibt die Funktionalität auf einer abstrakten Ebene.</p> + <p><img src="blockdiagramm.png" width="1010" height="618" alt="Blockdiagramm MOA-ID Inderfederation"></p> +<ol> + <li>Eine Benutzerin oder ein Benutzer möchte sich an einer Online Applikation (Applikation 1) oder einem Service Portal anmelden.</li> + <li>Für den Anmeldevorgang wird die Benutzerin oder der Benutzer an den IdentityProvider (MOA-ID IDP 1) welcher die Identifizierung und Authentifizierung durchführt und eine Single Sign-On (SSO) Session anlegt.</li> + <li>Anschließend wir die Benutzerin oder der Benutzer an die Online Applikation zurückgeleitet und befindet sich im angemeldeten Bereich der Applikation 1.</li> + <li>Applikation 1 bieten die Möglichkeit sich an einer weiteren Online Applikation (Applikation 2) anzumelden. Die Benutzerin oder der Benutzer meldet sich an Online Applikation 2 an, wobei der Anmeldevorgang aus dem sicheren Bereich von Applikation 1 erfolgt.</li> + <li>Da die Benutzerin oder der Benutzer an Applikation zwei noch nicht authentifiziert ist wird ein Anmeldevorgang über den IDP 2 gestartet, welcher die Information enthält dass es eine aktive SSO Session an IDP 1 gibt.</li> + <li>IDP 2 holt von IDP 1 die Authentifizierungsinformationen für Applikation 2 ab. Für die Kommunikation zwischen den beiden IDPs wird PVP 2.1 als Protokoll verwendet. Sollte am IDP 1 keine aktive SSO Session für diesen Benutzer existieren wird eine lokale Authentifizierung der Benutzerin oder des Benutzer an IDP 2 gestartet.</li> + <li>Anschließend wird die Benutzerin oder der Benutzer an Applikation 2 zurückgeleitet und befindet sich im angemeldeten Bereich der Applikation 2.</li> +</ol> +<h2><a name="sequenzediagramm" id="konfigurationsparameter_allgemein_bku"></a>1.1 Sequenzdiagramm</h2> +<p>Das nachfolgende Sequenzdiagramm beschreibt den Ablauf eines Anmeldevorgangs an einer Online Applikation mit Hilfe von Interfederation im Detail wobei in diesem Beispiel als Authentifizierungsprotokoll an der Online Applikation 2 PVP 2.1 und die <a href="#usage_redirect">Variante mit Redirect Servlet</a> verwendet werden. Eine Verwendung aller anderen, durch das Modul MOA-ID-Auth bereitgestellten Authentifizierungsprotokolle ist jedoch ebenfalls möglich. Aus Gründen der Übersichtlichkeit sind die Schritte 1 - 3 aus dem oben dargestellten Blockdiagramm im Sequenzdiagramm nicht berücksichtigt, da diese Schritte bereits im Kapitel <a href="./../protocol/protocol.html">Protokolle</a> im Detail beschrieben wurden. </p> +<p><img src="interfederation_sequenz.png" width="1082" height="994" alt="SSO Interfederation Sequenze"></p> +<p> </p> +<ol> + <li>Die Benutzerin oder der Benutzer ist bereits an einer Online Applikation (Application 1) angemeldet und möchte sich nun an einer zweiten Online Applikation (Application 2) mittels Single Sign On anmelden. Nach dem Click auf die entsprechende Login Schaltfläche wird der Anmeldevorgang gestartet.</li> + <li>Es erfolgt ein SSO Login Request auf ein Redirekt Servelt von MOA-ID 2. Dieser Request beinhaltet einen eindeutigen Identifier für den IDP welcher eine aktive SSO Session besitzt und einen Redirect URL auf ein Service von Online Applikation 2 welches den eigentlichen online-applikationsspezifischenAuthentifizierungsrequest erzeugt. Hierbei werden folgende zwei http GET Parameter ausgewertet: </li> + <ul> + <li><em>interIDP</em>: eindeutiger Identifier des interfederation IDP welcher für die Benutzerin oder den Benutzer eine aktive SSO Session hält.</li> + <li><em>redirecturl</em>: URL an welche der Benutzer anschließend weitergeleitet wird.</li> + </ul> + <li>Das Redirect Servlet validiert den Request. Hierbei wird geprüft ob die Redirekt URL zu einer bei MOA-ID 2 registrierten Online Applikation passt. Wenn ja, wird der eindeutige Identifier des IDP gespeichert. </li> + <li>Die Benutzerin oder der Benutzer wird an die im Request angegebene URL, welche den eigentlichen Authentifizierungsrequest erzeugt, weitergeleitet.</li> + <li>Online Applikation zwei erzeugt den Authentifizierungsrequest.</li> + <li>Der Authentifizierungsrequest wird über den Browser an MOA-ID 2 gesendet. <br> + <strong>Hinweis:</strong> Der eindeutige Identifier des interfederation IDPs (http GET Parameter <em>interIDP</em>=xxxxxxx), welcher eine aktive SSO Session für die Benutzerin oder den Benutzer besitzt, kann auch direkt in diesem Schritt an MOA-ID 2 übergeben werden. In diesem Fall können die Schritte 2 bis 5 entfallen.</li> + <li>Validierung des Authentifizierungsrequests von Online Applikation zwei.</li> + <li>Wurde der Parameter <em>interIDP</em> gesetzt erfolgt keine lokale Authentifizierung. In diesem Fall wird ein interfederation Authentifizierungsrequest generiert welcher als IDP MOA-ID 1 verwendet.</li> + <li>Der interfederation Authentifizierungsrequest wird an MOA-ID 1 gesendet.</li> + <li>MOA-ID 1 validiert den Authentifizierungsrequest und generiert eine Assertion für MOA-ID 2 welche SessionTokken für die Benutzerin oder den Benutzer enthält. In diesem Schritt werden jedoch noch keine personenbezogenen Daten ausgetauscht.</li> + <li>Die Assertion wird an MOA-ID 2 zurückgesendet.</li> + <li>MOA-ID 2 validiert die Assertion und extrahiert das SessionTokken. <br> + <strong>Hinweis:</strong> Sollte die Validierung der Assertion fehlschlagen oder keine aktive SSO Session bei MOA-ID 1 existieren wird eine lokale Authentifizierung der Benutzerin oder des Benutzers mittels Bürgerkarte oder Handy-Signatur durchgeführt.</li> + <li>MOA-ID 2 generiert einen Attribut Request mit den von Online Applikation 2 angeforderten Attributen und sendet diesen über SOAP Binding an MOA-ID 1.</li> + <li>MOA-ID 1 generiert eine Assertion mit den angeforderten Attributen für Online Applikation 2 und sendet diese an MOA-ID 2.</li> + <li>MOA-ID 2 generiert eine Assertion für Online Applikation 2</li> + <li>MOA-ID 2 speichert Sessioninformationen zum verwendeten interfederation IDP. Mit diesen Informationen ist je nach Konfiguration eine weitere Authentifizierung ohne Bekanntgabe eines speziellen interfederation IDP oder eine Single LogOut möglich.</li> + <li>Die Assertion wird an die Online Applikation 2 gesendet</li> + <li>Online Applikation 2 validiert die Assertion</li> + <li>Wurde die Validierung der Assertion positiv abgeschlossen wird der Benutzer im sicheren Bereich von Online Applikation zwei angemeldet.</li> </ol> - <p> </p> - <h1>Allgemeines</h1> - <p>Ab der Version 2.0.2 des Modulepackets MOA-ID unterstützt das Modul MOA-ID-Auth Single Sign-On Interfederation zwischen Instanzen des Modules MOA-ID-Auth, welche bei unterschiedlichen Service Providern betrieben werden. Die nachfolgende Abbildung zeigt das Blockdiagramm einer solchen Systemkonfiguration und beschreibt die Funktionalität auf einer abstrakten Ebene.</p> - <p> </p> - <p> </p> - <p> </p> - <p> </p> +<h1> <a name="config" id="konfigurationsparameter_allgemein_bku2"></a>2 Konfiguration</h1> +<p>Die Konfiguration des Modules MOA-ID-Auth in einer IDP Interfederation ist in zwei Abschnitte unterteilt. Der erste Teil behandelt die Basiskonfiguration des Modules MOA-ID-Auth. Im zweiten Abschnitt erfolgt die Konfiguration der einzelnen IDP Instanzen welche von dieser MOA-ID-Auth verwendet werden können oder in einem IDP interfederation Verbund stehen.</p> +<p>Bei IDP Interfederation handelt es sich um eine Erweiterung der Funktionalität des Modules MOA-ID-Auth. Die in diesem Abschnitt beschriebene Konfiguration bezieht sich speziell auf den Bereich Interfederation, ersetzt jedoch nicht die Konfiguration des Modules MOA-ID-Auth laut Kapitel <a href="./../config/config.html">Konfiguration</a>.</p> +<h2><a name="config_basic" id="konfigurationsparameter_allgemein_bku3"></a>2.1 Basiskonfiguration</h2> +<p>Wird das Modul MOA-ID-Auth in einer IDP Interfederation betrieben muss das PVP 2.1 Protokoll, in der Basiskonfiguration von MOA-ID-Auth konfiguriert werden. Eine Beschreibung der entsprechenden Konfigurationsparameter finden Sie im Kapitel <a href="./../config/config.html#basisconfig_moa_id_auth_param_protocol_pvp21">Protokolle -> PVP 2.1</a>. </p> +<h2><a name="config_idps" id="konfigurationsparameter_allgemein_bku4"></a>2.2 Konfiguration einzelner IDPs </h2> +<p>Zusätzlich zu Basiskonfiguration müssen alle für diese IDP Interfederation registrierten IDPs konfiguriert werden. Diese Konfiguration erfolgt über das Modul MOA-ID-Configuration wobei für Interfederation ein eigener Menüpunkt im Hauptmenü zur Verfügung steht. Über diesen Konfigurationspunkt können neue IDPs hinzugefügt (MOA-ID IDP hinzufügen) oder bestehende IDPs bearbeitet werden wobei alle aktuell hinterlegten IDPs in einer Liste dargestellt werden.</p> +<p>Die Konfiguration der einzelnen IDP Instanzen erfolgt ähnlich zur Konfiguration von Online-Applikationen (siehe <a href="./../config/config.html#konfigurationsparameter_oa">Online-Applikationskonfiguration</a>), jedoch sind für eine IDP Konfiguration nicht alle Konfigurationsparameter aus der Online-Applikationskonfiguration erforderlich.</p> +<p>Im ersten Abschnitt werden allgemeine Informationen zum IDP konfiguriert.</p> +<table width="1199" border="1"> + <tr> + <th width="153" scope="col">Name</th> + <th width="204" scope="col">Beispielwert</th> + <th width="57" scope="col">Optional</th> + <th width="757" scope="col">Beschreibung</th> + </tr> + <tr> + <td>Online-Applikation ist aktiviert</td> + <td> </td> + <td align="center"> </td> + <td>Aktiviert oder deaktiviert den IDP. Es können nur aktive IdentityProvider für IDP Interfederation verwendet werden.</td> + </tr> + <tr> + <td><p>Eindeutiger Identifikatior</p></td> + <td>https://demo.egiz.gv.at/demologin/</td> + <td align="center"> </td> + <td>Dieser Parameter dient als Schlüssel zum Auffinden der Konfigurationsparameter des IDP. Hierfür ist ein eindeutiger Identifikator für den IDP erforderlich. Dieser eindeutige Identifikator muss mindestens dem URL-Präfix der nach außen sichtbaren Domäne des IDP und der PVP 2.1 EntityID des IDP entsprechen</td> + </tr> + <tr> + <td><p>Name der <br> + Online-Applikation</p></td> + <td>Demo Applikation A</td> + <td align="center"> </td> + <td>Hier muss ein benutzerfreundlicher Name für den IDP angegeben werden. </td> + </tr> + <tr> + <td>Privatwirtschaftliche Applikation</td> + <td> </td> + <td align="center"> </td> + <td><p>Definiert ob der IDP dem öffentlichen Bereich oder dem privatwirtschaftlichen Bereich (Business Service) zugeordnet ist.</p></td> + </tr> +</table> +<p> </p> +<p>Der zweite Abschnitt behandelt spezielle Konfigurationsparameter für IDP Interfederation.</p> +<table width="1199" border="1"> + <tr> + <th width="153" scope="col">Name</th> + <th width="204" scope="col">Beispielwert</th> + <th width="57" scope="col">Optional</th> + <th width="757" scope="col">Beschreibung</th> + </tr> + <tr> + <td><span id="wwlbl_loadIDP_moaIDP_inboundSSO">Eingehendes SSO erlauben</span></td> + <td> </td> + <td align="center"> </td> + <td>Über diesen Parameter kann eingehende SSO Interfederation von diesem IDP erlaubt werden. Ist eingehende SSO Interfederation erlaubt kann eine aktive SSO Session, wenn diese auf diesem IDP existiert, verwendet werden.</td> + </tr> + <tr> + <td><p><span id="wwlbl_loadIDP_moaIDP_outboundSSO">Ausgehendes SSO erlauben</span></p></td> + <td> </td> + <td align="center"> </td> + <td>Über diesen Parameter kann ausgehende SSO Interfederation zu diesem IDP erlaubt werden. Ist ausgehende SSO Interfederation erlaubt darf dieser IDP SSO Sessioninformation anfordern.</td> + </tr> + <tr> + <td><p><span id="wwlbl_loadIDP_moaIDP_storeSSOSession">SSO Session speichern</span></p></td> + <td> </td> + <td align="center"> </td> + <td>Wenn eingehende SSO Intefederation erlaubt ist besteht zusätzlich die Möglichkeit diesen einmal verwendeten IDP an die Benutzersession zu binden. In diesem Fall können weitere SSO Authentifizierungen über diesen interfederation IDP auch ohne Angabe des IDP Identifiers (siehe <a href="#sequenzediagramm">Sequenzdiagramm</a> oder <a href="#usage">Integration in bestehende Systeme</a>) durchgeführt werden.</td> + </tr> + <tr> + <td><span id="wwlbl_loadIDP_moaIDP_queryURL">AttributQuery Service URL</span></td> + <td>https://demo.egiz.gv.at/moa-id-auth/pvp2/attributequery</td> + <td align="center"> </td> + <td><p>URL auf das Attribute-Query Service des konfigurierten IDP. Über dieses WebService werden die Authentifizierungsdaten vom IDP abgeholt.</p></td> + </tr> +</table> +<p> </p> +<p>Der dritte Abschnitt behandelt die PVP 2.1 Konfiguration des IDP. Da diese Konfiguration identisch zur <a href="./../config/config.html#konfigurationsparameter_oa_protocol_pvp21">PVP 2.1 Konfiguration für Online-Applikationen</a> ist wird auf entsprechende Kapitel in der Online-Applikationskonfiguration verwiesen.</p> +<p><strong>Hinweis:</strong> Bei der Speicherung der Konfiguration und bei jedem Ladevorgang der Konfiguration im Modul MOA-ID-Auth wird überprüft ob der IDP die Anforderungen an einen öffentlichen IDP erfüllt. Die Überprüfung erfolgt auf Basis der PVP 2.1 Metadaten URL des IDP und diese muss mindestens eine der folgenden Anforderungen erfüllt sein. Schlägt die Überprüfung fehl, kann der IDP nicht gespeichert werden oder wird durch das Modul MOA-ID-Auth aus der aktuell geladenen Konfiguration entfernt.</p> +<ul> + <li>Die URL unter der die Metadaten erreichbar sind muss einen <em>*.gv.at</em> Domain aufweisen. (Beispiel: https://demo.egiz.gv.at/moa-id-auth/pvp2/metadata)</li> + <li>Der SSL Serverzertifikat des IDP weist eine der folgenden Eigenschaften auf. + <ul> + <li>Veraltungseigenschaft (OID=1.2.40.0.10.1.1.1)</li> + <li>Dienstleistereigenschaft (OID=1.2.40.0.10.1.1.2)</li> + </ul> + </li> +</ul> +<h1><a name="usage" id="konfigurationsparameter_allgemein_bku6"></a>3 Integration in bestehende Systeme</h1> +<p>Um den Interfederation Mechanismus in ein bestehendes System zu integrieren muss dem protokollspezifischen Authentifizierungsrequest, welcher da das Modul MOA-ID-Auth gesendet wird, ein zusätzlicher Parameter angefügt werden. Dieser Parameter identifiziert den interfederation IDP von welchem eine aktive SSO Session verwendet werden soll. Dieser zusätzliche Parameter kann als http GET oder als http POST Parameter an MOA-ID-Auth übertragen werden. </p> +<table width="1247" border="1"> + <tr> + <th width="115" scope="col">Name</th> + <th width="262" scope="col">Beispielwert</th> + <th width="848" scope="col">Beschreibung</th> + </tr> + <tr> + <td>interIDP</td> + <td>https://demo.egiz.gv.at/moa-id-auth</td> + <td><p>Ist der eindeutige Identifikator für den interfederation IDP von welchem die aktive SSO Session verwendet werden soll.</p> + <p><strong>Hinweis:</strong> Ist dieser IDP nicht konfiguriert oder die Konfiguration des IDP nicht aktiv wird eine lokale Authentifizierung mittels Bürgerkarte oder Handy-Signatur durchgeführt.</p></td> + </tr> +</table> +<p> </p> +<p>Wie bereits im <a href="#sequenzediagramm">Abschnitt Sequenzdiagramm</a> erwähnt stehen für die Übertragung des zusätzlichen Parameters zwei Varianten zur Verfügung.</p> +<h2><a name="usage_direct" id="konfigurationsparameter_allgemein_bku8"></a>3.1 Direkte Übermittlung im Authentifizierungsrequest</h2> +<p>Bei dieser Variante wird der zusätzliche Parameter <em>interIDP</em> direkt im protokollspezifischen Authentifizierungsrequest, welcher den Authentifizierungsvorgang startet, angefügt. In diesem Fall muss der Service Provider, welcher den Authentifizierungsrequest erzeugt, den zusätzlichen Parameter <em>interIDP</em> einfügen. Diese Variante steht für alle verfügbaren Authentifizierungsvarianten des Modules MOA-ID-Auth zur Verfügung und es existieren keine besonderen Einschränkungen. Das nachfolgende Beispiel zeigt die Verwendung in Kombination mit SAML 1 wobei der <em>interIDP</em> Parameter als http GET Parameter übermittelt wird.</p> +<pre><a href="https://<moa-id-server-und-pfad>/StartAuthentication + ?Target=<geschäftsbereich> + &OA=<oa-url> + &bkuURI=<bku-url> + &interIDP=<IDP EntityID> +></pre> +<h2><a name="usage_redirect" id="konfigurationsparameter_allgemein_bku9"></a>3.2 Verwendung des Redirekt Servlets</h2> +<p>Bei dieser Variante wird der zusätzliche Parameter <em>interIDP</em> und eine Redirect-URL <em>redirecturl</em> an ein Service der MOA-ID-Auth Instanz übermittelt. Dieses Service validiert alle Parameter und hinterlegt den Parameter <em>interIDP</em> in einem http Cookie im Browser der Benutzerin oder des Benutzers. Anschließend erfolgt ein Redirect an die im Parameter redirecturl angegebene Service welches den eigentlichen Authentifizierungsrequest erzeugt und an die MOA-ID-Auth Instanz sendet. In diesem Fall ist es nicht erforderlich dass der Authentifizierungsrequest den zusätzlichen Parameter <em>interIDP</em> enthält, da dieser über das zuvor gesetzte http Cookie vom Modul MOA-ID-Auth ausgewertet wird. </p> +<table width="1247" border="1"> + <tr> + <th width="115" scope="col">Name</th> + <th width="262" scope="col">Beispielwert</th> + <th width="848" scope="col">Beschreibung</th> + </tr> + <tr> + <td>interIDP</td> + <td>https://demo.egiz.gv.at/moa-id-auth</td> + <td><p>Ist der eindeutige Identifikator für den interfederation IDP von welchem die aktive SSO Session verwendet werden soll.</p> + <p><strong>Hinweis:</strong> Ist dieser IDP nicht konfiguriert oder die Konfiguration des IDP nicht aktiv wird eine lokale Authentifizierung mittels Bürgerkarte oder Handy-Signatur durchgeführt.</p></td> + </tr> + <tr> + <td>redirecturl</td> + <td>https://demo.egiz.gv.at/moa-id-oa/servlet/pvp2login</td> + <td><p>URL auf die nach erfolgreicher Validierung aller Parameter weitergeleitet wird. Das hier angegebene Service erzeugt den eigentlichen applikationsspezifischen Authentifizierungsrequest.</p> + <p><strong>Hinweis:</strong> Die angegebene URL muss als Prefix identisch mit dem <a href="./../config/config.html#konfigurationsparameter_oa_general">eindeutigen Identifier der jeweiligen Online-Applikation</a> sein.</p></td> + </tr> +</table> +<p> </p> +<h1><a name="vidp" id="konfigurationsparameter_allgemein_bku5"></a>4 STORK VIDP Konfiguration</h1> +<p>Das Modul MOA-ID-Auth kann auch als STORK2 VIDP betrieben werden. Diese VIDP Konfiguration erfolgt ebenfalls über den Menüpunkt Interfederation, wobei neues VIDPs mit Hilfe der Schaltfläche VIDP hinzufügen konfiguriert werden können. </p> +<p>Die Konfiguration eines VIDPs erfolgt weitgehend identisch zur Konfiguration einer <a href="./../config/config.html#konfigurationsparameter_oa">Online-Applikation</a>, wobei im Falle eines VIDPs noch folgende zusätzliche Konfigurationsparameter zur Verfügung stehen.</p> +<table width="1250" border="1"> + <tr> + <th width="185" scope="col">Name</th> + <th width="85" scope="col">Beispielwert</th> + <th width="66" scope="col">Optional</th> + <th width="886" scope="col">Beschreibung</th> + </tr> + <tr> + <td><p>VIDP Interface aktiv</p></td> + <td> </td> + <td align="center">X</td> + <td><p>Stellt fest, ob das VIDP Interface aktiviert wird.</p></td> + </tr> + <tr> + <td><p>Zustimmung für das Ausliefern der Attribute</p></td> + <td> </td> + <td align="center">X</td> + <td><p>Stellt fest, ob die Zustimmung für das Ausliefern der Attribute vom Benutzer erforderlich ist. Diese Zustimmung ist für grenzübergreifenden Datenverkehr aufgrund Datenschutzbestimmungen oft notwendig. </p></td> + </tr> +</table> +<p> </p> +<p>Außerdem können zusätzliche Attributproviders eingetragen werden. + Diese Attributprovider werden für die Abholung einiger Attribute von österreichischen Bürgern benötigt (Anmeldung in Ausland). Die Eintragung und Auswahl von Attributprovidern ist <span class="term">optional</span>. </p> +<p>Während des Anmeldevorgangs wird der Benutzer an den entsprechenden Attributprovider weitergeleitet. Am Attributprovider werden die erforderlichen Attribute ausgewählt und zurück an VIDP (am Service Provider) geliefert. </p> +<br/> +<table width="1250" border="1"> + <tr> + <th width="167" scope="col">Name des Plugins</th> + <th width="781" scope="col">Beschreibung</th> + </tr> + <tr> + <td>EHvdAttributeProvider</td> + <td>Für Gesundheitsbereich spezifisches Attributprovider. </td> + </tr> + <tr> + <td>SignedDocAttributeRequestProvider</td> + <td>Attributprovider verwendet für die Signatur von Dokumenten (<span class="term">Signatur Service</span>).</td> + </tr> + <tr> + <tr> + <td>MISAttributeRequestProvider</td> + <td>Attributprovider verwendet für die Vertretungsfälle.</td> + </tr> + <tr> + <td>StorkAttributeRequestProvider</td> + <td>Allgemeines Plugin, wird verwendet für die Restfälle.</td> + </tr> +</table> +<p> </p> +<p>Beispiel eines Eintrages für Attributprovider:</p> +<pre><table width="1220" border="1"> + <tr> + <th width="167" scope="col">AP Plugin</th> + <th width="681" scope="col">URL</th> + <th width="281" scope="col">Attribute</th> + </tr> + <tr> + <td>MISAttributeRequestProvider</td> + <td>http://mis.testvidp.at/moa-id-auth/stork2/MISProvider</td> + <td>mandateContent,<span class="term">attribut1</span>,<span class="term">attribut2</span></td> + </tr> +</table> +</pre> +<p> </p> <h1><a name="referenzierte_spezifikation" id="uebersicht_zentraledatei_aktualisierung30"></a>A Referenzierte Spezifikation</h1> <table class="fixedWidth" border="1" cellpadding="2"> <tbody> diff --git a/id/server/doc/handbook/interfederation/interfederation_sequenz.png b/id/server/doc/handbook/interfederation/interfederation_sequenz.png Binary files differnew file mode 100644 index 000000000..929b44df1 --- /dev/null +++ b/id/server/doc/handbook/interfederation/interfederation_sequenz.png diff --git a/id/server/doc/handbook/protocol/protocol.html b/id/server/doc/handbook/protocol/protocol.html index 40277aa6b..03a31a2bf 100644 --- a/id/server/doc/handbook/protocol/protocol.html +++ b/id/server/doc/handbook/protocol/protocol.html @@ -105,6 +105,11 @@ Redirect Binding</td> <td>https://<host>:<port>/moa-id-auth/pvp2/redirect</td> </tr> <tr> + <td><a href="./../interfederation/interfederation.html#config_idps">PVP 2.1</a></td> + <td>Attribut Query für IDP Interfederation</td> + <td>https://<host>:<port>/moa-id-auth/pvp2/attributequery</td> + </tr> + <tr> <td><a href="#openid">OpenID Connect</a></td> <td>Authentifizierungsrequest <br> (AuthCode-Request)</td> |